Microsoft Copilot for Security での認証について
Copilot は、On-Behalf-Of 認証を使用して、アクティブな Microsoft プラグインを介してセキュリティ関連のデータにアクセスします。 グループまたは個人が Copilot for Security プラットフォームにアクセスするには、特定の Copilot for Security ロールを割り当てる必要があります。 プラットフォームに対して認証されると、プロンプトで使用できるプラグインがデータ アクセスによって決まります。 ロールは、設定の構成、アクセス許可の割り当て、タスクの実行など、他のどのアクティビティにアクセスできるかを制御します。
Copilot for Security ロールは Entra ロールではありません。 これらは Copilot 内で定義および管理され、Copilot for Security 機能へのアクセスのみを許可します。
Microsoft Entra ロールは、Microsoft 製品ポートフォリオ全体で複数の製品へのアクセスを許可します。 これらのロールは、Microsoft Entra 管理センターを介して管理されます。 詳細については、「ユーザーに Microsoft Entra ロールを割り当てる」を参照してください。
Azure IAM ロールは、サブスクリプションの一部としてリソース グループ内のセキュリティ容量ユニット (SCU) などの Azure リソースへのアクセスを制御します。 詳細については、「Azure ロールを割り当てる」を参照してください。
Copilot for Security プラットフォームにアクセスする
Copilot for Security が組織にオンボードされた後、次のロールによって、Copilot for Security プラットフォームへのユーザーのアクセスが決定されます。
Copilot for Security のロール
Copilot for Security では、アクセス グループのように機能しますが、Microsoft Entra ID ロールではない 2 つのロールが導入されています。 代わりに、Copilot for Security プラットフォームの機能へのアクセスのみを制御します。
- Copilot 所有者
- Copilot 共同作成者
既定では、Microsoft Entra テナント内のすべてのユーザーに Copilot 共同作成者のアクセス権が付与されます。
Microsoft Entra のロール
次の Microsoft Entra のロールは、Copilot 所有者のアクセス権を自動的に継承します。
- セキュリティ管理者
- グローバル管理者
Microsoft プラグインの機能にアクセスする
Copilot for Security は、ユーザーが持つアクセス権を超えるものではありません。 各 Microsoft プラグインには、プラグインのサービスとそのデータを呼び出すための独自のロール要件があります。 アクティブ化された Microsoft プラグインの機能を使用するために、適切なサービス ロールとライセンスが割り当てられていることを確認します。
次の例を考えてみましょう。
Copilot 共同作成者
アナリストには、Copilot 共同作成者のアクセス権が割り当てられます。これにより、セッションを作成できる Copilot プラットフォームにアクセスできます。 最小特権モデルに従って、セキュリティ管理者のような Microsoft Entra ロールはありません。 ただし、Microsoft Sentinel プラグインを利用するには、Microsoft Sentinel ワークスペースのインシデントにアクセスするために、Copilot 用 Microsoft Sentinel 閲覧者のような適切なロールが引き続き必要です。 Intune プラグインを通じて利用可能なデバイス、特権、ポリシー、ポスチャにアクセスするには、Copilot 用 Endpoint Security Manager のような別のサービス固有のロールが必要です。 Microsoft Defender XDRでは、埋め込みCopilot for Security エクスペリエンスへのアクセスと、Microsoft Defender XDR データへの Copilot アクセスを許可するカスタム ロールが割り当てられます。
Defender XDR カスタム ロールの詳細については、「Microsoft Defender XDR Unified RBAC」を参照してください。
Microsoft Entra セキュリティ グループ
セキュリティ管理者ロールは Copilot および特定のプラグイン機能へのアクセス権を継承しますが、このロールには
アクセス許可が含まれます。 純粋に Copilot へのアクセスのためだけにこのロールを割り当てることはおすすめできません。 代わりに、セキュリティ グループを作成し、そのグループを適切な Copilot ロール (所有者または共同作成者) に追加します。詳細については、「Microsoft Entra ロールのベスト プラクティス」を参照してください。
埋め込みエクスペリエンスにアクセスする
Copilot 共同作成者ロールに加えて、各 Copilot for Security 埋め込みエクスペリエンスの要件を確認して、必要な追加のロールとライセンスを理解します。
詳細については、「Copilot for Security エクスペリエンス」を参照してください。
共有セッション
Copilot 共同作成者ロールは、セッション リンクを共有するか、そのテナントから表示するための唯一の要件です。
セッション リンクを共有するときは、次のアクセスへの影響を考慮してください。
- Copilot for Security は、応答を生成するためにプラグインのサービスとデータにアクセスする必要がありますが、共有セッションを表示するときに同じアクセスは評価されません。 たとえば、Intune のデバイスとポリシーにアクセスでき、Intune プラグインを使用して共有する応答を生成する場合、共有セッション リンクの受信者は、セッションの完全な結果を表示するために Intune アクセス権を必要としません。
- 共有セッションには、最初のプロンプトの後で共有されたか最後のプロンプトの後で共有されたかに関係なく、セッションに含まれるすべてのプロンプトと応答が含まれます。
- セッションを作成するユーザーのみが、そのセッションにアクセスできる Copilot ユーザーを制御します。 セッション作成者から共有セッションのリンクを受け取った場合は、アクセスできます。 そのリンクを他のユーザーに転送しても、アクセス権は付与されません。
- 共有セッションは読み取り専用です。
- セッションは、Copilot にアクセスできる同じテナント内のユーザーとのみ共有できます。
