Grundlegendes zur Authentifizierung in Microsoft Copilot für Security

  • Artikel

Copilot verwendet die Im-Auftrag-of-Authentifizierung, um über aktive Microsoft-Plug-Ins auf sicherheitsrelevante Daten zuzugreifen. Bestimmte Copilot für Security Rollen müssen zugewiesen werden, damit eine Gruppe oder Person auf die Copilot für Security Plattform zugreifen kann. Nachdem Sie bei der Plattform authentifiziert wurden, bestimmt Ihr Datenzugriff, welche Plug-Ins in Eingabeaufforderungen verfügbar sind. Ihre Rolle steuert, auf welche anderen Aktivitäten Sie Zugriff haben, z. B. Konfigurieren von Einstellungen, Zuweisen von Berechtigungen und Ausführen von Aufgaben.

Copilot für Security Rollen sind keine Entra-Rollen. Sie werden in Copilot definiert und verwaltet und gewähren nur Zugriff auf Copilot für Security Features.

Microsoft Entra Rollen gewähren Zugriff auf mehrere Produkte im gesamten Microsoft-Produktportfolio. Diese Rollen werden über die Microsoft Entra Admin Center verwaltet. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra Rollen zu Benutzern.

Azure-IAM-Rollen steuern den Zugriff auf Azure-Ressourcen wie SCU (Security Capacity Units) in einer Ressourcengruppe als Teil eines Abonnements. Weitere Informationen finden Sie unter Zuweisen von Azure-Rollen.

Zugriff auf Copilot für Security-Plattform

Nachdem Copilot für Security für Ihre organization integriert wurde, bestimmen die folgenden Rollen den Zugriff eines Benutzers auf die Copilot für Security-Plattform.

Copilot für Security Rollen

Copilot für Security werden zwei Rollen eingeführt, die wie Zugriffsgruppen funktionieren, aber nicht Microsoft Entra ID Rollen sind. Stattdessen steuern sie nur den Zugriff auf die Funktionen der Copilot für Security-Plattform.

  • Copilot-Besitzer
  • Copilot Mitwirkender

Standardmäßig erhalten alle Benutzer im Microsoft Entra Mandanten Copilot Mitwirkender Zugriff.

Microsoft Entra Rollen

Die folgenden Microsoft Entra Rollen erben automatisch den Copilot-Besitzerzugriff.

  • Sicherheitsadministrator
  • Globaler Administrator

Zugreifen auf die Funktionen von Microsoft-Plug-Ins

Copilot für Security geht nicht über ihren Zugriff hinaus. Jedes Microsoft-Plug-In hat seine eigenen Rollenanforderungen für den Aufruf des Plug-In-Diensts und seiner Daten. Vergewissern Sie sich, dass Ihnen die richtigen Dienstrollen und Lizenzen zugewiesen sind, um die Funktionen der aktivierten Microsoft-Plug-Ins zu verwenden.

Sehen Sie sich die folgenden Beispiele an:

  1. Copilot Mitwirkender

    Als Analyst wird Ihnen Copilot Mitwirkender Zugriff zugewiesen, der Ihnen Zugriff auf die Copilot-Plattform mit der Möglichkeit bietet, Sitzungen zu erstellen. Nach dem Modell mit den geringsten Rechten verfügen Sie nicht über Microsoft Entra Rollen wie Sicherheitsadministratoren. Um das Microsoft Sentinel-Plug-In verwenden zu können, benötigen Sie jedoch weiterhin eine geeignete Rolle wie Microsoft Sentinel-Leser für Copilot, um auf Incidents im Microsoft Sentinel-Arbeitsbereich zuzugreifen. Sie benötigen eine weitere dienstspezifische Rolle wie Endpoint Security Manager for Copilot, um auf die Geräte, Berechtigungen, Richtlinien und Status zuzugreifen, die über das Intune-Plug-In verfügbar sind. Für Microsoft Defender XDR wird Ihnen eine benutzerdefinierte Rolle zugewiesen, die Ihnen Zugriff auf die eingebettete Copilot für Security und Copilot-Zugriff auf Microsoft Defender XDR Daten ermöglicht.

    Weitere Informationen zum Defender XDR benutzerdefinierter Rollen finden Sie unter Microsoft Defender XDR Unified RBAC.

  2. Microsoft Entra Sicherheitsgruppe

    Obwohl die Rolle "Sicherheitsadministrator " den Zugriff auf Copilot und bestimmte Plug-In-Funktionen erbt, umfasst diese Rolle Berechtigungen. Die ausschließliche Zuweisung dieser Rolle für den Copilot-Zugriff wird nicht empfohlen. Erstellen Sie stattdessen eine Sicherheitsgruppe, und fügen Sie diese Gruppe der entsprechenden Copilot-Rolle (Besitzer oder Mitwirkender) hinzu.

    Weitere Informationen finden Sie unter Bewährte Methoden für Microsoft Entra Rollen.

