Freigeben über


Grundlegendes zur Authentifizierung in Microsoft Security Copilot

Copilot verwendet die Im-Auftrag-of-Authentifizierung, um über aktive Microsoft-Plug-Ins auf sicherheitsrelevante Daten zuzugreifen. Bestimmte Security Copilot Rollen müssen zugewiesen werden, damit eine Gruppe oder Person auf die Security Copilot-Plattform zugreifen kann. Nachdem Sie bei der Plattform authentifiziert wurden, bestimmen Ihr Microsoft Entra und Azure Role Based Access Control (RBAC), welche Plug-Ins in Eingabeaufforderungen verfügbar sind. Ihre Security Copilot Rolle steuert, auf welche anderen Aktivitäten Sie auf der Plattform Zugriff haben, z. B. Konfigurieren von Einstellungen, Zuweisen von Berechtigungen und Ausführen von Aufgaben.

Security Copilot RBAC-Rollen sind keine Microsoft Entra Rollen. Security Copilot Rollen werden in Copilot definiert und verwaltet und gewähren nur Zugriff auf Security Copilot Features.

Microsoft Entra RBAC gewährt Zugriff auf das gesamte Microsoft-Produktportfolio, einschließlich Diensten, die Sicherheitsdaten enthalten. Diese Rollen werden über die Microsoft Entra Admin Center verwaltet. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra Rollen zu Benutzern.

Azure RBAC steuert den Zugriff auf Azure-Ressourcen wie Security Capacity Units (SCU) in einer Ressourcengruppe oder Microsoft Sentinel aktivierte Arbeitsbereiche. Weitere Informationen finden Sie unter Zuweisen von Azure-Rollen.

Zugriff auf Security Copilot-Plattform

Nachdem Security Copilot für Ihre organization integriert wurde, konfigurieren Sie Security Copilot RBAC, um den Zugriff der Benutzer auf die Security Copilot-Plattform zu bestimmen. Schichten Sie dann Ihre Sicherheitsabdeckung mit Richtlinien für bedingten Zugriff auf. Weitere Informationen zum Schützen des Zugriffs auf die Security Copilot-Plattform über RBAC hinaus finden Sie unter Schützen von KI mit einer Richtlinie für bedingten Zugriff.

Security Copilot Rollen

Security Copilot führt zwei Rollen ein, die wie Zugriffsgruppen funktionieren, aber nicht Microsoft Entra ID Rollen sind. Stattdessen steuern sie nur den Zugriff auf die Funktionen der Security Copilot-Plattform und bieten keinen Zugriff auf Sicherheitsdaten.

  • Copilot-Besitzer
  • Copilot Mitwirkender

Microsoft Entra Rollen

Die folgenden Microsoft Entra Rollen erben automatisch den Copilot-Besitzerzugriff, um sicherzustellen, dass Security Copilot immer mindestens einen Besitzer hat. globaler Administrator ist eine Microsoft Entra Rolle, die über integrierte Schutzmaßnahmen gegen das Entfernen verfügt. Weitere Informationen zur Kontinuität in Microsoft Entra finden Sie unter Verwalten von Konten für den Notfallzugriff.

  • Sicherheitsadministrator
  • Globaler Administrator

Stellen Sie den Zugriff auf Security Copilot mit der Rollengruppe Empfohlene Microsoft-Sicherheit bereit, die einen ausgewogenen Ansatz für Sicherheit und Verwaltungseffizienz verwendet. Benutzer, die über Microsoft Entra Rollen bereits über Sicherheitsberechtigungen verfügen, erhalten mit diesem Paket Mitwirkender Zugriff auf die Security Copilot-Plattform. Wenn die Gruppe Jeder zugewiesen ist, müssen Sie sie entfernen, bevor Sie die empfohlenen Sicherheitsrollen hinzufügen.

Screenshot: Partielle Liste empfohlener Sicherheitsrollen

Die Liste der empfohlenen Rollen enthält Microsoft Entra ID Rollen und einige dienstspezifische Rollen, z. B. Microsoft Purview-Rollen und Microsoft Defender Rollen.

Wenn ein Microsoft-Plug-In eine andere Rolle für den Zugriff auf seine Sicherheitsdaten benötigt, müssen Sie sicherstellen, dass auch die entsprechende Dienstrolle zugewiesen ist. Das Paket eignet sich beispielsweise gut für einen Analysten, dem die Rolle "Complianceadministrator " zugewiesen ist. Diese Rolle ist eine der von Microsoft Purview empfohlenen Rollen und gewährt ihnen Zugriff auf Microsoft Purview-Plug-In-Daten. Derselbe Analyst benötigt jedoch zusätzliche Rollenzuweisungen, um auf Sicherheitsdaten wie Microsoft Sentinel zuzugreifen. Weitere Beispiele finden Sie unter Zugreifen auf die Funktionen von Microsoft-Plug-Ins.

