瞭解 Microsoft Copilot for Security 中的驗證
Copilot 會使用代理者驗證,透過作用中的 Microsoft 外掛程式存取安全性相關數據。 必須指派特定 Copilot for Security 角色,群組或個人才能存取 Copilot for Security 平臺。 向平臺驗證之後,您的數據存取會決定哪些外掛程式可在提示中使用。 您的角色會控制您可存取的其他活動,例如設定設定、指派許可權,以及執行工作。
Copilot for Security 角色不是 Entra 角色。 它們會在 Copilot 內定義和管理,而且只會授與 Copilot for Security 功能的存取權。
Microsoft Entra 角色會授與 Microsoft 產品群組中多個產品的存取權。 這些角色是透過 Microsoft Entra 系統管理中心 來管理。 如需詳細資訊,請參閱指派 Microsoft Entra 角色給使用者。
Azure IAM 角色 會控制對 Azure 資源的存取,例如安全性容量單位 (訂用帳戶中資源群組中的 SCU) 。 如需詳細資訊, 請參閱指派 Azure 角色。
存取 Copilot for Security 平臺
Copilot for Security 為您的組織上線之後,下列角色會決定使用者對 Copilot for Security 平臺的存取權。
Copilot for Security 角色
Copilot for Security 引進兩個角色,其運作方式類似存取群組,但不 Microsoft Entra ID 角色。 相反地,它們只會控制對 Copilot for Security 平臺功能的存取。
- Copilot 擁有者
- Copilot 參與者
根據預設,Microsoft Entra 租使用者中的所有用戶都會獲得 Copilot 參與者存取權。
Microsoft Entra 角色
下列 Microsoft Entra 角色會自動繼承 Copilot 擁有者存取權。
- 安全性系統管理員
- 全域管理員
存取 Microsoft 外掛程式的功能
Copilot for Security 不會超過您擁有的存取權。 每個 Microsoft 外掛程式都有自己的角色需求,可呼叫外掛程式的服務及其數據。 確認您已指派適當的服務角色和授權,以使用已啟用的 Microsoft 外掛程式功能。
請考慮下列範例:
Copilot 參與者
身為分析師,您獲指派 Copilot 參與者 存取權,可讓您存取 Copilot 平臺,並能夠建立會話。 遵循最低許可權模型,您沒有任何 Microsoft Entra 角色,例如安全性系統管理員。 不過,若要利用 Microsoft Sentinel 外掛程式,您仍然需要適當的角色,例如適用於 Copilot 的 Microsoft Sentinel 讀取 器,才能存取 Microsoft Sentinel 工作區中的事件。 您需要另一個服務特定的角色,例如適用於 Copilot 的端點安全性管理員,才能存取可透過 Intune 外掛程式使用的裝置、許可權、原則和狀態。 針對 Microsoft Defender 全面偵測回應,系統會為您指派自定義角色,讓您能夠存取內嵌 Copilot for Security 體驗和 Copilot 存取 Microsoft Defender 全面偵測回應 數據。
如需 Defender 全面偵測回應 自定義角色的詳細資訊,請參閱 Microsoft Defender 全面偵測回應 Unified RBAC。
Microsoft Entra 安全組
雖然 安全性系統管理員 角色會繼承 Copilot 和特定外掛程式功能的存取權,但此角色包含
許可權。 不建議僅針對 Copilot 存取指派此角色。 相反地,請建立安全組,並將該群組新增至適當的 Copilot 角色 (擁有者或參與者) 。如需詳細資訊,請參閱 Microsoft Entra 角色的最佳做法。
存取內嵌體驗
除了 Copilot 參與者角色之外,請確認每個 Copilot for Security 內嵌體驗的需求,以瞭解需要哪些額外的角色和授權。
如需詳細資訊,請參閱 Copilot for Security 體驗。
共用工作階段
Copilot 參與者角色是共用會話連結或從該租用戶檢視它的唯一需求。
當您共享工作階段連結時,請考慮下列存取含意:
- Copilot for Security 需要存取外掛程式的服務和數據來產生回應,但檢視共用會話時不會評估相同的存取權。 例如,如果您能夠存取 Intune 中的裝置和原則,而且 Intune 外掛程式是用來產生您共用的回應,則共用會話連結的收件者不需要 Intune 存取權即可檢視會話的完整結果。
- 共用會話包含會話中包含的所有提示和回應,不論是在第一個提示或最後一個提示之後共用。
- 只有建立會話的使用者控制 Copilot 使用者可以存取該會話。 如果您從會話建立者收到共享工作階段的連結,您可以存取。 如果您將該鏈接轉寄給其他人,則不會授與他們存取權。
