Grundlegendes zur Authentifizierung in Microsoft Security Copilot
Copilot verwendet die Im-Auftrag-of-Authentifizierung, um über aktive Microsoft-Plug-Ins auf sicherheitsrelevante Daten zuzugreifen. Bestimmte Security Copilot Rollen müssen zugewiesen werden, damit eine Gruppe oder Person auf die Security Copilot-Plattform zugreifen kann. Nachdem Sie bei der Plattform authentifiziert wurden, bestimmen Ihr Microsoft Entra und Azure Role Based Access Control (RBAC), welche Plug-Ins in Eingabeaufforderungen verfügbar sind. Ihre Security Copilot Rolle steuert, auf welche anderen Aktivitäten Sie auf der Plattform Zugriff haben, z. B. Konfigurieren von Einstellungen, Zuweisen von Berechtigungen und Ausführen von Aufgaben.
Security Copilot RBAC-Rollen sind keine Microsoft Entra Rollen. Security Copilot Rollen werden in Copilot definiert und verwaltet und gewähren nur Zugriff auf Security Copilot Features.
Microsoft Entra RBAC gewährt Zugriff auf das gesamte Microsoft-Produktportfolio, einschließlich Diensten, die Sicherheitsdaten enthalten. Diese Rollen werden über die Microsoft Entra Admin Center verwaltet. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra Rollen zu Benutzern.
Azure RBAC steuert den Zugriff auf Azure-Ressourcen wie Security Capacity Units (SCU) in einer Ressourcengruppe oder Microsoft Sentinel aktivierte Arbeitsbereiche. Weitere Informationen finden Sie unter Zuweisen von Azure-Rollen.
Zugriff auf Security Copilot-Plattform
Nachdem Security Copilot für Ihre organization integriert wurde, konfigurieren Sie Security Copilot RBAC, um den Zugriff der Benutzer auf die Security Copilot-Plattform zu bestimmen. Schichten Sie dann Ihre Sicherheitsabdeckung mit Richtlinien für bedingten Zugriff auf. Weitere Informationen zum Schützen des Zugriffs auf die Security Copilot-Plattform über RBAC hinaus finden Sie unter Schützen von KI mit einer Richtlinie für bedingten Zugriff.
Security Copilot Rollen
Security Copilot führt zwei Rollen ein, die wie Zugriffsgruppen funktionieren, aber nicht Microsoft Entra ID Rollen sind. Stattdessen steuern sie nur den Zugriff auf die Funktionen der Security Copilot-Plattform und bieten keinen Zugriff auf Sicherheitsdaten.
- Copilot-Besitzer
- Copilot Mitwirkender
Microsoft Entra Rollen
Die folgenden Microsoft Entra Rollen erben automatisch den Copilot-Besitzerzugriff, um sicherzustellen, dass Security Copilot immer mindestens einen Besitzer hat. globaler Administrator ist eine Microsoft Entra Rolle, die über integrierte Schutzmaßnahmen gegen das Entfernen verfügt. Weitere Informationen zur Kontinuität in Microsoft Entra finden Sie unter Verwalten von Konten für den Notfallzugriff.
- Sicherheitsadministrator
- Globaler Administrator
Empfohlene Rollen
Stellen Sie den Zugriff auf Security Copilot mit der Rollengruppe Empfohlene Microsoft-Sicherheit bereit, die einen ausgewogenen Ansatz für Sicherheit und Verwaltungseffizienz verwendet. Benutzer, die bereits über sicherheitsrelevante Berechtigungen über Microsoft Entra Rollen verfügen, erhalten Zugriff auf die Security Copilot Plattform mit diesem Bündel. Sie müssen die Gruppe Jeder entfernen, bevor Sie die empfohlenen Sicherheitsrollen für Mitwirkender Zugriff hinzufügen.
