Microsoft IntuneのSecurity Copilot
Microsoft Security Copilotは、自然言語の Copilot エクスペリエンスを提供するクラウドベースの AI プラットフォームです。 インシデント応答、脅威ハンティング、インテリジェンス収集など、さまざまなシナリオでセキュリティ担当者をサポートするのに役立ちます。 実行できる操作の詳細については、「Microsoft Security Copilot とは?」を参照してください。
はじめに
Security Copilotを初めて使用する場合は、次の記事を読んで理解する必要があります。
- Microsoft Security Copilot とは
- Microsoft Security Copilotエクスペリエンス
- Microsoft Security Copilotの概要
- Microsoft Security Copilotでの認証について
- Microsoft Security Copilotでのプロンプト
Microsoft IntuneでのSecurity Copilot統合
Security Copilotと同じテナントでMicrosoft Intuneを使用する場合は、Security Copilotを使用して、Intune データに関する分析情報を取得できます。
Security Copilotに組み込まれているIntune機能があり、プロンプトを使用して、次のような詳細情報を取得できます。
- デバイス、アプリ、コンプライアンス & 構成ポリシー、およびIntuneで管理されているポリシーの割り当てに関する情報
- マネージド デバイスの属性とハードウェアの詳細
- 特定のデバイスに関する問題と、動作していないデバイス & 比較する
この記事では、Security CopilotのMicrosoft Intune データにアクセスする方法と、サンプル プロンプトが含まれています。
主な機能
Intuneで Copilot を使用するには、次の 3 つの領域があります。
セキュリティ管理者のフォーカス
Security Copilotには、Security Operations Center (SOC) またはセキュリティ管理者のフォーカスがあります。 そのため、SOC アナリストまたはセキュリティ管理者の場合は、Security Copilotを使用して、Intuneが管理するデバイスのセキュリティ体制を取得できます。
たとえば、悪意の兆候を示すユーザーまたはデバイスがあります。 また、Intuneに登録されている不明なデバイスなど、悪意のある意図の後にいくつかのイベントが発生していることがわかります。 盗まれた資格情報を使用して登録し、アクセスしようとしている人がいる可能性があります。 詳細を取得する必要があります。
Security Copilotでは、Intune機能を使用して、次のような詳細情報を取得できます。
- 特定のデバイスについて質問し、デバイス名、デバイス ID、デバイスの製造元など、そのデバイスに関するすべてのプロパティを取得します。
- デバイスがIntuneに登録されるタイミングを決定します。
- デバイスのプライマリ ユーザーを見つける
- ノート PC や携帯電話などのデバイスの種類を決定します。
- コンプライアンスの状態 (特にデバイスが非準拠の場合)、および非準拠である理由を確認します。
Microsoft Defenderでは、デバイスの種類など、この情報を使用して、次の手順を決定できます。 たとえば、デバイスの種類 (ノート PC と携帯電話、タブレット) に基づいてさまざまなアクションを実行できます。 Security Copilotは、Microsoft Defender内のデバイスへのリンクを提供して、任意の Defender アクションを実行することもできます。
知っておく必要があること
管理者がプロンプトを送信すると、Copilot は、管理者がアクセス許可を持つデータ (RBAC ロールと割り当てられたスコープ タグIntune含む) にのみアクセスできます。
管理者がSecurity CopilotのすべてのIntune データにアクセスする場合は、Microsoft Entra IDで次のロールを使用します。
- Intune サービス管理者 (Intune 管理者 とも呼ばれます)
ロールと認証の詳細については、次のページを参照してください。
Intune データには、Security Copilot ポータルでアクセスし、Intune管理センターで Copilot にアクセスできます。 IntuneとSecurity Copilotの Copilot に関するその他の一般的な質問の詳細については、「FAQ」のMicrosoft Copilot Intune参照してください。
IntuneでSecurity Copilot統合を有効にする
Security CopilotでIntune機能を使用するには、Intune プラグインを有効にします。
Security Copilotに移動し、資格情報でサインインします。
プロンプト バーで、[ソース ] (右隅) を選択 します 。
[ソースの管理] で、Microsoft Intuneを有効にします。
注:
一部のロールでは、プラグインを有効または無効にすることができます。 詳細については、「Microsoft Security Copilot のプラグインを管理する」を参照してください。
組み込みの機能を使用する
Security Copilotには、Intune管理者に役立つ組み込みのシステム機能があります。 Security Copilotのチュートリアルについては、「Microsoft Security Copilotの移動」を参照してください。
このセクションでは、Intune管理者に役立つ機能の一部について説明します。
システム機能
機能は、Microsoft Intuneなど、有効にしたさまざまなプラグインからデータを取得できる組み込みの機能です。 プロンプトを使用して、ユーザーやデバイスの詳細に割り当てられたアプリなど、Intune データについて何かを尋ねると、これらのIntune機能が使用されます。
Intuneの組み込みシステム機能Intune一覧を表示するには、次の手順に従います。
Security Copilot ポータルのプロンプト バーで、[Copilot プロンプト] アイコン >[すべてのシステム機能を表示する] を選択します。
[Microsoft Intune] セクションには、Intuneのすべての組み込み機能の一覧があります。 任意の機能を選択し、その機能に関する詳細情報を取得できます。
セッション
Microsoft Intune管理センターまたはSecurity Copilot ポータルでプロンプトを使用すると、セッションが保存されます。 保存されたセッションを表示するには、次の手順を使用します。
Security Copilot ポータルで、左上のメニュー>My セッションに移動します。
セッションを選択すると、前のプロンプトと結果が表示されます。 すべてのセッションには、URL にセッション ID もあります。 このセッション ID を他のユーザーと共有して、同じプロンプト セッションを確認できます。
たとえば、セッション ID は
https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d
のようなものです。
サンプル Intune プロンプト
Security Copilotで独自のプロンプトを作成して、Intune データに関する情報を取得できます。 このセクションでは、いくつかのアイデアと例を紹介します。
開始する前に
プロンプトは明確かつ具体的なものを使用します。 プロンプトに特定のデバイス ID または名前、アプリ名、またはポリシー名を含めれば、より良い結果が得られる場合があります。
また、次のように、Intune をプロンプトに追加 すると良い場合もあります。
- Intuneによると、今週登録されたデバイスの数はいくつですか?
