Beschreibung zum Aktivieren von Microsoft Copilot for Security

  • 5 Minuten

Um mit der Verwendung von Microsoft Copilot für Security zu beginnen, müssen Organisationen sicherstellen, dass die Dienste und Benutzerkonten konfiguriert sind. Dazu gehören:

  1. Bereitstellen von Copilot-Kapazität
  2. Einrichten der Standardumgebung
  3. Zuweisen von Rollenberechtigungen

Bereitstellen der Kapazität

Microsoft Copilot für Security wird als verbrauchsabhängiges Angebot verkauft, d. h. Kundinnen und Kunden erhalten eine monatliche Abrechnung auf der Grundlage einer bereitgestellten Kapazität, die nach Stunden abgerechnet wird. Die bereitgestellte Kapazität wird als SCU (Security Compute Unit) bezeichnet. Eine SCU ist die Maßeinheit der Computerleistung, die zum Ausführen von Copilot sowohl in den eigenständigen als auch in eingebetteten Umgebungen verwendet wird.

Bevor Benutzerinnen und Benutzer mit der Verwendung von Copilot beginnen können, müssen Admins Kapazität bereitstellen und zuordnen. Bereitstellen der Kapazität:

  • Sie benötigen ein Azure-Abonnement.

  • Sie müssen mindestens Azure-Besitzer oder Azure-Mitwirkender auf Ressourcengruppenebene sein.

    Beachten Sie, dass ein globaler Admin in Microsoft Entra ID nicht unbedingt standardmäßig die Rolle eines Azure-Besitzenden oder Azure-Teilnehmenden hat. Microsoft Entra-Rollenzuweisungen gewähren keinen Zugriff auf Azure-Ressourcen. Als globaler Admin in Entra können Sie die Zugriffsverwaltung für Azure-Ressourcen über das Azure-Portal aktivieren. Weitere Informationen finden Sie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen. Nachdem Sie die Zugriffsverwaltung für Azure-Ressourcen aktiviert haben, können Sie die entsprechende Azure-Rolle konfigurieren.

Es gibt zwei Optionen für die Bereitstellung der Kapazität:

  • Bereitstellen der Kapazität innerhalb von Copilot für Security (empfohlen)
  • Bereitstellen der Kapazität über Azure

Hinweis

Unabhängig von der gewählten Methode müssen Sie mindestens 1 und maximal 100 SCUs erwerben.

Bereitstellen der Kapazität innerhalb von Copilot für Security Wenn Sie Copilot für Security als Administrator zum ersten Mal öffnen, führt Sie ein Assistent durch die Schritte zum Einrichten der Kapazität für Ihre Organisation. Der Assistent fordert Sie auf, Informationen wie Ihr Azure-Abonnement, Ihre Ressourcengruppe, Ihre Region, den Kapazitätsnamen und die Anzahl der SCUs anzugeben.

Bildschirmaufnahme mit der Seite für die Kapazitätsbereitstellung über Copilot.

Bereitstellen der Kapazität über Azure Das Azure-Portal enthält jetzt Copilot für Security-as-a-Service. Wenn Sie den Dienst auswählen, öffnet sich die Seite, auf der Sie Informationen wie Ihr Azure-Abonnement, die Ressourcengruppe, die Region, den Kapazitätsnamen und die Anzahl der SCUs eingeben.

Bildschirmaufnahme mit der Seite für die Kapazitätsbereitstellung über Azure.

Unabhängig davon, welchen Ansatz Sie für die Bereitstellung von Kapazität wählen, nimmt der Prozess die Informationen auf und erstellt eine Ressourcengruppe für den Microsoft Copilot für Security-Dienst innerhalb Ihres Azure-Abonnements. Die SCUs sind eine Azure-Ressource innerhalb dieser Ressourcengruppe. Die Bereitstellung der Azure-Ressourcen kann ein paar Minuten dauern.

Sobald Admins die Schritte zum Einbinden in Copilot abgeschlossen haben, können sie die Kapazität verwalten, indem sie die bereitgestellten SCUs innerhalb des Azure-Portals oder des Microsoft Copilot for Security-Produkts selbst erhöhen oder verringern. Copilot für Security bietet ein Dashboard zur Nutzungsüberwachung für Kapazitätsbesitzerinnen und -besitzer, mit dem sie die Nutzung im Laufe der Zeit nachverfolgen und fundierte Entscheidungen zur Kapazitätsbereitstellung treffen können.

