瞭解 Microsoft Security Copilot 中的驗證
Copilot 會使用代理者驗證,透過作用中Microsoft外掛程式來存取安全性相關數據。 必須指派特定 Security Copilot 角色,群組或個人才能存取 Security Copilot 平臺。 向平臺驗證之後,Microsoft Entra 和 Azure 角色型 存取控制 (RBAC) 會決定哪些外掛程式可在提示中使用。 您的 Security Copilot 角色會控制您可在平臺上存取的其他活動,例如設定、指派許可權和執行工作。
Security Copilot RBAC 角色不是 Microsoft Entra 角色。 Security Copilot 角色是在 Copilot 內定義和管理,而且只會授與 Security Copilot 功能的存取權。
Microsoft Entra RBAC 會授與產品Microsoft組合的存取權,包括包含安全性數據的服務。 這些角色是透過 Microsoft Entra 系統管理中心 來管理。 如需詳細資訊,請參閱指派 Microsoft Entra 角色給使用者。
Azure RBAC 可控制對 Azure 資源的存取,例如資源群組中的安全性容量單位 (SCU) ,或 Microsoft Sentinel 啟用的工作區。 如需詳細資訊, 請參閱指派 Azure 角色。
存取 Security Copilot 平臺
Security Copilot 為您的組織上線之後,請設定 Security Copilot RBAC 來判斷使用者對 Security Copilot 平臺的存取權。 然後使用條件式存取原則將安全性涵蓋範圍分層。 如需保護 RBAC 以外 Security Copilot 平臺存取權的詳細資訊,請參閱使用條件式存取原則保護 AI。
Security Copilot 角色
Security Copilot 引進兩個角色,其運作方式類似存取群組,但不 Microsoft Entra ID 角色。 相反地,它們只會控制對 Security Copilot 平臺功能的存取,而且本身不會提供安全性數據的存取權。
- Copilot 擁有者
- Copilot 參與者
Microsoft Entra 角色
下列 Microsoft Entra 角色會自動繼承 Copilot 擁有者存取權,確保 Security Copilot 一律至少有一個擁有者。 全域管理員 是 Microsoft Entra 角色,具有內建的保護來防止移除。 如需 Microsoft Entra 持續性的詳細資訊,請參閱管理緊急存取帳戶。
- 安全性系統管理員
- 全域管理員
建議的角色
使用建議的Microsoft安全性角色群組來布建對 Security Copilot 的存取權,該群組使用平衡的安全性和系統管理效率方法。 已透過 Microsoft Entra 角色擁有安全性許可權的使用者,可以使用此套件組合存取 Security Copilot 平臺。 您必須先移除 Everyone 群組,才能將建議的安全性角色新增至參與者存取權。
建議的角色清單包含 Microsoft Entra ID 角色和一些服務特定角色。 如果Microsoft外掛程式需要不同的角色來存取其安全性數據,您也必須確定已指派 。 例如,套件組合適用於指派合規性系統管理員角色的分析師,這是其中一個建議的角色,因為此 Microsoft Entra 角色也可讓他們存取 Microsoft Purview 外掛程式數據。 同一位分析師需要額外的角色指派,才能使用 Copilot 會話來存取安全性數據,例如 Microsoft Sentinel。 如需詳細範例,請參閱 存取Microsoft外掛程式的功能。
| 角色指派 | 利用 | 弱點 |
|---|---|---|
| 建議Microsoft安全性角色 | 快速且安全的方式,可為組織中已具有安全性數據存取權的使用者提供平臺所需的存取權。 您仍然可以新增更多角色、使用者和群組。 | 群組是全部或全無。 如果建議的群組中有您不想擁有存取權的角色,則必須移除整個群組。 |
| 每個人 | 根據預設,此群組已獲得參與者存取權以簡化布建,但不再自動為新客戶新增。 | 如果具有平臺存取權的用戶無法存取安全性數據,則會造成混淆。 此選項不適用於新客戶。 |
| 自訂 | 完整控制具有平臺存取權的使用者和群組。 | 需要更多系統管理複雜度。 |
存取Microsoft外掛程式的功能
Security Copilot 不會超越您擁有的存取權,與Microsoft的安全性和隱私權 RAI 原則一致。 每個Microsoft外掛程式都有自己的角色需求,這些需求在存取外掛程式的服務及其數據時仍有效。 確認您已指派適當的角色和授權,以使用已啟用Microsoft外掛程式的功能。
請考慮下列範例:
Copilot 參與者
身為分析師,您獲指派 Copilot 參與者 角色來存取 Copilot 平臺,以及建立會話的能力。 此指派本身並不會讓您存取組織的安全性數據。 遵循最低許可權模型,您沒有任何敏感性 Microsoft Entra 角色,例如安全性系統管理員。 若要使用 Copilot 來存取安全性數據,例如 Microsoft Sentinel 外掛程式,您仍然需要適當的 Azure RBAC 角色,例如 Microsoft Sentinel Reader。 此角色可讓您從 Copilot 存取 Microsoft Sentinel 工作區中的事件。 若要讓 Copilot 會話存取透過 Intune 外掛程式取得的裝置、原則和狀態,您需要像端點安全性管理員一樣的 Intune 角色。 透過 Copilot 工作階段或內嵌的 Security Copilot 體驗存取 Microsoft Defender 全面偵測回應 資料,也適用相同的模式。
