了解安全Microsoft Copilot中的身份验证
Copilot 使用代理身份验证通过活动Microsoft插件访问与安全相关的数据。 必须分配特定的安全 Copilot 角色,以便组或个人访问 Copilot for Security 平台。 向平台进行身份验证后,数据访问将确定提示中可用的插件。 你的角色控制你有权访问的其他活动,例如配置设置、分配权限和执行任务。
安全角色的 Copilot 不是 Entra 角色。 它们在 Copilot 中定义和管理,并且仅授予对 Copilot for Security 功能的访问权限。
Microsoft Entra角色授予对跨Microsoft产品组合的多个产品的访问权限。 这些角色通过Microsoft Entra 管理中心进行管理。 有关详细信息,请参阅向用户分配Microsoft Entra角色。
Azure IAM 角色 控制对 Azure 资源(如安全容量单位 (SCU) )的访问,作为订阅的一部分在资源组中。 有关详细信息,请参阅 分配 Azure 角色。
Access Copilot for Security 平台
为组织 载入 Copilot for Security 后,以下角色确定用户对 Copilot for Security 平台的访问权限。
安全角色的 Copilot
Copilot for Security 引入了两个角色,这些角色的作用类似于访问组,但不Microsoft Entra ID角色。 相反,它们仅控制对 Copilot for Security 平台功能的访问。
- Copilot 所有者
- Copilot 参与者
默认情况下,Microsoft Entra租户中的所有用户都获得 Copilot 参与者访问权限。
Microsoft Entra角色
以下Microsoft Entra角色自动继承 Copilot 所有者访问权限。
- 安全管理员
- 全局管理员
访问Microsoft插件的功能
Copilot for Security 不会超出你拥有的访问权限。 每个Microsoft插件都有自己的角色要求,用于调用插件的服务及其数据。 验证是否分配了适当的服务角色和许可证,以使用激活的 Microsoft 插件的功能。
请考虑以下示例:
Copilot 参与者
作为分析师,你将获得 Copilot 参与者访问权限,这使你能够访问 Copilot 平台,并能够创建会话。 遵循最低特权模型后,你没有任何Microsoft Entra角色,例如安全管理员。 但是,为了利用 Microsoft Sentinel 插件,你仍然需要适当的角色(如 Microsoft Sentinel Reader for Copilot)来访问Microsoft Sentinel工作区中的事件。 需要另一个特定于服务的角色(例如适用于 Copilot 的 Endpoint Security Manager)来访问通过 Intune 插件提供的设备、特权、策略和态势。 对于Microsoft Defender XDR,系统会为你分配一个自定义角色,该角色使你能够访问嵌入式 Copilot for Security 体验和 Copilot 访问Microsoft Defender XDR数据。
有关Defender XDR自定义角色的详细信息,请参阅 Microsoft Defender XDR统一 RBAC。
Microsoft Entra安全组
尽管 安全管理员 角色继承了对 Copilot 和某些插件功能的访问权限,但此角色包括
权限。 不建议仅为 Copilot 访问权限分配此角色。 请改为创建安全组,并将该组添加到相应的 Copilot 角色 (所有者或参与者) 。有关详细信息,请参阅Microsoft Entra角色的最佳做法。
访问嵌入体验
除了 Copilot 参与者 角色外,还验证每个 Copilot for Security 嵌入式体验的要求,以了解需要哪些额外的角色和许可证。
有关详细信息,请参阅安全 Copilot 体验。
共享会话
Copilot 参与者 角色是共享会话链接或从该租户查看会话链接的唯一要求。
共享会话链接时,请考虑以下访问影响:
- Copilot for Security 需要访问插件的服务和数据才能生成响应,但在查看共享会话时不会评估相同的访问权限。 例如,如果你有权访问 Intune 中的设备和策略,并且使用 Intune 插件生成共享的响应,则共享会话链接的接收者无需Intune访问权限即可查看会话的完整结果。
- 共享会话包含会话中包含的所有提示和响应,无论是在第一个提示之后还是最后一个提示之后共享。
- 只有创建会话的用户控制哪些 Copilot 用户可以访问该会话。 如果从会话创建者那里收到共享会话的链接,则你有权访问。 如果将该链接转发给其他人,则不会授予他们访问权限。
- 共享会话是只读的。
- 会话只能与同一租户中有权访问 Copilot 的用户共享。
- 某些区域不支持通过电子邮件进行会话共享。
SouthAfricaNorthUAENorth
有关共享会话的详细信息,请参阅 导航 Copilot for Security。
分配角色
下表说明了授予起始角色的默认访问权限。
注意
默认情况下,每个人都具有 Copilot 参与者 访问权限。 请考虑将这种广泛访问权限替换为特定用户或组。
| 功能 | Copilot 所有者 | Copilot 参与者 |
|---|---|---|
| 创建会话 | 是 | 是 |
| 管理个人自定义插件 | 是 | 默认否 |
| 允许参与者管理个人自定义插件 | 是 | 否 |
| 允许参与者发布租户的自定义插件 | 是 | 否 |
| 上传文件 | 是 | 是 |
| 运行 promptbook | 是 | 是 |
| 管理个人提示簿 | 是 | 是 |
| 与租户共享提示簿 | 是 | 是 |
| 更新数据共享和反馈选项 | 是 | 否 |
| 容量管理 | 是* | 否 |
| 查看使用情况仪表板 | 是 | 否 |
| 选择语言 | 是 | 是 |
为 Copilot 分配安全访问权限
在 Copilot 中为安全设置分配 Copilot 角色。
- 选择主
菜单。 - 选择 “角色分配>”“添加成员”。
- 开始在“ 添加成员 ”对话框中键入人员或组的名称。
- 选择个人或组。
- 选择要分配 (Copilot 所有者或 Copilot 参与者) 的 Copilot 安全角色。
- 选择“添加”。
提示
建议使用安全组为安全角色而不是单个用户分配 Copilot。 这可降低管理复杂性。
无法从“所有者”访问权限中删除全局管理员和安全管理员角色,但“每个人”组可从“参与者”访问权限中删除。 它也是一个有效的组,可根据需要重新添加。
Entra 角色成员身份只能从 Microsoft Entra 管理中心进行管理。 有关详细信息,请参阅管理Microsoft Entra用户角色。
多租户
如果组织有多个租户,则 Copilot for Security 可以跨租户进行身份验证,以访问预配了 Copilot for Security 的安全数据。 为 Copilot for Security 预配的租户不需要是安全分析师从中登录的租户。 有关详细信息,请参阅 导航 Copilot for Security 租户切换。
跨租户登录示例
Contoso 最近与 Fabrikam 合并。 这两个租户都有安全分析师,但只有 Contoso 购买并预配了 Copilot for Security。 来自 Fabrikam 的分析师 Angus MacGregor 希望使用其 Fabrikam 凭据使用 Copilot for Security。 下面是完成此访问的步骤:
确保 Angus MacGregor 的 Fabrikam 帐户在 Contoso 租户中具有外部成员帐户。
为外部成员帐户分配访问 Copilot for Security 和所需Microsoft插件所需的角色。
使用 Fabrikam 帐户登录到 Copilot for Security 门户。
将租户切换到 Contoso。
有关详细信息,请参阅 授予 MSSP 访问权限。