Die Liste der empfohlenen Rollen enthält Microsoft Entra ID Rollen und einige dienstspezifische Rollen. Wenn ein Microsoft-Plug-In eine andere Rolle für den Zugriff auf seine Sicherheitsdaten benötigt, müssen Sie sicherstellen, dass diese ebenfalls zugewiesen ist. Das Paket eignet sich z. B. gut für einen Analysten, dem die Rolle "Complianceadministrator" zugewiesen ist. Dies ist eine der empfohlenen Rollen, da diese Microsoft Entra Rolle ihm auch Zugriff auf Microsoft Purview-Plug-In-Daten gewährt. Derselbe Analyst benötigt zusätzliche Rollenzuweisungen, um Copilot-Sitzungen für den Zugriff auf Sicherheitsdaten wie Microsoft Sentinel verwenden zu können. Weitere Beispiele finden Sie unter Zugreifen auf die Funktionen von Microsoft-Plug-Ins.
Rollenzuweisung | Vorteil | Schwäche |
---|---|---|
Empfohlene Microsoft-Sicherheitsrollen | Schnelle und sichere Möglichkeit, Benutzern in Ihrem organization, die bereits Zugriff auf Sicherheitsdaten haben, den Zugriff zu gewähren, den sie auf die Plattform benötigen. Weitere Rollen, Benutzer und Gruppen können weiterhin hinzugefügt werden. | Die Gruppe ist alles oder nichts. Wenn in der empfohlenen Gruppe eine Rolle vorhanden ist, auf die Sie keinen Zugriff haben möchten, muss die gesamte Gruppe entfernt werden. |
Jeder | Dieser Gruppe wurde standardmäßig Mitwirkender Zugriff gewährt, um die Bereitstellung zu vereinfachen, wird aber nicht mehr automatisch für neue Kunden hinzugefügt. | Es ist verwirrend, wenn Benutzer mit Zugriff auf die Plattform keinen Zugriff auf die Sicherheitsdaten haben. Diese Option ist für neue Kunden nicht verfügbar. |
Custom | Vollständige Kontrolle über Benutzer und Gruppen mit Zugriff auf die Plattform. | Erfordert eine größere administrative Komplexität. |
Zugreifen auf die Funktionen von Microsoft-Plug-Ins
Security Copilot geht nicht über ihren Zugriff hinaus und entspricht dem Sicherheits- und Datenschutz-RAI-Prinzip von Microsoft. Jedes Microsoft-Plug-In verfügt über eigene Rollenanforderungen, die für den Zugriff auf den Dienst des Plug-Ins und seine Daten gelten. Vergewissern Sie sich, dass Ihnen die richtigen Rollen und Lizenzen zugewiesen sind, um die Funktionen der aktivierten Microsoft-Plug-Ins zu verwenden.
Sehen Sie sich die folgenden Beispiele an:
Copilot Mitwirkender
Als Analyst wird Ihnen die Rolle Copilot Mitwirkender für den Zugriff auf die Copilot-Plattform und die Möglichkeit zum Erstellen von Sitzungen zugewiesen. Diese Zuweisung allein bietet Ihnen keinen Zugriff auf die Sicherheitsdaten Ihrer organization. Nach dem Modell mit den geringsten Rechten verfügen Sie nicht über vertrauliche Microsoft Entra Rollen wie Sicherheitsadministratoren. Um Copilot für den Zugriff auf Sicherheitsdaten wie das Microsoft Sentinel-Plug-In verwenden zu können, benötigen Sie weiterhin eine entsprechende Azure RBAC-Rolle wie Microsoft Sentinel Reader. Diese Rolle bietet Ihnen Zugriff auf Incidents in Ihrem Microsoft Sentinel Arbeitsbereich von Copilot. Damit Ihre Copilot-Sitzung auf die Geräte, Richtlinien und Status zugreifen kann, die über das Intune-Plug-In verfügbar sind, benötigen Sie eine Intune Rolle wie endpoint Security Manager. Das gleiche Muster gilt für den Zugriff auf Microsoft Defender XDR Daten über Ihre Copilot-Sitzung oder die eingebetteten Security Copilot Erfahrungen.
