了解Microsoft 安全 Copilot中的身份验证
Copilot 使用代理身份验证通过活动的 Microsoft 插件访问与安全相关的数据。 必须分配特定的安全 Copilot角色,以便组或个人访问安全 Copilot平台。 向平台进行身份验证后,数据访问将确定提示中可用的插件。 你的角色控制你有权访问的其他活动,例如配置设置、分配权限和执行任务。
安全 Copilot角色不是 Entra 角色。 它们在 Copilot 中定义和管理,仅授予对安全 Copilot功能的访问权限。
Microsoft Entra角色授予对 Microsoft 产品组合中的多个产品的访问权限。 这些角色通过Microsoft Entra 管理中心进行管理。 有关详细信息,请参阅向用户分配Microsoft Entra角色。
Azure IAM 角色 控制对 Azure 资源(如安全容量单位 (SCU) )的访问,作为订阅的一部分在资源组中。 有关详细信息,请参阅 分配 Azure 角色。
访问安全 Copilot平台
为组织载入安全 Copilot后,以下角色确定用户对安全 Copilot平台的访问权限。
安全 Copilot角色
安全 Copilot引入了两个角色,它们的作用类似于访问组,但不是Microsoft Entra ID角色。 相反,它们仅控制对安全 Copilot平台功能的访问。
- Copilot 所有者
- Copilot 参与者
默认情况下,Microsoft Entra租户中的所有用户都获得 Copilot 参与者访问权限。
Microsoft Entra角色
以下Microsoft Entra角色自动继承 Copilot 所有者访问权限。
- 安全管理员
- 全局管理员
访问 Microsoft 插件的功能
安全 Copilot不会超出你拥有的访问权限。 每个 Microsoft 插件都有自己的角色要求,用于调用插件的服务及其数据。 验证是否已分配适当的服务角色和许可证,以使用已激活的 Microsoft 插件的功能。
请考虑以下示例:
Copilot 参与者
作为分析师,你将获得 Copilot 参与者访问权限,这使你能够访问 Copilot 平台,并能够创建会话。 遵循最低特权模型后,你没有任何Microsoft Entra角色,例如安全管理员。 但是,为了利用 Microsoft Sentinel 插件,你仍然需要适当的角色(如适用于 Copilot 的 Microsoft Sentinel 读者 )来访问 Microsoft Sentinel 工作区中的事件。 需要另一个特定于服务的角色(例如适用于 Copilot 的 Endpoint Security Manager)来访问通过 Intune 插件提供的设备、特权、策略和态势。 对于Microsoft Defender XDR,系统会为你分配一个自定义角色,该角色使你能够访问嵌入式安全 Copilot体验和对Microsoft Defender XDR数据的 Copilot 访问权限。
有关Defender XDR自定义角色的详细信息,请参阅 Microsoft Defender XDR统一 RBAC。
Microsoft Entra安全组
尽管 安全管理员 角色继承了对 Copilot 和某些插件功能的访问权限,但此角色包括
权限。 不建议仅为 Copilot 访问权限分配此角色。 请改为创建安全组,并将该组添加到相应的 Copilot 角色 (所有者或参与者) 。有关详细信息,请参阅Microsoft Entra角色的最佳做法。
访问嵌入体验
除了 Copilot 参与者 角色外,还验证每个安全 Copilot嵌入式体验的要求,以了解需要哪些额外的角色和许可证。
有关详细信息,请参阅安全 Copilot体验。
共享会话
Copilot 参与者 角色是共享会话链接或从该租户查看会话链接的唯一要求。
共享会话链接时,请考虑以下访问影响:
- 安全 Copilot需要访问插件的服务和数据才能生成响应,但在查看共享会话时不会评估相同的访问权限。 例如,如果你有权访问 Intune 中的设备和策略,并且使用 Intune 插件生成共享的响应,则共享会话链接的接收者无需Intune访问权限即可查看会话的完整结果。
- 共享会话包含会话中包含的所有提示和响应,无论是在第一个提示之后还是最后一个提示之后共享。
- 只有创建会话的用户控制哪些 Copilot 用户可以访问该会话。 如果从会话创建者那里收到共享会话的链接,则你有权访问。 如果将该链接转发给其他人,则不会授予他们访问权限。
