使用 Microsoft 安全 Copilot 进行安全和访问控制

在 Microsoft Entra 中，Microsoft 安全 Copilot 允许管理员使用自然语言查询实施和管理全面安全控制。 此功能可帮助你控制对资源的访问、配置身份验证方法、管理特权角色以及评估应用程序风险，以增强组织的安全状况。

本文介绍如何使用 Microsoft Security Copilot 通过评估组织中基于角色的访问控制、身份验证方法、条件访问策略和设备符合性进行安全评估。 具体而言，对于 Microsoft Entra 管理中心中的以下用例：

• 调查和管理角色分配
• 配置身份验证方法和策略
• 分析条件访问策略
• 监视和管理设备符合性

先决条件

• 已启用 Security Copilot 的租户。 有关详细信息，请参阅 Microsoft 安全 Copilot 使用指南 。

• 不同的安全性和访问控制用例需要以下角色和许可证：

  用例	角色	许可证	租户
  角色管理	目录读取器 或 全局读取器	任何 Microsoft Entra ID 许可证	任何租户
  设备管理	可供任何用户使用	免费Microsoft Entra ID 许可证	任何租户
  身份验证管理	身份验证策略管理员 （租户）或 特权身份验证管理员 （用户）	任何 Microsoft Entra ID 许可证	任何租户
  条件访问	安全管理员、 全局读取者或 安全读取者	Microsoft Entra ID P1 许可证	具有 CA 策略的租户

在 Microsoft Entra 中启动安全助手

1. 根据特定用例，使用适当的管理角色登录到Microsoft Entra管理中心。

2. 从 Microsoft Entra 管理中心的 Copilot 按钮启动安全 Copilot 。

   

3. 请参阅以下用例和提示，通过自然语言查询以检索信息或执行操作。

注释

如果某个动作因权限不足而被阻止，则会显示推荐的角色。 可以在安全 Copilot 聊天中使用以下提示来激活所需的角色。 这取决于拥有合格的角色分配，以提供必要的访问权限。

• 激活 {必需角色}，以便我可以执行 {所需任务}。

调查和管理角色分配

通过检查基于角色的访问控制（RBAC）开始评估，以确保特权角色被正确分配，并且组织的 Microsoft Entra 设置中遵循最低特权原则。

角色分配查询

首先调查当前角色分配，以了解谁有权访问敏感管理功能，并确保适当控制特权访问。 使用以下提示获取所需的信息：

• 用户/组/应用（名称/电子邮件/ID）具有哪些角色？
• 用户/组/应用（名称/电子邮件/ID）具有什么传递性角色？
• 用户/组/应用（名称/电子邮件/ID）拥有的符合条件的角色有哪些？
• 用户/组/应用（名称/电子邮件/ID）有哪些计划的角色？
• 谁被赋予了云应用程序管理员角色？
• 谁具有全局读取者角色的资格？

角色信息和标识

然后，可以检查特定角色及其标识符，以了解权限范围，并确保角色分配符合业务要求和安全策略。 使用以下提示获取所需的信息：

• 角色 ID 是什么（角色名称）
• ID 为 5d6b6bb7-de71-4623-b4af-96380a352509 的角色的名称

配置身份验证方法和策略

接下来，应跨 Microsoft Entra 租户评估和管理身份验证方法，以确保实施强身份验证做法来保护用户和资源。

身份验证方法配置

接下来，可以评估身份验证方法，以确保实施强做法，并正确配置多重身份验证（MFA），以防止未经授权的访问。 使用以下提示获取所需的信息：

• 在租户中启用了哪些身份验证方法？
• Microsoft Authenticator 是否在租户中启用？ 对于谁？
• 我的租户中是否启用了注册活动？ 对于谁？
• 是否在租户中启用了系统首选身份验证？ 对于谁？
• 我的租户是否启用了报告可疑活动功能？ 对于谁？

用户身份验证状态

然后，可以查看单个用户身份验证配置和注册状态，以确保符合安全策略，并确定可能需要其身份验证设置帮助的任何用户。 使用以下提示获取所需的信息：

• 注册了哪些身份验证方法 karita@woodgrovebank.com ？
• 用户karita@woodgrovebank.com是否已启用每用户 MFA？
• 有多少用户已注册 FIDO2 安全密钥方法？

监视和管理设备符合性

可以通过监视和调查整个组织中的设备符合性来继续评估。 设备符合性对于许多组织至关重要，以确保只有安全合规的设备才能访问敏感信息和公司资源。

设备标识和状态

通过检查设备详细信息和符合性状态，可以确保访问组织资源的设备符合安全标准和策略。 使用以下提示获取所需的信息：

• 向我显示 ID 为 {ID} 的设备
• 显示所有合规设备/显示所有不符合的设备。
• 列出未管理的设备。
• 有多少设备？

设备加入类型和配置

还可以调查设备加入类型和配置，以确保在 Microsoft Entra 设置中正确注册和管理设备。 使用以下提示获取所需的信息：

• 列出已注册 Entra ID/Entra ID 联接/Entra ID 混合联接的所有设备。
• 每个设备信任类型存在多少台设备？

设备活动和操作系统

接下来，应查看设备活动和操作系统，以确保设备得到有效管理并正在运行受支持且安全的操作系统。 使用以下提示获取所需的信息：

• 显示设备 {ID} 上次处于活动状态的时间。
• 列出具有特定 {操作系统名称} 的设备。
• 显示运行 Windows 的设备数（8,10,11）。
• 显示按版本分类的 Windows 设备计数。

分析条件访问策略

最后，应评估组织的条件访问策略，以确保适当的访问控制到位，并且组织的安全要求在所有用户和设备之间一致地强制执行。

策略识别和状态

可以检查条件访问策略的当前状态，以了解哪些策略处于活动状态，并确保正确实施关键安全控制。 使用以下提示获取所需的信息：

• 身份验证强度策略。
• 按名称排序的条件访问策略。
• 活动多重身份验证条件访问策略。
• 强制实施 MFA 策略。
• 已启用条件访问策略。
• CA 策略当前已强制实施。
• 积极执行 CA 策略。

策略配置和管理

最后，可以调查特定的策略配置，以确定覆盖范围中的任何差距，并确保策略符合组织的安全状况和合规性要求。

• 要启用的条件访问策略。
• 当前未启用哪些 CA 策略？
• 可以启用哪些策略？
• 列出非活动条件访问策略/
• 条件访问策略。
• 列出 CA 策略。
• 哪些 CA 策略不适用于受信任位置？
• 排除所有受信任位置的条件访问策略。
• 获取针对用户的所有条件访问策略，并考虑其所在的组。

相关内容

• 详细了解 Microsoft Entra ID 中基于角色的访问控制
• 详细了解 Microsoft Entra 内置角色
• 详细了解 Microsoft Entra ID 中的身份验证方法
• 详细了解 Microsoft Entra ID 中的条件访问