近年,AI 代理(AI Agents)正如数字员工般大批涌入企业,覆盖从办公协作到销售客服等各领域,但大量无人管理的“影子 AI”也随之而来。据行业调研显示,生成式AI 在企业中的普及率从2023年初的仅33%飙升至2024年年中超过 70%;到 2025年初,已有超过一半的企业引入了AI代理。微软预计 2028年全球将有超过 13亿 个AI代理在各组织内部运转。由此引发的AI代理泛滥(Agent Sprawl)正成为新的管理难题——遍布云端、应用和终端的代理常常超出IT和安全团队的视线范围,能自主调用工具、访问数据,甚至与其他代理交互,这意味着每个“无害”的工作流一不留神就有可能引发数据过度共享、业务滥用或越权操作。面对激增的自主代理,要记住一条常识:“看不见就无法治理,看不清就无法保障安全”。所以发现(Discovery)和可视化每个AI代理的位置、活动,成为确保安全和合规的首要任务。微软最新推出的 Agent 365 正提供这样的统一视图与控制能力。
影子 AI:风险暗涌
企业自主部署AI代理虽带来生产力飞跃,但未经审批的AI代理却隐含巨大风险。所谓影子 AI(Shadow AI)是指在IT部门不了解或未正式批准的情况下,用户私自使用的AI工具或代理。这些影子AI常表现为员工本地设备上运行的AI助手(如开发人员安装的本地AI编码助手),或擅自在工作环境中登录外部的AI服务(如直接使用ChatGPT网站),不受企业现有安全、身份和合规体系的保护。特别地,本地AI代理被视为当前风险最高的类别,因为它们以员工自身权限运行,可自由访问员工文件、邮件乃至数据库。代理没有独立身份和权限隔离——等同于员工无休止地在后台自动行动,这种持续自主执行很容易产生数据泄露或越权操作。想象一个开发人员在企业笔记本上安装了一款AI代码助手,这个代理可能读取代码库中的敏感项目,自动修改配置或发送外部请求 24小时不停运作。因此,如何及时发现并跟踪这些影子AI代理,成为企业AI治理的当务之急。
企业自主部署AI代理虽带来生产力飞跃,但未经审批的AI代理却隐含巨大风险。所谓影子 AI(Shadow AI)是指在IT部门不了解或未正式批准的情况下,用户私自使用的AI工具或代理。这些影子AI常表现为员工本地设备上运行的AI助手(如开发人员安装的本地AI编码助手),或擅自在工作环境中登录外部的AI服务(如直接使用ChatGPT网站),不受企业现有安全、身份和合规体系的保护。特别地,本地AI代理被视为当前风险最高的类别,因为它们以员工自身权限运行,可自由访问员工文件、邮件乃至数据库。代理没有独立身份和权限隔离——等同于员工无休止地在后台自动行动,这种持续自主执行很容易产生数据泄露或越权操作。想象一个开发人员在企业笔记本上安装了一款AI代码助手,这个代理可能读取代码库中的敏感项目,自动修改配置或发送外部请求 24小时不停运作。因此,如何及时发现并跟踪这些影子AI代理,成为企业AI治理的当务之急。
Agent 365 发现能力架构:统一视图与多源监测
为解决AI代理泛滥和影子AI风险,微软推出了 Agent 365 作为统一的企业AI代理管理与安全控制平面。其核心之一是Discover Agent(发现代理)的功能集,它能够多源头监测企业环境,自动汇总所有AI代理的信息到“代理注册表”(Agent Registry),为IT和安全团队提供端到端的可见性。这一架构集成了云服务、终端设备、网络流量等渠道的发现机制,共同构建企业AI代理的全景地图;其关键数据流可以概括如下:
- 云端同步:通过Agent 365注册表与多云平台(如Microsoft Copilot、Azure OpenAI、AWS Bedrock、Google Gemini平台等)对接,自动收录各平台上已注册的AI代理。IT无需手动维护,即可获得企业已知AI代理的统一清单
- 终端扫描:在Windows受管设备上,Microsoft Intune 配合Defender for Endpoint(终端防护)监控本地AI代理。通过Intune设备策略持续扫描注册表、应用清单,收集已安装的AI应用信息;Defender客户端则实时监测进程和本地行为。二者协作,可自动上报发现的影子AI代理至Agent 365。
