Spring til indhold
Menu

Artikler

Shadow AI: Sådan finder Microsoft 365 lokale AI-agenter

Microsoft har lanceret en Shadow AI-side i M365 admin center, der scanner Intune-enheder for lokale AI-agenter. Se hvad den kan, og hvordan I slår den til.

Anders Jensen Automatiserings- og AI-instruktør

Microsoft har lanceret en ny side i Microsoft 365 admin center: Shadow AI (Frontier). Den scanner virksomhedens Windows-enheder for lokale AI-agenter, altså AI-værktøjer der kører direkte på medarbejdernes computere, typisk uden at IT-afdelingen ved det.

Det er første gang, Microsoft giver IT-administratorer et indbygget værktøj til at se den slags. Og der er god grund til at kigge med: Hos os er jeg både IT-administratoren og manden, der kører agenterne. Da jeg åbnede siden, stod jeg altså på begge sider af jagten.

Hvad er shadow AI?

Shadow AI er Microsofts betegnelse for AI-værktøjer, som medarbejdere bruger uden IT-afdelingens viden eller godkendelse. Microsofts egne eksempler dækker blandt andet:

  • Lokale AI-agenter og agentiske kommandolinjeværktøjer (fx OpenClaw og lignende)
  • MCP-servere
  • Browserudvidelser med AI-funktioner

Forskellen på de her værktøjer og en chatbot i browseren er adgangen: En lokal agent kan læse filer, køre kommandoer og arbejde på tværs af programmer på selve enheden. Det er netop derfor, de er så produktive, og derfor de er interessante for IT.

Microsoft nævner selv risiciene ved uadministreret brug: Datalæk, compliance-brud, sikkerhedshuller og manglende auditering.

Hvad kan den nye Shadow AI-side?

Shadow AI (Frontier) er i public preview, og funktionaliteten er til at overskue endnu:

  • Detektion: Siden scanner Intune-administrerede Windows-enheder for kendte lokale AI-agenter. I skrivende stund er OpenClaw den eneste agent på listen. Ollama Desktop og Poe Desktop står som "coming soon".
  • Enhedsliste: Når detektion er slået til, kan du se hvilke enheder agenten er fundet på, med enhedsnavn, type, styresystem og seneste Intune-scan.
  • Blokering: Du kan blokere en agent med ét klik. Det opretter en Intune-politik (fx "A365 - Block OpenClaw"), der rulles ud til alle administrerede Windows-enheder. Udrulningen tager fra 15 minutter til 8 timer afhængigt af jeres Intune-opsætning.

Bemærk begrænsningen: Det gælder kun Windows-enheder, der er enrolled i Intune. Private computere og alt uden for Intune ser siden ikke.

Sådan finder du Shadow AI-siden

  1. Log ind i Microsoft 365 admin center.
  2. Vælg "Show all" i venstremenuen.
  3. Åbn "Agents", og vælg "Shadow AI (Frontier)".
Shadow AI (Frontier)-siden i Microsoft 365 admin center med OpenClaw på listen over agenter, der kan detekteres, og Ollama Desktop og Poe Desktop under coming soon

Kan du ikke se siden, skyldes det som regel et af tre krav:

  • Jeres tenant skal være tilmeldt Frontier-preview-programmet.
  • Du skal have en Microsoft 365 E3-licens.
  • Du skal have en af de understøttede roller, fx Security Administrator, AI Administrator eller Global Reader.

Sådan slår du detektion til

  1. Klik på agenten i listen (fx OpenClaw).
  2. Vælg fanen "Security policies" i detaljepanelet.
  3. Vælg "Continuously detect managed devices".
  4. Bekræft med "Apply policies".

Der kan gå noget tid, før enhederne har synkroniseret med Intune, og listen over fundne enheder begynder at fyldes.

Fordele og ulemper

Vi kører selv lokale AI-agenter hver dag, og vi administrerer vores egen tenant. Set fra begge stole er det her vores ærlige vurdering af funktionen, som den ser ud lige nu.

Fordele

  • Indbygget i admin center: Ingen tredjepartsværktøjer, ingen ekstra licens oven på E3.
  • Konkret enhedsliste i stedet for gætværk og rundspørger.
  • Blokering klares med en færdig Intune-politik, som I selv kan redigere og stramme til bagefter.
  • Signalværdien: Microsoft tager lokale agenter alvorligt, og listen over detekterbare agenter vokser.

Ulemper

  • Listen er kort endnu: Kun OpenClaw kan detekteres i dag.
  • Kun Intune-administrerede Windows-enheder. Mac, mobil og private computere er blinde vinkler.
  • Det er en preview-funktion: Ting kan ændre sig, og Microsoft skriver selv, at detektionssikkerheden kan variere.
  • Adgangskravene (E3, roller, Frontier-tilmelding) betyder, at mindre organisationer kan være lukket ude i første omgang.
  • Blokering løser ikke behovet bag: En blokeret agent flytter ofte bare over på privat udstyr, hvor I ser endnu mindre.

Vores anbefaling: Detektér først, blokér sidst

Det er fristende at gå direkte til blokering. Vi vil anbefale at trække vejret først.

Kig på, hvem der faktisk kører de her agenter: Det er ofte virksomhedens mest produktive folk. Deres agent læser indbakken og laver svarudkast, holder tal ved lige, bygger de småværktøjer, ingen havde tid til, og kører om natten med en rapport klar om morgenen.

En rapport over shadow AI gør den netop ikke-skjult: Nu kan I forholde jer til hver enkelt risiko konkret i stedet for at frygte det ukendte. Så slå detektion til, se hvad der dukker op, og tag samtalen med de mennesker, I finder. En blokeret agent forsvinder sjældent; den flytter bare over på en privat computer, og så er den for alvor uden for jeres synsfelt.

Governance-opgaven er altså ikke løst med en blokeringsknap. Men med den nye side har I for første gang et sted at starte.

Og handler spørgsmålet om agenterne inde i selve Copilot, har vi samlet fakta til den beslutning i artiklen Skal I slå agenter til i Microsoft 365 Copilot?

Du finder Microsofts officielle dokumentation her: Understand Shadow AI in Microsoft 365 admin center.

Vil du følge med, når Microsoft ruller den her slags funktioner ud, deler vi løbende nyt i vores community I Love Automation.

Flere artikler

  • Webinarer om AI og automatisering

    Se vores webinarer om AI og automatisering on demand: Microsoft Copilot, Power Automate og ChatGPT-sessioner med praktiske demoer, du kan bruge på jobbet.

    Læs mere →
  • Skal I slå agenter til i Microsoft 365 Copilot?

    Mange slog agenter fra i Copilot af forsigtighed. Her er fakta om sikkerhed, adgang, styring og risici, så I kan træffe beslutningen på et oplyst grundlag.

    Læs mere →
  • Copilot Cowork: Sådan giver du adgang med en pilotgruppe

    Copilot Cowork kræver usage-based billing, før nogen får adgang. Sådan aktiverer du det i Microsoft 365 admin center med pilotgruppe, credit-lofter og alerts.

    Læs mere →