← Terug naar blog
Security

Intune Vulnerability Remediation Agent: hoe de AI-agent CVE's prioriteert en triageert op uw Windows-endpoints

Door Zarioh Digital Solutions·27 juni 2026
Delen
Intune Vulnerability Remediation Agent: hoe de AI-agent CVE's prioriteert en triageert op uw Windows-endpoints

Microsoft heeft de Vulnerability Remediation Agent voor Intune deze maand in public preview uitgerold naar alle klanten. De agent analyseert CVE-data uit Defender Vulnerability Management, prioriteert kwetsbaarheden per apparaat en presenteert hersteladvies direct in het Intune-beheercentrum. Hoe werkt de nieuwe agentic identity in Entra, welke licenties zijn nodig en wat kunt u deze week instellen?

IT-beheerders die endpoints via Microsoft Intune beheren kennen het probleem: de lijst met openstaande CVE's op beheerde Windows-apparaten is nooit leeg. Elke Patch Tuesday brengt nieuwe kwetsbaarheden, Defender Vulnerability Management signaleert er tientallen per week, maar handmatig triageren welke kritisch zijn voor uw specifieke vloot kost tijd die de meeste teams niet hebben. Microsoft heeft daar nu een agent voor beschikbaar gesteld: de Vulnerability Remediation Agent voor Intune. De agent analyseert kwetsbaarheidsdata, prioriteert CVE's en presenteert hersteladvies direct in het Intune-beheercentrum. Deze maand is de agent in public preview uitgerold naar alle klanten.

De Vulnerability Remediation Agent past in een bredere verschuiving richting agentic AI in Microsoft's productlijn. Waar Copilot-integraties tot nu toe reactief werkten — u stelde een vraag, de AI gaf antwoord — is een agent proactief: hij beoordeelt voortdurend data, prioriteert zelfstandig en stelt acties voor zonder dat u hem telkens aanstuurt. Dat maakt een fundamenteel verschil in operationele waarde voor IT-teams die grote vloten beheren.

Hoe de agent CVE's prioriteert

De Vulnerability Remediation Agent koppelt aan Defender Vulnerability Management als databron. Defender inventariseert welke softwareversies op uw Intune-beheerde Windows-apparaten draaien en koppelt die aan het gemeenschappelijke CVE-register en de CISA Known Exploited Vulnerabilities-lijst. De agent neemt die data en berekent per CVE een prioriteitsscore op basis van drie factoren: de CVSS-ernstscore van de kwetsbaarheid zelf, het aantal apparaten in uw vloot dat is blootgesteld, en het potentiële impact bij exploitatie.

CVE's die actief worden misbruikt in het wild en honderden apparaten in uw organisatie treffen, belanden bovenaan de lijst. CVE's met een hoge CVSS-score maar slechts één getroffen apparaat zakken naar beneden. Het resultaat is een geprioriteerde lijst van aanbevelingen die verschijnt in het Intune-beheercentrum onder het menu Agents. Elke aanbeveling bevat de betrokken CVE, het aantal getroffen apparaten, de aanbevolen herstelactie — meestal een specifieke Windows Update of applicatie-update — en een indicatie van de risicoreductie. Beheerders hoeven niet meer te wisselen tussen het Defender-portaal en Intune; de geconsolideerde triageweergave staat op één plek.

Agentic identity: governance zonder menselijke identiteit

Een van de meest relevante technische kenmerken van de Vulnerability Remediation Agent is het gebruik van een Entra agentic identity. Oudere Copilot-integraties werkten onder de identiteit van de ingelogde beheerder: alle acties werden uitgevoerd met de rechten en het account van een menselijke gebruiker. De Vulnerability Remediation Agent werkt anders. Bij het instellen van de agent maakt het systeem automatisch een zelfstandige identiteit aan in uw Entra-directory, de zogeheten agentic user.

Die agentic user krijgt uitsluitend de minimaal benodigde leesrechten in Intune en Defender. De agent handelt onder die identiteit, niet onder uw beheerdersaccount. Dat heeft drie voordelen voor governance. Ten eerste is er een heldere audittrail: alle agent-activiteit staat op naam van de agentic identity, volledig gescheiden van menselijke beheerderacties. Ten tweede beperkt het de blast radius als de agent onverwacht gedrag vertoont, want hij heeft geen schrijfrechten tenzij u die expliciet toekent. Ten derde maakt het beveiligingscontrole eenvoudiger: de agentic user is zichtbaar als een gewoon object in Entra ID en kan worden uitgeschakeld of verwijderd zodra u de agent wilt stopzetten.