- 网络遥测:Microsoft Defender for Cloud Apps (Defender云应用防护,又称MCAS)分析全网设备的HTTP流量,基于流量日志和域名识别外部AI服务的使用记录。系统将这些外部AI服务归类为“生成式AI”应用并评估其风险评分,助力安全团队发现未授权AI工具的使用动向。
- 注册表聚合:上述多源数据通过Agent 365代理注册表进行统一汇总呈现。在Microsoft 365管理中心的Shadow AI页面(Frontier预览版)中,管理员可一览在企业环境内所有已发现的AI代理列表,包括影子AI代理的设备分布、检测时间、已应用的安全策略等详细信息。
- 持续治理:IT管理员借助注册表提供的统一视图,可针对每个AI代理采取适当措施,包括授权纳管(分配Entra ID并施加最小权限策略)或隔离阻断(通过Intune/Defender立即限制其访问)。同时,Agent 365与Defender及Purview的数据防护功能集成,实时阻止AI代理异常行为或敏感数据外泄,并发出警报予以调查响应
| 核心能力 | 使用方式(实践举例) | 业务价值与优势 |
|---|---|---|
| 代理注册表 (Registry) | 在Microsoft 365管理中心统一查看企业内所有AI代理,包括已批准的正式代理和潜在的“影子”代理。管理员可将未经审批的代理隔离,避免其与企业系统连接。 | 提供全局可视化的代理清单,解决AI代理“散养”问题 。确保每个代理都在管控中,防范隐蔽代理带来的安全和合规风险。 |
| 访问控制 (Access Control) | 通过Entra ID(Azure AD)管理每个代理的访问权限,将代理纳入风险基础的条件访问策略,实现类似**“最小权限”的管控。管理员可为代理设置安全策略模板**,例如限制敏感数访问。 | 实现精细化权限管理,防止AI代理过度访问资源或被滥用 。降低数据泄露和滥用风险,确保每个代理只执行授权范围内的任务 。 |
| 行为监控与可视化 (Visualization) | 提供实时监控仪表板,展现每个AI代理与用户、数据间的关联关系。安全团队可追踪代理行为日志、审计对敏感数据的访问、发现异常活动。 | 实时可观测性提升运营透明度 。帮助管理者评估代理对业务的影响,提供ROI、准确性和合规性报告 ,支持持续优化代理配置。 |
| 互操作性 (Interoperability) | 将AI代理与常用办公应用及数据无缝集成。支持工作洞察 (Work IQ) 集成功能,为代理提供企业上下文和权限,让其可使用Word、Excel、SharePoint、Teams、OneDrive等内网资源 。 | 消除信息孤岛,帮助代理掌握组织知识,深入业务流程 。增强人-机协作,让AI代理在用户熟悉的应用环境中发挥作用,提高工作效率和流程衔接顺畅度。 |
| 安全与威胁防护 (Security) | 基于 Microsoft Defender、Purview 等安全套件,监控并抵御AI代理的威胁 。通过信息保护和数据丢失防护,防止代理在运行中访问或泄露未经授权的数据 。可针对异常代理行为实时触发预警和拦截。 | 企业级的安全防护使AI代理在合规框架内运行。防范内部外部风险,确保代理操作安全透明,企业数据及系统免受侵害,满足合规审计需求 。 |
提示: Agent 365的“Shadow AI (Frontier)”发现功能现阶段处于预览(Frontier计划)。目前仅支持OpenClaw等少数本地代理的自动检测与阻断。未来将扩展支持Claude Code、GitHub Copilot CLI 等更多代理类型。组织需满足相应的许可证与角色要求(如M365 E3含Intune、Frontier预览资格等)方可使用完整功能。
在Agent 365的实际使用中,第一步往往是发现所需的AI代理。Discover Agent 是一个引导用户寻找和申请部署现有代理模板的过程。Microsoft 已与生态合作伙伴提供了各种预配置的“代理模板”,涵盖销售、客服、IT运维、办公助手等不同场景的数字化同事。这些模板定义了代理的功能范围、权限需求和合规规则;用户可以在 Teams 应用商店 或 Microsoft 365 Copilot代理商店 中的“团队代理”分类下浏览并选取适合自己需求的模板。选定模板时,会显示其描述、技能、开发者信息,以及所需许可和策略等细节,方便用户评估。一旦决定使用某个模板,普通用户可直接发起“请求实例”,向管理员申请创建该AI代理。