Bildschirmaufnahme mit dem Dashboard zur Verwendungsüberwachung.

Einrichten der Standardumgebung

Zum Einrichten der Standardumgebung müssen Sie über eine der folgenden Microsoft Entra ID-Rollen verfügen:

  • Globaler Administrator
  • Sicherheitsadministrator

Während der Einrichtung von Copilot für Security werden Sie aufgefordert, Einstellungen zu konfigurieren. Dazu gehören:

  • SCU-Kapazität – Wählen Sie die Kapazität der zuvor bereitgestellten SCUs aus.

  • Datenspeicher – Wenn sich ein Unternehmen bei Copilot anmeldet, müssen Admins den geografischen Standort des Mandanten bestätigen, da die von den Diensten gesammelten Kundendaten dort gespeichert werden. Microsoft Copilot for Security arbeitet in den Microsoft Azure-Rechenzentren in der Europäischen Union (EUDB), dem Vereinigten Königreich, den USA, Australien und Neuseeland, Japan, Kanada und Südamerika.

  • Die Daten Ihrer Organisation: Der Administrator muss auch die Datenfreigabeoptionen aktivieren oder deaktivieren. Aktivieren oder deaktivieren Sie die Umschaltfläche für die folgenden Optionen:

    • Erlauben Sie Microsoft, Daten von Copilot für Security zu erfassen, um die Produktleistung durch menschliche Überprüfung zu validieren: Wenn diese Option aktiviert ist, werden Kundendaten zur Verbesserung der Produkte mit Microsoft geteilt. Prompts und Antworten werden ausgewertet, um zu verstehen, ob die richtigen Plug-Ins ausgewählt wurden, wenn die Ausgabe das erwartete Ergebnis ist, wie Antworten, Latenz und Ausgabeformat verbessert werden können.

    • Erlauben Sie Microsoft, Daten von Copilot für Security zu erfassen und zu überprüfen, um das Sicherheits-KI-Modell von Microsoft zu erstellen und zu validieren: Wenn diese Option aktiviert ist, werden Kundendaten zur Verbesserung der Copilot KI mit Microsoft geteilt. Eine Aktivierung erlaubt Microsoft NICHT, Kundendaten zum Trainieren von grundlegenden Modellen zu verwenden. Eingabeaufforderungen und Antworten werden ausgewertet, um Antworten zu verbessern und sicherzustellen, dass sie Ihren Erwartungen entsprechen und nützlich sind.

    • Erlauben Sie Copilot for Security, auf Daten von Ihren Microsoft 365-Diensten zuzugreifen. Wenn diese Option deaktiviert ist, kann Ihre Organisation keine Plug-Ins verwenden, die auf Microsoft 365-Dienste zugreifen. Derzeit ist diese Option für die Verwendung des Microsoft Purview-Plug-Ins erforderlich. Nur ein Benutzer mit der Rolle „Globaler Administrator“ kann diese Einstellung festlegen und/oder ändern.

      Weitere Informationen dazu, wie Microsoft Ihre Daten verarbeitet, finden Sie unter Datensicherheit und Datenschutz.

      Bildschirmaufnahme mit den Einstellungen für die Konfiguration der Datenfreigabe, um bei der Verbesserung von Copilot zu helfen.

  • Entscheiden Sie, wo Ihre Prompts ausgewertet werden – Sie können die Auswertung auf innerhalb Ihrer geografischen Region einschränken oder die Auswertung überall auf der Welt zulassen. Weitere Informationen zur Liste der zugeordneten Standorte für Ihren geografischen Standort finden Sie unter Datensicherheit und Datenschutz.

  • Rollen: Sie werden über die erforderlichen Rollen informiert, die Benutzerinnen und Benutzern in Ihrer Organisation zugewiesen werden müssen, um Copilot für Security zu verwenden.

Rollenberechtigungen

Um sicherzustellen, dass die Benutzerinnen und Benutzer auf die Features von Copilot zugreifen können, müssen sie über die entsprechenden Rollenberechtigungen verfügen.

Bildschirmaufnahme mit den Rollenzuweisungseinstellungen.

Berechtigungen können mithilfe von Microsoft Entra ID-Rollen oder Copilot für Security-Rollen zugewiesen werden. Stellen Sie als bewährte Methode die am wenigsten privilegierte Rolle für jeden Benutzer bereit.

