Общие сведения о проверке подлинности в Microsoft Security Copilot
Copilot использует проверку подлинности от имени для доступа к данным, связанным с безопасностью, через активные подключаемые модули Майкрософт. Для доступа к Security Copilot платформы группе или отдельному лицу необходимо назначить определенные роли Security Copilot. После проверки подлинности на платформе Microsoft Entra и контроль доступа на основе ролей Azure (RBAC) определяют, какие подключаемые модули доступны в запросах. Роль Security Copilot управляет другими действиями, к которых у вас есть доступ на платформе, например настройкой параметров, назначением разрешений и выполнением задач.
Security Copilot роли RBAC не являются Microsoft Entra ролями. Security Copilot роли определяются и управляются в Copilot и предоставляют доступ только к Security Copilot функциям.
Microsoft Entra RBAC предоставляет доступ к портфелю продуктов Майкрософт, включая службы, содержащие данные безопасности. Управление этими ролями осуществляется через Центр администрирования Microsoft Entra. Дополнительные сведения см. в статье Назначение Microsoft Entra ролей пользователям.
Azure RBAC управляет доступом к ресурсам Azure, таким как единицы емкости безопасности (SCU) в группе ресурсов или Microsoft Sentinel рабочих областей с поддержкой. Дополнительные сведения см. в статье Назначение ролей Azure.
Доступ к платформе Security Copilot
После подключения Security Copilot для вашей организации настройте Security Copilot RBAC, чтобы определить доступ пользователей к Security Copilot платформе. Затем наслойте покрытие безопасности политиками условного доступа. Дополнительные сведения о защите доступа к Security Copilot платформе за пределами RBAC см. в статье Защита ИИ с помощью политики условного доступа.
Security Copilot роли
Security Copilot представлены две роли, которые работают как группы доступа, но не являются Microsoft Entra ID ролями. Вместо этого они управляют доступом только к возможностям платформы Security Copilot и не предоставляют доступ к данным безопасности.
- Владелец Copilot
- Copilot участник
роли Microsoft Entra
Следующие Microsoft Entra роли автоматически наследуют доступ владельца Copilot, гарантируя, что у Security Copilot всегда есть хотя бы один владелец. глобальный администратор — это Microsoft Entra роль, которая имеет встроенную защиту от удаления. Дополнительные сведения о непрерывности в Microsoft Entra см. в статье Управление учетными записями аварийного доступа.
- Администратор безопасности
- Глобальный администратор
Рекомендуемые роли
Подготовьте доступ к Security Copilot с помощью группы рекомендуемых ролей безопасности Майкрософт, которая использует сбалансированный подход к безопасности и эффективности администрирования. Пользователям, у которых уже есть разрешение на безопасность через Microsoft Entra роли, предоставляется участник доступ к платформе Security Copilot с помощью этого пакета. Если назначена группа Все , ее необходимо удалить, прежде чем добавлять рекомендуемые роли безопасности.
Список рекомендуемых ролей включает Microsoft Entra ID роли и некоторые роли, относящиеся к службе, например роли Microsoft Purview и Microsoft Defender роли.
Если подключаемому модулю Майкрософт требуется другая роль для доступа к данным безопасности, необходимо убедиться, что также назначена соответствующая роль службы. Например, пакет хорошо подходит для аналитика, которому назначена роль администратора соответствия требованиям . Эта роль является одной из рекомендуемых ролей Microsoft Purview и предоставляет им доступ к данным подключаемого модуля Microsoft Purview. Этот же аналитик нуждается в дополнительных назначениях ролей для доступа к данным безопасности, таким как Microsoft Sentinel однако. Дополнительные примеры см. в статье Доступ к возможностям подключаемых модулей Майкрософт.
| Назначение ролей | Преимущество | Слабость |
|---|---|---|
| Рекомендуемые роли безопасности Майкрософт (по умолчанию) | Быстрый и безопасный способ предоставления пользователям в организации, у которых уже есть доступ к данным безопасности, доступ к платформе. Дополнительные роли, пользователи и группы по-прежнему можно добавить. | Группа — "все" или "ничего". Если в рекомендуемой группе есть роль, к которой вы не хотите иметь доступ, необходимо удалить всю группу. |
| Все | Изначально этой группе был предоставлен участник доступ по умолчанию для упрощения подготовки. | Если пользователь в группе "Все" не имеет доступа к каким-либо данным безопасности, взаимодействие с Security Copilot сбивает с толку. |
| Custom | Полный контроль над пользователями и группами с доступом к платформе. | Требует большей сложности администрирования. |
Примечание.
