Intune 中的 Microsoft Copilot(公共预览版)

此功能目前提供 公共预览版

Microsoft 安全 Copilot 是一种生成式 AI 安全分析工具。 它可以帮助你和你的组织快速获取信息,并做出影响安全性和风险的决策。

Intune 具有由 Copilot 提供支持的功能。 这些功能可访问 Intune 数据,并帮助你管理策略和设置、了解安全状况以及排查设备问题。

可通过两种方式使用 Copilot 访问 Intune 数据:

  • Intune 中的 Microsoft Copilot(本文):Copilot 嵌入在 Intune 中,可在 Microsoft Intune 管理中心获取。 Copilot 提示及其输出在 Intune 和 Intune 数据的上下文中。

    此体验侧重于 IT 管理员/IT 专业人员。

  • Microsoft 安全 Copilot:此选项是独立的 Copilot,可在 Microsoft 安全 Copilot 门户中获取。 可以使用此门户从安全 Copilot 获取所有已启用的服务(例如 Intune、Microsoft Defender、Microsoft Entra ID、Microsoft Purview 等)的见解。

    此体验侧重于安全运营中心 (SOC),可供 IT 管理员使用。 有关详细信息,请参阅 在 Copilot for Security 中访问 Microsoft Intune 数据

本文重点介绍 Intune 中的 Copilot,并介绍可与 Copilot 配合使用的 Intune 功能。

开始之前

要在 Intune 中使用 Copilot,应了解以下信息:

  • Copilot 安全计算单元 (SCU):Intune 中的 Copilot 包含在安全 Copilot 中。 在 Intune 中使用 Copilot 时没有任何其他许可要求或特定于 Intune 的许可证。

    有关 SCU 的详细信息,请参阅:

  • Copilot 配置:必须配置 Microsoft 安全 Copilot,并且你必须在 Microsoft 安全 Copilot 门户中完成第一次运行教程,然后才能在 Intune 中使用 Copilot 功能。 有关设置任务,请参阅 Microsoft Copilot 入门

    可以通过 Intune 管理中心>“租户管理”>“Copilot”来检查状态。

    显示 Microsoft Intune 租户和 Intune 管理中心中启用了 Copilot 的屏幕截图。

  • Copilot 角色:通过安全 Copilot 或 Microsoft Entra ID 管理对 Intune 中 Copilot 的访问。 若要在 Intune 中使用 Copilot,必须在 Copilot for Security 或 Microsoft Entra ID 中为你或你的管理团队分配相应的角色。 没有可访问 Copilot 的内置 Intune 角色。

    有关详细信息,请参阅 Microsoft Copilot for Security 中的角色和身份验证

  • Intune 插件源:要在 Intune 中使用 Copilot,需要在安全 Copilot 中启用 Intune 插件。 通过此插件,可以访问 Intune 数据并在 Intune 管理中心使用 Copilot。

    转到 Copilot for Security 门户 ,选择“ ” (提示栏 > 右角) 。

    显示 Microsoft 安全 Copilot 中可用、已启用和已禁用的插件源的屏幕截图。

    在“管理源”中,启用 Microsoft Intune。

    显示 Microsoft 安全 Copilot 门户中启用了 Microsoft Intune 插件源的屏幕截图。

    提示

    某些角色可以启用或禁用插件。有关详细信息,请参阅 管理 Microsoft Copilot for Security 中的插件

  • Intune 数据:Copilot 使用 Intune 数据。 当 Intune 管理员提交提示时,Copilot 只能访问他们有权访问的数据,其中包括分配给他们的 RBAC 角色范围标记

提示

有关 Intune 中的 Copilot 的一些常见问题,请转到 Intune 中的 Microsoft Copilot 常见问题解答

开始使用 Intune 中的 Copilot

要在 Intune 中访问 Copilot,请登录到 Intune 管理中心。 主屏幕列出了开始使用 Copilot 的方法。

显示 Intune 管理中心主页的屏幕截图,其中包含 Microsoft Intune 中的 Copilot 功能。

目前,有三个区域在 Intune 中使用 Copilot:

