Microsoft julkaisi Agent 365:n ja agenttien uuden governance-mallin, tuoden omien agenttien rakentamisen yhä konkreettisemmaksi. Agenttien käyttöönoton kiihtyessä organisaatioilla on nyt erinomainen hetki miettiä, miten skaalautuminen tehdään kestävästi datan näkökulmasta.
Useassa organisaatiossa tekoälyagentit ovat nyt siirtymässä kokeiluista tuotantoon. Nyt rakennetaan ja otetaan käyttöön agentteja, jotka eivät vain vastaa kysymyksiin vaan toimivat, hakevat tietoa, tekevät yhteenvetoja, käynnistävät prosesseja ja tekevät päätöksiä ennalta määritellyissä rajoissa.
Tehostamiskohteita on helppo miettiä. Liiketoimintaprosessien ja järjestelmien liitoskohtiin jää tyypillisesti epäjatkuvuuskohtia, joissa vaaditaan manuaalisia toimia, tiedon syöttöä, tarkistusta, korjausta tai varmistusta. Näissä kohdissa piilee paljon potentiaalia, mutta myös hetki, jolloin kannattaa pysähtyä miettimään miten skaalaaminen tehdään kestävästi.
Microsoftin tuore Agent 365 -julkistus on hyvä esimerkki siitä, että hallintakehikot alkavat kypsyä. Kyseessä on kontrollikerros, joka tuo agentit osaksi tuttuja hallintatyökaluja: identiteettejä, pääsynhallintaa, tietosuojaa ja uhkien tunnistusta. Perustavaa laatua olevat kysymykset ovat kuitenkin samat, riippumatta siitä tukeutuuko Microsoft-ekosysteemiin vai rakentaako agentteja itse yhdistelemällä valmiita komponentteja, frameworkeja ja koodausta.
Lähde: Explore Microsoft Agent 365 security and governance capabilities
Agenttien rakennuksessa on monta asiaa mietittävänä, nyt kuitenkin mietitään asiaa datan hallinnan näkökulmasta.
Perinteinen järjestelmäintegraatio on ennustettava, data virtaa pisteestä A pisteeseen B ennalta määritellyllä tavalla. Koneoppivalle mallille on tarjottava datalähteitä tarvittavien piirteiden laskemiseen ja mallin kouluttamiseen. Agentti on lähtökohtaisesti erilainen. Se käyttää dataa dynaamisesti, päättää mitä tietoa tarvitsee, yhdistelee lähteitä ja mukauttaa toimintaansa tilanteen mukaan. Ottaa käyttöön tehtävän suorittamisen vaatimia työkaluja. Juuri tämä joustavuus tekee agenteista hyödyllisiä.
Selkeä pelikirja ja säännöt kuitenkin tarvitaan, jotta hyöty realisoituu luotettavasti ja kestävästi. Kuka pääsee mihin dataan? Miten agentin toiminta on jäljitettävissä? Miten varmistetaan, että sensitiivinen tieto pysyy suojattuna myös silloin, kun agentti käsittelee sitä?
Nämä eivät ole uusia kysymyksiä. Organisaatiot ovat ratkoneet niitä vuosia käyttäjien, sovellusten ja integraatioiden osalta. Samat kysymykset uudessa kontekstissa tulevat eteen agenttikehityksessä. Agenttien määrän kasvulle ja autonomialle on yrityksissä paljon positiivisia odotuksia. Siksi toiminnan aika on nyt.
Kun katsoo Microsoftin Agent 365 -kehikkoa tai vastaavia ratkaisuja, agenttien hallinnassa voi havaita ainakin kolme luontevaa ulottuvuutta: identiteetit, datan suojaus ja näkyvyys. Mietitäänpä jokaista vuorollaan.
Perinteisesti agentti tai botti on saattanut toimia jonkin käyttäjän tunnuksilla tai palvelutilillä, jonka oikeudet ovat kasvaneet ajan myötä epämääräisiksi. Tässä on selkeä haaste skaalautumiselle. Kun agenttien määrä kasvaa, on entistä vaikeampi pysyä ymmärryksessä mitä tapahtuu ja kenen toimesta.
