Planen Sie die Bereitstellung eines Arbeitsbereichs
Organisationen stellen Security Copilot Arbeitsbereiche bereit, um die Nutzung nach Team, Compliancegrenzen oder betrieblichen Anforderungen zu segmentieren. Bevor Sie Arbeitsbereiche erstellen, bewerten Sie Kapazitätsanforderungen, Datenhaltungseinschränkungen und Rollenzuweisungsstrategien.Before creating workspaces, you evaluate capacity requirements, data residency constraints, and role assignment strategies. Durch die Planung wird sichergestellt, dass jeder Arbeitsbereich mit den Organisationsrichtlinien übereinstimmt und Teams die benötigten Ressourcen bereitstellt und darauf zugreifen kann.
Im Szenario von Contoso erfordert das Security Operations Center (SOC)-Team eine hohe Kapazität für die kontinuierliche Bedrohungsermittlung, das Complianceteam benötigt EU-Datenresidenz, und das Architekturteam möchte einen isolierten Sandkasten. Diese unterschiedlichen Anforderungen erfordern eine sorgfältige Planung, bevor Sie Ressourcen bereitstellen.
Verständnis für den Umfang des Arbeitsbereichs und die Architektur
Ein Arbeitsbereich ist eine mandantenspezifische Umgebung, in der Benutzer, Agents und Automatisierungen operieren. Jeder Arbeitsbereich verwaltet unabhängigen Sitzungsverlauf, Kapazitätszuweisungen, Rollenzuweisungen und Konfigurationseinstellungen. Alle Benutzerinteraktionen – manuelle Eingabeaufforderungen, vom Agent ausgelöste Antworten und automatisierte Workflows – erfolgen innerhalb einer Arbeitsbereichsgrenze.
| Arbeitsbereich-Element | Geltungsbereich | Beispielanwendungsfall |
|---|---|---|
| Sitzungsdaten | Pro Arbeitsbereich | EU-Compliance-Team-Sitzungen finden in geografischen Regionen der EU statt |
| Kapazität (SCUs) | Pro Arbeitsbereich | SOC-Arbeitsbereich verfügt über 10 SCUs; Sandbox verfügt über 2 SCUs |
| Rollenzuweisungen | Pro Arbeitsbereich | SOC-Lead ist der alleinige Eigentümer des SOC-Arbeitsbereichs. |
| Plug-In-Konfiguration | Pro Arbeitsbereich | Sandkasten aktiviert experimentelle Plug-Ins |
| Agent-Routing | Mandantenweite Einstellung | Defender XDR-Agent leitet zum SOC-Arbeitsbereich weiter |
Im Gegensatz zu einer einzelnen gemeinsamen Umgebung bieten Arbeitsbereiche eine klare Segmentierung. Mit einem einzigen Standardarbeitsbereich teilen sich alle Teams die Kapazität, Rollen gelten organisationsweit, und Compliance-Grenzen sind schwer durchzusetzen. Mit mehreren Arbeitsbereichen erhält jedes Team zugewiesene Kapazitäten, arbeitsbereichsspezifische Eigentümer konfigurieren Einstellungen unabhängig, und die Datenhaltung richtet sich nach den regionalen Anforderungen.
Planen von Kapazitätsanforderungen
Security Copilot Arbeitsbereiche werden von Security Compute Units (SCUs) unterstützt. Das verwendete Kapazitätsmodell bestimmt, wie Sie diese Einheiten konfigurieren und bezahlen.
Pay-as-you-go capacity erfordert ein Azure-Abonnement. Sie konfigurieren stündliche SCUs über das Azure-Portal oder bei der Erstellung des Arbeitsbereichs. Mit pay-as-you-go legen Sie einen Basisplan (z. B. 5 SCUs) fest, der kontinuierlich ausgeführt wird und optional Überlastungseinheiten konfiguriert, die während der Nutzungsspitzen aktiviert werden. Sie bezahlen für die bereitgestellte Kapazität pro Stunde plus alle Übernutzungsgebühren. Dieses Modell bietet eine präzise Kontrolle – Sie erhöhen die Kapazität vor der erwarteten Last und verringern sie außerhalb der Stoßzeiten.
