智能 Microsoft Security Copilot 副驾驶®是生成 AI 安全分析工具。 它可以帮助你和你的组织快速获取信息,并做出影响安全性和风险的决策。
Intune具有由 Security Copilot 提供支持的功能。 这些功能可以访问Intune数据,并帮助你管理策略和设置、了解安全状况以及排查设备问题。
可通过两种方式使用 Copilot 访问 Intune 数据:
Intune 中的 Microsoft Copilot(本文):Copilot 嵌入在 Intune 中,可在 Microsoft Intune 管理中心获取。 Copilot 提示及其输出位于Intune和Intune和Windows 365 云电脑数据的上下文中。 这些功能访问Intune和Windows 365 云电脑数据。 它们可以帮助你管理策略和设置、了解安全状况以及排查设备问题,包括Windows 365云电脑。
此体验侧重于 IT 管理员/IT 专业人员。
智能 Microsoft Security Copilot 副驾驶®:此选项是独立的 Copilot,可在 智能 Microsoft Security Copilot 副驾驶® 门户中使用。 可以使用此门户从Security Copilot获取所有已启用服务的见解,例如Intune、Microsoft Defender、Microsoft Entra ID、Microsoft Purview 等。
此体验侧重于安全运营中心 (SOC),可供 IT 管理员使用。 有关详细信息,请参阅 Microsoft Intune 中的Security Copilot。
本文重点介绍 Intune 中的 Copilot,并介绍可与 Copilot 配合使用的 Intune 功能。
开始之前
要在 Intune 中使用 Copilot,应了解以下信息:
copilot 安全计算单元 (SCU) :Intune 中的 Copilot 包含在Security Copilot中。 使用 Intune 中的 Copilot 时没有任何其他许可要求或特定于 Intune 的许可要求。
有关 SCU 的详细信息,请参阅:
Copilot 配置:在 Intune 中使用 Copilot 功能之前,必须配置Security Copilot,并且必须在 智能 Microsoft Security Copilot 副驾驶® 门户中完成第一次运行演示。 有关设置任务,请参阅智能 Microsoft Security Copilot 副驾驶®入门。
可以通过 Intune 管理中心>“租户管理”>“Copilot”来检查状态。
Copilot 角色:通过Security Copilot或Microsoft Entra ID管理对 Intune 中的 Copilot 的访问。 若要在Intune中使用 Copilot,必须为你或你的管理团队分配Security Copilot或Microsoft Entra ID的适当角色。 没有可访问 Copilot 的内置 Intune 角色。
默认情况下,Microsoft Entra ID中的Intune管理员角色有权访问 Intune 中的 Copilot。 可以通过 Security Copilot 在 Intune 中向其他角色分配对 Copilot 的访问权限。
有关详细信息,请参阅 智能 Microsoft Security Copilot 副驾驶® 中的角色和身份验证。
Intune插件源:若要在 Intune 中使用 Copilot,需要在 Security Copilot 中启用Intune插件。 通过此插件,可以访问 Intune 数据并在 Intune 管理中心使用 Copilot。
转到Security Copilot门户,选择“源” (提示栏>右) 。
在“管理源”中,启用 Microsoft Intune。
提示
某些角色可以启用或禁用插件。有关详细信息,请参阅管理智能 Microsoft Security Copilot 副驾驶®中的插件。
若要在 Intune 中为 Windows 365 云电脑使用 Copilot,请在 Security Copilot 门户中的“源”中>启用 Windows 365。