如需服務特定 RBAC 的詳細資訊,請參閱下列文章:
Microsoft Entra 安全組
雖然 安全性系統管理員 角色會繼承 Copilot 和特定外掛程式功能的存取權,但此角色包含
許可權。 請勿僅針對 Copilot 存取指派此角色給使用者。 相反地,請建立安全組,並將該群組新增至適當的 Copilot 角色 (擁有者或參與者) 。如需詳細資訊,請參閱 Microsoft Entra 角色的最佳做法。
存取內嵌體驗
除了 Copilot 參與者角色之外,請確認每個 Security Copilot 內嵌體驗的需求,以瞭解需要哪些額外的角色和授權。
如需詳細資訊,請參閱 Security Copilot 體驗。
指派角色
下表說明授與起始角色的預設存取權。
注意事項
某些組織可能仍會將 Everyone 群組指派給 Copilot 參與者 存取權。 請考慮使用 建議的Microsoft安全性角色 群組來取代這個廣泛的存取權。
| 功能 | Copilot 擁有者 | Copilot 參與者 |
|---|---|---|
| 建立工作階段 | 是 | 是 |
| 管理個人自定義外掛程式 | 是 | 預設值否 |
| 允許參與者管理個人自定義外掛程式 | 是 | 否 |
| 允許參與者發佈租使用者的自定義外掛程式 | 是 | 否 |
| 上傳檔案 | 是 | 是 |
| 執行提示書 | 是 | 是 |
| 管理個人提示書 | 是 | 是 |
| 與租用戶共用提示書 | 是 | 是 |
| 更新數據共享和意見反應選項 | 是 | 否 |
| 容量管理 | 是* | 否 |
| 檢視使用量儀錶板 | 是 | 否 |
| 選擇語言 | 是 | 是 |
指派 Security Copilot 存取權
在 Security Copilot 設定內指派 Copilot 角色。
- 選取 [
首頁] 選單。 - 選 取 [角色指派>][新增成員]。
- 開始在 [ 新增成員 ] 對話框中輸入人員或群組的名稱。
- 選取人員或群組。
- 選取要指派 (Copilot 擁有者或 Copilot 參與者) Security Copilot 角色。
- 選取 新增。
提示
我們建議使用安全組來指派 Security Copilot 角色,而不是個別使用者。 這可降低系統管理複雜度。
無法從擁有者存取中移除全域管理員和安全性系統管理員角色,但 Everyone 群組可從參與者存取中移除。 拿掉所有人群組之後,請考慮新增 建議的角色 。
Microsoft Entra 角色成員資格只能從 Microsoft Entra 系統管理中心 管理。 如需詳細資訊,請參閱管理 Microsoft Entra 使用者角色。
共用工作階段
Copilot 參與者角色是共用會話連結或從該租用戶檢視它的唯一需求。
當您共享工作階段連結時,請考慮下列存取含意:
- Security Copilot 需要存取外掛程式的服務和數據來產生回應,但檢視共用會話時不會評估相同的存取權。 例如,如果您能夠存取 Intune 中的裝置和原則,而且 Intune 外掛程式是用來產生您共用的回應,則共用會話連結的收件者不需要 Intune 存取權即可檢視會話的完整結果。
- 共用會話包含會話中包含的所有提示和回應,不論是在第一個提示或最後一個提示之後共用。
- 只有建立會話的使用者控制 Copilot 使用者可以存取該會話。 如果您從會話建立者收到共享工作階段的連結,您可以存取。 如果您將該鏈接轉寄給其他人,則不會授與他們存取權。
- 共用工作階段是唯讀的。
- 只能與具有 Copilot 存取權之相同租使用者中的用戶共享會話。
- 某些區域不支援透過電子郵件共享會話。
SouthAfricaNorthUAENorth
如需共用會話的詳細資訊,請參閱流覽 Security Copilot。
多租用戶
如果您的組織有多個租使用者,Security Copilot 可以容納他們之間的驗證,以存取布建 Security Copilot的安全性數據。 為 Security Copilot 布建的租使用者不需要是安全性分析師登入的租使用者。 如需詳細資訊,請參閱導覽 Security Copilot 租使用者切換。
跨租使用者登入範例
Contoso 最近與 Fabrikam 合併。 這兩個租使用者都有安全性分析師,但只有 Contoso 購買並布建 Security Copilot。 來自 Fabrikam 的分析師 Angus MacGregor 想要使用其 Fabrikam 認證來使用 Security Copilot。 以下是完成此存取的步驟:
確定 Angus MacGregor 的 Fabrikam 帳戶在 Contoso 租使用者中有外部成員帳戶。
指派外部成員帳戶存取 Security Copilot 所需的角色,以及所需的Microsoft外掛程式。
使用 Fabrikam 帳戶登入 Security Copilot 入口網站。
將租用戶切換至 Contoso。
如需詳細資訊,請 參閱授與 MSSP 存取權。