Change Notes on Eriteach | Microsoft Cloud Techhttps://blog.eriteach.com/categories/change-notes/Recent content in Change Notes on Eriteach | Microsoft Cloud TechHugo -- 0.155.1no2024-2026 Robel Mehari. All rights reserved.Sat, 20 Jun 2026 23:33:34 +0200Lokal AI-agent-forsvar: Hva Intune og Defender XDR endret i juni 2026https://blog.eriteach.com/posts/local-ai-agent-defense-intune-defender/Sat, 20 Jun 2026 00:00:00 +0000https://blog.eriteach.com/posts/local-ai-agent-defense-intune-defender/Microsoft la til preview-funksjoner for oppdagelse og blokkering av lokale AI-agenter i Defender XDR og Intune. Her er hva administratorer bør sjekke først.Hva er nytt

Microsoft la til flere public preview-funksjoner som gjør lokale AI-agenter på Windows-enheter mer synlige og håndterbare.

I Microsoft Defender XDR lister «hva er nytt»-siden for juni 2026 opp oppdagelse av lokale AI-agenter for onboardede Windows-enheter. Microsoft sier støttede kodingsagenter, IDE-utvidelser, skrivebordsassistenter, lokale runtime-miljøer og agentplattformer kan vises i AI-agentoversikten, eksponeringskartet og advanced hunting.

Samme Defender XDR-oppdatering lister også preview runtime-beskyttelse for støttede lokale AI-agenter på Windows-enheter. Microsoft beskriver dette som inspeksjon av agentløkken, inkludert brukerprompter, tool calls og tool responses, med mulighet til å auditere eller blokkere risikabel aktivitet før den kjøres.

I Microsoft Intune legger juni 2026-tjenesteoppdateringen til en public preview-sti for å oppdage og blokkere Shadow AI på Windows. Microsoft beskriver tre deler: en properties catalog-policy for å samle Local AI Agent-entiteten, Device Query for å se enheter med lokal AI-agent, og Local AI Agent Baseline - OpenClaw (Preview) for å blokkere OpenClaw.

Microsoft nevner også at Defender XDR advanced hunting-tabellen AgentsInfo nå er i preview, og at AIAgentsInfo forblir tilgjengelig til 1. juli 2026 mens kunder oppdaterer spørringer.

Hvorfor administratorer bør bry seg

Dette er ikke bare nok en inventarfunksjon. Lokale AI-agenter begynner å oppføre seg som operativt verktøy på enheter. De kan lese filer, kalle verktøy, generere kode, samhandle med nettlesere og kjøre i utvikler- eller produktivitetsarbeidsflyter.

For Microsoft 365-administratorer endrer dette utrullingssamtalen fra «tillater vi AI-verktøy?» til et mer praktisk spørsmål: «hvilke AI-agenter finnes, hvor kjører de, og hvilke kontroller har vi hvis én blir risikabel?»

Det nyttige er kombinasjonen:

  • Defender XDR gir sikkerhetssynlighet, jakt, eksponering og runtime-beskyttelsessignaler.
  • Microsoft Intune gir endepunktadministrasjonskontroller, Device Query og en preview-baseline for blokkering av en støttet lokal agent.
  • Advanced hunting gir team en måte å bygge repeterbar evidens på i stedet for skjermbilder eller engangssjekker.

For meg er dette typen endring jeg ville behandlet som et tidlig styringssignal, ikke som en grunn til å blokkere alt umiddelbart.

Hva jeg ville sjekket først

Jeg ville startet med synlighet før håndheving.

  1. I Microsoft Defender-portalen, sjekk om AI-agentoversikt og eksponeringsvisning er tilgjengelig i tenant.
  2. I Microsoft Defender XDR > Advanced hunting, gå gjennom eksisterende spørringer som bruker AIAgentsInfo og planlegg å flytte dem til AgentsInfo før 1. juli 2026.
  3. I Intune admin center > Devices > Device query, sjekk om Local AI Agent-data er tilgjengelig for Windows-enheter.
  4. I Intune admin center > Devices > Configuration, se på properties catalog-alternativet for å samle Local AI Agent-entiteten.
  5. Hvis OpenClaw er relevant, se gjennom preview- Local AI Agent Baseline - OpenClaw før du tildeler den.

Jeg ville ikke starte med å blokkere preview-kontroller bredt på tvers av alle brukere. Et bedre første skritt er en liten pilotgruppe, dokumenterte unntak og tydelig validering i Defender XDR og Intune.

Praktisk utrulling / valideringstrinn

En trygg utrulling kan se slik ut:

  1. Inventar først
    Bekreft hvilke støttede lokale AI-agenter som oppdages og hvor signalet vises: inventar, eksponeringskart, advanced hunting eller Intune Device Query.

  2. Oppdater jaktinnhold
    Flytt tidlig AI-agent-jaktlogikk fra AIAgentsInfo til AgentsInfo. Behold den gamle spørringen kun som midlertidig kompatibilitetssjekk frem til Microsofts pensjoneringsdato.

  3. Pilotér Intune-innsamling
    Bruk en liten Windows-pilotgruppe for properties catalog-policyen. Valider at den innsamlede Local AI Agent-entiteten vises der forventet.

  4. Bestem policy-posisjon
    Skill oppdagelse, audit og blokkeringsbeslutninger. Noen miljøer trenger kanskje bare synlighet først. Andre trenger blokkering for spesifikke ikke-støttede agenter.

  5. Valider brukerpåvirkning
    Hvis OpenClaw-baseline testes, valider at blokkeringen er synlig for supportpersonale og at unntak kan håndteres uten å skape ustyrte omgåelser.

Hva du bør passe på

Disse funksjonene er i public preview, så jeg ville unngått å behandle dem som en komplett AI-styringsplattform.

Noen praktiske forholdsregler:

  • Støttet agentdekning inkluderer kanskje ikke alle lokale AI-verktøy brukere installerer.
  • Runtime-beskyttelse er beskrevet for støttede lokale AI-agenter, ikke alle mulige AI-arbeidsflyter.
  • Blokkering av én agent løser ikke nettleserbasert AI-bruk, SaaS-koblinger, ustyrte utvidelser eller datahåndteringspolicy alene.
  • Hvis du allerede har laget spørringer mot AIAgentsInfo, trenger overgangen til AgentsInfo innen 1. juli 2026 opprydding.
  • Intune-blokkering bør ha en pilot, en unntakssti og en forklaring klar for brukerstøtte.

Det som endret seg etter å ha lest disse oppdateringene er at jeg nå ville plassert lokale AI-agenter i samme styringsbacklog som nettleserutvidelser, utviklerverktøy og SaaS-app-oppdagelse. Ikke panikk, men synlig eierskap.

Offisielle Microsoft-kilder

]]>