Zugreifen auf eingebettete Umgebungen

Überprüfen Sie zusätzlich zur Rolle Copilot Mitwirkender die Anforderungen für die einzelnen Copilot für Security eingebetteten Funktionen, um zu verstehen, welche zusätzlichen Rollen und Lizenzen erforderlich sind.

Weitere Informationen finden Sie unter Copilot für Security Erfahrungen.

Freigegebene Sitzungen

Copilot Mitwirkender Rolle ist die einzige Voraussetzung für die Freigabe eines Sitzungslinks oder das Anzeigen eines Sitzungslinks über diesen Mandanten.

Wenn Sie einen Sitzungslink freigeben, sollten Sie die folgenden Auswirkungen auf den Zugriff berücksichtigen:

  • Copilot für Security muss auf den Dienst und die Daten eines Plug-Ins zugreifen, um eine Antwort zu generieren, aber dieser Zugriff wird beim Anzeigen der freigegebenen Sitzung nicht ausgewertet. Wenn Sie beispielsweise Zugriff auf Geräte und Richtlinien in Intune haben und das Intune-Plug-In verwendet wird, um eine von Ihnen freigegebene Antwort zu generieren, benötigt der Empfänger des freigegebenen Sitzungslinks nicht Intune Zugriff, um die vollständigen Ergebnisse der Sitzung anzuzeigen.
  • Eine freigegebene Sitzung enthält alle Eingabeaufforderungen und Antworten, die in der Sitzung enthalten sind, unabhängig davon, ob sie nach der ersten Oder der letzten Eingabeaufforderung freigegeben wurde.
  • Nur der Benutzer, der eine Sitzung erstellt, steuert, welche Copilot-Benutzer auf diese Sitzung zugreifen können. Wenn Sie vom Ersteller der Sitzung einen Link für eine freigegebene Sitzung erhalten, haben Sie Zugriff. Wenn Sie diesen Link an eine andere Person weiterleiten, wird ihnen kein Zugriff gewährt.
  • Freigegebene Sitzungen sind schreibgeschützt.
  • Sitzungen können nur für Benutzer im selben Mandanten freigegeben werden, die Zugriff auf Copilot haben.
  • In einigen Regionen wird die Sitzungsfreigabe per E-Mail nicht unterstützt.
    • SouthAfricaNorth
    • UAENorth

Weitere Informationen zu freigegebenen Sitzungen finden Sie unter Navigieren Copilot für Security.

Zuweisen von Rollen

Die folgende Tabelle veranschaulicht den Standardzugriff, der Startrollen gewährt wird.

Hinweis

Standardmäßig verfügt jeder über Copilot-Mitwirkender Zugriff. Erwägen Sie, diesen umfassenden Zugriff durch bestimmte Benutzer oder Gruppen zu ersetzen.

Funktion Copilot-Besitzer Copilot Mitwirkender
Erstellen von Sitzungen Ja Ja
Verwalten von persönlichen benutzerdefinierten Plug-Ins Ja Standard nein
Zulassen, dass Mitwirkende persönliche benutzerdefinierte Plug-Ins verwalten Ja Nein
Zulassen, dass Mitwirkende benutzerdefinierte Plug-Ins für den Mandanten veröffentlichen Ja Nein
Dateien hochladen Ja Ja
Ausführen von Promptbooks Ja Ja
Verwalten von persönlichen Promptbooks Ja Ja
Freigeben von Promptbooks für den Mandanten Ja Ja
Aktualisieren von Datenfreigabe- und Feedbackoptionen Ja Nein
Kapazitätsverwaltung Ja* Nein
Datenauswertung Ja Nein
Anzeigen der nutzungs Dashboard Ja Nein
Sprache auswählen Ja Ja

Zuweisen Copilot für Security Zugriffs

Weisen Sie Copilot-Rollen in Copilot für Security Einstellungen zu.

  1. Wählen Sie das Startmenü aus.
  2. Wählen Sie Rollenzuweisung>Mitglieder hinzufügen aus.
  3. Beginnen Sie mit der Eingabe des Namens der Person oder Gruppe im Dialogfeld Mitglieder hinzufügen .
  4. Wählen Sie die Person oder Gruppe aus.
  5. Wählen Sie die Copilot für Security Rolle aus, die zugewiesen werden soll (Copilot-Besitzer oder Copilot-Mitwirkender).
  6. Wählen Sie Hinzufügen.

Screenshot des Entwurfs der Zuweisung von Copilot-Rollen.

Tipp

Es wird empfohlen, Sicherheitsgruppen zu verwenden, um Copilot für Security Rollen anstelle einzelner Benutzer zuzuweisen. Dies reduziert die administrative Komplexität.

Die Rollen "Globaler Administrator " und "Sicherheitsadministrator " können nicht aus dem Zugriff "Besitzer" entfernt werden, aber die Gruppe "Jeder " kann vom Zugriff "Mitwirkender" entfernt werden. Es ist auch eine gültige Gruppe, die bei Bedarf wieder hinzugefügt werden kann.

Die Entra-Rollenmitgliedschaft kann nur vom Microsoft Entra Admin Center aus verwaltet werden. Weitere Informationen finden Sie unter Verwalten Microsoft Entra Benutzerrollen.

