介绍如何启用 Microsoft 安全 Copilot
若要开始使用 Microsoft 安全 Copilot,组织需要采取一系列步骤来加入该服务并让用户开始使用。 这些设置包括:
- 预配 Copilot 容量
- 设置默认环境
- 分配角色权限
预配容量
Microsoft Security Copilot 作为消耗性产品/服务出售,这意味着客户基于预配的容量按月进行计费,而该容量是按小时计费的。 预配的容量称为安全计算单位 (SCU)。 SCU 是计算能力度量单位,用于在独立体验和嵌入式体验中运行 Copilot。
在用户开始使用 Copilot 之前,管理员需要预配和分配容量。 要预配容量:
必须具有 Azure 订阅。
你需要至少是资源组级别的 Azure 所有者或 Azure 参与者。
请记住,Microsoft Entra ID 中的全局管理员默认情况下并不一定具有 Azure 所有者或 Azure 参与者角色。 Microsoft Entra 角色分配不授予对 Azure 资源的访问权限。 Microsoft Entra 的全局管理员可以通过 Azure 门户启用 Azure 资源的访问管理。 有关详细信息,请参阅提升访问权限以管理所有 Azure 订阅和管理组。 启用 Azure 资源的访问管理后,可以配置相应的 Azure 角色。
预配容量有两个选项:
- 在 Security Copilot 中预配容量(建议)- 首次以管理员身份打开 Security Copilot 时,向导会指导你完成为组织设置容量的步骤。 该向导会提示你输入信息,包括 Azure 订阅、资源组、区域、容量名称和 SCU 数量。
- 通过 Azure 预配容量 - Azure 门户现在包括 Security Copilot 即服务。 选择服务,打开输入信息的页面,包括 Azure 订阅、资源组、区域、容量名称和 SCU 数量。
注意
无论选择哪种方法,都需要至少购买 1 个和最多 100 个 SCU。
无论选择哪种预配容量的方法,该过程都会在 Azure 订阅中获取信息并为 Microsoft Security Copilot 服务建立资源组。 SCU 是该资源组中的 Azure 资源。 部署 Azure 资源可能需要几分钟时间。
管理员完成加入 Copilot 的步骤后,他们就可以在 Azure 门户内或通过 Microsoft Security Copilot 产品本身增加或减少预配的 SCU 来管理容量。 Security Copilot 为容量所有者提供使用情况监视仪表板,允许他们跟踪一段时间内的使用情况,并做出有关容量预配的明智决策。 作为所有者,你可以了解会话中使用的单位数、会话期间使用的特定插件以及这些会话的发起方。 仪表板还允许应用筛选器和无缝导出使用情况数据。 仪表板包含最多 90 天的数据。
设置默认环境
若要设置默认环境,需要具有以下 Microsoft Entra ID 角色之一:
- 全局管理员
- 安全管理员
在设置安全 Copilot 期间,系统会提示配置设置。 这些设置包括:
SCU 容量 - 选择以前预配的 SCU 容量。
数据存储 - 当组织加入 Copilot 时,管理员必须确认租户的地理位置,因为服务收集的客户数据存储在那里。 Microsoft 安全 Copilot 在欧盟 (EUDB)、英国、美国、澳大利亚、新西兰、日本、加拿大和南美洲的 Microsoft Azure 数据中心运行。
确定提示的评估位置 - 可以将评估限制在你所在的地理位置内,也可以在世界任何地方进行评估。
在 Microsoft Purview 中记录审核数据 - 作为初始设置的一部分,并在独立体验的“所有者”设置下列出,你可以选择允许 Microsoft Purview 处理和存储管理员操作、用户操作和 Copilot 响应。 这包括来自任何 Microsoft 和非 Microsoft 集成的数据。 如果选择加入并且已使用 Microsoft Purview,则无需执行进一步操作。 如果选择加入但尚未使用 Purview,则需要按照 Microsoft Purview 指南设置有限的体验。
