Welche Security Copilot Agents gibt es in Microsoft Intune und wofür werden sie eingesetzt?
Aktuell nennt Microsoft vier spezialisierte Security Copilot Agents für Intune. Sie adressieren unterschiedliche Aufgabenbereiche, von Genehmigungsprozessen über Gerätebereinigung bis hin zu Richtlinienerstellung und Schwachstellenbehebung. Gemeinsam ist ihnen, dass sie keine „Black Box“ sein sollen: Sie liefern Kontext, Empfehlungen und vorbereitete Ergebnisse, während die finale Entscheidung beim Administrator bleibt.
Die Security Copilot Agents im Überblick
| Agent |
Kurzbeschreibung |
Datenquellen / Signale |
Ausgabe |
Status / Hinweis |
| Change Review Agent |
Bewertet Multi-Admin-Approval-Anfragen für PowerShell-Skripte auf Windows-Geräten. |
Intune, Entra ID, Defender Vulnerability Management |
Risikobasierte Empfehlung: Genehmigen/Ablehnen |
Public Preview |
| Device Offboarding Agent |
Identifiziert veraltete oder nicht konsistente Geräteobjekte zwischen Intune und Entra ID. |
Intune, Entra ID |
Offboarding-Vorschläge mit Admin-Freigabe |
Seit 1. Juni 2026 nicht mehr verfügbar |
| Policy Configuration Agent |
Übersetzt Dokumente oder Anforderungen in passende Einstellungen aus dem Intune Settings Catalog. |
Dokumente / Benchmarks, Intune Settings Catalog |
Richtlinienvorschläge und Policy-Erstellung |
Windows |
| Vulnerability Remediation Agent |
Priorisiert CVEs auf verwalteten Geräten und leitet passende Remediation-Schritte in Intune ab. |
Defender Vulnerability Management, Intune |
Priorisierte Behebungsmaßnahmen mit Schritt-für-Schritt-Hinweisen |
Public Preview |
Gemeinsame Voraussetzungen: Intune Plan 1 • Microsoft Security Copilot • ausreichende Security Compute Units (SCUs) • rollenbasierter Zugriff mit minimal nötigen Berechtigungen.
Die Security Copilot Agents im Detail
1. Change Review Agent
Der Change Review Agent unterstützt bei der Bewertung von Genehmigungsanforderungen in Intune. Besonders relevant ist dies dort, wo Änderungen nicht einfach „durchgewunken“ werden sollen, etwa bei sensiblen Konfigurationsänderungen oder im Umfeld von Multi-Admin-Approval-Prozessen. Der Agent bewertet die voraussichtlichen Auswirkungen einer Anforderung und gibt eine Empfehlung dazu, welche Aktion sinnvoll erscheint.
Der Mehrwert liegt vor allem in der schnelleren Einordnung von Risiken: Statt jede Änderung manuell in mehreren Konsolen oder Richtlinienebenen nachvollziehen zu müssen, erhalten Admins eine verdichtete Bewertung mit Begründung. Das spart Zeit, verbessert die Nachvollziehbarkeit von Entscheidungen und kann helfen, menschliche Fehlentscheidungen bei Routinefreigaben zu reduzieren.
Ein Szenario, wo Multi-Admin-Approval und damit auch der Change Review Agent in letzter Zeit geholfen hätten, wäre z. B. der sog. „Stryker-Angriff“ gewesen.
2. Device Offboarding Agent
Der Device Offboarding Agent kümmert sich um ein Thema, das in vielen Umgebungen unnötig viel Zeit kostet: veraltete, inaktive oder nicht mehr konsistente Geräteobjekte. Der Agent identifiziert Geräte, die zwischen Intune und Microsoft Entra ID nicht mehr sauber zueinander passen, und bereitet konkrete Maßnahmen für ein kontrolliertes Offboarding vor.
Gerade in großen oder historisch gewachsenen Mandanten ist das ein echter Mehrwert. „Staled Devices“ verfälschen Berichte, erschweren Compliance-Auswertungen und können Sicherheitsprozesse verwässern, wenn man statt 30.000 Geräten im Entra ID weit mehr als 100.000 Geräte vorfindet. Ein Agent, der solche Inkonsistenzen sichtbar macht und nur nach administrativer Freigabe aktiv wird, bringt Ordnung in den Gerätebestand, ohne die Kontrolle aus der Hand zu geben. Microsoft hebt dabei ausdrücklich hervor, dass vor einem Offboarding weiterhin eine Administratorgenehmigung erforderlich ist.
Dieser Agent ist seit dem 01. Juni 2026 nicht mehr verfügbar (deprecated), soll hier aber für das Schaffen von eigenen Agenten als Beispiel dienen.
3. Policy Configuration Agent
Jeder Intune-Admin wird diesen Satz kennen: „Erstelle mir bitte eine Intune Policy mit den Richtwerten des BSI aus Vorgabe XY“.
Aus diesem Grund dürfte der Policy Configuration Agent für viele Intune-Teams einer der spannendsten Agenten sein. Sein Ziel ist es, Anforderungen – etwa aus internen Sicherheitsstandards, Audit-Vorgaben oder Best-Practice-Dokumenten – in konkrete Intune-Einstellungen zu übersetzen. Dafür können Dokumente importiert oder Anforderungen in natürlicher Sprache beschrieben werden. Der Agent sucht anschließend passende Einträge im Settings Catalog und schlägt sinnvolle Werte vor.
Das ist deshalb so relevant, weil die Übersetzung von Anforderungen in Intune heute oft ein Mix aus Erfahrung, Dokumentationsarbeit und Trial-and-Error ist. Der Agent kann diesen Schritt deutlich beschleunigen und hilft dabei, Policy-Design stärker zu standardisieren. Besonders für Organisationen mit klaren Compliance-Vorgaben oder wiederkehrenden Baseline-Projekten ist das ein vielversprechender Ansatz: weniger Suchaufwand, schnellere Policy-Erstellung und eine konsistentere Umsetzung von Standards.
4. Vulnerability Remediation Agent
Mit dem Vulnerability Remediation Agent rückt die Verbindung zwischen Sicherheitsanalyse und Endpoint-Management noch stärker in den Fokus. Der Agent nutzt Daten aus Microsoft Defender, um Schwachstellen zu beobachten, Risiken zu priorisieren und passende Remediation-Schritte vorzuschlagen. Damit schließt er eine Lücke, die viele Teams aus dem Alltag kennen: Sicherheitsdaten sind zwar vorhanden, aber die operative Umsetzung in konkrete Intune-Maßnahmen braucht oft mehrere manuelle Zwischenschritte.
Genau hier setzt der Agent an: Er priorisiert nicht nur technische Findings, sondern macht sie für das Endpoint-Management handhabbar. So können Admin- und Security-Teams schneller entscheiden, welche Risiken zuerst adressiert werden sollen, und wie sich konkrete Maßnahmen in Intune daraus ableiten lassen. In Umgebungen mit hoher Gerätezahl und kontinuierlichem Patch- oder Hardening-Bedarf kann das die Reaktionszeit auf sicherheitsrelevante Befunde deutlich verkürzen.
Hierfür wird zusätzlich zu den o.g. Lizenzen noch das Defender Vulnerability AddOn benötigt.