当用户提交了代理创建申请后,租户管理员将在Microsoft 365管理中心审批请求并为该代理授予Agent 365许可证和相应策略。
获批后,用户即可在选定模板页上点击“创建实例”以正式生成此AI代理。之后,系统将提示用户为代理进行基础配置,包括设置代理名称、图标、简介和企业邮箱别名等信息。配置完成并保存后,Agent 365将在后台为该代理分配必要的身份与资源,完成自动化部署与初始化。需要注意的是,代理的创建和准备就绪可能需要一定时间。
借助Microsoft Entra Agent ID 细颗粒权限控制
创建完毕后,这个新生的AI代理将正式成为公司的“数字员工”。它会以独立用户身份出现在组织通讯录和组织架构图中,通常将隶属于创建者或指定主管名下。
随后,用户可以通过日常工具(如Teams聊天、邮件、会议等)与该代理交互,把其当作一个真实同事来使用和管理。代理能够接收员工在Teams聊天中的自然语言指示并执行任务,例如发送邮件、查找文件、处理流程等。在需要时,用户还可邀请AI代理加入团队频道讨论或会议,让代理帮忙记录要点、回答问题、甚至承担任务。所有与代理的交互都会在企业系统中留痕,便于审计和追溯。如果代理行为不符合预期或任务完成后不再需要,用户或管理员可以随时暂停或删除该代理,所有相关资源在30天后自动清除。
Microsoft Defender:网络与云端的 AI 代理侦测
Microsoft Defender 系列产品(包括Defender for Endpoint和Defender for Cloud Apps)共同构成了Agent 365的“网络与云”AI代理发现机制。它们通过网络流量遥测和威胁信号分析识别影子AI的使用模式:
- Defender for Cloud Apps:集成终端网络遥测,实现对员工访问外部AI服务的自动发现与分类。每台加入Defender防护的设备都会将HTTP/S流量元数据发送至MCAS分析。无须额外部署插件,Defender即可在云端统计各设备访问的AI相关域名。管理员可直接在Defender Cloud Apps的“发现的应用”页面,将应用类别筛选为“生成式AI”,获取企业内曾被访问的AI在线服务清单。列表包含应用名称、访问用户数、最近90天内的流量以及风险评分,这套评分体系基于数十项安全指标(如加密、隐私政策、主机区域、用户基数等)为每个AI应用打分0~10,便于按风险优先级筛选潜在有问题的AI服务。例如,管理员可优先排查评分低于5的AI应用,往往意味着数据处理和安全措施薄弱,应考虑阻止员工访问。
- Defender for Endpoint:终端安全代理(Defender客户端)一方面向MCAS提供上述网络流量数据,另一方面还负责监控设备的进程与行为。Defender利用威胁情报和行为分析能力,能够识别典型的AI代理进程(如OpenClaw的可执行文件、LLM引擎进程等)并上报;同时,通过标准Advanced Hunting 查询,安全团队可主动检索Defender日志以发现AI代理活动。例如,使用KQL语句搜索Defender端点事件来定位访问常见AI服务域名(如openai.com、anthropic.com等)的情况:
如上KQL示例:在Defender的高级狩猎 (Advanced Hunting) 界面运行上述查询,可筛选出端点网络事件中访问特定AI服务域名的记录,统计请求次数及涉及设备数,帮助安全分析员快速定位Shadow AI的使用痕迹。通过Defender for Endpoint的行为分析,不合规的AI代理活动还可能触发即时拦截与安全警报(例如在运行时阻断可疑AI进程),为安全团队赢得响应时间。
Microsoft Intune:终端设备的 AI 代理发现
Microsoft Intune 则担当Agent 365的“终端应用层”AI代理发现机制。作为企业统一终端管理平台,Intune结合Agent 365服务能扫描企业Windows设备上安装的AI应用并上报。具体实现包括:
- 设备应用清点:Intune借助管理扩展(Intune Management Extension)在受管设备上定期扫描常见安装路径和注册表,收集已安装软件列表。当检测到AI相关应用或进程(匹配常见AI工具如OpenClaw、Ollama、LM Studio等名称),Intune会记录关键属性,如应用名称、版本、安装位置、最后上线时间、安装账号和运行权限级别等。所有数据汇总于 Intune 门户 “发现的应用 (Discovered Apps)” 报告中供管理员检阅。例如,管理员可以通过 Intune 设备查询 (Device Query) 的Kusto 查询 (KQL) 功能检索全网,定位安装有AI代理程序的设备:
如上KQL示例:在Intune的高级数据分析界面运行,可跨全体设备实时查询安装了指定 AI 应用(如 ChatGPT 桌面版、Claude、Ollama 等)的列表,显示设备名、使用者、应用名称、最后上线时间等属性。依托这样的终端扫描手段,企业能够第一时间感知内部“影子AI”软件的存在。
- 自动上报与纳管:当Defender或Intune发现未受管的AI代理时,会将其自动上报至Agent 365“影子 AI”页面,转化为注册表中的一条代理记录。这样IT无需人工逐一梳理,也能集齐企业内部所有显性/隐性AI代理。管理员可随后对这些“影子AI”代理择优纳管,为其分配Entra ID(Azure AD身份)和权限策略,正式将其纳入企业身份和合规体系。对付高风险或违政策的代理,IT也可借助Intune设备合规策略将运行该代理的软件列入黑名单(如通过AppLocker禁止其可执行文件运行),或一键隔离相关设备。这样,影子AI一经发现便得以迅速处置,企业同样拥有这些代理的关停、删除等生命周期管理权限。
实战案例:影子 AI 从发现到管控
为了更具体地理解Agent 365的发现与防控流程,我们来看两个典型场景,后续文章中详细分析:
为了更具体地理解Agent 365的发现与防控流程,我们来看两个典型场景,后续文章中详细分析:
-
场景1:本地影子AI代理 – 一位开发人员在公司笔记本电脑上安装了OpenClaw(开源的自动化代理框架)。Defender for Endpoint客户端检测到OpenClaw进程(通过特征码匹配)并标记为Shadow AI;Intune 同时通过设备查询捕捉到了OpenClaw的安装记录。Agent 365随即在Shadow AI页面新增了这一OpenClaw代理记录,并关联“检测到的设备”列表。管理员确认该影子AI为高风险后,立即在Agent 365界面应用Intune策略:强制卸载OpenClaw并阻止其后续安装。自此,这个OpenClaw代理便被彻底移出企业IT环境(若其具备潜在业务价值亦可转为正式注册的AI代理)。
-
场景2:外部AI服务未授权使用 – 一位销售人员习惯将客户数据粘贴到ChatGPT网页寻求分析建议。Defender for Cloud Apps 在网络日志中检测到这类访问,并在“生成式AI”应用列表中显示出chat.openai.com等域名,风险评分较低。安全团队注意到这类外部AI应用明显涉及公司敏感信息的潜在外泄,遂在Agent 365内的条件访问策略上禁止员工设备访问未经批准的外部AI服务(借助Defender网络保护功能拦截相关流量)。同时,Purview DLP(数据防泄漏)针对带敏感信息的请求进行自动拦截,防止数据通过ChatGPT等外部AI渠道泄露。
AI代理的大规模应用是未来企业数字化变革的必然趋势。但若缺乏有效的可见性与管理,代理激增将导致复杂的安全与合规挑战。Agent 365 提供的统一发现与影子AI治理能力,可让IT团队全面掌握企业内运行的每个AI代理,将“看不见的AI”纳入有序管控。借助Defender和Intune等安全工具的集成,Agent 365能帮助企业在释放AI生产力红利的同时筑牢安全边界,为AI代理提供身份、策略与监控等全方位的治理框架。一句话:先看清楚,才能管得好。当企业将观察(Observe) 置于治理(Govern) 和安全(Secure) 的前提,就能在拥抱AI创新与强化风险防控之间取得最佳平衡**,真正实现人机协作的价值最大化。