组织的数据 - 管理员还必须选择加入或选择退出数据共享选项。 这些选项是初始设置的一部分,也在独立体验的“所有者”设置下列出。 打开或关闭以下任一选项的切换:
允许 Microsoft 从安全 Copilot 捕获数据,以通过人工评审验证产品性能:启用后,客户数据将与 Microsoft 共享以改进产品。 系统会评估提示和响应,以了解是否选择了正确的插件,是否输出符合预期,以及如何改进响应、延迟和输出格式。
允许 Microsoft 从 Security Copilot 捕获数据并进行人工评审,以生成和验证 Microsoft 的安全 AI 模型:启用后,客户数据将与 Microsoft 共享以改进 Copilot AI。 选择加入并不意味着允许 Microsoft 使用客户数据来训练基础模型。 对提示和响应进行评估以增强响应并确保它们是你所期望的且对你有用的。
若要详细了解 Microsoft 如何处理数据,请参阅数据安全和隐私。
插件设置 - 管理员管理插件并配置是否允许 Security Copilot 访问 Microsoft 365 服务中的数据。
角色权限
为了确保用户可以访问 Copilot 的功能,他们需要具有适当的角色权限。
可以使用 Microsoft Entra ID 角色或安全 Copilot 角色分配权限。 最佳做法是提供适用于每个用户的最低特权角色。
Microsoft Entra ID 角色是:
- 全局管理员
- 安全管理员
- 安全操作员
- 安全读取者
尽管这些 Microsoft Entra ID 角色授予用户不同级别的 Copilot 访问权限,但这些角色超出了 Copilot 的范围。 因此,安全 Copilot 引入了两个功能类似于访问组的角色,但不是 Microsoft Entra ID 角色。 相反,它们仅控制对安全 Copilot 平台功能的访问。
Microsoft 安全 Copilot 角色是:
- Copilot 所有者
- Copilot 参与者
Microsoft Entra 中的安全管理员和全局管理员角色会自动继承 Copilot 所有者访问权限。
只有具有全局管理员、安全管理员或 Copilot 所有者角色的用户,才能通过向所有者和参与者角色中添加或删除成员的方式,在 Copilot 中分配角色。
作为具有参与者角色的成员,管理员/所有者可以纳入的一个组是建议的 Microsoft 安全角色组。 此组仅存在于 Security Copilot 中,是一组现有 Microsoft Entra 角色。 将此组添加为参与者角色的成员时,作为建议的 Microsoft 安全角色组中包含的 Entra ID 角色成员的所有用户都可以访问 Copilot 平台。 此选项提供了一种快速、安全的方法让组织中的用户访问 Copilot 平台,这些用户目前可以通过 Microsoft 插件访问 Copilot 使用的安全数据。
有关为每个角色授予的权限的详细列表,请参阅了解 Microsoft Security Copilot 中的身份验证中的“分配角色”部分。
Copilot 插件和角色要求
角色将控制你有权访问哪些活动,例如配置设置、分配权限或执行任务。 Copilot 不会超出你拥有的访问权限。 此外,各个 Microsoft 插件在访问其代表的服务和数据方面可能有自己的角色要求。 例如,已获分配安全操作员角色或 Copilot 工作区参与者角色的分析师能够访问 Copilot 门户和创建会话,但若要利用 Microsoft Sentinel 插件,则需要具有适当的角色,例如 Microsoft Sentinel 读取者,才能访问工作区中的事件。 若要访问通过 Microsoft Intune 插件提供的设备、特权和策略,该分析师需要另一个特定于服务的角色,例如 Intune 终结点安全管理员角色。
一般来说,Copilot 中的 Microsoft 插件使用 OBO(代表)模型 – 这意味着 Copilot 知道客户拥有特定产品的许可证,并且会自动登录到这些产品。 然后,启用插件并配置参数(如果适用)后,Copilot 就可以访问特定产品。 某些需要设置的 Microsoft 插件可能包括用于替代 OBO 模型的身份验证的可配置参数。