Rollenzuweisung Vorteil Schwäche
Empfohlene Microsoft-Sicherheitsrollen (Standard) Schnelle und sichere Möglichkeit, Benutzern in Ihrem organization, die bereits Zugriff auf Sicherheitsdaten haben, den Zugriff zu gewähren, den sie auf die Plattform benötigen. Weitere Rollen, Benutzer und Gruppen können weiterhin hinzugefügt werden. Die Gruppe ist alles oder nichts. Wenn in der empfohlenen Gruppe eine Rolle vorhanden ist, auf die Sie keinen Zugriff haben möchten, muss die gesamte Gruppe entfernt werden.
Jeder Diese Gruppe wurde ursprünglich standardmäßig Mitwirkender Zugriff gewährt, um die Bereitstellung zu vereinfachen. Wenn ein Benutzer in der Gruppe "Jeder" keinen Zugriff auf Sicherheitsdaten hat, ist die Erfahrung in Security Copilot verwirrend.
Custom Vollständige Kontrolle über Benutzer und Gruppen mit Zugriff auf die Plattform. Erfordert eine größere administrative Komplexität.

Hinweis

Die Zuweisung der empfohlenen Microsoft-Sicherheitsrollen zu Copilot ist die Standardeinstellung für neue Security Copilot-Instanzen. Vorhandene Kunden, denen die Gruppe "Jeder" zugewiesen ist, können die Zuweisung weiterhin verwenden. Wenn die Gruppe "Jeder" jedoch entfernt wird, kann sie nicht mehr zugewiesen werden.

Zugreifen auf die Funktionen von Microsoft-Plug-Ins

Security Copilot geht nicht über ihren Zugriff hinaus und entspricht dem Sicherheits- und Datenschutz-RAI-Prinzip von Microsoft. Jedes Microsoft-Plug-In verfügt über eigene Rollenanforderungen, die für den Zugriff auf den Dienst des Plug-Ins und seine Daten gelten. Vergewissern Sie sich, dass Ihnen die richtigen Rollen und Lizenzen zugewiesen sind, um die Funktionen der aktivierten Microsoft-Plug-Ins zu verwenden.

Sehen Sie sich die folgenden Beispiele an:

  1. Copilot Mitwirkender

    Als Analyst wird Ihnen die Rolle Copilot Mitwirkender für den Zugriff auf die Copilot-Plattform und die Möglichkeit zum Erstellen von Sitzungen zugewiesen. Diese Zuweisung allein bietet Ihnen keinen Zugriff auf die Sicherheitsdaten Ihrer organization. Nach dem Modell mit den geringsten Rechten verfügen Sie nicht über vertrauliche Microsoft Entra Rollen wie Sicherheitsadministratoren. Um Copilot für den Zugriff auf Sicherheitsdaten wie das Microsoft Sentinel-Plug-In verwenden zu können, benötigen Sie weiterhin eine entsprechende Azure RBAC-Rolle wie Microsoft Sentinel Reader. Diese Rolle bietet Ihnen Zugriff auf Incidents in Ihrem Microsoft Sentinel Arbeitsbereich von Copilot. Damit Ihre Copilot-Sitzung auf die Geräte, Richtlinien und Status zugreifen kann, die über das Intune-Plug-In verfügbar sind, benötigen Sie eine Intune Rolle wie endpoint Security Manager. Das gleiche Muster gilt für den Zugriff auf Microsoft Defender XDR Daten über Ihre Copilot-Sitzung oder die eingebetteten Security Copilot Erfahrungen.

    Weitere Informationen zur dienstspezifischen rollenbasierten Zugriffssteuerung finden Sie in den folgenden Artikeln:

  2. Microsoft Entra Sicherheitsgruppe

    Obwohl die Rolle "Sicherheitsadministrator " den Zugriff auf Copilot und bestimmte Plug-In-Funktionen erbt, umfasst diese Rolle Berechtigungen. Weisen Sie Benutzern diese Rolle nicht nur für den Copilot-Zugriff zu. Erstellen Sie stattdessen eine Sicherheitsgruppe, und fügen Sie diese Gruppe der entsprechenden Copilot-Rolle (Besitzer oder Mitwirkender) hinzu.

    Weitere Informationen finden Sie unter Bewährte Methoden für Microsoft Entra Rollen.