Kun agentti saa oman identiteetin, tilanne selkeytyy. Agentilla on omistaja tai sponsori, määritellyt käyttöoikeudet ja elinkaari. Kun sponsori vaihtaa tehtäviä tai agentti poistuu käytöstä, tiedetään mitä tehdä. Logiikka on sama kuin työntekijöiden identiteetinhallinnassa – sovellettuna uuteen kontekstiin, tai hyvissä RPA-käytännöissä. Ei siis varsinaisesti mitään uutta.
Uusien agenttien käyttöönotto nopeutuu, kun omistajuuteen ja identiteettiin liittyvät käytännöt luodaan heti alkuvaiheessa. Ei tarvitse joka kerta miettiä perusasioita alusta, vaan voidaan soveltaa yhtenäistä mallia.
Hyvä uutinen on, että olemassa olevat datan luokittelut ja suojauskäytännöt toimivat myös agenteille. Jos organisaatiolla on käytössä sensitiivisyysluokittelut, ne ohjaavat myös agenttien toimintaa. DLP-politiikat/tiedon menetyksen estäminen voidaan laajentaa kattamaan myös agentti-interaktiot.
Käännetään asia toisin päin – jos datan luokittelu on retuperällä, agentit tekevät ongelmasta näkyvämmän. Agentti, jonka pääsynhallintaa ei ole mietitty ja joka yhdistelee tietoja eri lähteistä, voi vahingossa tuoda esiin asioita, joiden ei pitäisi päätyä samaan kontekstiin.
Hyvin luokiteltu data tarkoittaa, että agentit voivat toimia vapaammin oikeissa rajoissa. Tämä on mahdollistava ajattelutapa. Selkeät rajat luovat tilaa toimia niiden sisällä ja toiminnasta tulee ennakoitua ja luotettavaa, tehokkuudesta tinkimättä.
Kolmas ulottuvuus on kyky nähdä mitä agentit tekevät. Audit trail tuo läpinäkyvyyttä: mitä dataa agentti käytti, mitä toimenpiteitä se teki, kenen puolesta se toimi, kuka kulutti tulokset.
Tämä ei ole pelkästään valvontaa vaan myös oppimisen paikka. Kun nähdään miten agentit käyttäytyvät, voidaan tunnistaa parannuskohteita, havaita poikkeamia ja kehittää agentteja paremmiksi. Jos agentti alkaa käyttäytyä odottamattomasti, se on signaali, ei välttämättä uhka, mutta asia, joka kannattaa ymmärtää.
Microsoftin Agent 365 tuo agenttien hallinnan osaksi tuttuja työkaluja. Entra hoitaa identiteetit, Purview datan suojauksen, Defender uhkien tunnistuksen. Organisaatioille jotka ovat jo syvällä Microsoft-ekosysteemissä, tämä tarkoittaa että paljon tulee valmiina, tai ainakin Microsoftilla on kokonaisuutta mietitty. Kuten aina, palveluitten maturiteetti ja kyvykkyys vaihtelevat, komponenteilla on oma elinkaarensa. Visio saattaa vaikuttaa pätevältä, mutta implementoimalla vasta selviää, missä mennään tällä hetkellä.
Mutta entä jos rakennat agentteja itse Azuren, AWS:n tai GCP:n päälle? Tai käytät agenttikehyksiä kuten LangChain, CrewAI tai Agentic Framework? Silloin samat kyvykkyydet pitää rakentaa tai hankkia erikseen. Identiteettirekisteri, pääsynhallinta, DLP-integraatiot, monitorointi, audit – kaikki ovat varmasti ratkaistavissa, mutta kokonaisuus voi olla haastava hallita.
Ei ole yhtä oikeaa vastausta. Valinta riippuu lähtötilanteesta, osaamisesta ja tarpeista. Integroitu alusta tuo nopeutta ja yhdenmukaisuutta, mutta ominaisuuksineen ja puutteineen se taipuu mihin taipuu. Itse rakennettu tuo joustavuutta ja riippumattomuutta, mutta ylläpidettävää syntyy.
