Lokal AI-agent-forsvar: Hva Intune og Defender XDR endret i juni 2026

Hva er nytt

Microsoft la til flere public preview-funksjoner som gjør lokale AI-agenter på Windows-enheter mer synlige og håndterbare.

I Microsoft Defender XDR lister «hva er nytt»-siden for juni 2026 opp oppdagelse av lokale AI-agenter for onboardede Windows-enheter. Microsoft sier støttede kodingsagenter, IDE-utvidelser, skrivebordsassistenter, lokale runtime-miljøer og agentplattformer kan vises i AI-agentoversikten, eksponeringskartet og advanced hunting.

Samme Defender XDR-oppdatering lister også preview runtime-beskyttelse for støttede lokale AI-agenter på Windows-enheter. Microsoft beskriver dette som inspeksjon av agentløkken, inkludert brukerprompter, tool calls og tool responses, med mulighet til å auditere eller blokkere risikabel aktivitet før den kjøres.

I Microsoft Intune legger juni 2026-tjenesteoppdateringen til en public preview-sti for å oppdage og blokkere Shadow AI på Windows. Microsoft beskriver tre deler: en properties catalog-policy for å samle Local AI Agent-entiteten, Device Query for å se enheter med lokal AI-agent, og Local AI Agent Baseline - OpenClaw (Preview) for å blokkere OpenClaw.

Microsoft nevner også at Defender XDR advanced hunting-tabellen AgentsInfo nå er i preview, og at AIAgentsInfo forblir tilgjengelig til 1. juli 2026 mens kunder oppdaterer spørringer.

Hvorfor administratorer bør bry seg

Dette er ikke bare nok en inventarfunksjon. Lokale AI-agenter begynner å oppføre seg som operativt verktøy på enheter. De kan lese filer, kalle verktøy, generere kode, samhandle med nettlesere og kjøre i utvikler- eller produktivitetsarbeidsflyter.

For Microsoft 365-administratorer endrer dette utrullingssamtalen fra «tillater vi AI-verktøy?» til et mer praktisk spørsmål: «hvilke AI-agenter finnes, hvor kjører de, og hvilke kontroller har vi hvis én blir risikabel?»

Det nyttige er kombinasjonen:

• Defender XDR gir sikkerhetssynlighet, jakt, eksponering og runtime-beskyttelsessignaler.
• Microsoft Intune gir endepunktadministrasjonskontroller, Device Query og en preview-baseline for blokkering av en støttet lokal agent.
• Advanced hunting gir team en måte å bygge repeterbar evidens på i stedet for skjermbilder eller engangssjekker.

For meg er dette typen endring jeg ville behandlet som et tidlig styringssignal, ikke som en grunn til å blokkere alt umiddelbart.

Hva jeg ville sjekket først

Jeg ville startet med synlighet før håndheving.

1. I Microsoft Defender-portalen, sjekk om AI-agentoversikt og eksponeringsvisning er tilgjengelig i tenant.
2. I Microsoft Defender XDR > Advanced hunting, gå gjennom eksisterende spørringer som bruker AIAgentsInfo og planlegg å flytte dem til AgentsInfo før 1. juli 2026.
3. I Intune admin center > Devices > Device query, sjekk om Local AI Agent-data er tilgjengelig for Windows-enheter.
4. I Intune admin center > Devices > Configuration, se på properties catalog-alternativet for å samle Local AI Agent-entiteten.
5. Hvis OpenClaw er relevant, se gjennom preview- Local AI Agent Baseline - OpenClaw før du tildeler den.

Jeg ville ikke starte med å blokkere preview-kontroller bredt på tvers av alle brukere. Et bedre første skritt er en liten pilotgruppe, dokumenterte unntak og tydelig validering i Defender XDR og Intune.

Praktisk utrulling / valideringstrinn

En trygg utrulling kan se slik ut:

1. Inventar først
   Bekreft hvilke støttede lokale AI-agenter som oppdages og hvor signalet vises: inventar, eksponeringskart, advanced hunting eller Intune Device Query.

2. Oppdater jaktinnhold
   Flytt tidlig AI-agent-jaktlogikk fra AIAgentsInfo til AgentsInfo. Behold den gamle spørringen kun som midlertidig kompatibilitetssjekk frem til Microsofts pensjoneringsdato.

3. Pilotér Intune-innsamling
   Bruk en liten Windows-pilotgruppe for properties catalog-policyen. Valider at den innsamlede Local AI Agent-entiteten vises der forventet.

4. Bestem policy-posisjon
   Skill oppdagelse, audit og blokkeringsbeslutninger. Noen miljøer trenger kanskje bare synlighet først. Andre trenger blokkering for spesifikke ikke-støttede agenter.

5. Valider brukerpåvirkning
   Hvis OpenClaw-baseline testes, valider at blokkeringen er synlig for supportpersonale og at unntak kan håndteres uten å skape ustyrte omgåelser.

Hva du bør passe på

Disse funksjonene er i public preview, så jeg ville unngått å behandle dem som en komplett AI-styringsplattform.

Noen praktiske forholdsregler:

• Støttet agentdekning inkluderer kanskje ikke alle lokale AI-verktøy brukere installerer.
• Runtime-beskyttelse er beskrevet for støttede lokale AI-agenter, ikke alle mulige AI-arbeidsflyter.
• Blokkering av én agent løser ikke nettleserbasert AI-bruk, SaaS-koblinger, ustyrte utvidelser eller datahåndteringspolicy alene.
• Hvis du allerede har laget spørringer mot AIAgentsInfo, trenger overgangen til AgentsInfo innen 1. juli 2026 opprydding.
• Intune-blokkering bør ha en pilot, en unntakssti og en forklaring klar for brukerstøtte.

Det som endret seg etter å ha lest disse oppdateringene er at jeg nå ville plassert lokale AI-agenter i samme styringsbacklog som nettleserutvidelser, utviklerverktøy og SaaS-app-oppdagelse. Ikke panikk, men synlig eierskap.

Offisielle Microsoft-kilder

• Hva er nytt i Microsoft Intune - Uken 8. juni 2026
• Hva er nytt i Microsoft Defender XDR - juni 2026