Die Microsoft Entra ID-Rollen sind:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Sicherheitsleseberechtigter

Obwohl diese Rollen Benutzerinnen und Benutzern unterschiedliche Zugriffsebenen auf Copilot gewähren, erstreckt sich der Umfang dieser Rollen über Copilot hinaus. Aus diesem Grund führt Copilot für Security zwei Rollen ein, die wie Zugriffsgruppen funktionieren, aber keine Microsoft Entra ID-Rollen sind. Stattdessen steuern sie lediglich den Zugriff auf die Funktionen der Copilot für Security-Plattform.

Die Microsoft Copilot für Security-Rollen sind:

  • Copilot-Besitzer
  • Copilot-Mitwirkender

Die Rollen „Sicherheitsadministrator“ und „Globaler Administrator“ in Microsoft Entra erben automatisch den Copilot-Besitzerzugriff.

Standardmäßig erhalten alle Benutzer und Benutzerinnen im Microsoft Entra-Mandanten den Copilot-Zugriff „Mitwirkender“.

  • Alle Benutzenden innerhalb eines lizenzierten Mandanten (der Copilot über das Verbrauchsmodell erworben hat) dürfen standardmäßig eine Sitzung/eine Eingabeaufforderung erstellen.
  • Wenn der Administrator nicht allen Benutzern im lizenzierten Mandanten Zugriff gewähren möchte, um Prompts ausführen zu können, können sie den Zugriff zum Ausführen von Prompts einschränken, indem sie „Alle Benutzer“ aus den Rollenzuweisungen für „Mitwirkender zum Arbeitsbereich“ entfernen und eine vorhandene Sicherheitsgruppe aus dem Copilot for Security-Portal hinzufügen.
  • Alle Fälle, in denen Copilot for Security verwendet wird (eingebettet oder eigenständig), folgen den vom Administrator vorgenommenen Updates.
  • Administrator-/Besitzerberechtigungen sind für alle privilegierten Vorgänge erforderlich, z. B. das Zuordnen des Arbeitsbereichs zur SCU-Kapazität, Besitzereinstellungen, Plug-In-Einstellungen und vieles mehr.
  • Bereitstellungskapazitätsvorgänge erfordern weiterhin die Rollen „Azure-Besitzer“ oder „Azure-Mitwirkender“, die über Azure IAM aktiviert sind.

Eine detaillierte Auflistung der Berechtigungen, die für jede dieser Rollen gewährt werden, finden Sie unter Grundlegendes zur Authentifizierung in Microsoft Copilot für Security im Abschnitt „Zuweisen von Rollen“.

Durch Ihre Rolle wird gesteuert, auf welche Aktivitäten Sie zugreifen können, z. B. das Konfigurieren von Einstellungen, das Zuweisen von Berechtigungen oder das Ausführen von Aufgaben. Copilot geht nicht über den Zugriff hinaus, den Sie haben. Zudem verfügen einzelne Microsoft-Plug-Ins möglicherweise über eigene Rollenanforderungen für den Zugriff auf den Dienst und die dargestellten Daten. Beispielsweise kann ein Analyst mit der Rolle „Sicherheitsoperator“ oder der Copilot_Rolle „Mitwirkender zum Arbeitsbereich“ auf das Copilot-Portal zugreifen und Sitzungen erstellen. Um das Microsoft Sentinel-Plug-In zu nutzen und im Arbeitsbereich auf Incidents zuzugreifen, wäre jedoch eine entsprechende Rolle wie „Microsoft Sentinel-Leseberechtigter“ erforderlich. Um auf die Geräte, Berechtigungen und Richtlinien zuzugreifen, die über das Microsoft Intune-Plug-In verfügbar sind, benötigt derselbe Analyst eine weitere dienstspezifische Rolle wie die Rolle Intune-Endpunkt-Sicherheitsmanager.

Microsoft-Plug-Ins in Copilot verwenden im Allgemeinen das OBO-Modell (On Behalf Of). Das bedeutet, dass Copilot weiß, dass ein Kunde Lizenzen für bestimmte Produkte besitzt und automatisch bei diesen Produkten angemeldet ist. Copilot kann dann auf die spezifischen Produkte zugreifen, wenn das Plug-In aktiviert ist und ggf. Parameter konfiguriert werden. Einige Microsoft-Plug-Ins, die Setup erfordern, können konfigurierbare Parameter enthalten, die für die Authentifizierung anstelle des OBO-Modells verwendet werden.