  3. Empfohlene Microsoft-Sicherheitsrollen

    Einem Analysten mit Zugriff auf die Plattform für einheitliche Sicherheitsvorgänge von Microsoft ist eine benutzerdefinierte Defender XDR Rolle zugewiesen, die ihm Zugriff auf mehrere Workloads im Defender-Portal gewährt. Wenn die Sicherheitsvorgänge für benutzerdefinierte Rollen Security Copilot umfassen, erhalten sie über die Microsoft-Sicherheitsrollen empfehlen Zugriff auf die Security Copilot-Plattform sowie auf Copilot in Microsoft Defender, wodurch die Sicherheitsverwaltung vereinfacht wird.

    Screenshot: Rolle

Zugreifen auf eingebettete Umgebungen

Überprüfen Sie zusätzlich zur Rolle Copilot Mitwirkender die Anforderungen für jede Security Copilot eingebettete Erfahrung, um zu verstehen, welche zusätzlichen Rollen und Lizenzen erforderlich sind.

Weitere Informationen finden Sie unter Security Copilot Erfahrungen.

Zuweisen von Rollen

Die folgende Tabelle veranschaulicht den Standardzugriff, der Startrollen gewährt wird.

Hinweis

Einige Organisationen verfügen möglicherweise weiterhin über die Gruppe Jeder, die Copilot Mitwirkender Zugriff zugewiesen ist. Erwägen Sie, diesen allgemeinen Zugriff durch die Gruppe empfohlene Microsoft-Sicherheitsrollen zu ersetzen.

Funktion Copilot-Besitzer Copilot Mitwirkender
Erstellen von Sitzungen Ja Ja
Verwalten von persönlichen benutzerdefinierten Plug-Ins Ja Standard nein
Zulassen, dass Mitwirkende persönliche benutzerdefinierte Plug-Ins verwalten Ja Nein
Zulassen, dass Mitwirkende benutzerdefinierte Plug-Ins für den Mandanten veröffentlichen Ja Nein
Ändern der Verfügbarkeit vorinstallierter Plug-Ins für den Mandanten Ja Nein
Dateien hochladen Ja Standard ja
Verwalten der Verwendung von Uploaddateien Ja Nein
Ausführen von Promptbooks Ja Ja
Verwalten von persönlichen Promptbooks Ja Ja
Freigeben von Promptbooks für den Mandanten Ja Ja
Aktualisieren von Datenfreigabe- und Feedbackoptionen Ja Nein
Kapazitätsverwaltung Ja* Nein
Anzeigen der nutzungs Dashboard Ja Nein
Sprache auswählen Ja Ja

Zuweisen Security Copilot Zugriffs

Weisen Sie Copilot-Rollen in Security Copilot Einstellungen zu.

  1. Wählen Sie das Startmenü aus.
  2. Wählen Sie Rollenzuweisung>Mitglieder hinzufügen aus.
  3. Beginnen Sie mit der Eingabe des Namens der Person oder Gruppe im Dialogfeld Mitglieder hinzufügen .
  4. Wählen Sie die Person oder Gruppe aus.
  5. Wählen Sie die Security Copilot Rolle aus, die zugewiesen werden soll (Copilot-Besitzer oder Copilot-Mitwirkender).
  6. Klicken Sie auf Hinzufügen.

Screenshot: Zuweisen von Copilot-Rollen einschließlich empfohlener Sicherheitsrollen

Tipp

Es wird empfohlen, Sicherheitsgruppen zu verwenden, um Security Copilot Rollen anstelle einzelner Benutzer zuzuweisen. Dies reduziert die administrative Komplexität.

Die Rollen "Globaler Administrator " und "Sicherheitsadministrator " können nicht aus dem Zugriff "Besitzer" entfernt werden, aber die Gruppe "Jeder " kann vom Zugriff "Mitwirkender" entfernt werden. Erwägen Sie, die empfohlenen Rollen hinzuzufügen, nachdem Sie die Gruppe "Jeder" entfernt haben.

Microsoft Entra Rollenmitgliedschaft kann nur vom Microsoft Entra Admin Center aus verwaltet werden. Weitere Informationen finden Sie unter Verwalten Microsoft Entra Benutzerrollen.

Freigegebene Sitzungen

Copilot Mitwirkender Rolle ist die einzige Voraussetzung für die Freigabe eines Sitzungslinks oder das Anzeigen eines Sitzungslinks über diesen Mandanten.