Konfigurieren von Besitzereinstellungen

Die folgenden Konfigurationsoptionen stehen Benutzern mit der Rolle Copilot-Besitzer zur Verfügung:

Screenshot des Entwurfs der Konfigurationsoptionen in den Besitzereinstellungen.

Kapazitätsverwaltung

Verwalten sie die Optionen für die Kapazitätszuordnung und die Auswertung des geografischen Standorts. Beachten Sie, dass der Kauf neuer Sicherheitskapazitätseinheiten (Security Capacity Units, SCUs), das Ändern der Kapazität oder die Zuordnung zu einer anderen Kapazität alle azure-Besitzer oder -Mitwirkender Zugriff auf die Kapazitätsressource im Azure-Portal erfordern.

Screenshot: Konfigurationsmenü für die Kapazitätszuordnung
Abbildung: Besitzereinstellung für das Zuordnen von SCUs

Weitere Informationen zum Kauf von SCUs finden Sie unter Bereitstellen von Kapazität.

Datenauswertung

Werten Sie alle Eingabeaufforderungen für Ihren Mandanten streng in Ihrer angegebenen Geografischen Region aus, oder erlauben Sie Copilot optional, Eingabeaufforderungen überall auszuwerten.

Screenshot: Optionen für die Geolocation der Datenauswertung
Abbildung zeigt die Besitzereinstellung für Optionen für den Speicherort der Eingabeaufforderung.

Verwalten von Plug-Ins

Vorinstallierte Plug-Ins wie ServiceNow und Azure AI Search erfordern eine weitere Einrichtung. Wenn das Setup die Konfiguration der Authentifizierung umfasst, bestimmt der Plug-In-Anbieter den Authentifizierungstyp. Alle Plug-Ins mit den Schaltflächen oder Einrichten werden pro Benutzer konfiguriert. Dies bedeutet, dass alle Benutzer, einschließlich Besitzer, dieses Plug-In nur für sich selbst konfigurieren.

Hinweis

Website-Plug-Ins verwenden anonyme Authentifizierung, um auf Inhalte zuzugreifen.

Unter Einstellungen können die folgenden Plug-In-Optionen konfiguriert werden:

  • Steuern, ob andere Rollen benutzerdefinierte Plug-Ins für ihre Sitzungen hinzufügen können
  • Steuern, ob andere Rollen benutzerdefinierte Plug-Ins für den Mandanten veröffentlichen können
  • Steuern, ob alle Rollen Dateien hochladen können

Screenshot: Steuerungsoptionen für benutzerdefinierte Plug-Ins und Erstanbieter-Plug-Ins in der Vorschau

Weitere Informationen finden Sie unter Verwalten von Plug-Ins und Hinzufügen einer Quelle durch Hochladen einer Datei.

Verwalten von Promptbooks

Die Promptbookerstellung ist für alle Rollen verfügbar, einschließlich der Möglichkeit, ein benutzerdefiniertes Promptbook für den Mandanten zu veröffentlichen. Wählen Sie aus, ob Sie zum Zeitpunkt der Erstellung ein Promptbook für sich selbst oder den Mandanten veröffentlichen möchten.

Weitere Informationen finden Sie unter Erstellen eines eigenen Promptbooks.

Mehrfachmandanten

Wenn Ihr organization über mehrere Mandanten verfügt, können Copilot für Security die Authentifizierung über sie hinweg ermöglichen, um auf Sicherheitsdaten zuzugreifen, bei denen Copilot für Security bereitgestellt wird. Der Mandant, der für Copilot für Security bereitgestellt wird, muss nicht der Mandant sein, von dem sich Ihr Sicherheitsanalyst anmeldet. Weitere Informationen finden Sie unter Navigieren Copilot für Security Mandantenwechsel.

Beispiel für eine mandantenübergreifende Anmeldung

Contoso wurde kürzlich mit Fabrikam zusammengeführt. Beide Mandanten verfügen über Sicherheitsanalysten, aber nur Contoso hat Copilot für Security erworben und bereitgestellt. Angus MacGregor, ein Analyst von Fabrikam, möchte seine Fabrikam-Anmeldeinformationen verwenden, um Copilot für Security zu verwenden. Gehen Sie wie folgt vor, um diesen Zugriff zu erreichen:

  1. Stellen Sie sicher, dass das Fabrikam-Konto von Angus MacGregor über ein externes Mitgliedskonto im Contoso-Mandanten verfügt.

  2. Weisen Sie dem externen Mitgliedskonto die erforderlichen Rollen zu, um auf Copilot für Security und die gewünschten Microsoft-Plug-Ins zuzugreifen.

  3. Melden Sie sich beim Copilot für Security-Portal mit dem Fabrikam-Konto an.

  4. Wechseln Sie mandanten zu Contoso.

    Screenshot: Wechsel des Fabrikam-Kontos zum Contoso-Mandanten

Weitere Informationen finden Sie unter Gewähren des MSSP-Zugriffs.