Explorer les fonctionnalités de Copilot dans Microsoft Entra

  • 30 minutes

Dans cet exercice, vous explorez plusieurs scénarios réels qui mettent en évidence les avantages et la valeur de Copilot dans Microsoft Entra.

Remarque

L’environnement de cet exercice est une simulation générée à partir du produit. Comme c’est une simulation limitée, les liens d’une page peuvent ne pas être activés et les entrées texte qui ne sont pas prises en compte dans le script spécifié ne sont pas prises en charge. Un message contextuel s’affiche indiquant : « Cette fonctionnalité n’est pas disponible dans la simulation ». Lorsque cela se produit, sélectionnez OK et poursuivez les étapes de l’exercice.

Capture d’écran d’une fenêtre contextuelle indiquant que cette fonctionnalité n’est pas disponible dans la simulation.

Exercice

Cet exercice se compose de quatre tâches indépendantes qui explorent les fonctionnalités de Security Copilot dans Microsoft Entra.

Cet exercice devrait prendre environ 30 minutes.

Remarque

Lorsqu’une instruction de labo nécessite l’ouverture d’un lien dans l’environnement simulé, il est recommandé d’ouvrir le lien dans une nouvelle fenêtre de navigateur afin de voir simultanément les instructions et l’environnement de l’exercice. Pour ce faire, appuyez sur le bouton droit de la souris et sélectionnez l’option.

Tâche : Recherche et correction des utilisateurs à risque avec Copilot dans Microsoft Entra

Vous êtes un gestionnaire d’identités chez Woodgrove. Vous pensez qu’il existe certains utilisateurs de l’entreprise qui peuvent être compromis par les attaques par hameçonnage. Vous souhaitez utiliser Copilot dans Microsoft Entra pour passer en revue les utilisateurs à risque. Si vous le trouvez, vous pouvez utiliser Copilot pour vous aider à corriger le problème et à empêcher les occurrences futures. L’utilisateur principal que vous soupçonnez d’être compromis est Serena Markunaite.

  1. Ouvrez l’environnement simulé en sélectionnant ce lien : Centre d’administration Microsoft Entra.

  2. Dans le menu de gauche, faites défiler vers le bas et ouvrez le menu Protection .

  3. Sélectionnez Identity Protection dans le sous-menu.

    • Nous voulons utiliser le tableau de bord pour examiner le nombre d’utilisateurs à haut risque. Notez qu’il y a plus de 100 activités utilisateur à risque détectées.
    • Nous reviendrons à ce rapport en quelques minutes.

  4. Nous allons effectuer des recherches sur les utilisateurs à risque potentiels.

  5. Sélectionnez le bouton Copilot en haut à droite de l’écran.

  6. Prenez un moment pour passer en revue les exemples d’invites fournis dans Copilot.

  7. Entrez l’invite Afficher mes utilisateurs les plus risqués et sélectionnez la flèche.

    • Notez que l’utilisateur que nous étions préoccupés par (Serena) figure dans la liste.

  8. Examinez le bas de la réponse Copilot pour obtenir un lien vers le rapport Utilisateurs à risque.

  9. Sélectionnez le lien Rapport d’utilisateurs à risque dans Protection Microsoft Entra ID.

  10. Sélectionnez Serena Markunaite dans la liste des utilisateurs à risque.

    • Cela ouvre un résumé des risques de l’utilisateur généré automatiquement par Copilot. Vous voyez maintenant une raison spécifique pour laquelle Serena est à risque élevé.
    • Notez également les recommandations à suivre .

  11. Nous devons creuser un peu plus en profondeur et voir si nous pouvons suivre ce comportement risqué de l’utilisateur. Ont-ils effectué des activités en dehors de leur utilisation normale ?

  12. Dans la boîte de dialogue Copilot, entrez l’invite Afficher les connexions du Serena un jour avant et après l’alerte.

    • Notez que la tentative de connexion de l’utilisateur a échoué, puis certaines tentatives réussies immédiatement à partir d’une autre adresse IP. Ressemble à un comportement suspect.
    • La réinitialisation d’un mot de passe ou d’une authentification multifacteur peut ne pas suffire si un attaquant s’est connecté au système. Nous allons vérifier si des modifications ont été apportées aux paramètres MFA récemment.

  13. Entrez l’invite Copilot : Quelles méthodes MFA sont disponibles pour cet utilisateur ?.

    • Notez que la norme MFA d’entreprise de mot de passe et d’authentificateur est toujours définie.

