Consulting Briefing

27. April 2026 | boddenberg.de

Defender, Entra und Purview erhalten neue Kontrollen für Agentic-AI-Sicherheit

Executive Summary

Microsoft macht Ernst mit der Sicherheit von KI-Agenten – und zwar auf eine Art, die gleichzeitig beeindruckend durchdacht und leicht übergriffig wirkt. Ab dem 1. Mai 2026 ist Agent 365 allgemein verfügbar: eine zentrale Steuerungsebene (Control Plane), die alle KI-Agenten in deiner Organisation sichtbar macht, überwacht und kontrolliert. Defender, Entra und Purview bekommen dafür neue, dedizierte Sicherheitskontrollen – und Security Copilot landet standardmäßig in M365 E5 und E7, ohne dass du extra dafür die Kreditkarte zücken musst. Kurz gesagt: Microsoft hat entschieden, dass KI-Agenten keine normalen Anwendungen mehr sind, sondern eigene Sicherheitsobjekte brauchen. Wer das ignoriert, wird in zwölf Monaten einen sehr interessanten Incident-Report schreiben dürfen – vorausgesetzt, er findet noch jemanden, dem er ihn erklären kann.

Worum geht es im Detail?

Stell dir vor, du betreibst eine IT-Infrastruktur, in der nicht nur deine Mitarbeiter Aktionen ausführen, sondern auch Dutzende autonomer Software-Agenten. Die einen holen sich Daten aus SharePoint, die anderen antworten auf Kundentickets, wieder andere lesen Sicherheitslogs aus und schreiben Berichte. Klingt produktiv. Klingt auch wie ein Albtraum für jemanden, der für Compliance und Datenschutz zuständig ist – besonders wenn diese Agenten niemand richtig im Blick hat und der Einzige, der von ihrer Existenz weiß, der Praktikant ist, der sie mal „schnell in Copilot Studio zusammengeklickt“ hat.

Genau hier setzt Microsoft an. Agent 365 ist die Antwort auf die Frage: „Wer überwacht eigentlich die Überwacher?“ Die Plattform gibt IT-, Security- und Business-Teams eine zentralisierte Ansicht aller in der Organisation laufenden Agenten – inklusive Risikowertung, Zugriffsprotokollierung und Compliance-Dokumentation. Das Ganze ist ab dem 1. Mai 2026 allgemein verfügbar und in Microsoft 365 E7 („The Frontier Suite“, ca. 99 USD pro Nutzer und Monat) enthalten.

Die drei tragenden Säulen des neuen Sicherheitsrahmens sind Defender, Entra und Purview. Jede trägt ihren eigenen Teil bei – und wenn du die drei zusammen betrachtest, ergibt sich ein Bild, das Microsoft bereits auf der RSA Conference 2026 Ende März als „end-to-end agentic AI security“ vermarktet hat.

Microsoft Defender: Der Wachhund bekommt KI-Augen

Defender erhält einen Security Analyst Agent, der seit dem 26. März in der öffentlichen Vorschau ist. Der Agent beschleunigt Bedrohungsuntersuchungen, indem er automatisch korreliert, was ein erfahrener Analyst früher stundenlang manuell zusammenklicken musste – Logs, Alerts, Kontextinformationen, betroffene Identitäten. Dazu kommt ein Security Alert Triage Agent (April Preview), der Cloud- und Identitäts-Alerts automatisch klassifiziert und priorisiert. Also genau die Sorte Alarm, bei der dein SOC-Team üblicherweise kurz vor dem kollektiven Burnout steht und „Alarm-Fatigue“ zu einem der liebsten Euphemismen der Branche geworden ist.

Besonders bemerkenswert ist Defender Predictive Shielding: Das System passt Identitäts- und Zugriffsrichtlinien dynamisch während aktiver Angriffe an. Es erkennt, wenn ein Angriff läuft, und zieht die Schrauben automatisch an – ohne dass ein Mensch erst einen Change-Request durch fünf Genehmigungsebenen jagen muss, während der Angreifer bereits in der dritten Ebene des Active Directory spazieren geht. Das Feature ist aktuell in der Preview-Phase.

Microsoft Entra: Wer hat diesen Agenten eigentlich eingeladen?

Entra bekommt mit Shadow AI Detection (GA seit 31. März) eine Funktion, die unautorisierten KI-Tools auf die Schliche kommt. Das System arbeitet auf Netzwerkebene und erkennt, wenn Mitarbeiter KI-Dienste nutzen, die nicht durch die IT genehmigt wurden – auch auf nicht verwalteten Geräten und in Browsern, die niemand auf dem Radar hatte. Das ist keine Kleinigkeit: Wer glaubt, Shadow IT sei mit dem Cloud-Zeitalter verschwunden, hat noch nicht erlebt, wie schnell ein Vertriebsteam einen GPT-Wrapper „nur kurz ausprobiert“ und dabei versehentlich Kundendaten in ein US-amerikanisches Sprachmodell kopiert.