Weitere Informationen zur dienstspezifischen rollenbasierten Zugriffssteuerung finden Sie in den folgenden Artikeln:
Microsoft Entra Sicherheitsgruppe
Obwohl die Rolle "Sicherheitsadministrator " den Zugriff auf Copilot und bestimmte Plug-In-Funktionen erbt, umfasst diese Rolle Berechtigungen. Weisen Sie Benutzern diese Rolle nicht nur für den Copilot-Zugriff zu. Erstellen Sie stattdessen eine Sicherheitsgruppe, und fügen Sie diese Gruppe der entsprechenden Copilot-Rolle (Besitzer oder Mitwirkender) hinzu.
Weitere Informationen finden Sie unter Bewährte Methoden für Microsoft Entra Rollen.
Zugreifen auf eingebettete Umgebungen
Überprüfen Sie zusätzlich zur Rolle Copilot Mitwirkender die Anforderungen für jede Security Copilot eingebettete Erfahrung, um zu verstehen, welche zusätzlichen Rollen und Lizenzen erforderlich sind.
Weitere Informationen finden Sie unter Security Copilot Erfahrungen.
Zuweisen von Rollen
Die folgende Tabelle veranschaulicht den Standardzugriff, der Startrollen gewährt wird.
Hinweis
Einige Organisationen verfügen möglicherweise weiterhin über die Gruppe Jeder, die Copilot Mitwirkender Zugriff zugewiesen ist. Erwägen Sie, diesen allgemeinen Zugriff durch die Gruppe empfohlene Microsoft-Sicherheitsrollen zu ersetzen.
Funktion | Copilot-Besitzer | Copilot Mitwirkender |
---|---|---|
Erstellen von Sitzungen | Ja | Ja |
Verwalten von persönlichen benutzerdefinierten Plug-Ins | Ja | Standard nein |
Zulassen, dass Mitwirkende persönliche benutzerdefinierte Plug-Ins verwalten | Ja | Nein |
Zulassen, dass Mitwirkende benutzerdefinierte Plug-Ins für den Mandanten veröffentlichen | Ja | Nein |
Dateien hochladen | Ja | Ja |
Ausführen von Promptbooks | Ja | Ja |
Verwalten von persönlichen Promptbooks | Ja | Ja |
Freigeben von Promptbooks für den Mandanten | Ja | Ja |
Aktualisieren von Datenfreigabe- und Feedbackoptionen | Ja | Nein |
Kapazitätsverwaltung | Ja* | Nein |
Anzeigen der nutzungs Dashboard | Ja | Nein |
Sprache auswählen | Ja | Ja |
Zuweisen Security Copilot Zugriffs
Weisen Sie Copilot-Rollen in Security Copilot Einstellungen zu.
- Wählen Sie das Startmenü aus.
- Wählen Sie Rollenzuweisung>Mitglieder hinzufügen aus.
- Beginnen Sie mit der Eingabe des Namens der Person oder Gruppe im Dialogfeld Mitglieder hinzufügen .
- Wählen Sie die Person oder Gruppe aus.
- Wählen Sie die Security Copilot Rolle aus, die zugewiesen werden soll (Copilot-Besitzer oder Copilot-Mitwirkender).
- Klicken Sie auf Hinzufügen.
Tipp
Es wird empfohlen, Sicherheitsgruppen zu verwenden, um Security Copilot Rollen anstelle einzelner Benutzer zuzuweisen. Dies reduziert die administrative Komplexität.
Die Rollen "Globaler Administrator " und "Sicherheitsadministrator " können nicht aus dem Zugriff "Besitzer" entfernt werden, aber die Gruppe "Jeder " kann vom Zugriff "Mitwirkender" entfernt werden. Erwägen Sie, die empfohlenen Rollen hinzuzufügen, nachdem Sie die Gruppe "Jeder" entfernt haben.
