Microsoft Copilot for Security での認証について
Copilot は、On-Behalf-Of 認証を使用して、アクティブな Microsoft プラグインを介してセキュリティ関連のデータにアクセスします。 グループまたは個人が Copilot for Security プラットフォームにアクセスするには、特定の Copilot for Security ロールを割り当てる必要があります。 プラットフォームに対して認証されると、プロンプトで使用できるプラグインがデータ アクセスによって決まります。 ロールは、設定の構成、アクセス許可の割り当て、タスクの実行など、他のどのアクティビティにアクセスできるかを制御します。
Copilot for Security ロールは Entra ロールではありません。 これらは Copilot 内で定義および管理され、Copilot for Security 機能へのアクセスのみを許可します。
Microsoft Entra ロールは、Microsoft 製品ポートフォリオ全体で複数の製品へのアクセスを許可します。 これらのロールは、Microsoft Entra 管理センターを介して管理されます。 詳細については、「ユーザーに Microsoft Entra ロールを割り当てる」を参照してください。
Azure IAM ロールは、サブスクリプションの一部としてリソース グループ内のセキュリティ容量ユニット (SCU) などの Azure リソースへのアクセスを制御します。 詳細については、「Azure ロールを割り当てる」を参照してください。
Copilot for Security プラットフォームにアクセスする
Copilot for Security が組織にオンボードされた後、次のロールによって、Copilot for Security プラットフォームへのユーザーのアクセスが決定されます。
Copilot for Security のロール
Copilot for Security では、アクセス グループのように機能しますが、Microsoft Entra ID ロールではない 2 つのロールが導入されています。 代わりに、Copilot for Security プラットフォームの機能へのアクセスのみを制御します。
- Copilot 所有者
- Copilot 共同作成者
既定では、Microsoft Entra テナント内のすべてのユーザーに Copilot 共同作成者のアクセス権が付与されます。
Microsoft Entra のロール
次の Microsoft Entra のロールは、Copilot 所有者のアクセス権を自動的に継承します。
- セキュリティ管理者
- グローバル管理者
Microsoft プラグインの機能にアクセスする
Copilot for Security は、ユーザーが持つアクセス権を超えるものではありません。 各 Microsoft プラグインには、プラグインのサービスとそのデータを呼び出すための独自のロール要件があります。 アクティブ化された Microsoft プラグインの機能を使用するために、適切なサービス ロールとライセンスが割り当てられていることを確認します。
次の例を考えてみましょう。
Copilot 共同作成者
アナリストには、Copilot 共同作成者のアクセス権が割り当てられます。これにより、セッションを作成できる Copilot プラットフォームにアクセスできます。 最小特権モデルに従って、セキュリティ管理者のような Microsoft Entra ロールはありません。 ただし、Microsoft Sentinel プラグインを利用するには、Microsoft Sentinel ワークスペースのインシデントにアクセスするために、Copilot 用 Microsoft Sentinel 閲覧者のような適切なロールが引き続き必要です。 Intune プラグインを通じて利用可能なデバイス、特権、ポリシー、ポスチャにアクセスするには、Copilot 用 Endpoint Security Manager のような別のサービス固有のロールが必要です。 Microsoft Defender XDR では、埋め込みCopilot for Security エクスペリエンスへのアクセスと、Microsoft Defender XDR データへの Copilot アクセスを許可するカスタム ロールが割り当てられます。
Defender XDR カスタム ロールの詳細については、「Microsoft Defender XDR Unified RBAC」を参照してください。
Microsoft Entra セキュリティ グループ
セキュリティ管理者ロールは Copilot および特定のプラグイン機能へのアクセス権を継承しますが、このロールには
アクセス許可が含まれます。 純粋に Copilot へのアクセスのためだけにこのロールを割り当てることはおすすめできません。 代わりに、セキュリティ グループを作成し、そのグループを適切な Copilot ロール (所有者または共同作成者) に追加します。詳細については、「Microsoft Entra ロールのベスト プラクティス」を参照してください。
埋め込みエクスペリエンスにアクセスする
Copilot 共同作成者ロールに加えて、各 Copilot for Security 埋め込みエクスペリエンスの要件を確認して、必要な追加のロールとライセンスを理解します。
詳細については、「Copilot for Security エクスペリエンス」を参照してください。
共有セッション
Copilot 共同作成者ロールは、セッション リンクを共有するか、そのテナントから表示するための唯一の要件です。
セッション リンクを共有するときは、次のアクセスへの影響を考慮してください。