- (ユーザー名) のデバイスIntuneについて教えてください。
さまざまなプロンプトとバリエーションを試して、ユース ケースに最適なものを確認します。 チャット AI モデルにはさまざまなものがあるため、受け取った結果に基づいてプロンプトを繰り返し調整します。
プロンプトをプロンプトブックに保存して、今後使用することもできます。 詳細については、次を参照してください:
Intune データに関する一般的な情報
デバイスの数、展開されたアプリ、デバイスのプラットフォーム バージョンなど、Intune データに関する一般的な情報を取得 します。
サンプル プロンプト:
- Intune にどのようなアプリが追加されていますか?
- 最も多く割り当てられている Intune アプリはどれですか?
- この 24 時間で Intune に登録されたデバイスの数はいくつですか?
- Jon Smith の Intune デバイスについて教えてください。
ポリシー ターゲット
特定のアプリが割り当てられているグループや、特定のアプリが割り当てられているユーザーの数など、ポリシー ターゲットの詳細を取得します。
サンプル プロンプト:
- ContosoApp が割り当てられているユーザーは何人ですか?
- ContosoApp はどのグループに割り当てられていますか?
- デバイス ID (デバイス ID を入力) に割り当てられているアプリはいくつありますか?
- DeviceA に "Microsoft Store アプリの自動更新を許可する" ポリシーが適用されるのはなぜですか?
- ユーザー UserA の Intune デバイスについて教えてください。
- PolicyA が DeviceB に適用されているのはなぜですか?
特定のデバイス
グループ メンバーシップや割り当てられたアプリなど、特定のデバイスに関する情報を取得します。
サンプル プロンプト:
- UserA@contoso.comで使用されるデバイスは何ですか?
- DeviceA はどのようなグループに含まれますか?
- DeviceA に関する操作アシスト。
- DeviceA のプライマリ ユーザーは誰ですか?
- ContosoApp は DeviceA にインストールされていますか?
- DeviceA で検出されたアプリを表示します。
類似点と相違点
両方のデバイスに割り当てられているコンプライアンス ポリシー、ハードウェア、デバイス構成など、2 つのデバイスの類似点と相違点を取得します。
サンプル プロンプト:
- DeviceA と DeviceB のハードウェア構成の違いは何ですか?
- DeviceA デバイスと DeviceB デバイス間のコンプライアンス ポリシーの類似点は何ですか?
- DeviceA と DeviceB のデバイス構成プロファイルの違いは何ですか?
- DeviceA と DeviceB にインストールされているアプリケーションを比較。
フィードバックの提供
Intune と Security Copilot の統合に関するフィードバックをいただけると、開発の参考になります。 フィードバックを提供するには、Security Copilotで、完了した各プロンプトの下部にあるフィードバック ボタンを使用します。
可能な限り、結果が期待どおりでない場合は、結果を改善するために何ができるかを説明する単語をいくつか書きます。 Intune 固有のプロンプトを入力し、結果が Intune に関連していない場合は、その情報を含めます。
Security Copilot のプライバシーとデータのセキュリティ
Security Copilot のデータ プライバシーに関する詳細は、「Microsoft Security Copilot のプライバシーとデータ セキュリティ」を参照してください。
Security Copilotと対話してIntuneデータを取得すると、Security CopilotはそのデータをIntuneからプルします。 プロンプト、取得された Intune データ、プロンプト結果に表示される出力は、Security Copilot サービス内で処理され、保存されます。
Security Copilotを使用してデータIntune取得する場合、Security Copilotには、RBAC ロールによって定義されたデータとアクセス許可、および割り当てられたIntuneスコープ タグにもアクセスできます。