Microsoft heeft in mei 2026 een nieuw Shadow AI-dashboard uitgerold in Defender en Intune. Het detecteert AI-agenten die medewerkers zelf installeren op hun Windows-apparaten en biedt direct beheercontrole. Wat is shadow AI, waarom is het een serieus risico en hoe activeert u de nieuwe controles?
Sinds 2024 installeren steeds meer medewerkers zelf AI-tools op hun werklaptop. Een lokale chatassistent voor het samenvatten van documenten, een AI-agent die mailtjes verwerkt, een open-source model dat gevoelige bedrijfsdata verwerkt buiten de bedrijfsomgeving. Voor de IT-afdeling is dat onzichtbaar geworden, totdat het misgaat. Microsoft noemt dit fenomeen shadow AI en heeft in mei 2026 een gerichte oplossing uitgerold in de combinatie van Microsoft Defender en Microsoft Intune.
Shadow AI is de IT-variant van shadow IT, het gebruik van software, diensten en in dit geval AI-tools zonder dat de IT-afdeling hier weet van heeft of toestemming voor heeft gegeven. Waar shadow IT meestal ging over een medewerker die Dropbox installeerde naast OneDrive, gaat shadow AI een stap verder. AI-agenten kunnen autonoom bestanden openen, mails versturen, externe API's aanroepen en data exporteren. Een lokaal draaiende agent die toegang heeft tot uw bedrijfsdocumenten kan onbedoeld of bewust gevoelige informatie naar externe modellen sturen.
Het probleem is dat deze agenten lokaal draaien, vaak buiten de zichtlijn van traditionele endpoint-monitoring. Een netwerkscan ziet een normale uitgaande verbinding naar een AI-API, een procesmonitor ziet een ogenschijnlijk legitieme Python- of nodejs-instantie. Zonder context is het lastig te onderscheiden van regulier werk.
Microsoft heeft een dedicated Shadow AI-pagina toegevoegd aan het Microsoft Defender-portaal. Deze pagina wordt gevoed door telemetrie van Defender for Endpoint en bestuurd via Intune-policies. De eerste detectie richt zich op OpenClaw, een populaire open-source agent die op Windows-apparaten lokaal draait, met de aankondiging dat ondersteuning voor andere veelgebruikte agenten dit jaar wordt uitgebreid.
De pagina toont per apparaat welke AI-agenten zijn gedetecteerd, wanneer ze voor het laatst actief waren, met welke processen en domeinen ze communiceren, en welke gebruiker ze heeft geïnstalleerd. Voor IT-beheerders is dit het eerste centrale overzicht van agentactiviteit binnen de organisatie.
Vanuit het Shadow AI-dashboard kunnen beheerders direct doorklikken naar Intune om policies toe te passen. Drie typen acties zijn mogelijk. Ten eerste blokkering, waarbij de agent op apparaatniveau wordt verhinderd om te starten of te communiceren met externe API's. Ten tweede toestaan onder voorwaarden, bijvoorbeeld alleen in een specifieke gebruikersgroep of bij apparaten die voldoen aan compliance-vereisten. Ten derde alerting, waarbij detectie wordt gelogd zonder direct in te grijpen, handig in een eerste inventarisatiefase.
Voor organisaties die agenten wel willen toestaan maar gecontroleerd, sluit de Shadow AI-pagina aan op Microsoft Agent 365, het bredere agent governance-platform dat begin mei algemeen beschikbaar is geworden.
Drie randvoorwaarden gelden voordat u de Shadow AI-pagina kunt gebruiken. Ten eerste moeten uw apparaten ingeschreven zijn in Microsoft Intune en draaien op Windows 11 versie 22H2 of hoger. Ten tweede moet Microsoft Defender for Endpoint Plan 2 actief zijn op die apparaten. Ten derde moet uw tenant Microsoft Defender XDR ingeschakeld hebben.
Als deze drie zaken aanwezig zijn, vindt u de Shadow AI-pagina in security.microsoft.com onder Endpoints, dan AI Security. De detectie staat standaard op alleen-loggen, wat wil zeggen dat u eerst een week kunt verzamelen wat er in uw omgeving draait voordat u beleid toepast.
Elke organisatie waar medewerkers zelf software kunnen installeren op hun werklaptop heeft potentieel een shadow AI-vraagstuk. In de praktijk zien we dit het sterkst bij organisaties met technische profielen, ontwikkelaars, data-analisten, marketing- en R&D-teams die AI-tools omarmen voordat IT er beleid voor heeft.
De urgentie wordt groter naarmate AI-agenten capabeler worden. Een agent die alleen tekst genereert is een ander risicoprofiel dan een agent die autonoom acties uitvoert binnen Outlook, SharePoint of Teams. Microsoft positioneert de Shadow AI-detectie expliciet als laag van bescherming voor de tweede categorie.
Drie concrete stappen voor IT-beheerders. Ten eerste, controleer in het Microsoft Defender-portaal of Shadow AI zichtbaar is voor uw tenant en of de licentievoorwaarden zijn voldaan. Ten tweede, activeer de detectie in alleen-logmodus en laat hem een tot twee weken draaien om een nulmeting te krijgen van wat er in uw omgeving draait. Ten derde, stel met de uitkomsten een eerste agentbeleid op, waarbij u onderscheid maakt tussen geaccepteerde tools en die u wilt blokkeren.
Wilt u ondersteuning bij het opzetten van een beleid voor AI-agenten in uw organisatie of bij de inrichting van Defender en Intune voor deze nieuwe capabilities? Neem contact op met Zarioh.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
