共用方式為


Microsoft Intune中的 Security Copilot

Microsoft Security Copilot 是雲端式 AI 平臺,可提供自然語言 Copilot 體驗。 它可以協助支援不同案例中的安全性專業人員,例如事件回應、威脅搜捕和情報收集。 如需有關可以執行哪些功能的詳細資訊,請前往 什麼是 Microsoft 安全性 Copilot?

開始之前的須知事項

如果您不熟悉 Security Copilot,您應該閱讀下列文章來熟悉它:

Security Copilot中的整合 Microsoft Intune

如果您在 Security Copilot 的相同租使用者中使用 Microsoft Intune,則可以使用 Security Copilot 來取得 Intune 數據的深入解析。

Security Copilot 內建 Intune 功能,您可以使用提示來取得詳細資訊,包括:

  • 裝置、應用程式、合規性 & 設定原則,以及在 Intune 中管理的原則指派的相關信息
  • 管理的裝置屬性和硬體詳細數據
  • 特定裝置的問題,並比較工作 & 非工作裝置

本文說明如何在 Security Copilot 中存取 Microsoft Intune 數據,並包含範例提示。

重點功能

有三個區域可在 Intune 中使用 Copilot:

安全性系統管理員焦點

Security Copilot 具有資訊安全作業中心 (SOC) 或安全性系統管理員焦點。 因此,如果您是SOC分析師或安全性系統管理員,則可以使用 Security Copilot來取得 Intune管理之裝置的安全性狀態。

例如,有一個使用者或裝置顯示惡意意圖的徵兆。 此外,您也注意到某些事件會在惡意意圖之後發生,例如在 Intune 中註冊的未知裝置。 也許有人嘗試使用遭竊的認證來註冊並取得存取權。 您需要取得詳細資訊。

在 Security Copilot 中,您可以使用 Intune 功能來取得詳細資訊,例如:

  • 詢問特定裝置,取得該裝置的所有屬性,包括裝置名稱、裝置標識碼和裝置製造商。
  • 判斷裝置在 Intune 中註冊的時機。
  • 尋找裝置的主要使用者
  • 判斷裝置的類型,例如膝上型計算機或行動電話。
  • 檢查合規性狀態,特別是當裝置不符合規範時,以及其不符合規範的原因。

在 Microsoft Defender 中,您可以使用此資訊,包括裝置類型,來判斷後續步驟。 例如,您可以根據膝上型電腦與行動電話與平板電腦) (裝置類型,採取不同的動作。 Security Copilot 也可以在 Microsoft Defender 中提供裝置的連結,以便執行任何 Defender 動作。

您需要知道的事項

在 Intune 中啟用 Security Copilot 整合

若要在 Security Copilot 中使用 Intune 功能,請啟用 Intune 外掛程式。

  1. 移至 Security Copilot,並使用您的認證登入。

  2. 在提示欄中,選取右 () 的 [ 來源 ]。

    此螢幕快照顯示 Microsoft Security Copilot 中可用、啟用和停用的外掛程式來源。

  3. [管理來源] 中,開啟 Microsoft Intune:

    顯示 Security Copilot 中啟用 Microsoft Intune 外掛程式來源的螢幕快照。

    注意事項

    某些角色可以啟用或停用外掛程式。 如需詳細資訊,請移至 Microsoft 安全性 Copilot

使用內建功能

在 Security Copilot 中,有內建系統功能有助於 Intune 系統管理員。 如需 Security Copilot的逐步解說,請移至流覽 Microsoft Security Copilot

本節說明一些對 Intune 系統管理員很有説明的功能。

系統功能

功能是內建功能,可從您啟用的不同外掛程式取得數據,包括 Microsoft Intune。 當您使用提示詢問 Intune 數據的相關信息,例如指派給使用者或裝置詳細數據的應用程式時,您的提示會使用這些 Intune 功能。

若要檢視 Intune 的 Intune 內建系統功能清單,請使用下列步驟:

  1. 入口網站 Security Copilot 提示欄中,選取 Copilot 提示圖示 >[查看所有系統功能]

    顯示如何在 Security Copilot 中選取提示圖示和系統功能的螢幕快照。

  2. 在 [Microsoft Intune] 區段中,有一份 Intune 的所有內建功能清單。 您可以選取任何功能,並取得該功能的詳細資訊。

工作階段

當您在 Microsoft Intune 系統管理中心或 Security Copilot 入口網站中使用提示時,會儲存會話。 若要查看已儲存的會話,請使用下列步驟:

  1. Security Copilot 入口網站中,移至左>上方 [我的會話] 功能表。

  2. 當您選取會話時,會顯示先前的提示和結果。 每個會話在 URL 中也有會話標識碼。 您可以與其他人共用此會話標識碼,以檢閱相同的提示會話。

    例如,您的工作階段識別碼類似 https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d

範例 Intune 提示

您可以在 Security Copilot 中建立自己的提示,以取得 Intune 數據的相關信息。 本節列出一些構想和範例。

開始之前

  • 您的提示務必清楚且明確。 如果您在提示中包含特定裝置識別碼或名稱、應用程式名稱或原則名稱,可能會得到更好的結果。

    在提示中新增 Intune,也可能有所幫助,例如:

    • 根據 Intune,本周已註冊多少裝置?
    • 請告訴我有關 (用戶名稱) 的 Intune 裝置。
  • 嘗試不同的提示和變化,以查看最適合您使用案例的方式。 聊天 AI 模型各有不同,因此請根據您收到的結果來逐一查看並精簡您的提示。

    您也可以將提示儲存在提示書中,以供日後使用。 如需詳細資訊,請移至:

Intune 資料的一般資訊

取得 Intune 資料的 一般資訊,例如裝置數目、已部署的應用程式、裝置的平臺版本等等。

範例提示:

  • 哪些應用程式會新增到 Intune?
  • 哪些 Intune 應用程式最常被指派?
  • 過去 24 小時內在 Intune 中註冊的裝置數為何?
  • 告訴我 Jon Smith 的 Intune 裝置的詳細資訊。

原則目標

取得有關 原則目標 的詳細資訊,例如已指派特定應用程式的群組,或有多少使用者已指派特定應用程式。

範例提示:

  • ContosoApp 已指派給多少使用者?
  • ContosoApp 已指派給哪些群組?
  • 在 Intune 中有多少應用程式被指派給裝置識別碼 輸入裝置識別碼?
  • 為什麼「允許Microsoft市集應用程式自動更新」原則會套用至DeviceA?
  • 告訴我使用者 UserA 的 Intune 裝置的詳細資訊。
  • 為什麼 PolicyA 適用于 DeviceB?

特定裝置

取得 特定裝置 的資訊,例如其群組成員資格和指派給該裝置的應用程式。

範例提示:

  • 使用哪些裝置 UserA@contoso.com?
  • DeviceA 所在的群組為何?
  • 告訴我 DeviceA 的詳細資訊。
  • DeviceA 的主要使用者是誰?
  • ContosoApp 是否安裝在 DeviceA 上?
  • 在 DeviceA 上顯示探索到的應用程式。

相似和相異之處

取得兩個裝置之間的 相似和相異之處,例如指派給這兩個裝置之合規性原則、硬體和裝置設定。

範例提示:

  • DeviceA 與 DeviceB 裝置之間的硬體設定差異是什麼?
  • DeviceA 與 DeviceB 裝置之間的合規性原則有何相似之處?
  • DeviceA 與 DeviceB 裝置之間的裝置設定原則差異是什麼?
  • 比較 DeviceA 和 DeviceB 上已安裝的應用程式。

提供意見反應

您對於 Intune 與安全性 Copilot 整合的意反應有助於開發。 若要提供意見反應,請在 Security Copilot 中,使用每個已完成提示底部的意見反應按鈕。

顯示如何在 Security Copilot 中提交提示結果意見反應的螢幕快照。

可能的話,而且當結果不是您預期的結果時,請撰寫幾個字,說明可以採取哪些動作來改善結果。 如果您輸入 Intune 特定提示,且結果與 Intune 不相關,則請包含該資訊。

安全性 Copilot 中的隱私權和資料安全性

如需安全性 Copilot 中的資料隱私權詳細資訊,請移至 Microsoft 安全性 Copilot 中的隱私權和資料

當您與 Security Copilot 互動以取得 Intune 數據時,Security Copilot 會從 Intune 提取該數據。 系統會處理提示、已檢索的 Intune 資料,以及提示結果中顯示的輸出,並將之儲存在安全性 Copilot 服務中。

當您使用 Security Copilot 取得 Intune 數據時,Security Copilot 也可以存取 RBAC 角色所定義的數據和許可權,以及指派給您的 Intune 範圍標籤