Intune 数据:Copilot 使用 Intune 数据。 当 Intune 管理员提交提示时,Copilot 只能访问他们有权访问的数据,其中包括分配给他们的 RBAC 角色和范围标记。
提示
有关 Intune 中有关 Copilot 的一些常见问题,请转到 copilot Intune 常见问题解答。
开始使用 Copilot
要在 Intune 中访问 Copilot,请登录到 Intune 管理中心。 在顶部的横幅中,选择“ Copilot”。
可以在 Intune 中使用 Copilot 用于:
- 使用自然语言进行数据探索
- 策略和设置管理
- 设备详细信息和故障排除
- 分析Endpoint Privilege Management (EPM) 请求
- Microsoft Surface 设备故障排除
- 获取有关Windows 365云电脑的见解
Intune代理
Intune中的Security Copilot代理是 AI 驱动的助手,可帮助增强企业安全性并自动执行关键任务。 这些代理有助于简化终结点保护、标识管理、威胁情报和设备配置。
Intune包括适用于以下方案的专用代理:
- 更改评审代理 - 评估多管理员审批请求并建议作。
- 设备卸载代理 – 识别过时或未对齐的设备,并在卸载设备之前提供见解。
- 策略配置代理 - 将纯语言文档和常见行业基线转换为建议的设置和策略。
- 漏洞修正代理 - 使用 Defender 数据监视漏洞,并使用 AI 驱动的风险评估确定修正的优先级。
这些代理可帮助 IT 团队快速解决漏洞、策略差距和新出现的威胁。
若要了解详细信息,请参阅Intune概述中的Security Copilot代理。
数据浏览
使用自然语言,可以查询和浏览Intune数据,包括有关设备、用户、应用、策略、更新和合规性的数据。 还有一些内置示例可帮助你了解可以提出的问题类型。
运行查询时,Copilot 会汇总结果,并建议可以根据查询结果采取的作。 还可以使用查询输出将用户或设备添加到组,并创建自定义报表。
若要了解详细信息,请参阅浏览Intune数据并获取 Copilot 建议。
Copilot 对话助手提示建议
可以通过选择顶部横幅上的 Copilot 按钮,从 Intune 中的任何页面访问Copilot 对话助手。
打开Copilot 对话助手时,使用自然语言向 Copilot 提问。 智能搜索将请求与内置于 Intune 中的可用提示相匹配。 这些提示作为建议提供。
这些建议是动态的,并在键入问题时进行更新。 你可以继续键入以使请求更具体,或者尝试其他自然语言措辞(如果找不到所需内容)。
提示建议分为三个部分 - 建议、浏览数据和检查文档。
✅ 建议
本部分中的提示特定于Intune方案,例如设备故障排除和策略 & 设置管理。 此列表还包括有关排查 surface 设备Microsoft问题并获取有关Windows 365云电脑的见解的提示。
例如,可以输入 summarize 以查看与汇总相关的建议的列表:
如果提示需要更多信息,系统会提示输入该信息。 例如,如果选择“汇总Intune设备建议”,系统会提示输入设备 ID:
✅ 浏览数据
Copilot 对话助手包括可用于浏览Intune数据的所有提示。 在提示符中,你可能会看到“ 进一步探索 ”选项:
选择“ 进一步浏览”时,系统会重定向你的提示,提示已在“资源管理器”提示框中填写。 在我们的示例中,选择“ 平台 ”,然后从列表中选择你的平台:
若要了解详细信息,请参阅浏览Intune数据。
✅ 查看文档
Copilot 对话助手允许直接向Microsoft文档提问。 键入时, “检查文档 ”部分中的提示会动态更新为正在键入的问题。 选择此提示,了解Microsoft文档中的详细信息。
策略和设置管理
Copilot 嵌入到策略设置和现有策略中。
✅ 使用 Copilot 了解有关单个设置和建议值的详细信息
创建 Intune 策略时,可以添加设置并配置这些设置以满足组织的要求。 添加设置时,会出现 Copilot 工具提示。
选择 Copilot 工具提示时,将打开Copilot 提示窗口,并提供有关该设置的详细信息。
可以通过提出以下问题来获取有关此设置的更多见解:
- 是否已在任何其他策略中配置此设置?
- Microsoft是否推荐此设置的任何特定值?
- 此设置如何影响用户?
- 此设置如何影响安全性?
