AI in alle hoeken van het IT-landschap

Agent 365 – Controle over al je AI-agents

Eén van de grootste aankondigingen op Ignite was Agent 365, een nieuw beheersplatform voor AI-agents. Maar wat zijn die “AI-agents” precies? Denk aan kleine slimme hulpjes (AI-tools) die automatisch taken voor je kunnen uitvoeren in Microsoft 365, Azure of Windows. Bijvoorbeeld een agent die e-mails categoriseert, een rapport opstelt of beveiligingsincidenten onderzoekt. Klinkt handig, maar in een organisatie wil je controle houden over wat deze agents doen en welke data ze zien.

Agent 365 is daarom opgezet als een “controlepaneel” voor al die AI-agents in je bedrijf. Microsoft geeft elke AI-agent een eigen Entra ID (vergelijkbaar met hoe elke gebruiker een account heeft). Hierdoor kun je als IT-beheerder precies bijhouden welke agents er actief zijn, wat ze doen en waar ze toegang toe hebben. In de Microsoft 365-beheerconsole krijg je een centraal overzicht van alle AI-agents binnen de organisatie – ongeacht of ze gebouwd zijn via Copilot Studio, Azure AI of elders.

Zonder centraal beheer zouden werknemers of ontwikkelaars lukraak AI-agents kunnen inschakelen, met potentieel onbeheerde toegang tot bedrijfsdata. Agent 365 laat je daarom:

• Zichtbaarheid: Alle actieve agents en hun activiteiten in één dashboard zien. Geen verborgen “schaduw-AI” meer, zelfs agents van derden of open-source zijn opgenomen in het overzicht.
• Identiteit & toegang beheren: Omdat elke agent een Entra ID-identiteit heeft, kun je er policies op toepassen net als bij gebruikers. Bijvoorbeeld rechtensjablonen instellen zodat een agent alleen bij de strikt noodzakelijke data kan (least privilege).
• Inzicht en compliance: Agent 365 logt handelingen van agents voor audits en compliance. Je kunt rapportages draaien en zelfs de ROI van een agent meten.

WorkIQ – AI die je werk(plek) slimmer maakt

Naast de tools voor de IT-afdeling, was er op Ignite ook nieuws voor de eindgebruikers zelf. WorkIQ is een nieuw concept binnen Microsoft 365 Copilot dat jouw werkdag productiever en eenvoudiger moet maken. Maar wat is WorkIQ precies?
WorkIQ kun je zien als de “intelligentie” achter de schermen van Copilot en je Microsoft 365-apps. Het systeem analyseert twee dingen:

1. Je organisatiegegevens (bijvoorbeeld agenda’s, documenten, workflows)
2. Een soort “geheugen” van hoe jij AI-tools gebruikt en welke voorkeuren je hebt.

Door die twee te combineren, probeert WorkIQ proactief te begrijpen wat je nodig hebt tijdens je werk. In de praktijk betekent dit dat de AI bijvoorbeeld kan voorspellen welke stap logisch volgt in je huidige taak, of welk hulpmiddel (agent) het best past bij wat je probeert te doen.

Security Copilot nu inbegrepen in E5 (met 400 SCU per 1000 licenties)

Op Ignite kondigde Microsoft aan dat Security Copilot voor alle klanten met een Microsoft 365 E5 abonnement zonder meerkost beschikbaar komt binnen hun vertrouwde beveiligingstools. Dit is groot nieuws, want voorheen was Security Copilot een apart (betaald) product. Nu wordt het simpelweg een voordeel van E5.

Wat betekent “400 SCU per 1000 licenties”?