Käytännössä moni organisaatio päätyy hybridiin: Microsoft-agentteja tietyissä käyttötapauksissa, custom-ratkaisuja toisissa. Tällöin tärkeintä on yhtenäiset periaatteet. Samat hallinnan kysymykset pitää ratkaista riippumatta siitä, missä agentti asustaa.
Agenttien hallintakäytännöt eivät ole vain hyvää hygieniatyötä. EU:n tekoälysäädös (AI Act) on voimassa ja sen velvoitteet astuvat voimaan vaiheittain vuosien 2025–2026 aikana.
Vaikka suurin osa yritysagenteista todennäköisesti sijoittuu sääntelyn kevyempään päähän, perusvaatimukset koskevat kaikkia. Käyttäjän pitää tietää asioivansa tekoälyn kanssa ja järjestelmän toiminnasta on oltava riittävä dokumentaatio.
Käytännössä tämä tarkoittaa, että jäljitettävyys, omistajuuden dokumentointi ja pääsynhallinnan periaatteet eivät ole enää "hyvä käytäntö" -asioita vaan compliance-kysymyksiä. Organisaatiot, jotka rakentavat nämä nyt omista lähtökohdistaan, ovat paremmassa asemassa kuin ne, jotka joutuvat kiireellä reagoimaan ulkoisiin vaatimuksiin.
Positiivisesti ajatellen, jos governance on kunnossa liiketoimintasyistä, regulaation vaatimukset täyttyvät pitkälti sivutuotteena. Eikö tämän kuuluisikin mennä juuri tässä järjestyksessä?
Jos agenttien hallinta ei vielä ole agendalla, nyt on hyvä hetki nostaa se. Tässä muutama käytännön askel ehdotukseksi!
Kartoita nykytila. Mitä agentteja organisaatiossa on jo käytössä – tai on tulossa? Usein agentteja syntyy hajautetusti eri tiimeissä. Kokonaiskuva on ensimmäinen askel. Olemme jo keskusteluissa kuulleet, että agentteja on syntynyt kovalla tahdilla. Välillä niin ripeästi, että kenelläkään ei ole kokonaiskuvaa tai ymmärrystä missä kohtaa elinkaarta mennään kunkin kohdalla.
Hyödynnä olemassa olevaa. Datan luokittelut, DLP-politiikat ja identiteetin hallinta ovat todennäköisesti jo olemassa. Laajenna ne kattamaan agentit, älä rakenna rinnakkaista järjestelmää.
Määrittele agentti-identiteettien malli. Kuka omistaa agentin? Mitä oikeuksia se tarvitsee? Mikä on elinkaari? Näistä on hyvä sopia ennen kuin skaalaat.
Aloita pienesti, opi, laajenna. Ensimmäinen tuotantoagentti opettaa enemmän kuin kymmenen suunnitteludokumenttia. Systemaattisesti kuitenkin siitä kannattaa ammentaa oppia seuraavaan kierrokseen.
Agenttien potentiaali on valtava ja se realisoituu fiksusti, kun perusasiat ovat kunnossa. Hyvä tiedon hallinta ei hidasta agenttien käyttöönottoa. Se mahdollistaa luottavaisen skaalaamisen, kun tiedetään että pelisäännöt ovat selvät ja riskit hallinnassa.
Kenties voisit harkita agenttista lähestymistapaa myös datan hallintaan liittyviin tehtäviin? Jospa laittaisitkin agentin valvomaan, että pääsynhallinnassa ei ole kiellettyjä yhdistelmiä? Tunnistamaan onko Sharepointiin ilmestynyt luokittelematonta dataa? Havaitsemaan datavarantoja, joissa on laajat käyttöoikeudet, mutta joita ei ole aikoihin käytetty?
Organisaatiot, jotka miettivät nämä asiat nyt ovat paremmassa asemassa, kun agentteja on kymmeniä tai satoja. Ja se hetki tulee nopeammin kuin uskommekaan.
Ota yhteyttä lomakkeen kautta!