Du litar förmodligen på den agent du byggt i Copilot Studio. Du vet vad den ska göra, du satte upp den själv, och den verkar fungera som tänkt. Men är du säker på vad den faktiskt har tillgång till idag? Vad den gjort den senaste veckan? Och vad som händer om den råkar läsa ett skadligt dokument som försöker styra om den?
När vi börjar fundera på om och hur Zero Trust kan appliceras på agenter så upptäcker vi att det fungerar bra och är minst lika relevant som att applicera det på användare.
(Det här inlägget är tänkt som en fördjupning till poddinslaget om Microsoft Agent 365. Lyssna gärna på det först om du vill ha bakgrunden)
Tre principer du redan känner till
Zero Trust bygger på tre grundprinciper: Verifiera alltid, använd minsta möjliga behörighet, och räkna med att det går fel. De flesta som jobbar med M365 och identitetshantering har stött på dem i samband med Entra ID, Conditional Access och enhetshantering.
Det som är intressant är att samma principer gäller agenter och kanske är det nästan ännu mer relevant.
Varför agenter är svårare än användare
Omdöme. Goda intentioner. Det är mänskliga egenskaper. En del människor har mer av det, andra mindre. Men AI har inget av det. När allt kommer omkring så är en AI begränsad till probabilistiska beslut, där det mest sannolika bästa svaret väljs. Allt baserat på mönster och exempel i träningsdata. En AI känner inte skuld eller ånger, den kan bara generera nästa svar.
En människa kan stoppas mitt i ett flöde. Tillfrågas. Ifrågasättas och ifrågasätta sig själv. En agent agerar autonomt, snabbt och utan paus. Det här gör att tre utmaningar som är hanterbara för användare blir mer kritiska när det är en agent det handlar om.
Identitet. Vem agerar egentligen? En agent kan agera på eget bevåg, på uppdrag av en användare, eller som en del av en kedja av agenter som skickar instruktioner till varandra. Utan en tydlig identitet per agent, med spårbarhet i varje steg, så är det nästan omöjligt att veta vad som hänt om något går fel.
Behörighet. Agenter tenderar att ärva för breda rättigheter, ofta samma åtkomst som den användare som skapade dem. Det kan verka praktiskt, men det bryter mot principen om minsta möjliga behörighet. En agent som hjälper till att sammanfatta möten behöver inte tillgång till hela SharePoint-miljön.
Prompt injection. Det mest underskattade hotet. En agent som läser ett dokument, en webbsida eller ett mejl kan manipuleras av skadliga instruktioner gömda i innehållet. Instruktioner som förmår agenten att agera mot sin ägares intressen utan att någon märker det. Det är ett hot som inte finns i traditionell IT-säkerhet, och det kräver ett nytt sätt att tänka.
Vad Agent 365 löser — och vad det inte löser
Agent 365 är tänkt som ett styrplan. Det ger identitet, synlighet, åtkomstkontroll och loggning. Det är därmed governance-lagret i Zero Trust, och det är viktigt. Men det täcker inte hela bilden.
| Lager | Vad det kräver | Täcks av Agent 365? |
|---|---|---|
| Identitet & styrning | Agent ID, Entra, Conditional Access | ✅ Ja |
| Åtkomstkontroll & livscykel | Entra ID Governance, sponsors, ägare | ✅ Ja |
| Loggning & observabilitet | Purview, Defender | ✅ Ja (via integration) |
| Körningsskydd mot prompt injection | Foundry Guardrails, Content Filters | ⚠️ Kräver separat konfiguration |
| Design & arkitektur | Dina egna beslut | 🧠 Ingen produkt löser detta |
Det sista raden är den viktigaste. Du kan inte köpa dig till fullständig Zero Trust för agenter. En stor del av svaret handlar om hur du designar dem från början. Hur smalt du sätter scopet, vem som äger dem, och när du vill kräva ett mänskligt godkännande innan agenten tillåts agera.
Tre frågor att ställa innan agenten byggs
Oavsett vilket verktyg du använder, Copilot Studio, Azure AI Foundry eller något annat, så är det tre frågor som bör besvaras innan en agent driftsätts:
Vem äger den här agenten, och vem ansvarar när något går fel? En agent utan en namngiven ägare är en agent ingen tar ansvar för. I Agent 365 kallas ägaren ”sponsor”, en person som är ansvarig för agentens livscykel och behörigheter.
Vad är det minsta agenten behöver ha tillgång till för att göra sitt jobb? Utgå från noll, ingen åtkomst till nånting, och aktivera sedan bara det som krävs. Inte ”ge den tillgång till allt och begränsa efteråt”. Det är exakt det tänket Zero Trust skall motverka.
Vad händer om agenten manipuleras? Kan vi se det, och kan vi stoppa det? Det förutsätter att loggning är på plats, att någon faktiskt läser loggarna, och att det finns en plan för incident response som inkluderar agenter.
Även agenter behöver förtjäna ett förtroende
Zero Trust handlar inte om att misstro tekniken. Det handlar om att inte anta att den gör rätt bara för att den verkar fungera. Det är en sund grundinställning oavsett om det är en människa eller en agent som ber om tillgång till dina data.
Med Agent 365 och de verktyg som finns i M365-ekosystemet har vi nu, för första gången, verktygen för att faktiskt kunna börja tillämpa Zero Trust på ett systematiskt sätt.
Mats Warnolf AB 
Lämna en kommentar