Bij deze aankondiging viel een specifiek cijfer: “400 SCU’s inbegrepen per 1000 licenties, tot 10.000 SCU’s per maand”. Dit heeft wat uitleg nodig:

• SCU staat voor Security Compute Unit. Je kunt dit zien als een meeteenheid van hoeveel AI-verwerkingskracht of -capaciteit je gebruikt in Security Copilot. Elke keer dat je Copilot een taak laat doen (een prompt, analyse, agent-actie, enz.), “kost” dat een bepaald aantal SCU’s, afhankelijk van hoe zwaar die taak is.
• 400 SCU per 1000 gebruikers komt neer op 0,4 SCU per gebruiker. Heb je minder dan 1000 E5-gebruikers, krijg je pro rata ook SCU’s. Bijvoorbeeld, een KMO met 100 E5-licenties zou 40 SCU per maand krijgen inbegrepen. Met 250 licenties krijg je 100 SCU/maand, enzovoort (het schaalt lineair mee).
• Dit tegoed is maandelijks en reset elke maand (niet opgespaard als je het niet opmaakt).

Nu, wat kun je met die SCU’s doen? Microsoft geeft aan dat 400 SCU per 1000 users voldoende is voor “typische scenario’s”. Een concreet voorbeeld: een organisatie met 4000 E5-gebruikers krijgt 1600 SCU per maand inbegrepen. Daarmee kunnen de beveiligingsteams die maand bijvoorbeeld tientallen AI-analyses draaien, alerts laten samenvatten, rapporten genereren, etc., zonder bijkomende kosten. Zouden ze die 1600 SCU overschrijden, dan wordt de Copilot output tijdelijk begrensd of moet je extra capaciteit bijkopen. Maar opnieuw, de inschatting is dat voor een normale workload de inclusieve SCU ruim voldoende is.

De waarde hiervan is aanzienlijk. Voorheen moest je als klant Security Copilot-capaciteit inkopen (tegen $4 per SCU per uur geprovisioneerd) – dat kon in de tienduizenden dollars per jaar lopen voor een grotere organisatie. Nu krijg je dat als bonus bij E5. Voor KMO’s met E5 is het vooral fijn dat je zonder extra factuur kunt experimenteren en profiteren van de AI-functies in Security Copilot.

Een dozijn nieuwe Security Agents

In het verlengde van Security Copilot heeft Microsoft op Ignite 12 gloednieuwe AI “agents” aangekondigd die geïntegreerd zijn in de beveiligingssuite (Defender, Entra, Intune, Purview). Deze agents zijn ontworpen om gerichte taken van security- en IT-teams over te nemen of te vereenvoudigen. We bespreken hier de vier opvallendste agents in detail.

Vier belangrijkste nieuwe agents uitgelicht:

• Dynamic Threat Detection Agent: In plaats van statische regels of losse signalen, gebruikt deze agent continu AI-analyse om patronen in securityincidenten te ontdekken. Hij kijkt over alle beveiligingstools heen (inclusief gekoppelde derde partijen via Sentinel) om gaten in je dekking op te sporen en nieuwe dreigingen op te snorren. Waar een traditioneel systeem misschien alleen alarm slaat op vooraf ingestelde voorwaarden, zoekt deze agent proactief naar verdachte verbanden die anders onopgemerkt blijven. Dit betekent dat ook data van bijvoorbeeld je AWS-cloud of externe logbronnen meegenomen worden in de dreigingsanalyse. Voor jouw organisatie kan dit agentje fungeren als een 24/7 speurneus die telkens bijleert en zo vroegtijdig mogelijke aanvallen detecteert.
• Threat Hunting Agent: Deze agent herdefinieert het proces van threat hunting (actief zoeken naar tekenen van een inbraak of malware die nog niet als alarm verschenen zijn). Normaal vergt threat hunting veel menselijke expertise: analysts moeten complexe query’s schrijven en enorme hoeveelheden logdata doorspitten. De Threat Hunting Agent neemt die drempel weg door natuurlijke taal te ondersteunen. Een analist kan straks bij wijze van spreken typen: “Zoek in de logs naar verdachte PowerShell-activiteit in de laatste 48 uur” en de agent voert de deep-dive uit. Daarbij voegt hij contextuele inzichten toe, bijvoorbeeld correlaties tussen een pc met rare PowerShell-scripts en een bekend malware-patroon. Dit maakt geavanceerde threat hunting toegankelijker voor kleinere teams of minder ervaren beheerders, omdat de AI het zware werk doet en de resultaten op een presenteerblaadje aanreikt.
• Identity Risk (Management) Agent: Deze agent focust op je gebruikers en hun toegangsveiligheid. In plaats van de standaard statische meldingen (“Gebruiker X is verdacht”), monitort hij real-time risico’s per identiteit. Hij detecteert bijvoorbeeld als een gebruiker ineens vanuit twee landen tegelijk probeert in te loggen (impossible travel), of wanneer er een ongebruikelijke poging is om gevoelige data te benaderen. Vervolgens begeleidt de agent de response, hij kan suggesties geven: “Log-in van gebruiker Y is zeer verdacht. Actie: wachtwoord reset of account blokkeren?”, die de beheerder met één klik kan uitvoeren. Bovendien heeft deze agent een soort geheugen: als jij keer op keer bepaalde alerts als vals alarm markeert, zal hij dat leren en minder vaak paniek slaan in die gevallen. Het resultaat is dat je identiteitsbeheer proactiever en toch rustiger wordt.
• Change Review Agent: Wanneer je als IT-admin wijzigingen doet in je Intune endpoint management (bijvoorbeeld een nieuwe configuratie of policy uitrollen), komt er altijd wat onzekerheid bij: Wat gaat dit stuk policy precies teweegbrengen op alle apparaten? De Change Review Agent neemt die onzekerheid weg. Als jij een aanpassing maakt, analyseert de agent de wijziging in context: “Wat verandert er ten opzichte van bestaande instellingen? Welke apparaten of gebruikers worden geraakt? Zijn er potentiële conflicten met andere policies?”. Hij checkt zelfs op compliance-risico’s: stel dat je een beveiligingsinstelling versoepelt, dan waarschuwt de agent dat dit mogelijk niet strookt met je beleid of dat het risico’s introduceert. Je krijgt als het ware een impactanalyse in mensentaal, nog vóór je op “Deploy” klikt. Dit voorkomt veel trial-and-error, en het systeem wordt er veiliger van omdat foutieve configuraties tijdig worden tegengehouden.

Passkey-profiles en gesynchroniseerde passkeys

Het laatste onderwerp van vandaag is iets waar iedere eindgebruiker direct mee te maken kan krijgen: Passkeys. Microsoft Entra (vroeger Azure AD) heeft op Ignite enkele belangrijke verbeteringen aangekondigd rondom passkey profiles en synced passkeys (gesynchroniseerde passkeys). Dit is weer een stap vooruit in de beweging naar een wachtwoordloze wereld.

Even opfrissen: wat is een passkey?

Een passkey is een wachtwoordloos aanmeldmiddel gebaseerd op publieke-sleutelcryptografie (FIDO2-standaard). In mensentaal: in plaats van een wachtwoord typ je niets in, maar gebruik je een device of biometrie om in te loggen. Denk aan hoe je op je smartphone met je vingerafdruk of gezicht een account opent zonder dat je een wachtwoord invult. Dat is het principe van passkeys. De veiligheid zit erin dat er geen statisch wachtwoord is dat kan uitlekken; de “sleutel” blijft op je toestel en wat naar de server gaat is niet te kraken (een publieke sleutel).

Microsoft Entra ondersteunde al passkeys via bijvoorbeeld de Microsoft Authenticator app: dit waren devicegebonden passkeys. Dat wil zeggen, de sleutel leeft op één apparaat (bv jouw telefoon) en is niet kopieerbaar. Super veilig, want zelfs als iemand jouw backup zou hebben, werkt de sleutel alleen met dat specifieke apparaat + jouw biometrie.

Wat is er nu nieuw?