- 一部のリージョンでは、メールによるセッション共有がサポートされていません。
SouthAfricaNorthUAENorth
共有セッションの詳細については、「Copilot for Security の移動」を参照してください。
役割を割り当てる
次の表は、開始ロールに付与される既定のアクセス権を示しています。
注:
既定では、Everyone には Copilot 共同作成者アクセス権があります。 この広範なアクセスを特定のユーザーまたはグループに置き換えることを検討してください。
| 機能 | Copilot 所有者 | Copilot 共同作成者 |
|---|---|---|
| セッションを作成する | はい | はい |
| 個人用カスタム プラグインを管理する | はい | 既定値: いいえ |
| 共同作成者が個人用カスタム プラグインを管理できるようにする | はい | いいえ |
| 共同作成者がテナントのカスタム プラグインを発行できるようにする | はい | いいえ |
| ファイルをアップロードする | はい | はい |
| プロンプトブックを実行する | はい | はい |
| 個人用プロンプトブックを管理する | はい | はい |
| プロンプトブックをテナントと共有する | はい | はい |
| データ共有とフィードバック のオプションを更新する | はい | いいえ |
| 容量管理 | はい* | いいえ |
| データ評価 | はい | いいえ |
| 使用状況データを表示する | はい | いいえ |
| 言語を選択する | はい | はい |
Copilot for Security アクセスを割り当てる
Copilot for Security設定内で Copilot ロールを割り当てます。
ホーム メニューを選択します。- [ロールの割り当て]>[メンバーの追加] を選択します。
- [メンバーの追加] ダイアログ ボックスで、ユーザーまたはグループの名前の入力を開始します。
- ユーザーまたはグループを選択します。
- 割り当てる Copilot for Security ロール (Copilot 所有者または Copilot 共同作成者) を選択します。
- [追加] を選択します。
ヒント
セキュリティ グループを使用して、個々のユーザーではなく Copilot for Security ロールを割り当てることをおすすめします。 これにより、管理の複雑さが軽減されます。
グローバル管理者ロールとセキュリティ管理者ロールを所有者アクセス権から削除することはできませんが、Everyone グループは共同作成者アクセス権から削除できます。 また、必要に応じて追加する有効なグループでもあります。
Entra ロール メンバーシップは、Microsoft Entra 管理センターからのみ管理できます。 詳細については、「Microsoft Entra ユーザー ロールの管理」を参照してください。
所有者設定を構成する
Copilot 所有者ロールを持つユーザーが使用できる構成オプションを次に示します。
容量管理
容量の関連付けと地理的位置の評価オプションを管理します。 新しいセキュリティ容量ユニット (SKU) の購入、容量の変更、または別の容量への関連付けはすべて、Azure portal の容量リソースへの Azure 所有者または共同作成者のアクセス権を必要とすることに注意してください。
図は、SKU を関連付けるための所有者設定を示しています。
SKU の購入の詳細については、「容量のプロビジョニング」を参照してください。
データ評価
指定した地域でテナントのすべてのプロンプトを厳密に評価するか、必要に応じて、Copilot が任意の場所でプロンプトを評価できるようにします。
図は、プロンプト評価の場所オプションの所有者設定を示しています。
プラグインの管理
ServiceNow や Azure AI Search などのプレインストール済みプラグインには、さらにセットアップが必要です。 セットアップに認証の構成が含まれている場合、プラグイン プロバイダーによって認証の種類が決定されます。 
ボタンまたは [設定] ボタンのあるプラグインはユーザーごとに設定されます。 つまり、所有者を含むすべてのユーザーは、そのプラグインのみを自分用に構成します。
注:
Web サイト プラグインは、匿名認証を使用してコンテンツにアクセスします。
[ユーザー設定] では、次のプラグイン オプションを構成できます。
- 他のロールがセッションのカスタム プラグインを追加できるかどうかを制御する
- 他のロールがカスタム プラグインをテナントに発行できるかどうかを制御する
- すべてのロールがファイルをアップロードできるかどうかを制御する
詳細については、「プラグインの管理」および「ファイルをアップロードしてソースを追加する」を参照してください。
プロンプトブックを管理する
プロンプトブックの作成は、テナントのカスタム プロンプトブックを発行する機能を含むすべてのロールで使用できます。 作成時に自分またはテナントのプロンプトブックを発行するかどうかを選択します。
詳細については、「独自のプロンプトブックを作成する」を参照してください。
マルチテナント
組織に複数のテナントがある場合、Copilot for Security は、Copilot for Security がプロビジョニングされているセキュリティ データにアクセスするために、組織全体の認証に対応できます。 Copilot for Security 用にプロビジョニングされたテナントは、セキュリティ アナリストがログインするテナントである必要はありません。 詳細については、「Copilot for Security テナント切り替えの操作」を参照してください。
テナント間サインインの例
Contoso は最近、Fabrikam と合併しました。 どちらのテナントにもセキュリティ アナリストがいますが、Copilot for Security を購入してプロビジョニングしたのは Contoso だけです。 Fabrikam のアナリストである Angus MacGregor は、Fabrikam の資格情報を使用して Copilot for Security を使用したいと考えています。 このアクセスを実行する手順を次に示します。
Angus MacGregor の Fabrikam のアカウントに Contoso のテナントの外部メンバー アカウントがあることを確認します。
外部メンバー アカウントに、Copilot for Security と目的の Microsoft プラグインにアクセスするために必要なロールを割り当てます。
Fabrikam のアカウントを使用して Copilot for Security ポータルにサインインします。
テナントを Contoso に切り替えます。
詳細については、「MSSP アクセス権を付与する」を参照してください。