Microsoft hat auf der Ignite‑Konferenz 2025 einen Blick in die Zukunft der Endpoint‑Verwaltung geworfen: Security‑Copilot‑Agents für Intune. Diese KI‑gestützten Assistenten automatisieren Aufgaben rund um Geräte‑Offboarding, Richtlinienerstellung und Sicherheitsprüfungen. Im Folgenden stellen wir die vier Agents vor, erläutern ihre Stärken und zeigen auf, wo noch Grenzen liegen.

Was sind Security‑Copilot‑Agents?

Laut der offiziellen Dokumentation handelt es sich um AI‑Power‑Assistenten, die Admins repetitive Aufgaben abnehmen und die Sicherheit im Unternehmen erhöhen sollen.

Die Vorschau umfasst vier Agents: den Change Review Agent, den Device Offboarding Agent, den Policy Configuration Agent und den Vulnerability Remediation Agent. Microsoft beschreibt diese Tools als Erweiterung der Security Copilot‑Funktionen innerhalb von Intune, die Endpunkt Schutz, Identitäts Management und Geräte Konfiguration automatisiert.

Die einzelnen Agents im Überblick

Change Review Agent

Der Change Review Agent unterstützt Admins bei der Prüfung von Konfigurationsänderungen. Er analysiert geplante Skripte, erkennt potenzielle Risiken oder Konflikte und gibt Empfehlungen, bevor Änderungen wirksam werden. Laut der Dokumentation geht es darum, Risiken frühzeitig zu identifizieren und so die Sicherheitslage zu verbessern.

Vorteile

  • Automatisierte Code‑Analyse verkürzt die Durchlaufzeiten bei Genehmigungen.
  • Potentielle Konflikte werden vor dem Rollout erkannt, was zu weniger Fehlern in der Produktivumgebung führt.
  • Der Agent hilft gerade in größeren Teams, den Überblick über komplexe Change‑Requests zu behalten.

Grenzen

  • Der Agent befindet sich noch in der Public Preview, daher ist die Qualität der Empfehlungen abhängig von der Trainingsbasis.
  • Er ersetzt keine menschliche Validierung: bei unternehmenskritischen Änderungen müssen Admins weiterhin eigene Tests durchführen.

🔗 Change Review Agent Overview | Microsoft Learn

Device Offboarding Agent

Der Device Offboarding Agent identifiziert überflüssige oder nicht mehr genutzte Endgeräte im Tenant und schlägt sichere Offboarding‑Schritte vor. Damit adressiert Microsoft eines der häufigsten Probleme in der Endpoint‑Verwaltung: verwaiste Geräte stellen ein Sicherheitsrisiko dar.

Vorteile

  • Automatische Erkennung von veralteten oder unbenutzten Geräten spart Zeit.
  • Schritt‑für‑Schritt‑Anleitungen minimieren das Risiko, dass sensible Daten auf stillgelegten Geräten zurückbleiben.
  • Unterstützt Compliance‑Anforderungen, da verwaiste Geräte schneller entfernt werden.

Grenzen

  • Die Agent‑Analyse basiert auf Telemetriedaten, bei fehlender Datenqualität kann es zu falschen Einschätzungen kommen.
  • Bei komplexen Offboarding‑Szenarien (z. B. BYOD‑Geräte) müssen manuelle Nacharbeiten erfolgen.

🔗 Get Started with the Device Offboarding Agent | Microsoft Learn

Policy Configuration Agent

Der Policy Configuration Agent versteht natürliche Sprache und übersetzt sie in konkrete Intune‑Einstellungen. Er kann Vorgaben wie “Festplatten müssen zu 100% verschlüsselt sein” erfassen und passende Gerätekonfigurationen entwerfen.

Vorteile

  • Verkürzt die Zeit vom Requirement zur fertigen Richtlinie enorm.
  • Dokumente & Benchmarks importieren: Der Agent kann hochgeladene Dokumente oder Branchenstandards wie NIST‑Richtlinien analysieren und automatisch passende Einstellungen aus dem Intune‑Katalog zuordnen.
  • Interne Richtlinien abbilden: Admins können auch eigene Compliance Vorgaben oder Baselines hochladen, wie etwa unternehmensinterne Sicherheitsrichtlinien. Der Agent zeigt auch hier relevante Einstellungen aus dem Intune‑Katalog und führt einen anschließend durch die Erstellung der Policy.
  • Einsteigerfreundlich: auch weniger erfahrene Admins können Richtlinien mithilfe des Agents erstellen.
  • Die Einbindung von Compliance‑Frameworks unterstützt dabei, unternehmerische Anforderungen systematisch umzusetzen.