  14. Nous avons fait des recherches sur la question et recueilli les informations nécessaires. Il est maintenant temps de planifier la correction des attaques de type homme du milieu.

  15. Demandez à copilote des recommandations avec l’invite Que dois-je faire pour remédier à cette menace de l'attaquant au milieu ?.

  16. Faites défiler vers le haut dans la fenêtre copilote pour passer en revue l’intégralité de la réponse.

    • La réponse Copilot inclut des moyens de corriger les problèmes actuels. Tous ces éléments sont excellents pour s’arrêter à une violation potentielle actuelle, mais n’arrêtera pas les tentatives futures. Que pouvons-nous faire ?
    • Rappel : dans les détails de l’utilisateur à risque , vous avez fourni des recommandations pour sécuriser les futures attaques.

  17. Il existe une suggestion d’utilisation de stratégies d’accès conditionnel pour protéger cet utilisateur. Utilisez Copilot pour en savoir plus.

  18. Entrez l’invite Puis-je utiliser la stratégie d’accès conditionnel basée sur les risques pour automatiser la réponse à ces détections ?

    • Notez que vous pouvez utiliser des stratégies d’accès conditionnel. La même chose que les recommandations précédentes que nous avons obtenues.

  19. Demandez à Copilot de vous donner des instructions pas à pas pour mettre en place cette configuration avec l’invite Comment créer une stratégie d’accès conditionnel basée sur le risque de connexion pour cet utilisateur ?

    • Passez en revue les étapes fournies.

    Remarque

    Les instructions générées concernent une politique utilisateur unique. Microsoft ne vous recommande pas de créer une stratégie pour chaque utilisateur, mais de les créer à l’aide de groupes de sécurité pour faciliter la maintenance.

  20. Fermez l’environnement simulé en quittant le navigateur.

Révision : vous avez effectué cette simulation de laboratoire. N’oubliez pas comment vous avez pu utiliser rapidement Copilot pour obtenir la liste des utilisateurs à risque, rechercher leurs activités basées sur l’identité, vérifier si le compte est apparu compromis et trouver un chemin de correction. Copilot intégré pour Microsoft Entra est un outil puissant pour prendre en charge vos tâches administratives d'identité et d'accès.

Tâche : Utilisation de Security Copilot dans Microsoft Entra pour résoudre les problèmes d’accès

Vous êtes un gestionnaire d’identités chez Woodgrove. Vous êtes membre du support technique et avez été invité à examiner un ticket de problème soumis par un employé distant qui travaille souvent à des emplacements clients sécurisés. L’employé signale qu’il ne peut pas s’authentifier lors de l’utilisation à partir de l’emplacement sécurisé d’un client qui n’autorise pas les utilisateurs à apporter des appareils externes, y compris des appareils mobiles et des ordinateurs portables. En tant qu’administrateur d’identité, vous savez que le processus d’authentification est configuré pour toujours utiliser l’authentification multifacteur basée sur téléphone, mais que vous souhaitez examiner les tentatives de connexion de l’utilisateur. Copilot peut vous aider à examiner et à rechercher comment résoudre rapidement le défi de connexion de l’utilisateur. L’utilisateur est Khamala Ervello.

  1. Ouvrez l’environnement simulé en sélectionnant ce lien : Centre d’administration Microsoft Entra.

  2. Sélectionnez le bouton Copilot de sécurité en haut à droite de l’écran.

  3. Entrez la commande En savoir plus sur kher40@woodgrove.ms pour obtenir des détails sur Khamala.

    • Prenez note que Khamala est un utilisateur valide et devrait pouvoir accéder.

  4. Nous devons rechercher l’échec de la tentative de connexion. Utilisez l’invite Montre-moi la connexion la plus récente ayant échoué pour kher40@woodgrove.ms pour obtenir un aperçu sur l’échec de la connexion.

    • Notez que l’échec précisément décrit par l’utilisateur s’est effectivement produit : une expiration de l’identification multi-facteurs.
    • Pouvons-nous vérifier s’il existe d’autres activités suspectes ?

  5. Entrez l’invite dans Security Copilot kher40@woodgrove.ms.

    • Nous ne voyons aucun comportement risqué ou inhabituel pour cet utilisateur.
    • Pouvons-nous les aider à se connecter, afin qu’ils puissent travailler ?

  6. Vérifiez quelles méthodes MFA sont disponibles sur Woodgrove avec l’invite Quelles méthodes d’authentification sont considérées comme MFA ?.

    • Notez la liste des méthodes MFA disponibles et les liens fournis pour rechercher leur valeur et leur force.