Microsoft 365 E5 Einschlusskapazität stellt 400 SCUs pro Monat für jeweils 1.000 E5-Lizenzen bereit. Mit dem Einschlussmodell wird automatisch eine Standard-Security Copilot-Kapazität in Ihrem Mandanten zur Verfügung gestellt. Sie erstellen keine stündliche Kapazität; stattdessen wird die Nutzung von der monatlichen SCU-Zuweisung abgezogen. Nicht verwendete SCUs werden nicht übertragen. Dieses Modell vereinfacht die Budgetierung – Sie verwenden vorhandene E5-Investitionen ohne separate Azure Abrechnung.
Bereitgestellte SCUs stellen Ihre geplante Kapazität dar – Einheiten, die kontinuierlich zugeordnet bleiben. Überlastungs-SCUs bieten Flexibilität – zusätzliche Einheiten, die automatisch aktiviert werden, wenn die bereitgestellte Kapazität erschöpft ist. Berücksichtigen Sie Ihre Nutzungsmuster: Stetige Workloads profitieren von mehr bereitgestellten SCUs mit minimaler Kapazitätsüberschreitung; Workloads mit Spitzen passen zu einem niedrigeren Ausgangswert mit großzügiger Überschreitungsmöglichkeit. Überschusseinheiten werden nur bei Verbrauch abgerechnet.
| Scenario | Bereitgestellte SCUs | Überschuss-SCUs | Begründung |
|---|---|---|---|
| SOC-Vorgänge (24/7) | 10 | 5 | Hoher Ausgangswert für die kontinuierliche Bedrohungssuche; Kapazitätsüberschreitungen bei Anstieg der Anzahl der Vorfälle |
| Compliance-Überprüfungen (periodisch) | 5 | 3 | Moderater Basisplan für laufende Überwachung; Überlastung für vierteljährliche Auditspitzen |
| Sandkastentests (zeitweise) | 2 | 1 | Niedrige Basislinie für Experimente; minimale Überlastung für POC-Demonstrationen |
Standorte zur Datenaufbewahrung und Überprüfung auswählen
Security Copilot erfordert zwei geografische Standortentscheidungen während der Erstellung des Arbeitsbereichs: Datenspeicherort und Standort der Prompt-Auswertung.
Datenspeicherort bestimmt, wo Security Copilot ruhende Sitzungsdaten speichert – Eingabeaufforderungen, Antworten und Arbeitsbereichskonfiguration. Zu den Optionen gehören Australien (ANZ), Europa (EU), Schweiz (CH), Vereinigtes Königreich (UK) und USA (USA). Diese Einstellung ist nach der Arbeitsbereichserstellung unveränderlich. Für Compliance-gesteuerte Szenarien wie das EU-Complianceteam von Contoso ist die Auswahl des richtigen Datenspeicherorts bei der Erstellung von entscheidender Bedeutung.
Der Standort der Prompt-Auswertung legt fest, wo die GPU-Ressourcen die Prompts verarbeiten. Sie können mit dem Datenspeicherort übereinstimmen oder "An beliebiger Stelle mit verfügbarer Kapazität auswerten" auswählen. Die Bewertung von überall verbessert die Reaktionsfähigkeit, indem sie an das am wenigsten ausgelastete Rechenzentrum weitergeleitet wird, aber Aufforderungen außerhalb Ihrer ausgewählten Datenregion verarbeiten können. Die Auswertung in einer bestimmten Region behält eine strengere geografische Kontrolle bei, kann aber während der regionalen Spitzenauslastung eine höhere Latenz aufweisen.
Für den Compliancearbeitsbereich von Contoso verwenden beide Einstellungen EU, um sicherzustellen, dass Daten innerhalb europäischer Grenzen verbleiben. Für SOC- und Sandbox-Arbeitsbereiche verwendet die Datenspeicherung US, Die Prompt-Auswertung verwendet jedoch für optimale Leistung „überall“.