- 共用工作階段是唯讀的。
- 只能與具有 Copilot 存取權之相同租使用者中的用戶共享會話。
- 某些區域不支援透過電子郵件共享會話。
SouthAfricaNorthUAENorth
如需共用會話的詳細資訊,請參閱流覽 Copilot for Security。
指派角色
下表說明授與起始角色的預設存取權。
注意事項
根據預設, 每個人都 具有 Copilot 參與者 存取權。 請考慮將此廣泛存取取代為特定使用者或群組。
| 功能 | Copilot 擁有者 | Copilot 參與者 |
|---|---|---|
| 建立工作階段 | 是 | 是 |
| 管理個人自定義外掛程式 | 是 | 預設值否 |
| 允許參與者管理個人自定義外掛程式 | 是 | 否 |
| 允許參與者發佈租使用者的自定義外掛程式 | 是 | 否 |
| 上傳檔案 | 是 | 是 |
| 執行提示書 | 是 | 是 |
| 管理個人提示書 | 是 | 是 |
| 與租用戶共用提示書 | 是 | 是 |
| 更新數據共享和意見反應選項 | 是 | 否 |
| 容量管理 | 是* | 否 |
| 數據評估 | 是 | 否 |
| 檢視使用量儀錶板 | 是 | 否 |
| 選擇語言 | 是 | 是 |
指派 Copilot for Security 存取權
在 Copilot for Security 設定中指派 Copilot 角色。
- 選取 [
首頁] 選單。 - 選 取 [角色指派>][新增成員]。
- 開始在 [ 新增成員 ] 對話框中輸入人員或群組的名稱。
- 選取人員或群組。
- 選取要指派 (Copilot 擁有者或 Copilot 參與者) Copilot for Security 角色。
- 選取 新增。
提示
我們建議使用安全組來指派 Copilot for Security 角色,而不是個別使用者。 這可降低系統管理複雜度。
無法從擁有者存取中移除全域管理員和安全性系統管理員角色,但 Everyone 群組可從參與者存取中移除。 如果您想要的話,它也是要加回的有效群組。
只有從 Microsoft Entra 系統管理中心 才能管理 Entra 角色成員資格。 如需詳細資訊,請參閱管理 Microsoft Entra 使用者角色。
設定擁有者設定
以下是具有 Copilot 擁有者 角色的使用者可用的設定選項:
容量管理
管理容量關聯和地理位置評估選項。 請記住,購買新的安全性容量單位 () 、變更容量或與不同容量建立關聯,全都需要 Azure 擁有者或參與者存取 Azure 入口網站 中的容量資源。
圖顯示建立 SCUS 關聯的擁有者設定。
如需購買 SCUS 的詳細資訊,請參閱 布建容量。
數據評估
嚴格地在您指定的地理位置評估租使用者的所有提示,或選擇性地允許 Copilot 在任何地方評估提示。
圖顯示提示評估位置選項的擁有者設定。
管理外掛程式
預安裝的外掛程式,例如 ServiceNow 和 Azure AI 搜尋,需要進行更多設定。 當安裝程式包含設定驗證時,外掛程式提供者會決定驗證的類型。 任何具有 
或 [設定 ] 按鈕的外掛程式都會設定為每位使用者。 這表示所有使用者,包括擁有者,只會自行設定該外掛程式。
注意事項
網站外掛程式會使用匿名驗證來存取內容。
在 [ 喜好設定] 中,可以設定下列外掛程式選項:
- 控制其他角色是否可以為其會話新增自定義外掛程式
- 控制其他角色是否可以將自定義外掛程式發佈至租使用者
- 控制所有角色是否都可以上傳檔案
如需詳細資訊,請 參閱管理外掛程式 和 上傳檔案以新增來源。
管理提示簿
所有角色都可以使用 Promptbook 建立,包括發佈租使用者自定義提示簿的能力。 選擇要在建立時為您自己或租用戶發佈提示書。
如需詳細資訊,請 參閱建置您自己的提示書。
多租用戶
如果您的組織有多個租使用者,Copilot for Security 可以容納他們之間的驗證,以存取布建 Copilot for Security的安全性數據。 為 Copilot for Security 布建的租使用者不需要是安全性分析師登入的租使用者。 如需詳細資訊,請參閱導覽 Copilot for Security 租用戶切換。
跨租使用者登入範例
Contoso 最近與 Fabrikam 合併。 這兩個租使用者都有安全性分析師,但只有 Contoso 購買並布建 Copilot for Security。 來自 Fabrikam 的分析師 Angus MacGregor 想要使用其 Fabrikam 認證來使用 Copilot for Security。 以下是完成此存取的步驟:
確定 Angus MacGregor 的 Fabrikam 帳戶在 Contoso 租使用者中有外部成員帳戶。
將必要的角色指派給外部成員帳戶,以存取 Copilot for Security 和所需的 Microsoft 外掛程式。
使用 Fabrikam 帳戶登入 Copilot for Security 入口網站。
將租用戶切換至 Contoso。
如需詳細資訊,請 參閱授與 MSSP 存取權。