与 Microsoft 一起保护 AI 代理身份进入 2026 年

与 Microsoft 一起保护 AI 代理身份进入 2026 年

2026 年 1 月 15 日

简介:人工智能时代身份安全的新前沿

到 2026 年,网络安全格局将因自主人工智能 (AI) 代理的激增而发生根本性改变。这些代理的范围从先进的聊天机器人和虚拟助手到机器人流程自动化 (RPA) 系统和数据分析算法,已成为企业运营不可或缺的组成部分。它们执行复杂的任务、访问敏感资源并与关键系统交互,通常无需直接人工干预。然而,这种扩展的自主权和能力带来了新的、复杂的攻击面[1]。

传统上,身份安全主要关注人类用户。多重身份验证 (MFA)、条件访问和身份治理策略旨在保护员工、合作伙伴和客户凭据。随着人工智能代理的兴起,这种观点需要扩大。理论上,受损的人工智能代理可以通过利用人类攻击者的权限和对关键系统的访问权限,以远远超过人类攻击者能力的规模和速度造成损害[2]。

认识到这种演变,微软于 2026 年在 Microsoft Entra ID(以前称为 Azure Active Directory)中引入了一组强大的高级功能,专门用于以与人类身份相同的严格性和复杂性来处理 AI 代理身份。目标是确保自动化和人工智能提高效率而不成为攻击媒介,同时保持数据和系统的完整性和机密性[3]。

这篇技术和教育文章旨在指导安全分析师、解决方案架构师和 IT 管理员了解和实施 Microsoft Entra ID 中可用的策略和工具来保护 AI 代理的身份。我们将介绍配置和管理这些新数字实体安全性的基本原则、先决条件和详细的分步指南。

AI 代理身份安全的迫切需求

将人工智能代理集成到企业工作流程中是出于对更高效率、自动化和创新的追求。但是,如果不主动解决您的身份安全问题,这种集成也会带来重大风险。考虑以下风险场景:

  • 访问敏感数据:人工智能代理可能被允许访问客户数据库、财务信息或知识产权。如果该行为者的身份遭到泄露,攻击者就可以大量窃取数据,而不会被针对人类用户的传统安全控制检测到。

  • 横向移动和权限升级:人工智能代理经常与多个系统和服务交互。危害低权限代理的攻击者可以将其用作在网络中横向移动的立足点,并通过利用代理与其他服务的信任关系来升级权限。

  • 关键流程处理:人工智能代理可能负责批准交易、管理基础设施配置或发送重要通信。受感染的代理可能会被操纵进行欺诈或破坏性行为,从而造成严重的财务和声誉后果。

  • 暴露秘密:许多人工智能代理需要凭据或 API 密钥才能访问其他服务。如果这些凭据存储不安全或者代理的身份被盗,则攻击者可能会泄露并利用这些秘密。

为了减轻这些风险,组织必须采用身份安全方法,将零信任原则扩展到人工智能代理。这意味着每个代理必须具有可验证的身份,其访问必须在每个请求中显式验证,其权限必须是执行其功能所需的最低限度,并根据上下文动态调整[4]。

AI 代理的基本安全原则

有效保护AI智能体Microsoft Entra ID 基于三个相互关联的原则,呼应了零信任理念:

  1. 可验证且唯一的身份:每个 AI 代理必须在 Microsoft Entra ID 中拥有唯一且可追踪的数字身份。不得与其他服务或人类用户共享此身份。审核并向特定代理分配操作的能力对于问责制和事件调查至关重要。这意味着使用服务主体、托管身份或工作负载身份,而不是通用用户帐户 [5]。

  2. 自适应和基于风险的条件访问:人工智能代理的访问策略必须是动态的和自适应的。 Microsoft Entra ID 必须评估每个访问请求的上下文(包括代理的历史行为、正在访问的资源、请求的位置以及任何检测到的异常),而不是授予静态访问权限,以确定是否应授予、拒绝访问,或者是否需要其他操作(例如重新身份验证或完整性检查)。 “代理人风险级别”等条件的引入是这方面向前迈出的重要一步[6]。

  3. 动态最小权限(恰到好处且及时访问):AI 代理必须以尽可能最小的权限集进行操作才能执行分配的任务。此外,这些权限应仅在必要时(即时)授予,并在任务完成后自动撤销。如果代理受到威胁,这可以最大限度地减少攻击者可以利用的“表面积”。人工智能代理的身份治理,包括访问审查和权限管理,对于维护这一原则至关重要 [7]。

实施的先决条件

要在 Microsoft Entra ID 中实现 AI 代理的身份安全功能,您将需要以下元素:

  • Microsoft Entra ID Premium P1 或 P2 许可:对于条件访问、身份保护和身份治理等高级功能至关重要,这些功能对于保护 AI 代理至关重要。

  • 管理访问权限:在 Microsoft Entra 管理中心 (entra.microsoft.com) 中具有全局管理员、安全管理员或应用程序管理员权限的帐户。

  • AI/自动化开发知识:熟悉如何开发、部署 AI 代理,以及它们如何与 Microsoft Entra ID 交互以进行身份​​验证和授权。

  • Microsoft Sentinel(可选,但推荐):用于高级监视和检测代理行为中的异常情况。

分步指南:在 Microsoft Entra ID 中配置 AI 代理保护

让我们分解一下配置和加强人工智能代理身份安全性的步骤。

第 1 步:AI 代理注册和适当分类

第一步也是最关键的一步是确保每个 AI 代理作为一个独特的实体在 Microsoft Entra ID 中注册,并且其作为“自主代理”的性质得到适当分类。这允许精细地应用安全策略。