Wenn Sie einen Sitzungslink freigeben, sollten Sie die folgenden Auswirkungen auf den Zugriff berücksichtigen:

  • Security Copilot muss auf den Dienst und die Daten eines Plug-Ins zugreifen, um eine Antwort zu generieren, aber dieser Zugriff wird beim Anzeigen der freigegebenen Sitzung nicht ausgewertet. Wenn Sie beispielsweise Zugriff auf Geräte und Richtlinien in Intune haben und das Intune-Plug-In verwendet wird, um eine von Ihnen freigegebene Antwort zu generieren, benötigt der Empfänger des freigegebenen Sitzungslinks nicht Intune Zugriff, um die vollständigen Ergebnisse der Sitzung anzuzeigen.
  • Eine freigegebene Sitzung enthält alle Eingabeaufforderungen und Antworten, die in der Sitzung enthalten sind, unabhängig davon, ob sie nach der ersten Oder der letzten Eingabeaufforderung freigegeben wurde.
  • Nur der Benutzer, der eine Sitzung erstellt, steuert, welche Copilot-Benutzer auf diese Sitzung zugreifen können. Wenn Sie vom Ersteller der Sitzung einen Link für eine freigegebene Sitzung erhalten, haben Sie Zugriff. Wenn Sie diesen Link an eine andere Person weiterleiten, wird ihnen kein Zugriff gewährt.
  • Freigegebene Sitzungen sind schreibgeschützt.
  • Sitzungen können nur für Benutzer im selben Mandanten freigegeben werden, die Zugriff auf Copilot haben.
  • In einigen Regionen wird die Sitzungsfreigabe per E-Mail nicht unterstützt.
    • SouthAfricaNorth
    • UAENorth

Weitere Informationen zu freigegebenen Sitzungen finden Sie unter Navigieren Security Copilot.

Mehrfachmandanten

Wenn Ihr organization über mehrere Mandanten verfügt, können Security Copilot die Authentifizierung über sie hinweg ermöglichen, um auf Sicherheitsdaten zuzugreifen, bei denen Security Copilot bereitgestellt wird. Der Mandant, der für Security Copilot bereitgestellt wird, muss nicht der Mandant sein, über den sich Ihr Sicherheitsanalyst anmeldet. Weitere Informationen finden Sie unter Navigieren Security Copilot Mandantenwechsel.

Beispiel für eine mandantenübergreifende Anmeldung

Contoso wurde kürzlich mit Fabrikam zusammengeführt. Beide Mandanten verfügen über Sicherheitsanalysten, aber nur Contoso hat Security Copilot erworben und bereitgestellt. Angus MacGregor, ein Analyst von Fabrikam, möchte seine Fabrikam-Anmeldeinformationen verwenden, um Security Copilot zu verwenden. Gehen Sie wie folgt vor, um diesen Zugriff zu erreichen:

  1. Stellen Sie sicher, dass das Fabrikam-Konto von Angus MacGregor über ein externes Mitgliedskonto im Contoso-Mandanten verfügt.

  2. Weisen Sie dem externen Mitgliedskonto die erforderlichen Rollen zu, um auf Security Copilot und die gewünschten Microsoft-Plug-Ins zuzugreifen.

  3. Melden Sie sich beim Security Copilot-Portal mit dem Fabrikam-Konto an.

  4. Wechseln Sie mandanten zu Contoso.

    Screenshot: Wechsel des Fabrikam-Kontos zum Contoso-Mandanten

Weitere Informationen finden Sie unter Gewähren des MSSP-Zugriffs.

Verwalten von Promptbooks

Die Promptbookerstellung ist für alle Rollen verfügbar, einschließlich der Möglichkeit, ein benutzerdefiniertes Promptbook für den Mandanten zu veröffentlichen. Wählen Sie aus, ob Sie zum Zeitpunkt der Erstellung ein Promptbook für sich selbst oder den Mandanten veröffentlichen möchten.

Weitere Informationen finden Sie unter Erstellen eines eigenen Promptbooks.

Vorinstallierte Plug-In-Authentifizierung

Vorinstallierte Plug-Ins wie Microsoft Sentinel und Azure AI Search erfordern eine weitere Einrichtung. Der Plug-In-Anbieter bestimmt den Authentifizierungstyp. Jedes Plug-In mit dem Zahnrad oder der Schaltfläche "Einrichten " wird pro Benutzer konfiguriert. Unabhängig davon, ob ein vorinstalliertes Plug-In eingeschränkt ist, konfigurieren alle Benutzer, die Zugriff auf das Plug-In haben, das Setup dieses Plug-Ins für sich selbst.

Hinweis

Website-Plug-Ins verwenden anonyme Authentifizierung, um auf Inhalte zuzugreifen.

Weitere Informationen finden Sie unter Verwalten vorinstallierter Plug-Ins.