1. Passkey-profielen: je kan nu verschillende beleidstoestanden voor passkeys definiëren per gebruikersgroep. Voorheen was passkey gebruik in Entra vrij globaal: of het stond voor iedereen aan of uit. Nu kun je bv instellen dat medewerkers een bepaald type passkey moeten gebruiken, terwijl partners of tijdelijke contractors een ander beleid krijgen. Ook kun je meerdere passkey-aanmeldmethodes naast elkaar laten bestaan onder verschillende “profielen”. Dit geeft organisaties flexibiliteit: je kan strengere eisen stellen voor hoog risico accounts (bv. alleen devicegebonden passkeys) en mildere voor laag risico (bv. gesynchroniseerde passkeys toegestaan, zie punt 2). Kortom, granulariteit is toegenomen.
2. Synced passkey support: Dit is een grote. Microsoft geeft nu de optie om gesynchroniseerde passkeys toe te staan die bewaard worden in de cloud van derde partijen, zoals Apple iCloud Keychain, Google Password Manager of een app als 1Password. Wat houdt dat in? Dat een gebruiker bijvoorbeeld op hun iPhone een passkey aanmaakt voor hun bedrijfsaccount en die passkey via iCloud beschikbaar komt op al hun Apple apparaten. Of een Android-gebruiker die via de Google-synchronisatie hun passkey op meerdere devices kan gebruiken.

Tot nu toe duldde Microsoft enkel de meest veilige variant (de devicegebonden, die niet synchroniseert buiten Authenticator). Nu zeggen ze: we begrijpen dat gebruikers gemak willen – als ze een nieuwe laptop of telefoon pakken, willen ze niet weer een nieuw aanmeldmiddel moeten instellen. Gesynchroniseerde passkeys lossen dat op, met een kleine trade-off in securiteit (het zit immers opgeslagen bij Apple/Google of een passwordmanager). Microsoft laat de keuze nu aan de organisatie: je kan dit toestaan of blokkeren per passkey-profiel.

En andere relevante dingen deze week…

Microsoft kondigt het einde van WINS aan: Windows Internet Name Service (WINS) wordt vanaf Windows Server releases na 2025 volledig verwijderd. Organisaties worden sterk aangeraden nu al te migreren naar moderne DNS-oplossingen om toekomstige verstoringen te voorkomen. (Gebruikt er nog iemand WINS?)

Windows 11 hotpatch probleem opgelost: Microsoft heeft een out-of-band update (KB5072753) uitgebracht die een installatielus van de November 2025 hotpatch (KB5068966) verhelpt. Systeemfunctionaliteit werd niet beïnvloed, maar het probleem veroorzaakte herhaalde installatiepogingen. 

CrowdStrike ontdekt insider-lek: Cybersecuritybedrijf CrowdStrike heeft een interne medewerker geïdentificeerd die screenshots van interne systemen deelde met hackers. Er was geen sprake van een systeeminbraak of datalek bij klanten, maar het incident is overgedragen aan de autoriteiten.

Met dit overzicht ben je weer up-to-date over de recente ontwikkelingen rond Microsoft 365 en security. Samengevat zien we Microsoft inzetten op meer AI in alle hoeken van het IT-landschap.

Tegelijk beseffen ze dat controle, veiligheid en gebruiksvriendelijkheid essentieel blijven – de nieuwe features zijn dan ook ontworpen om krachtige mogelijkheden te bieden mét houvast voor beheerders en gebruikers.

We adviseren om binnen je organisatie alvast na te denken hoe je deze innovaties kunt inzetten. Misschien een proef met een van de nieuwe Security Copilot agents? Of een plan maken om geleidelijk passkeys uit te rollen en klassieke wachtwoorden uit te faseren? Dunetrails staat uiteraard klaar om hierin te adviseren en ondersteunen.

Dunetrails

PS: Beluister je deze inhoud liever onderweg? Goed nieuws! Vanaf nu is onze nieuwsbrief ook beschikbaar als audio. Je vindt de gesproken versie op Spotify: ideaal voor tijdens je woon-werkverkeer of lunchwandeling. Abonneer je op ons kanaal en blijf ook via die weg op de hoogte.