  7. La clé secrète FIDO2 est l’option la plus sécurisée, sans avoir besoin de vérification par téléphone. Pouvons-nous vérifier si Khamala est inscrit pour FIDO2 ?

  8. Vérifiez avec Copilot à l’aide de l’invite Est-ce que kher40@woodgrove.ms est enregistré pour l’authentification FIDO2 ?.

    • L’utilisateur n’est pas configuré pour FIDO2, peut-on les configurer sans mot de passe ?

  9. Demandez à copilot comment configurer cette option avec l’invite Comment puis-je configurer kher40@woodgrove.ms l’authentification sans mot de passe ?

  10. Passez en revue l’étape décrite par Security Copilot pour aider Khamala à configurer la connexion sans mot de passe. Ce problème est donc résolu.

  11. Après avoir examiné les étapes avec Khamala, vous pouvez envoyer un e-mail avec une copie des instructions.

  12. Fermez l’environnement simulé en quittant le navigateur.

Révision : Security Copilot dans Microsoft Entra est votre compagnon au support technique. Avec quelques instructions simples, vous pouvez confirmer le rôle d’un utilisateur dans l’entreprise, vérifier que son compte ne présente pas d'activités risquées et l'aider à résoudre les problèmes de connexion.

Tâche : Correction des problèmes de sécurité des applications avec Security Copilot dans Microsoft Entra

Vous êtes un gestionnaire d’identités chez Woodgrove. Votre entreprise a utilisé de nombreuses applications d’entreprise au fil des ans, et certaines ne sont plus utilisées. Votre travail consiste à identifier les applications inutilisées dans votre tenant Microsoft Entra et à les supprimer. Vous devez rechercher s’il existe une activité suspecte associée aux applications ou à leurs données dans le cadre du travail. Security Copilot dans Microsoft Entra peut vous aider.

  1. Ouvrez l’environnement simulé en sélectionnant ce lien : Centre d’administration Microsoft Entra.

  2. Passez en revue les données fournies dans le tableau de bord Microsoft Entra.

  3. Trouvez la section sur votre score d’identité sécurisée.

    • Notez qu’il existe des recommandations sur la façon dont vous pouvez rendre votre locataire encore plus sécurisé.
    • Notez que l’un des éléments est « Suppression d’une application inutilisée ».

  4. Sélectionnez le bouton Copilot de sécurité en haut à droite de l’écran.

  5. Utilisez l’invite Afficher les applications inutilisées pour rechercher les applications inutilisées.

    • Passez en revue la liste des applications.

  6. Il serait très utile de savoir qui possède ces applications.

  7. Entrez l'invite Qui sont les propriétaires des entités de service associées à ces applications ? afin de trouver les propriétaires.

    • Notez que beaucoup d’entre eux n’ont pas de propriétaires.

  8. Demandons à Copilot comment supprimer les applications avec l’invite Comment les supprimer ?.

  9. Passez en revue les étapes fournies pour supprimer l’application manuellement à l’aide du Centre d’administration Microsoft Entra ou afficher les scripts PowerShell.

    Remarque

    Bien que cette simulation n’utilise pas activement ces étapes pour supprimer l’application, vous pouvez voir comment Security Copilot peut rapidement vous aider à supprimer des applications inutilisées.

  10. Faites défiler vers le haut dans la fenêtre Copilot pour afficher la liste des applications fournies à l’origine.

  11. Recherchez l’application appelée Woodgrove Intranet et prenez note du nom du propriétaire : Braden Goudy (Corp).

  12. Fermez la fenêtre Security Copilot pour l’instant.

  13. Sélectionnez le menu Favoris dans le menu situé à gauche de l’écran.

    • Les favoris sont un endroit idéal pour stocker vos outils les plus couramment utilisés.

  14. Sélectionnez Activités à risque dans la liste des favoris.

    • Vous pouvez également ouvrir le menu Protection , puis sélectionner Activités à risque dans le menu.

  15. Trouvez le nom de Braden dans la liste et notez qu’il est à risque.

  16. Sélectionnez son nom pour ouvrir un résumé Security Copilot du comportement à risque.

    • Il existe plusieurs tentatives de connexion inconnues dans leur historique.

