重要
代理Windows 365为公共预览版。 该功能正在积极开发中,在正式发布之前可能会更改。
Windows 365 for Agents 使用与代理会话生命周期和云电脑体系结构紧密集成的身份验证模型。
会话生命周期中的身份验证
代理身份验证不是一次性事件。 它融入到每个会话中。 代理任务开始时,将从池获取云电脑并建立经过身份验证的会话:打开安全通道,Microsoft Entra颁发和验证令牌,并针对标识、设备和策略信号评估访问权限。 身份验证绑定到设备,因此只有经过授权的代理才能连接到分配的云电脑。 代理连接后,使用企业单一登录 (SSO) 应用程序和数据,在经过身份验证的代理标识下执行所有操作。 此设置允许代理与企业资源交互,就像人类用户一样,但在受治理的标识下进行交互。 任务完成后,会话结束,云电脑会重置。
基于令牌的会话安全性
代理会话令牌以加密方式绑定到设备,不能跨设备重播会话令牌。 此方法将交互式身份验证替换为强大的服务到服务信任、安全令牌交换和基于策略的访问强制实施。
连续验证
零信任在整个会话中应用。 使用标识和上下文信号验证每个请求,持续评估风险和设备信号,并且可以随着条件的变化动态撤销访问权限。
设计隔离和重置
代理会话的临时性质强化了标识。 每个会话在专用环境中运行。 标识和令牌的范围限定为该设备,云电脑在重复使用之前会重置。 不会保留任何凭据,也没有跨工作负载传递信任。 这种“干净边界”模型可确保每个会话都从已知的安全基线开始,从而最大程度地降低以前活动的风险。