- Copilot for Security は、応答を生成するためにプラグインのサービスとデータにアクセスする必要がありますが、共有セッションを表示するときに同じアクセスは評価されません。 たとえば、Intune のデバイスとポリシーにアクセスでき、Intune プラグインを使用して共有する応答を生成する場合、共有セッション リンクの受信者は、セッションの完全な結果を表示するために Intune アクセス権を必要としません。
- 共有セッションには、最初のプロンプトの後で共有されたか最後のプロンプトの後で共有されたかに関係なく、セッションに含まれるすべてのプロンプトと応答が含まれます。
- セッションを作成するユーザーのみが、そのセッションにアクセスできる Copilot ユーザーを制御します。 セッション作成者から共有セッションのリンクを受け取った場合は、アクセスできます。 そのリンクを他のユーザーに転送しても、アクセス権は付与されません。
- 共有セッションは読み取り専用です。
- セッションは、Copilot にアクセスできる同じテナント内のユーザーとのみ共有できます。
- 一部のリージョンでは、メールによるセッション共有がサポートされていません。
SouthAfricaNorthUAENorth
共有セッションの詳細については、「Copilot for Security の移動」を参照してください。
役割を割り当てる
次の表は、開始ロールに付与される既定のアクセス権を示しています。
注:
既定では、Everyone には Copilot 共同作成者アクセス権があります。 この広範なアクセスを特定のユーザーまたはグループに置き換えることを検討してください。
| 機能 | Copilot 所有者 | Copilot 共同作成者 |
|---|---|---|
| セッションを作成する | はい | はい |
| 個人用カスタム プラグインを管理する | はい | 既定値: いいえ |
| 共同作成者が個人用カスタム プラグインを管理できるようにする | はい | いいえ |
| 共同作成者がテナントのカスタム プラグインを発行できるようにする | はい | いいえ |
| ファイルをアップロードする | はい | はい |
| プロンプトブックを実行する | はい | はい |
| 個人用プロンプトブックを管理する | はい | はい |
| プロンプトブックをテナントと共有する | はい | はい |
| データ共有とフィードバック のオプションを更新する | はい | いいえ |
| 容量管理 | はい* | いいえ |
| 使用状況データを表示する | はい | いいえ |
| 言語を選択する | はい | はい |
Copilot for Security アクセスを割り当てる
Copilot for Security 設定内で Copilot ロールを割り当てます。
-
ホーム メニューを選択します。 - [ロールの割り当て]>[メンバーの追加] を選択します。
- [メンバーの追加] ダイアログ ボックスで、ユーザーまたはグループの名前の入力を開始します。
- ユーザーまたはグループを選択します。
- 割り当てる Copilot for Security ロール (Copilot 所有者または Copilot 共同作成者) を選択します。
- [追加] を選択します。
ヒント
セキュリティ グループを使用して、個々のユーザーではなく Copilot for Security ロールを割り当てることをおすすめします。 これにより、管理の複雑さが軽減されます。
グローバル管理者ロールとセキュリティ管理者ロールを所有者アクセス権から削除することはできませんが、Everyone グループは共同作成者アクセス権から削除できます。 また、必要に応じて追加する有効なグループでもあります。
Entra ロール メンバーシップは、Microsoft Entra 管理センターからのみ管理できます。 詳細については、「Microsoft Entra ユーザー ロールの管理」を参照してください。
マルチテナント
組織に複数のテナントがある場合、Copilot for Security は、Copilot for Security がプロビジョニングされているセキュリティ データにアクセスするために、組織全体の認証に対応できます。 Copilot for Security 用にプロビジョニングされたテナントは、セキュリティ アナリストがログインするテナントである必要はありません。 詳細については、「Copilot for Security テナント切り替えの操作」を参照してください。
テナント間サインインの例
Contoso は最近、Fabrikam と合併しました。 どちらのテナントにもセキュリティ アナリストがいますが、Copilot for Security を購入してプロビジョニングしたのは Contoso だけです。 Fabrikam のアナリストである Angus MacGregor は、Fabrikam の資格情報を使用して Copilot for Security を使用したいと考えています。 このアクセスを実行する手順を次に示します。
Angus MacGregor の Fabrikam のアカウントに Contoso のテナントの外部メンバー アカウントがあることを確認します。
外部メンバー アカウントに、Copilot for Security と目的の Microsoft プラグインにアクセスするために必要なロールを割り当てます。
Fabrikam のアカウントを使用して Copilot for Security ポータルにサインインします。
テナントを Contoso に切り替えます。
詳細については、「MSSP アクセス権を付与する」を参照してください。