Grenzen

  • Bei sehr spezifischen Anforderungen kann der Agent nur bedingt helfen, hier ist noch Fachwissen gefragt.
  • Die Unterstützung für verschiedene Frameworks ist im Preview‑Status, es kann zu Lücken kommen.

🔗 Learn about Policy Configuration Agent and set it up | Microsoft Learn

Vulnerability Remediation Agent

Der Vulnerability Remediation Agent konzentriert sich auf das Erkennen und Beheben von Schwachstellen in der Geräteflotte. Er analysiert Schwachstellen, priorisiert Risiken und empfiehlt passende Maßnahmen wie Patch‑Deployments oder Konfigurationsänderungen. Ziel ist es, Reaktionszeiten zu verkürzen und Sicherheitslücken schneller zu schließen.

Vorteile

  • Schnelle Priorisierung hilft sich auf die wichtigsten Bedrohungen zu fokussieren.
  • Automatisierte Handlungsempfehlungen erleichtern das Patch‑Management.
  • Kann mit anderen Sicherheitsfunktionen wie Defender for Endpoint integriert werden.

Grenzen

  • Abhängig von der Aktualität der Schwachstellen Datenbanken, verpasste Einträge können zu Verzögerungen führen.
  • Ersetzt nicht die Planung von Wartungsfenstern. Admins müssen Ausfallzeiten und Anforderungen berücksichtigen.

🔗 Vulnerability Remediation Agent Overview and Set Up | Microsoft Learn

Vorteile der Agents

Die Security‑Copilot‑Agents bringen mehrere übergreifende Vorteile:

  1. Entlastung der IT‑Teams: Routineaufgaben wie Richtlinienerstellung oder Offboarding werden teilautomatisiert. Dadurch gewinnen Admins Zeit für andere wichtige Themen & Projekte.
  2. Verbesserte Sicherheit: Proaktive Erkennung von Risiken, z. B. durch den Change Review Agent, reduziert die Wahrscheinlichkeit von Fehlkonfigurationen.
  3. Bessere Compliance: Der Policy Configuration Agent integriert Compliance Frameworks in den Erstellungsprozess von Richtlinien & vereinfacht Audits.

Grenzen & offene Fragen

Trotz der spannenden Möglichkeiten gibt es einige Einschränkungen:

  • Preview‑Status: Alle vier Agents befinden sich zum Veröffentlichungszeitpunkt (November 2025) in der öffentlichen Vorschau. Funktionen können sich ändern und der Produktivbetrieb sollte mit Vorsicht erfolgen.
  • Datenschutz & Telemetrie: Die Agents benötigen umfangreiche Telemetrie, um Empfehlungen abzugeben. Unternehmen müssen prüfen, ob die Datenerhebung mit internen Richtlinien vereinbar ist.
  • Lizenzierung: Für den Zugang zu den Agents ist Microsoft Intune erforderlich. Je nach Funktionsumfang könnten zusätzliche Lizenzkosten entstehen.

Lizenzierung & Kosten

Ein wichtiger Aspekt bei der Einführung der Security‑Copilot‑Agents ist die Lizenzierung und die damit verbundenen Kosten. Grundsätzlich gilt:

  1. Inklusivleistung für E5‑Kunden: Microsoft stellt Security Copilot samt der Agent‑Funktionen ohne Aufpreis allen Microsoft 365 E5‑Kunden zur Verfügung. Jede M365 E5‑Lizenz enthält ein monatliches Kontingent an sogenannten Security Compute Units (SCUs) - 400 SCUs pro 1000 Benutzerlizenzen, maximal 10 000 SCUs pro Tenant. Das Kontingent soll typische Nutzungsszenarien abdecken, ungenutzte SCUs verfallen am Monatsende.
  2. Zusätzliche oder eigenständige Nutzung: Wenn das inkludierte SCU‑Kontingent nicht reicht oder man Security Copilot ohne E5 abonniert, fällt eine nutzungs‑ bzw. kapazitätsbasierte Gebühr an. Provisionierte SCUs (also fest reservierte Kapazität) kosten 4$ pro SCU und Stunde, Überlauf‑SCUs (bei Lastspitzen) 6$ pro Stunde. Microsoft empfiehlt, den Bedarf sorgfältig zu planen und nur bei Bedarf hochzuskalieren. Wie viele SCUs man benötigt, lässt sich mit dem Security Copilot Capacity Calculator ermitteln.