Dazu kommt Prompt Injection Protection, ebenfalls ab dem 31. März allgemein verfügbar. Das System blockiert bösartige Prompts auf Netzwerkebene, bevor sie KI-Dienste erreichen. Warum ist das so wichtig? Weil app-spezifische Guardrails bei gezielten Angriffen in 57 bis 72 Prozent der Fälle versagen – das sind keine Schätzungen, das sind Forschungsdaten. Netzwerk-Level-Enforcement ist der ehrlichere Ansatz, auch wenn er den Charme einer Handbremse hat.

Entra Adaptive Risk Remediation (GA April) automatisiert die Reaktion auf Risiken in Echtzeit – etwa das automatische Sperren kompromittierter Authentifizierungsmethoden. Entra Backup and Recovery (Preview) ergänzt das Bild mit automatisierten Backups von Verzeichnisobjekten für den Fall, dass ein Agent mal unbeabsichtigt ein paar hundert Benutzerattribute überschreibt. Was lustig klingt, ist ein reales Szenario, das in Produktionsumgebungen bereits aufgetreten ist.

Microsoft Purview: Kein Datenleck durch die KI-Hintertür

Purview bekommt erweiterte DLP-Kontrollen (Data Loss Prevention) speziell für Copilot-Prompts. Ab dem 31. März blockiert das System sensible Daten – Kreditkartennummern, personenbezogene Informationen, benutzerdefinierte Datentypen – bevor sie als Web-Grounding-Input in einen KI-Agenten fließen. Das ist für alle DACH-Compliance-Verantwortlichen eine sehr direkte Antwort auf die DSGVO-Frage: „Was passiert eigentlich mit personenbezogenen Daten, wenn ich die in einen Copilot-Prompt stecke?“ – Antwort bisher: Niemand weiß es genau. Ab jetzt: Sie kommen gar nicht erst durch.

Ab April integriert sich Purview ins Copilot Control System und zeigt eine einheitliche Risikoansicht aller KI-bezogenen Datenrisiken direkt im Microsoft 365 Admin Center. Zwei neue Agenten flankieren das: Der Data Security Posture Agent erkennt proaktiv Credential-Expositionen, bevor sie zu Incidents werden; der Data Security Triage Agent versteht benutzerdefinierte Datenklassifizierungen deutlich besser. Microsoft Sentinel rundet das Bild mit einem natürlichsprachigen Playbook-Generator und dem MCP Entity Analyzer (GA April) ab – beides soll die Ermittlungszeit im SOC spürbar verkürzen.

Abb. 1: Agent 365 als zentrale Control Plane – Defender, Entra, Purview und Sentinel als integrierte Security-Säulen. Security Copilot ist ab Mai 2026 in M365 E5 und E7 enthalten.

Was sind die Chancen – und wo lauern die Risiken?

Das Paket, das Microsoft hier schnürt, ist strukturell sehr klug. Wer bereits M365 E5 oder E7 lizenziert hat, bekommt Security Copilot inklusive – ohne separate Kostenstelle. Für Organisationen, die ihr Security Operations Center modernisieren wollen, ist das ein echter Hebel: Statt fünf verschiedene Point-Solutions für KI-Security zu kaufen, zu integrieren und gegenseitig zu erklären, gibt es eine einheitliche Plattform, die auf dem bestehenden Identitäts- und Compliance-Stack aufbaut. Das spart nicht nur Budget, sondern auch die eine oder andere schlaflose Nacht beim Integrationsaufwand.

Besonders für DACH-Unternehmen ist Shadow AI Detection ein Segen. In deutschen Organisationen ist der informelle Einsatz von KI-Tools noch immer weit verbreitet – trotz Betriebsratsvereinbarungen, DSGVO-Richtlinien und IT-Sicherheitsschulungen, die regelmäßig als „sehr informativ“ bewertet werden und trotzdem niemanden beeindrucken. Die Kombination aus Netzwerk-Monitoring und Intune App Inventory gibt IT-Abteilungen endlich die Sichtbarkeit, die sie für eine fundierte Risikoaussage brauchen – und die Betriebsprüfer so gerne in Audit-Reports sehen.

Auf der Risikoseite steht zunächst die Komplexität. Agent 365 ist eine weitere Abstraktionsschicht über einem bereits mehrschichtigen Stack. Wer in seiner Organisation noch nicht klar definiert hat, was ein KI-Agent ist, wie er sich von einem Copilot-Plugin unterscheidet und wer für dessen Governance zuständig ist, wird mit Agent 365 keinen Befreiungsschlag erleben – sondern eine weitere Konsole öffnen, die niemand regelmäßig anschaut. Garbage in, governance out.