Microsoft Entra Rollenmitgliedschaft kann nur vom Microsoft Entra Admin Center aus verwaltet werden. Weitere Informationen finden Sie unter Verwalten Microsoft Entra Benutzerrollen.
Freigegebene Sitzungen
Copilot Mitwirkender Rolle ist die einzige Voraussetzung für die Freigabe eines Sitzungslinks oder das Anzeigen eines Sitzungslinks über diesen Mandanten.
Wenn Sie einen Sitzungslink freigeben, sollten Sie die folgenden Auswirkungen auf den Zugriff berücksichtigen:
- Security Copilot muss auf den Dienst und die Daten eines Plug-Ins zugreifen, um eine Antwort zu generieren, aber dieser Zugriff wird beim Anzeigen der freigegebenen Sitzung nicht ausgewertet. Wenn Sie beispielsweise Zugriff auf Geräte und Richtlinien in Intune haben und das Intune-Plug-In verwendet wird, um eine von Ihnen freigegebene Antwort zu generieren, benötigt der Empfänger des freigegebenen Sitzungslinks nicht Intune Zugriff, um die vollständigen Ergebnisse der Sitzung anzuzeigen.
- Eine freigegebene Sitzung enthält alle Eingabeaufforderungen und Antworten, die in der Sitzung enthalten sind, unabhängig davon, ob sie nach der ersten Oder der letzten Eingabeaufforderung freigegeben wurde.
- Nur der Benutzer, der eine Sitzung erstellt, steuert, welche Copilot-Benutzer auf diese Sitzung zugreifen können. Wenn Sie vom Ersteller der Sitzung einen Link für eine freigegebene Sitzung erhalten, haben Sie Zugriff. Wenn Sie diesen Link an eine andere Person weiterleiten, wird ihnen kein Zugriff gewährt.
- Freigegebene Sitzungen sind schreibgeschützt.
- Sitzungen können nur für Benutzer im selben Mandanten freigegeben werden, die Zugriff auf Copilot haben.
- In einigen Regionen wird die Sitzungsfreigabe per E-Mail nicht unterstützt.
SouthAfricaNorth
UAENorth
Weitere Informationen zu freigegebenen Sitzungen finden Sie unter Navigieren Security Copilot.
Mehrfachmandanten
Wenn Ihr organization über mehrere Mandanten verfügt, können Security Copilot die Authentifizierung über sie hinweg ermöglichen, um auf Sicherheitsdaten zuzugreifen, bei denen Security Copilot bereitgestellt wird. Der Mandant, der für Security Copilot bereitgestellt wird, muss nicht der Mandant sein, über den sich Ihr Sicherheitsanalyst anmeldet. Weitere Informationen finden Sie unter Navigieren Security Copilot Mandantenwechsel.
Beispiel für eine mandantenübergreifende Anmeldung
Contoso wurde kürzlich mit Fabrikam zusammengeführt. Beide Mandanten verfügen über Sicherheitsanalysten, aber nur Contoso hat Security Copilot erworben und bereitgestellt. Angus MacGregor, ein Analyst von Fabrikam, möchte seine Fabrikam-Anmeldeinformationen verwenden, um Security Copilot zu verwenden. Gehen Sie wie folgt vor, um diesen Zugriff zu erreichen:
Stellen Sie sicher, dass das Fabrikam-Konto von Angus MacGregor über ein externes Mitgliedskonto im Contoso-Mandanten verfügt.
Weisen Sie dem externen Mitgliedskonto die erforderlichen Rollen zu, um auf Security Copilot und die gewünschten Microsoft-Plug-Ins zuzugreifen.
Melden Sie sich beim Security Copilot-Portal mit dem Fabrikam-Konto an.
Wechseln Sie mandanten zu Contoso.
Weitere Informationen finden Sie unter Gewähren des MSSP-Zugriffs.