Назначение рекомендуемых ролей безопасности Майкрософт Для Новых экземпляров Security Copilot используется по умолчанию. Существующие клиенты, которым назначена группа "Все", могут продолжать использовать это назначение. Однако если группа "Все" удалена, ее нельзя назначить повторно.
Доступ к возможностям подключаемых модулей Майкрософт
Security Copilot не выходит за рамки доступа, что соответствует принципу RAI безопасности и конфиденциальности Майкрософт. Каждый подключаемый модуль Майкрософт имеет собственные требования к роли, которые остаются в силе для доступа к службе подключаемого модуля и его данным. Убедитесь, что вам назначены соответствующие роли и лицензии для использования возможностей активированных подключаемых модулей Майкрософт.
Рассмотрим следующие примеры:
Copilot участник
Как аналитику вам назначена роль Copilot участник для доступа к платформе Copilot и возможности создания сеансов. Это назначение само по себе не предоставляет доступ к данным безопасности вашей организации. В соответствии с моделью с наименьшими привилегиями у вас нет конфиденциальных Microsoft Entra ролей, таких как администратор безопасности. Чтобы использовать Copilot для доступа к данным безопасности, таким как подключаемый модуль Microsoft Sentinel, вам по-прежнему требуется соответствующая роль Azure RBAC, например читатель Microsoft Sentinel. Эта роль предоставляет доступ к инцидентам в рабочей области Microsoft Sentinel из Copilot. Чтобы сеанс Copilot был доступен к устройствам, политикам и состояниям, доступным через подключаемый модуль Intune, требуется роль Intune, например Диспетчер безопасности конечных точек. Тот же шаблон относится к доступу к Microsoft Defender XDR данным через сеанс Copilot или внедренные Security Copilot интерфейсы.
Дополнительные сведения о RBAC для конкретной службы см. в следующих статьях:
группа безопасности Microsoft Entra
Хотя роль "Администратор безопасности " наследует доступ к Copilot и определенным возможностям подключаемого модуля, эта роль включает
разрешения. Не назначайте пользователям эту роль исключительно для доступа Copilot. Вместо этого создайте группу безопасности и добавьте ее в соответствующую роль Copilot (Владелец или Участник).Дополнительные сведения см. в разделе Рекомендации по Microsoft Entra ролям.
Рекомендуемые роли безопасности Майкрософт
Аналитику с доступом к единой платформе майкрософт по операциям безопасности назначена настраиваемая Defender XDR роль, которая предоставляет им доступ к нескольким рабочим нагрузкам на портале Defender. Если операции безопасности пользовательских ролей включают Security Copilot, то роли "Рекомендация безопасности Майкрософт" предоставляют им доступ к платформе Security Copilot, а также к Copilot в Microsoft Defender, упрощая управление безопасностью.
Доступ к внедренным интерфейсам
В дополнение к роли Copilot участник проверьте требования для каждого встроенного интерфейса Security Copilot, чтобы понять, какие дополнительные роли и лицензии требуются.
Дополнительные сведения см. в разделе Security Copilot взаимодействия.
Назначение ролей
В следующей таблице показан доступ по умолчанию, предоставляемый начальным ролям.
Примечание.
Некоторые организации могут по-прежнему иметь группу Все, назначенную Copilot участник доступа. Рассмотрите возможность замены этого широкого доступа группой рекомендуемых ролей безопасности Майкрософт .
| Возможность | Владелец Copilot | Copilot участник |
|---|---|---|
| Создание сеансов | Да | Да |
| Управление личными настраиваемыми подключаемыми модулями | Да | Значение по умолчанию Нет |
| Разрешить участникам управлять личными настраиваемыми подключаемыми модулями | Да | Нет |
| Разрешить участникам публиковать пользовательские подключаемые модули для клиента | Да | Нет |
| Изменение доступности предварительно установленных подключаемых модулей для клиента | Да | Нет |
| Отправка файлов | Да | Да по умолчанию |
| Управление использованием файлов отправки | Да | Нет |
| Запуск модулей promptbook | Да | Да |
| Управление личными модулями подсказок | Да | Да |
| Общий доступ к модулям командной строки с клиентом | Да | Да |
| Обновление параметров общего доступа к данным и обратной связи | Да | Нет |
| Управление емкостью | Да* | Нет |
| Просмотр панели мониторинга использования | Да | Нет |
| Выбрать язык | Да | Да |
Назначение доступа Security Copilot
Назначьте роли Copilot в Security Copilot параметрах.