Vereisten en licenties

De Vulnerability Remediation Agent stelt drie eisen. Ten eerste een actieve Intune-licentie voor de beheerder die de agent instelt en beheert. Ten tweede Security Copilot-capaciteit: de agent draait op Security Compute Units (SCU's). Als standalone capaciteit bedragen de kosten vier dollar per SCU per uur. Organisaties met een Microsoft 365 E5-licentie ontvangen maandelijks 400 SCU per 1.000 E5-gebruikers als onderdeel van hun bundel, waardoor de agent voor E5-omgevingen zonder extra kosten beschikbaar is. Ten derde een koppeling met Defender Vulnerability Management via de juiste Unified RBAC-permissie: Security posture / Posture management / Vulnerability management (read).

Voor de beheerder zelf zijn twee Security Copilot-rollen relevant. De rol Copilot owner geeft toestemming om de agent in te stellen en te verwijderen. De rol Copilot contributor is voldoende om de aanbevelingen van de agent in te zien en herstelacties goed te keuren. Een logische verdeling voor grotere IT-teams: de hoofdbeheerder is eigenaar, teamleden krijgen contributorrechten.

De agent instellen in het Intune-beheercentrum

De configuratie verloopt in een beperkt aantal stappen. Open het Intune-beheercentrum en navigeer naar Agents in het linkermenu. Selecteer Vulnerability Remediation Agent en open het tabblad Overview. Klik op Set up Agent. Het systeem biedt vervolgens de optie Create new identity, waarmee Intune automatisch de agentic user aanmaakt in uw Entra-tenant. Na het aanmaken delegeert u de benodigde leesrechten aan die agentic user in het Entra-beheercentrum en het Defender-beheercentrum. Tot slot voert u de ingebouwde Readiness Check uit, die verifieert of alle vereiste machtigingen correct zijn geconfigureerd. Pas nadat de Readiness Check slaagt, start de agent met het verzamelen en analyseren van kwetsbaarheidsdata.

Één aandachtspunt bij de huidige public preview: de agent werkt uitsluitend op Intune-beheerde Windows-apparaten. iOS-, Android- en macOS-apparaten vallen buiten de scope. En de aanbevelingen die de agent genereert, zijn aanbevelingen: de agent voert geen herstelacties automatisch uit zonder bevestiging van een beheerder. U behoudt volledige controle over wat er daadwerkelijk wordt uitgerold.

Het verschil met handmatig triageren

In de praktijk zien IT-teams bij handmatige CVE-triagering drie knelpunten: de hoeveelheid data is te groot om wekelijks te verwerken, de prioritering is inconsistent tussen verschillende beheerders, en de koppeling tussen Defender-signalen en Intune-uitrolacties vereist meerdere schermen en handmatige stappen. De Vulnerability Remediation Agent adresseert alle drie. De agent werkt continu op de achtergrond, hanteert vaste prioriteringscriteria en presenteert de resultaten op de plek waar de herstelactie ook wordt geïnitieerd.

Dat is ook waarom de combinatie met de eerder dit jaar algemeen beschikbaar gekomen EAM-auto-updates (Enterprise Application Management) interessant is. EAM-auto-updates houdt applicaties op de nieuwste incrementele versie zonder handmatige packaging. De Vulnerability Remediation Agent signaleert welke CVE's de hoogste prioriteit hebben. Samen verkorten ze de tijd tussen het verschijnen van een kwetsbaarheid en het daadwerkelijk patchen van apparaten in uw vloot.

Wat kunt u deze week doen?

Drie stappen voor IT-teams die de agent willen activeren. Ten eerste, controleer of uw omgeving aan de licentievereisten voldoet. Heeft u Microsoft 365 E5 of een aparte Security Copilot-capaciteit? E5-organisaties kunnen direct beginnen. Ten tweede, inventariseer uw huidige kwetsbaarheidsproces. Hoe triageert u nu CVE's? Via handmatige rapporten uit Defender, wekelijkse exports naar Excel, of afhankelijk van externe tooling? De Vulnerability Remediation Agent vervangt of vereenvoudigt dat proces voor de Windows-endpointlaag. Ten derde, wijs de juiste RBAC-rollen toe in Intune en de Copilot owner-rol in Security Copilot aan de beheerder die de agent gaat inrichten, zodat de setup soepel verloopt.

Organisaties die nu de stap zetten naar AI-gedreven kwetsbaarheidsmanagement leggen een fundament waarop toekomstige agents — voor geautomatiseerde patch-goedkeuring, app-update-beheer en proactieve compliance — kunnen voortbouwen. Wilt u hulp bij het inrichten van de Vulnerability Remediation Agent, het toewijzen van de juiste rollen of het beoordelen van uw Security Copilot-capaciteit? Neem contact op met Zarioh voor een vrijblijvend gesprek.

Was dit artikel nuttig?

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

← Terug naar alle artikelen
Delen