  1. 主应用程序/服务注册:在 Microsoft 登录管理中心,导航到 身份 > 应用程序 > 应用程序注册。将您的 AI 代理注册为新应用程序。这将创建一个服务主体,它代表您的代理在 Entra ID 中的身份。

  2. 使用托管身份:对于部署在 Azure 服务(例如 Azure Functions、Azure Kubernetes 服务、Azure 虚拟机)上的 AI 代理,请使用 托管身份。它们消除了手动管理凭据的需要,因为 Azure 会自动管理凭据生命周期。强烈建议这样做以减少攻击面。

  3. “自治代理”分类:2026年,Entra ID中的应用程序注册界面包含一个新的分类标签,“自治代理”。请确保在注册代理时应用此标签。条件访问策略和治理报告使用此分类来专门识别和管理 AI 身份。

  4. 基于证书的身份验证:如果托管身份不适用,请配置服务主体al 使用基于证书的身份验证而不是客户端机密(密码)。证书提供更强大的安全层和更安全的管理生命周期。

步骤 2:为 AI 代理实施条件访问策略

条件访问策略是零信任方法的核心,允许您定义授予或拒绝访问的条件。 2026 年,这些策略得到增强,包含特定于代理的属性。

  1. 创建新的条件访问策略:转至 保护 > 条件访问。使用以下设置创建新策略:

  2. 分配 > 用户或工作负载身份:选择特定 AI 代理的服务主体或托管身份。除非绝对必要且有明确的排除情况,否则请避免对代理使用“所有用户”。

  3. 云资源或操作:选择代理需要访问的特定资源(例如 Azure SQL 数据库、Microsoft Graph API、Azure Key Vault)。此处应用最小特权原则。

  4. 条件 > 代理风险级别:这是 2026 年引入的新条件。配置它以评估与 Microsoft Entra Identity Protection 检测到的代理行为相关的风险。如果风险被分类为,则必须阻止访问或需要采取其他措施。

  5. 访问控制 > 授予:针对高风险场景选择阻止访问。为了降低风险,您可以要求“需要代码完整性证明”,这可以是代码签名检查或代理执行环境完整性证明。

  6. 基于位置和行为的策略:除了代理风险外,还应考虑其他条件,例如位置(代理是否应仅从特定 IP 进行操作)和行为模式(如果代理尝试访问其正常操作模式之外的资源)。

步骤 3:AI 代理的身份治理和访问审查

就像人类身份一样,人工智能代理身份需要持续治理,以确保其权限保持适当并且特权不会累积。

  1. 代理的访问审核:使用 Microsoft Entra Identity Governance 为您的 AI 代理身份创建自动访问审核。设置定期审查(例如每季度一次),以便代理所有者或安全团队可以证明持续需要授予的权限。这有助于确保最小特权原则。

  2. 代理的特权访问管理 (PIM):对于需要高特权访问(例如管理关键基础设施)的代理,实施 特权身份管理 (PIM)。这样,仅当代理需要时才可以在有限的时间内即时 (JIT) 提升权限,从而减少攻击者的机会窗口。

  3. 使用 Microsoft Sentinel 进行监控和警报:将 Microsoft Entra ID 审核日志与 Microsoft Sentinel 集成。创建自定义检测规则和警报,以识别 AI 代理的异常行为模式。例如,如果代理开始从很少与之交互的资源访问大量数据,或者尝试在正常运行时间之外访问资源 [8],则可能会触发警报。

其他注意事项和最佳实践

  • 最小权限原则:始终仅授予 AI 代理执行其功能所必需的权限。定期查看并调整这些权限。

  • 代理细分:如果可能,根据 AI 代理的角色和访问的资源对其进行细分。如果代理受到威胁,这会限制“爆炸半径”。

  • 身份生命周期:建立清晰的流程来配置、管理和取消配置 AI 代理身份。当不再需要代理时,必须立即停用其身份并撤销其权限。

  • 教育和意识:虽然人工智能代理不是人类,但开发和管理它们的团队需要了解身份安全风险以及缓解这些风险的最佳实践。

  • 安全测试:包括专门针对人工智能代理的身份和访问权限的安全测试(例如渗透测试和攻击模拟)。

结论

保护 AI 代理的身份是 2026 年网络安全的一个关键且快速发展的领域。Microsoft Entra ID 凭借其增强的条件访问、身份保护和身份治理功能,为为这些数字实体实施零信任方法提供了坚实的基础。通过遵循本文详细介绍的指南和步骤,组织可以确保其 AI 代理安全运行,保护其最有价值的资产免受人工智能时代新兴威胁的影响。

参考文献

[1] 微软安全博客。 “2026 年人工智能驱动的身份和网络访问安全的四个优先事项。”网址:[https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [2] 微软技术社区。 “Microsoft Entra 创新在 RSAC 2026 上宣布。”网址:https://techcommunity.microsoft.com/blog/microsoft-entra-blog/microsoft-entra-innovations-announced-at-rsac-2026/4502146 [3] 微软学习。 “以与用户、应用程序和设备相同的严格程度保护代理身份。”网址:https://learn.microsoft.com/en-us/entra/identity/identity-protection/overview-identity-protection [4] 微软安全。 “利用人工智能加强身份安全。”网址:https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id [5] 微软学习。 “Microsoft Enter 中有什么新功能。”网址:https://learn.microsoft.com/en-us/entra/fundamentals/whats-new [6] 微软技术社区。 “RSA 2026:Microsoft Defender 中有哪些新增功能?”网址:[https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046] (https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046) [7] 微软学习。 “Microsoft Defender for Endpoint 中的新功能。”位于:https://learn.microsoft.com/en-us/defender-endpoint/whats-new-in-microsoft-defender-endpoint [8] 微软技术社区。 “每月新闻 - 2026 年 4 月。”网址:https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050