Компания Microsoft вывела Agent 365 из стадии превью в общий доступ 1 мая 2026 года. Платформа позиционируется как единая панель управления для наблюдения, регулирования и защиты AI-агентов в корпоративной среде.

Цена вопроса: $15 за пользователя в месяц или в составе пакета Microsoft 365 E7. Один лицензированный пользователь может управлять, спонсировать или использовать агентов для работы от своего имени. Microsoft сознательно отказалась от модели оплаты "за агента" — в компании понимают, что количество агентов в типичном предприятии постоянно меняется и отслеживать каждый было бы непрактично.

Теневой ИИ как новая угроза

Главный посыл релиза не столько в технических возможностях, сколько в предупреждении: AI-агенты уже распространились по предприятиям быстрее, чем инфраструктура управления ими. Дэвид Уэстон, вице-президент Microsoft по AI-безопасности, описывает три основных сценария инцидентов, которые компания наблюдает у клиентов.

Первый — подключение агентов к бэкенд-системам через MCP-серверы без аутентификации и выход в интернет. Результат: утечка персональных данных. Второй — атаки через внедрение вредоносных промптов в источники данных, которые агенты используют: тикеты, вики, сайты. Третий — подключение агентов к системам защиты от утечек, которые не понимают паттерны агентного доступа, что приводит к раскрытию конфиденциальных данных поставщикам.

"Большинство предприятий пытаются найти баланс между YOLO-подходом — пусть всё работает — и паникой, когда блокируется всё", — описал ситуацию Уэстон в интервью VentureBeat.

Agent 365 обнаруживает и управляет локальными агентами на устройствах сотрудников — инструментами, которые разработчики и специалисты устанавливают сами, без уведомления IT-отдела. Ключевой момент: Microsoft называет это "теневым ИИ" и считает новой категорией корпоративных рисков. Сейчас платформа умеет выявлять агенты OpenClaw на управляемых устройствах Windows через Microsoft Defender и Intune. К июню 2026 года список расширят до 18 типов, включая GitHub Copilot CLI и Claude Code.

Microsoft Defender с июня 2026 года начнёт строить "карту поражения" для каждого обнаруженного агента — граф связей, показывающий, на каких устройствах работает агент, к каким MCP-серверам подключается, какие идентификаторы использует и к каким облачным ресурсам получает доступ. Это позволит оценить потенциальный ущерб в случае компрометации агента.

В конкурентном ходе Microsoft открыла управление агентами на AWS Bedrock и Google Cloud (платформа Gemini Enterprise Agent, ранее Vertex AI). Администраторы могут инвентаризировать агентов на чужих платформах и выполнять базовые действия: запуск, остановка, удаление. Также Agent 365 расширяет сетевые функции Microsoft Entra на трафик агентов из Copilot Studio и локальных агентов — вплоть до блокировки вредоносных промпт-атак на сетевом уровне.

Для организаций, которые хотят использовать автономных агентов, но опасаются запускать их на рабочих машинах, Microsoft предлагает Windows 365 for Agents — виртуальные Cloud PC, заточенные под агентные нагрузки. Они управляются через Intune и получают те же политики безопасности, что и обычные сотрудники. Публичный предпоказ пока ограничен США.

Экосистема партнёров включает Accenture, KPMG, Capgemini, Protiviti, Slalom и около двух десятков других компаний. Среди партнёров по софту — Adobe, SAP, Manus, Nvidia, Celonis, Genspark, Zendesk. Интеграция с SaaS-агентами партнёров начинается с назначения идентификатора через Entra, что уже даёт возможность видеть, какие права запрашивает приложение, и ограничивать их.

Уэстон описал трёхступенчатую модель внедрения: инвентаризация (краулинг), назначение идентификаторов и управление доступом (уокинг), изоляция и углублённый контроль (раннинг). По его словам, разумный срок для прохождения всех этапов — 90 дней. При этом он признал, что у него самого "за чатом команды работают 18 агентов". Если даже глава AI-безопасности Microsoft полагается на армию автономных агентов, вопрос для остальных предприятий больше не в том, нужно ли регулировать агентный персонал — а успеют ли они это сделать до того, как персонал отрегулирует себя сам.