这些 Copilot 提示可以帮助你了解设置的效果、查找潜在的冲突并提供建议的值。 有关如何将 Copilot 与设置目录配合使用的示例,请转到使用设置目录创建设备配置策略。
可以在 Intune 中对以下策略类型使用 Copilot 工具提示:
- 合规性策略
- 设备配置策略(包括设置目录)
- 大多数终结点安全策略
✅ 使用 Copilot 汇总现有设备配置策略
在现有Intune配置策略上,可以使用 Copilot 来汇总策略。 摘要描述了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。
若要在 Intune 中使用此功能,请选择现有策略,然后选择“使用 Copilot 进行汇总”。
可以在设备配置策略(包括设置目录和大多数终结点安全策略)上使用此功能。
✅ 使用 Copilot 分析合规性策略
在现有Intune合规性策略上,可以使用 Copilot 分析策略的不同方面。 提示指南可帮助总结策略的作用、策略及其设置对用户的影响以及安全性。 还可以使用 Copilot 来帮助获取具有冲突设置的符合性策略。
设备详细信息和故障排除
✅ 使用 Copilot 获取设备详细信息并排查设备问题
可以使用 Copilot 获取特定于设备的信息,例如已安装的应用、组成员身份等。
若要在Intune中使用此功能,请选择一个设备,然后选择“使用 Copilot 进行汇总”。 Copilot 对话助手打开并执行提示:
此步骤会自动打开 Copilot 聊天 ((如果尚未打开) ),并执行提示。
有关对设备使用 Copilot 的详细信息,请转到在Intune中使用 Copilot 对设备进行故障排除。
✅ 使用 Copilot 创建 KQL 查询以获取设备详细信息
可以使用 Copilot 来帮助创建在 Intune 中使用设备查询时要运行的Kusto 查询语言 (KQL) 查询。
注意
若要在租户中使用设备查询,必须具有包含Microsoft Intune 高级分析的许可证。 有关详细信息,请参阅 Intune 加载项。
可以将此功能用于单个设备或多个设备。
查询单个设备
若要查询Intune中的单个设备,请转到“设备>”“所有设备>”选择设备,然后选择“监视>设备查询”。
在“Copilot 对话助手”中,输入有关设备的问题。 如果设备查询支持回答问题所需的属性,则 Copilot 会生成可以使用的 KQL 查询。
可以使用建议的查询或输入自己的查询来生成 KQL。 Copilot 生成 KQL,并提供 Copilot 如何创建查询以响应请求的说明。
下面是可以尝试的一些查询示例:
- Defender 是否在此设备上运行?
- 显示此设备上最后 5 个应用崩溃事件。
- 此设备上使用最多内存的前 10 个进程是什么?
- 在此设备上显示过期的证书。
- 在 C:\Windows\folderPath 中显示最近创建的 20 个文件
- 此设备是否支持 TPM 2.0?
- 显示此设备上按提供程序名称分组的驱动程序。
注意
Copilot 只能为与设备查询支持的属性相关的请求生成查询。 不能使用此功能向 Copilot 询问设备查询中提供的内容以外的设备详细信息。 有关设备查询中支持的属性的完整列表,请转到 “设备查询”。
查询多个设备
若要在Intune中跨多个设备查询数据,请选择“设备>设备查询”。
在“Copilot 对话助手”中,输入有关设备的问题。 如果设备查询支持回答问题所需的属性,则 Copilot 会生成可以使用的 KQL 查询。
可以选择 Copilot 生成的选项来快速生成 KQL 查询。 或者,可以输入问题或请求其他设备数据。 若要提出新请求,请在 Copilot 对话助手 中提出新问题。
下面是可以尝试的一些查询示例:
- 哪些设备未加密?
- 向我展示Windows 11设备。
- 哪些设备具有热修复?
- 显示 TPM 2.0 设备。
- 显示按制造商排序的设备。
- 哪些设备在过去 30 天内未修补?