Microsoft-365-Copilot on Eriteach | Microsoft Cloud Techhttps://blog.eriteach.com/tags/microsoft-365-copilot/Recent content in Microsoft-365-Copilot on Eriteach | Microsoft Cloud TechHugo -- 0.155.1no2024-2026 Robel Mehari. All rights reserved.Sat, 20 Jun 2026 23:33:34 +0200Defender for Endpoint viser nå lokale AI-agenter på Windows-enheterhttps://blog.eriteach.com/posts/defender-local-ai-agent-discovery-runtime-protection/Fri, 19 Jun 2026 00:00:00 +0000https://blog.eriteach.com/posts/defender-local-ai-agent-discovery-runtime-protection/Microsoft Defender for Endpoint preview-funksjoner hjelper administratorer med å oppdage lokale AI-agenter og pilotere runtime-beskyttelse.Hva er nytt

Microsoft har lagt til nye preview-funksjoner i juni 2026-oppdateringen av Microsoft Defender XDR for lokale AI-agenter på enheter.

Den første endringen er oppdagelse av lokale AI-agenter. Microsoft Defender kan automatisk oppdage støttede lokale AI-agenter og MCP-servere på onboardede enheter og vise dem i AI-agentoversikten, eksponeringskartet og advanced hunting.

Den andre endringen er runtime-beskyttelse for lokale AI-agenter på støttede Windows-enheter. Microsoft sier Defender kan inspisere agentløkken, inkludert brukerprompter, tool calls og tool responses, og enten auditere eller blokkere risikabel aktivitet før den kjøres.

Dette er fortsatt preview-funksjonalitet. Jeg ville behandlet det som synlighet og pilotmateriale først, ikke som en erstatning for vanlige endepunkt-, data- og identitetskontroller.

Hvorfor administratorer bør bry seg

Lokale AI-verktøy er enkle å innføre stille. Kodingsagenter, IDE-utvidelser, skrivebordsassistenter, lokale runtime-miljøer og MCP-baserte verktøy kan dukke opp på enheter før sikkerhetsteamet har en oversikt.

Det skaper et praktisk styringsgap:

  • Hvilke enheter har lokale AI-agent-verktøy installert?
  • Hvilke verktøy kjører i utvikler- eller admin-tunge grupper?
  • Finnes det MCP-servere eller utvidelser som kan påvirke filer, nettlesere, terminaler eller interne data?
  • Kan sikkerhetsoperasjoner se risikabel agentaktivitet som en del av vanlige Defender-undersøkelser?

For Microsoft 365-administratorer er den nyttige delen ikke AI-merkevaren. Det er skiftet fra å spørre brukere hva de har installert til å sjekke endepunkteviden i Microsoft Defender-portalen.

Hva jeg ville sjekket først

Jeg ville startet med oppdagelse før blokkering.

  1. Bekreft at enhetene er onboardet til Microsoft Defender for Endpoint.
  2. Bekreft at Microsoft Defender Antivirus er aktivt og oppdatert på pilotenhetene.
  3. Åpne Microsoft Defender-portalen og se gjennom AI-agentoversikten for oppdagede lokale agenter.
  4. Sammenlign funn med forventede utvikler-, automatiserings- og testenhetsbruk.
  5. Dokumenter hvilke agenttyper som er akseptable, hvilke som trenger unntaksbehandling, og hvilke som bør fjernes.

Microsofts dokumentasjon påpeker også viktige grenser: oppdagelse er for undersøkelse og synlighet. Det gir ikke i seg selv posture assessment eller varsler for endepunktagenter.

Praktisk utrulling / valideringstrinn

For en første pilot ville jeg holdt scope smalt:

  1. Velg et lite sett Windows-enheter der lokale AI-verktøy er forventet.
  2. Valider at oppdagelse fungerer uten ekstra skript utover vanlige Defender for Endpoint-krav.
  3. Gå gjennom oppdagede agenter i Defender-portalen og kartlegg dem til kjente forretningsområder.
  4. Hvis runtime-beskyttelse testes, bruk en egen pilotring. Microsoft sier runtime-beskyttelse kun er tilgjengelig på enheter som mottar Beta platform- og engine-oppdateringer.
  5. Kjør runtime-beskyttelse i audit-modus først der det er mulig, og gå gjennom Defender-varsler før du vurderer blokkeringsatferd.
  6. Før resultatet tilbake til endepunktstandarder: godkjente verktøy, ikke-støttede verktøy, eier, pilotgruppe og gjennomgangskadence.

Det som endrer seg etter utrulling i et slikt oppsett er enkelt: diskusjonen går fra «vi tror disse verktøyene finnes» til «vi har endepunkteviden og kan bestemme hva vi skal tillate».

Hva du bør passe på

Noen punkter er verdt å være forsiktig med:

  • Dette er preview. Ikke love mer enn funksjonen leverer.
  • Runtime-beskyttelse er smalere enn oppdagelse og har strengere forutsetninger.
  • Oppdagelse kan omfatte støttede Windows- og macOS-enheter, men runtime-beskyttelse er foreløpig beskrevet for støttede Windows-enheter.
  • Suverene og nasjonale skyer støttes ikke for oppdagelse ifølge Microsofts dokumentasjon.
  • Synlighet er ikke det samme som styring. Du trenger fortsatt policy, eierskap, unntakshåndtering og brukerkommunikasjon.

Min praktiske vurdering: dette er verdt å teste nå hvis AI-agenter allerede dukker opp i enhetsmiljøet ditt. Start med oversikt, gå til audit, og vurder først deretter blokkering for spesifikke støttede scenarioer.

Offisielle Microsoft-kilder

]]>