Microsoft har oppdatert skjemaet for advanced hunting i Microsoft Defender XDR for AI-agent-inventar.

Den gamle preview-tabellen, AIAgentsInfo, er i ferd med å bli erstattet av AgentsInfo. Microsoft sier AIAgentsInfo forblir tilgjengelig til 1. juli 2026, og Microsoft Agent 365-kunder bør bruke AgentsInfo nå.

Dette er fortsatt merket som preview, så jeg ville behandlet det som et operativt signal, ikke som den eneste sannhetskilden for AI-styring.

Hvorfor administratorer bør bry seg

Dette er en liten skjemaendring med reell operativ påvirkning.

Hvis du allerede har bygget Defender XDR advanced hunting-spørringer, lagrede spørringer, arbeidsbøker, Sentinel-innhold eller eksportjobber rundt AIAgentsInfo, må disse spørringene gjennomgås før julifristen.

Den mer interessante delen er datamodellen. AgentsInfo er ikke bare et navneskifte. Tabellen gir administratorer et sted å inspisere AI-agentmetadata som:

• agentnavn og plattform
• Microsoft Entra agentidentitetsreferanser
• tillatelser og samtykkestatus
• distribusjonsomfang
• eiere og deling
• erklærte datakilder og verktøy
• MCP-servere og ekstern endepunktinformasjon
• guardrails, triggere, ferdigheter og tilkoblede agenter

For Microsoft 365-administratorer gjør dette tabellen til et nyttig utgangspunkt for AI-agentoversikt og risikogjennomgang. Den erstatter ikke policy-design, eierskapsgjennomgang eller datatilgangsstyring, men den gir en praktisk jaktflate.

Hva jeg ville sjekket først

Jeg ville startet med å finne alt som fortsatt refererer til det gamle tabellnavnet.

I Microsoft Defender-portalen > Hunting > Advanced hunting, sjekk lagrede spørringer og custom detection-logikk for AIAgentsInfo.

En minimal valideringsspørring for den nye tabellen er:

AgentsInfo
| take 10

Deretter ville jeg kjørt en liten inventarvisning:

AgentsInfo
| project Timestamp, AgentName, Platform, LifecycleStatus, PublishedStatus, DeploymentScope, Owners
| order by Timestamp desc

For styringsgjennomgang ville jeg også sett på tillatelser og eksterne tilkoblingssignaler:

AgentsInfo
| project AgentName, Platform, Permissions, DeclaredDataSources, DeclaredTools, McpServers, Endpoints
| order by AgentName asc

Den eksakte verdien er tenant-avhengig. I noen miljøer kan det første nyttige resultatet være å bekrefte at tabellen finnes og om noen agentinventar er synlig.

Praktisk utrulling / valideringstrinn

Min foretrukne utrulling er enkel:

1. Søk etter lagrede spørringer, Sentinel-innhold og dokumentasjon for AIAgentsInfo.
2. Kopier én spørring og erstatt tabellen med AgentsInfo.
3. Valider at de refererte kolonnene fortsatt finnes i Microsoft Learn-tabellskjemaet.
4. Behold den gamle spørringen kun som midlertidig fallback under overgangen.
5. Oppdater eventuelle dashbord- eller eksportetiketter slik at eieren vet at dataene kommer fra preview-tabellen AgentsInfo.
6. Legg til en påminnelse før 1. juli 2026 om å fjerne den gamle tabellreferansen.

Dette er også et godt tidspunkt å bestemme hvem som eier agentgjennomgang. AI-agentinventar krysser vanlige grenser mellom sikkerhet, identitet, produktivitet og datastyring.

Hva du bør passe på

Noen ting jeg ikke vil overdrive:

• AgentsInfo er merket som preview.
• Inventarsynlighet er ikke det samme som runtime-kontroll.
• Et rent spørringsresultat beviser ikke at all AI-relatert risiko er styrt.
• Tillatelser og datakilder bør gjennomgås sammen med Entra ID, Microsoft 365 admin center og Purview-kontroller der det er relevant.

Den praktiske gevinsten er å redusere blindsoner. Hvis AI-agenter blir en del av Microsoft 365-miljøet, bør ikke spørringer og rapportering brytes på grunn av et gammelt preview-tabellnavn.

Offisielle Microsoft-kilder

• Hva er nytt i Microsoft Defender XDR
• AgentsInfo-tabell i advanced hunting