Außerdem ist der Markt keineswegs leer. Oasis, ConductorOne, 1Password und Okta haben ebenfalls Angebote im Bereich Agentic AI Security – und sind in Teilbereichen agiler. Microsofts Stärke liegt in der bestehenden Enterprise-Integration und dem einheitlichen Stack, nicht im Innovationstempo. Wer eine Best-of-Breed-Strategie fährt, sollte die Alternativen evaluieren, bevor er sich vollständig in die Microsoft-Ökosphäre einschließt – auch weil Vendor-Lock-in bei einem Sicherheitskonzept das Zweitletztwas ist, das man will.

Abb. 2: Feature-Rollout März bis Mai 2026 – alle GA- und Preview-Termine im Überblick. Aktuelle Preview-Daten können sich verschieben.

Was müssen wir jetzt schon vorbereiten?

Erstens: Mach ein Agenten-Inventar. Heute. Nicht nach dem Mai-Launch, nicht nach dem nächsten Quartalgespräch. Bevor Agent 365 sinnvoll eingesetzt werden kann, muss jemand wissen, welche Copilot-Studio-Agenten, Power-Automate-Flows und Drittanbieter-Integrationen in der Organisation laufen. Das klingt trivial, ist es aber nicht. Erfahrungsgemäß finden Security-Teams bei dieser Inventur Agenten, von deren Existenz die IT-Abteilung nichts wusste. Herzlich willkommen in der schönen neuen Agentic World, wo Shadow IT plötzlich autonom handelt.

Zweitens: Definiere eine Agenten-Governance-Policy. Wer darf einen Agenten deployen? Welche Datenquellen darf ein Agent anfassen? Welche Aktionen darf er autonom ausführen, welche brauchen menschliche Bestätigung? Wie wird ein Agent wieder deprovisioniert, wenn er nicht mehr gebraucht wird – oder wenn derjenige, der ihn gebaut hat, das Unternehmen verlässt? Diese Fragen müssen beantwortet sein, bevor du die Regler in Agent 365 konfigurierst. Sonst konfigurierst du nur das Chaos – strukturiert.

Drittens: Aktiviere die bereits verfügbaren Entra-Features. Shadow AI Detection und Prompt Injection Protection sind seit Ende März allgemein verfügbar – du kannst sie heute einschalten. Prompt Injection Protection über Entra Internet Access ist ein Quick Win mit hoher Wirkung: einmal konfiguriert, schützt es alle Nutzer auf Netzwerkebene, unabhängig davon, welchen KI-Dienst sie nutzen. Das ist in etwa so, als würdest du die Haustür abschließen, bevor du über die Einbruchsserie in der Straße nachdenkst.

Viertens: Konfiguriere Purview DLP für Copilot-Prompts. Ebenfalls seit 31. März GA und sofort einsetzbar. Besonders für Organisationen, die mit sensiblen Personendaten, Finanzinformationen oder Gesundheitsdaten arbeiten, ist das keine Kür, sondern Pflicht. Definiere die relevanten Custom Sensitive Information Types jetzt – nicht erst, wenn der erste Mitarbeiter versehentlich eine Kundendatenbank in einen Copilot-Prompt kopiert.

Fünftens: Binde den Datenschutzbeauftragten und den Betriebsrat frühzeitig ein. Gerade in Deutschland und Österreich ist das kein optionaler Schritt. Die DLP-Kontrollen in Purview, Shadow AI Detection und das Agent-Monitoring berühren Verarbeitungstätigkeiten, die möglicherweise ein DSGVO-relevantes Update des Verzeichnisses der Verarbeitungstätigkeiten erfordern. Außerdem tangiert das Monitoring von Agentenaktionen potenziell das Mitbestimmungsrecht. Besser jetzt klären als wenn der Betriebsrat die Auskunft nach § 80 BetrVG stellt.

Sechstens: Nutze den RSAC-Moment. Microsoft hat diese Ankündigungen rund um die RSA Conference 2026 (Ende März) als bewussten Statement-Moment platziert. Das bedeutet: Es gibt gerade sehr viel frische Dokumentation, Webinare und Partner-Ressourcen. Das ist der beste Zeitpunkt, um dein Security-Team technisch zu briefen – bevor alle anderen im Herbst auf Konferenzen nach Consultants suchen, die ihnen erklären, was Agent 365 eigentlich ist.

Microsoft hat mit Agent 365 und den neuen Defender/Entra/Purview-Kontrollen eine klare Richtung eingeschlagen: KI-Agenten werden als eigenständige Sicherheitsobjekte behandelt, nicht als Hängsel bestehender Applikationen. Das ist die richtige Entscheidung – und die Uhr tickt. Wer bis Mai 2026 kein Agenten-Inventar hat, kein Governance-Framework und keine Purview-DLP-Regeln für Copilot, spielt Roulette mit einem Rad, das ständig neue Felder bekommt. Die gute Nachricht: Das Werkzeug ist jetzt da. Die schlechte Nachricht: Es hilft nur, wenn man auch anfängt, es zu benutzen.