- 共享会话是只读的。
- 会话只能与同一租户中有权访问 Copilot 的用户共享。
- 某些区域不支持通过电子邮件进行会话共享。
SouthAfricaNorthUAENorth
有关共享会话的详细信息,请参阅导航安全 Copilot。
分配角色
下表说明了授予起始角色的默认访问权限。
注意
默认情况下,每个人都具有 Copilot 参与者 访问权限。 请考虑将这种广泛访问权限替换为特定用户或组。
| 功能 | Copilot 所有者 | Copilot 参与者 |
|---|---|---|
| 创建会话 | 是 | 是 |
| 管理个人自定义插件 | 是 | 默认否 |
| 允许参与者管理个人自定义插件 | 是 | 否 |
| 允许参与者发布租户的自定义插件 | 是 | 否 |
| 上传文件 | 是 | 是 |
| 运行 promptbook | 是 | 是 |
| 管理个人提示簿 | 是 | 是 |
| 与租户共享提示簿 | 是 | 是 |
| 更新数据共享和反馈选项 | 是 | 否 |
| 容量管理 | 是* | 否 |
| 数据评估 | 是 | 否 |
| 查看使用情况仪表板 | 是 | 否 |
| 选择语言 | 是 | 是 |
分配安全 Copilot访问权限
在安全 Copilot设置中分配 Copilot 角色。
- 选择主
菜单。 - 选择 “角色分配>”“添加成员”。
- 开始在“ 添加成员 ”对话框中键入人员或组的名称。
- 选择个人或组。
- 选择要分配 (Copilot 所有者或 Copilot 参与者) 的安全 Copilot角色。
- 选择“添加”。
提示
建议使用安全组来分配安全 Copilot角色,而不是单个用户。 这可降低管理复杂性。
无法从“所有者”访问权限中删除全局管理员和安全管理员角色,但“每个人”组可从“参与者”访问权限中删除。 它也是一个有效的组,可根据需要重新添加。
Entra 角色成员身份只能从 Microsoft Entra 管理中心进行管理。 有关详细信息,请参阅管理Microsoft Entra用户角色。
配置所有者设置
下面是对具有 Copilot 所有者 角色的用户可用的配置选项:
容量管理
管理容量关联和地理位置评估选项。 请记住,购买新的安全容量单位 (SCU) 、更改容量或关联其他容量都需要 Azure 所有者或参与者访问Azure 门户中的容量资源。
图显示了用于关联 SCU 的所有者设置。
有关购买 SCU 的详细信息,请参阅 预配容量。
数据评估
严格在指定地理位置评估租户的所有提示,或者可以选择允许 Copilot 在任何位置评估提示。
图显示了提示评估位置选项的所有者设置。
管理插件
预安装的插件(如 ServiceNow 和 Azure AI 搜索)需要更多设置。 当设置包括配置身份验证时,插件提供程序将确定身份验证的类型。 具有 
或 “设置 ” 按钮的任何插件均按用户配置。 这意味着所有用户(包括所有者)仅为自己配置该插件。
注意
网站插件使用匿名身份验证来访问内容。
在 “首选项”中,可配置以下插件选项:
- 控制其他角色是否可以为其会话添加自定义插件
- 控制其他角色是否可以将自定义插件发布到租户
- 控制是否所有角色都可以上传文件
管理提示簿
提示簿创建适用于所有角色,包括发布租户自定义提示簿的功能。 选择是在创建时为自己还是为租户发布提示簿。
有关详细信息,请参阅 生成自己的提示簿。
多租户
如果组织有多个租户,安全 Copilot可以跨租户进行身份验证,以访问预配安全 Copilot的安全数据。 为安全 Copilot预配的租户不需要是安全分析师从中登录的租户。 有关详细信息,请参阅导航安全 Copilot租户切换。
跨租户登录示例
Contoso 最近与 Fabrikam 合并。 这两个租户都有安全分析师,但只有 Contoso 购买并预配了安全 Copilot。 来自 Fabrikam 的分析师 Angus MacGregor 希望使用他们的 Fabrikam 凭据来使用安全 Copilot。 下面是完成此访问的步骤:
确保 Angus MacGregor 的 Fabrikam 帐户在 Contoso 租户中具有外部成员帐户。
为外部成员帐户分配访问安全 Copilot和所需 Microsoft 插件所需的角色。
使用 Fabrikam 帐户登录到 安全 Copilot 门户。
将租户切换到 Contoso。
有关详细信息,请参阅 授予 MSSP 访问权限。