Identifizieren erforderlicher Rollen und Berechtigungen
Für das Erstellen und Verwalten von Arbeitsbereichen sind bestimmte Azure und Security Copilot Rollen erforderlich. Das Verständnis der Rollenanforderungen vor der Bereitstellung stellt sicher, dass Sie über entsprechende Berechtigungen verfügen und den richtigen Personen Zugriff gewähren können.
Für die Erstellung eines Arbeitsbereichs benötigen Sie eine unterstützte Security Copilot Rolle (Security Administrator, oder eine Microsoft Entra/Purview Rolle wie Compliance Administrator, oder Purview Organization Management). Um die Kapazität während der Erstellung festzulegen, benötigen Sie auch Azure Besitzer- oder Mitwirkendenzugriff auf das Azure-Abonnement, in dem Kapazitätsressourcen erstellt werden.
Bei der Arbeitsbereichskonfiguration können Arbeitsbereichsbesitzer Einstellungen konfigurieren, Rollen zuweisen, Plug-Ins verwalten und Agents innerhalb dieses bestimmten Arbeitsbereichs bereitstellen. Die Rolle des Arbeitsbereichsbesitzers ist spezifisch für einen Arbeitsbereich, und Besitzer eines Arbeitsbereichs haben kein Eigentum an anderen. Azure Mitwirkenderzugriff auf die Kapazitätsressource ermöglicht das Zuordnen oder Wechseln von Kapazitätszuordnungen.
Für die Nutzung von Arbeitsbereichen können Arbeitsbereich-Mitwirkende Security Copilot-Features verwenden (das Übermitteln von Prompts, die Anzeige des Sitzungsverlaufs), Sie können jedoch keine Arbeitsbereichseinstellungen ändern oder den Zugriff verwalten. Mitwirkende stellen Ihre typischen Endbenutzer dar.
| Rollentyp | Beispielrolle | Geltungsbereich | Erforderlich für |
|---|---|---|---|
| Security Copilot | Owner | Pro Arbeitsbereich | Konfigurieren von Arbeitsbereichseinstellungen, Zuweisen von Rollen |
| Security Copilot | Mitwirkender | Pro Arbeitsbereich | Verwenden der Funktionen von Security Copilot |
| Microsoft Entra | Sicherheitsadministrator | Tenant | Arbeitsbereiche erstellen, Überwachungsprotokollierung aktivieren |
| Azure RBAC | Besitzer oder Mitwirkender | Abonnement/Ressourcengruppe | Konfigurieren von Kapazitätsressourcen |
Der Bereitstellungsplan von Contoso weist den SOC Director als Verantwortlichen des SOC-Arbeitsbereichs, den Compliance Manager als Verantwortlichen des Compliance-Arbeitsbereichs und den Sicherheitsarchitekten als Verantwortlichen des Sandkasten-Arbeitsbereichs zu. Jeder Besitzer kann seinen Arbeitsbereich unabhängig konfigurieren, ohne andere zu beeinträchtigen.
Planung der Multi-Arbeitsbereichsverwaltung
Mit mehreren Arbeitsbereichen richten Sie Muster für die Navigation zwischen Arbeitsbereichen, die Überwachung der aggregierten Nutzung und die Aufrechterhaltung der Konsistenz in allen Umgebungen ein.
Eigentümer von Arbeitsbereichen und Mitwirkende, die mehreren Arbeitsbereichen zugewiesen sind, verwenden den Arbeitsbereichs-Switcher im Security Copilot Portal-Breadcrumb. Der Arbeitsbereichsname, der im Breadcrumb angezeigt wird, spiegelt den aktuellen aktiven Arbeitsbereich wider.
Integrierte Microsoft Security Agents (Defender XDR, Purview, Intune, Microsoft Entra) leiten den Datenverkehr zu einem bestimmten Arbeitsbereich pro Produkt weiter. Diese mandantenweite Einstellung legt fest, welcher Arbeitsbereich Interaktionen mit eingebetteten Umgebungen erhält. Durch die Zuweisung von Agenten wird sichergestellt, dass die Operationsteams nahtlos von ihren primären Sicherheitsportalen aus auf Security Copilot zugreifen können.