- Выберите меню "
Главная". - Выберите Назначение ролей>Добавить участников.
- Начните вводить имя пользователя или группы в диалоговом окне Добавление участников .
- Выберите пользователя или группу.
- Выберите роль Security Copilot для назначения (владелец Copilot или copilot участник).
- Нажмите Добавить.
Совет
Мы рекомендуем использовать группы безопасности для назначения Security Copilot ролей вместо отдельных пользователей. Это снижает сложность администрирования.
Роли глобального администратора и администратора безопасности нельзя удалить из доступа владельца, но группа Все можно удалить из доступа участника. Рекомендуется добавить рекомендуемые роли после удаления группы "Все".
Microsoft Entra членство в роли можно управлять только из Центр администрирования Microsoft Entra. Дополнительные сведения см. в разделе Управление ролями пользователей Microsoft Entra.
Общие сеансы
Роль Copilot участник является единственным требованием для предоставления общего доступа к ссылке на сеанс или просмотра из этого клиента.
При совместном использовании канала сеанса учитывайте следующие последствия для доступа:
- Security Copilot требуется доступ к службе и данным подключаемого модуля для создания ответа, но этот же доступ не оценивается при просмотре общего сеанса. Например, если у вас есть доступ к устройствам и политикам в Intune, а подключаемый модуль Intune используется для создания ответа, который вы предоставляете, получателю ссылки на общий сеанс не требуется Intune доступ для просмотра полных результатов сеанса.
- Общий сеанс содержит все запросы и ответы, включенные в сеанс, независимо от того, был ли он предоставлен после первого запроса или последнего.
- Только пользователь, создающий сеанс, управляет доступом к которому пользователи Copilot могут получить доступ к сеансу. Если вы получаете ссылку на общий сеанс от создателя сеанса, у вас есть доступ. Если вы пересылаете эту ссылку другому пользователю, это не предоставляет ему доступ.
- Общие сеансы доступны только для чтения.
- Сеансы могут предоставляться только пользователям в том же клиенте, которые имеют доступ к Copilot.
- Некоторые регионы не поддерживают общий доступ к сеансам по электронной почте.
SouthAfricaNorthUAENorth
Дополнительные сведения о общих сеансах см. в статье Навигация по Security Copilot.
Мультитенантные
Если в вашей организации несколько клиентов, Security Copilot может обеспечить проверку подлинности для доступа к данным безопасности, где подготовлены Security Copilot. Клиент, подготовленный для Security Copilot, не должен быть клиентом, из который входит аналитик по безопасности. Дополнительные сведения см. в статье Перемещение Security Copilot переключение клиентов.
Пример входа между клиентами
Недавно компания Contoso объединилась с Fabrikam. Оба клиента имеют аналитиков по безопасности, но только Contoso приобрел и подготовил Security Copilot. Ангус Макгрегор, аналитик из Fabrikam, хочет использовать свои учетные данные Fabrikam для использования Security Copilot. Ниже приведены шаги для этого доступа.
Убедитесь, что учетная запись Fabrikam Ангуса MacGregor имеет внешнюю учетную запись участника в клиенте Contoso.
Назначьте внешней учетной записи участника необходимые роли для доступа к Security Copilot и требуемым подключаемым модулям Майкрософт.
Войдите на портал Security Copilot с помощью учетной записи Fabrikam.
Переключение клиентов на Contoso.
Дополнительные сведения см. в разделе Предоставление доступа MSSP.
Управление модулями командной строки
Создание модуля Promptbook доступно для всех ролей, включая возможность публикации пользовательского модуля командной строки для клиента. Выберите, следует ли опубликовать сборник подсказок для себя или клиента во время создания.
Дополнительные сведения см. в статье Создание собственного модуля командной строки.
Предустановленная проверка подлинности подключаемого модуля
Предварительно установленные подключаемые модули, такие как Microsoft Sentinel и Поиск Azure AI, требуют дополнительной настройки. Поставщик подключаемого модуля определяет тип проверки подлинности. Любой подключаемый модуль с шестеренкой 
или кнопкой "Настроить " настраивается для каждого пользователя. Независимо от того, ограничен ли предустановленный подключаемый модуль, все пользователи, имеющие доступ к подключаемого модуля, настраивают настройку этого подключаемого модуля для себя.
Примечание.
Подключаемые модули веб-сайта используют анонимную проверку подлинности для доступа к содержимому.
Дополнительные сведения см. в разделе Управление предварительно установленными подключаемыми модулями.