  17. Passez en revue les suggestions sur la façon d’atténuer les risques posés par l’utilisateur.

  18. Fermez l’environnement simulé en quittant le navigateur.

Révision : Dans cette simulation, vous avez utilisé Security Copilot pour vous aider à identifier rapidement les applications inutilisées et leurs propriétaires. Vous avez pu trouver les instructions pas à pas pour les supprimer de votre système. En outre, vous avez remarqué que des trois applications avec un propriétaire, celle dont le propriétaire est répertorié comme Braden Goudy (Corp) n’avait pas d’ID d’utilisateur associé. Avec ces informations, vous avez pu passer en revue l’utilisation du propriétaire de l’application et trouver un comportement potentiellement risqué.

Tâche : Exploration du copilote de sécurité dans Microsoft Entra

Vous êtes un gestionnaire d’identités chez Woodgrove. Vous avez été informé que l’utilisateur Rovshan Hasanli peut avoir un comportement étrange lors de la connexion au site Woodgrove. Vous souhaitez utiliser les journaux d’audit pour rechercher les activités.

  1. Ouvrez l’environnement simulé en sélectionnant ce lien : Centre d’administration Microsoft Entra.

  2. Dans le coin supérieur droit de l’écran, sélectionnez le bouton Security Copilot.

  3. Commençons par une simple invite comme Dites-moi à propos de l'utilisateur Rovshan Hasanli ?. Notez que la réponse à la requête indique que le champ Compte activé est défini avec la valeur false, ce qui signifie que le compte est désactivé.

  4. Nous devons trouver des informations sur l’utilisateur à partir des journaux d’audit. Utilisez l’invite Afficher les événements du journal d’audit Microsoft Entra initiés par cet utilisateur la semaine dernière pour trouver plus d’informations.

    • Passez en revue les informations sur le rôle Administrateur d’utilisateur attribué dans PIM.
    • Notez que le Security Copilot s’est souvenu que nous nous étions déjà posé des questions concernant Rovshan, et qu’il a gardé ce contexte. Vous pourriez avoir spécifié le nom dans l’invite également.
    • Sans Security Copilot, il faudrait ouvrir les journaux et rechercher manuellement les entrées.

  5. Vérifions la connexion de l'utilisateur avec l'invite Montrez-moi les connexions de cet utilisateur ?.

    • Il est inhabituel qu’un utilisateur dont le compte est désactivé ait pu se connecter et utiliser PIM.

  6. Faites défiler vers le haut dans la fenêtre Security Copilot pour trouver le lien Rovshan Hasanli’s Profile à partir de la première requête que nous avons effectuée dans Security Copilot.

  7. Sélectionnez le lien profil de Rovshan Hasanli.

    • Vous pouvez également accéder à la page Tous les utilisateurs en accédant au menu de gauche et en sélectionnant Identité, puis Utilisateurs, puis Tous les utilisateurs.
    • Sélectionnez la zone Rechercher des utilisateurs et entrez Rovshan.
    • Sélectionnez le compte Rovshan Hasanli .

  8. Intéressant, nous pouvons voir que le compte est désactivé dans l’état du compte.

  9. Revenez aux fenêtres Security Copilot et faites défiler jusqu’au lien Page des journaux d’audit.

  10. Sélectionnez le lien page Journaux d’audit.

    • Vous pouvez également accéder à la page à partir du menu de gauche en accédant à Identité, à Surveillance et santé, puis à journaux de connexion.

  11. Lorsque la page s’ouvre, sélectionnez le bouton Ajouter des filtres .

  12. Choisissez Initié par (acteur) parmi les filtres perdus et saisissez Rovshan, puis sélectionnez Appliquer.

    • Il y a plusieurs activités PIM effectuées par Rovshan.

  13. Retournez à la fenêtre Security Copilot et trouvez le lien Page des événements de connexion.

  14. Sélectionnez le lien Page des événements de connexion.

    • Vous pouvez également accéder à la page à partir du menu de gauche en accédant à Identité, à Surveillance et santé, puis à journaux de connexion.

  15. Lorsque la page s’ouvre, sélectionnez le bouton Ajouter des filtres .

  16. Choisissez Utilisateur dans la liste, puis sélectionnez Appliquer.

  17. Entrez Rovshan dans la boîte de dialogue.

    • Passez en revue la liste des tentatives de connexion.

  18. Fermez l’environnement simulé en quittant le navigateur.

Révision : Dans cette courte simulation, vous pouvez voir comment Security Copilot dans Microsoft Entra est en mesure de partager rapidement des informations sur l’activité d’un utilisateur spécifique. Security Copilot inclut ensuite des liens vers lesquels vous trouverez plus de détails pour obtenir plus de détails. Cette fonctionnalité vous permet de poser des questions sur les données Microsoft Entra, sans avoir à deviner où aller ensuite.