  • 策略和设置管理
  • 设备详细信息和故障排除
  • 设备查询

策略和设置管理

Copilot 嵌入到策略设置和现有策略中。

创建 Intune 策略时,可以添加设置并配置这些设置以满足组织的要求。 添加设置时,会出现 Copilot 工具提示。

显示 Microsoft Intune 和 Intune 管理中心合规性策略中的 Copilot 设置工具提示的屏幕截图。

选择 Copilot 工具提示时,将打开 Copilot 提示窗口,并提供有关该设置的详细信息。

显示在 Microsoft Intune 管理中心合规性策略中选择 Copilot 工具提示时出现的设置详细信息的屏幕截图。

在 Copilot 窗口中,有更多提示可供使用。 还可以选择提示指南,并从现有选项列表中选择。

显示当你在 Microsoft intune 和 Intune 管理中心的合规性策略中添加设置时出现的 Copilot 提示指南的屏幕截图。

Copilot 提示可以帮助你了解设置的影响,查找潜在的冲突,并提供建议的值。 有关如何将 Copilot 与设置目录配合使用的示例,请转到使用设置目录创建设备配置策略

可以在 Intune 中对以下策略类型使用 Copilot 工具提示:

  • 合规性策略
  • 设备配置策略(包括设置目录)
  • 大多数终结点安全策略

✅ 使用 Copilot 汇总现有策略

在现有 Intune 策略上,可以使用 Copilot 来汇总策略。 摘要描述了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。

若要在 Intune 中使用此功能,请选择现有策略,然后选择“使用 Copilot 进行汇总”。

显示如何在 Microsoft Intune 或 Intune 管理中心的策略中选择“使用 Copilot 进行汇总”功能的屏幕截图。

可以在 Intune 中对以下策略类型使用此功能:

  • 合规性策略
  • 设备配置策略(包括设置目录)
  • 大多数终结点安全策略

设备详细信息和故障排除

✅ 使用 Copilot 获取设备详细信息并排查设备问题

可以使用 Copilot 获取特定于设备的信息,例如已安装的应用、组成员身份等。

若要在 Intune 中使用此功能,请选择设备,然后选择“使用 Copilot 进行浏览”。

显示在其中选择任何设备,然后在 Intune 和 Intune 管理中心Microsoft使用 Copilot 进行浏览的屏幕截图。

当 Copilot 窗口打开时,选择一个提示,并根据需要输入任何必需或可选输入。 还可以打开提示指南,了解一些后续问题。

屏幕截图显示了在 Intune 或 Intune 管理中心Microsoft选择设备后 Copilot 提示指南。

有关对设备使用 Copilot 的详细信息,请转到 在 Intune 中使用 Microsoft Copilot 排查设备问题

提示

还可以使用 Copilot 来帮助使用设备查询排查设备问题。 有关详细信息,请参阅 以下部分

在设备查询中使用 Copilot 进行查询

可以使用 Copilot 来帮助创建在 Intune 中使用设备查询时要运行的 KQL 查询。

注意

若要在租户中使用设备查询,必须具有包含 Microsoft Intune 高级分析的许可证。 有关详细信息,请参阅 Intune 加载项

若要在 Intune 中使用此功能,请选择设备,选择“ 设备查询”,然后选择“ 使用 Copilot 查询”。

当 Copilot 窗口打开时,输入有关设备的问题。 如果设备查询支持回答问题所需的属性,则 Copilot 将生成可用于获取所需数据的 KQL 查询。

显示 Copilot 窗口的屏幕截图,其中显示了设备查询提示。

若要使用 Copilot 生成的查询,请选择“ 添加到编辑器 ”以将其添加到设备查询中的查询编辑器,或选择“ 添加并运行 ”将其添加到编辑器并自动运行。 选择“ 此查询是如何生成的? ”,查看 Copilot 生成的说明,说明它如何创建查询以响应你的请求。

下面是可以尝试的一些示例查询:

  • Defender 是否在此设备上运行?

  • 显示此设备上最后 5 个应用崩溃事件。

  • 此设备上使用最多内存的前 10 个进程是什么?

  • 在此设备上显示过期的证书。

  • 在 C:\Windows\folderPath 中显示最近创建的 20 个文件

  • 此设备是否支持 TPM 2.0?

  • 显示此设备上按提供程序名称分组的驱动程序。

    注意

    Copilot 只能为与设备查询支持的属性相关的请求生成查询。 不能使用此功能向 Copilot 询问设备查询中提供的内容以外的设备详细信息。 有关设备查询中支持的属性的完整列表,请转到 “设备查询”。