Copilot 利用代理認證透過主動的 Microsoft 外掛存取安全相關資料。 必須指定特定的 Security Copilot 角色,團隊或個人才能存取 Security Copilot 平台。 當你通過平台認證後,你的Microsoft Entra和Azure基於角色的 存取控制 (RBAC) 會決定提示中可用的插件。 你的 Security Copilot 角色控制你在平台上可存取的其他活動,例如設定、權限分配及執行任務。
Security Copilot 的 RBAC 角色不是 Microsoft Entra 的角色。 Security Copilot 角色在 Copilot 內定義和管理,僅授予 Security Copilot 功能的存取權限。
Microsoft Entra RBAC 授權涵蓋 Microsoft 產品組合,包括包含安全資料的服務。 這些職務由 Microsoft Entra 系統管理中心管理。 欲了解更多資訊,請參閱「指派 Microsoft Entra 角色給使用者」。
Azure RBAC 控制對Azure資源的存取,例如資源群組中的安全容量單元 (SCU) ,或啟用Microsoft Sentinel的工作區。 欲了解更多資訊,請參閱「指派 Azure 角色」。
Access Security Copilot 平台
在您的組織啟用 Security Copilot 後,設定 Security Copilot RBAC 以判斷使用者對 Security Copilot 平台的存取權限。 接著,再以條件存取政策來層層保障你的安全保障。 欲了解更多關於如何在 RBAC 之外取得 Security Copilot 平台存取權的資訊,請參閱「以條件存取保護 AI 政策」。
Security Copilot 職務
Security Copilot 引入了兩個角色,功能類似存取群組,但並非 Microsoft Entra ID 角色。 相反地,它們只控制 Security Copilot 平台的功能存取,並未提供任何安全資料的存取權限。
- Security Copilot 擁有者
- Security Copilot 貢獻者
Microsoft Entra 與 Microsoft Purview 角色
以下 Microsoft Entra 與 Microsoft Purview 角色會自動繼承 Copilot 擁有者權限,確保 Security Copilot 至少擁有兩位擁有者。
Microsoft Entra 角色:
- 計費管理員
- Entra 合規管理員
- 全域管理員
- Intune 管理員
- 安全性系統管理員
欲了解更多關於 Microsoft Entra 連續性的資訊,請參閱管理緊急存取帳號。
Microsoft Purview 職務:
- Purview 合規管理員
- Purview 資料控管管理員
- Purview 組織管理
作為 Security Copilot 納入 Microsoft 365 E5 授權的一部分,合規套件會自動加入。
推薦的 Security Copilot 擁有者職務
你可以隨時更新 Security Copilot 的這組。 推薦的角色清單包括 Microsoft Entra ID 角色以及一些服務專屬的角色,例如 Microsoft Purview 角色和 Microsoft Defender 角色。
注意事項
只有被選定的擁有者角色會繼承該工作區的擁有者角色。 欲了解更多支援角色資訊,請參閱 Microsoft Entra 或 Microsoft Purview 角色。
如果 Microsoft 外掛需要不同角色來存取其安全資料,你也必須確保也被分配了相應的服務角色。 例如,該套件對於被指派為 合規管理員 的分析師來說運作良好。 此職務是 Microsoft Purview 推薦的職務之一,並可存取 Microsoft Purview 外掛資料。 不過,該分析師需要額外的角色分配才能存取像 Microsoft Sentinel 這樣的資安資料。 更多範例請參見 「存取 Microsoft 外掛的功能」。
推薦的 Security Copilot 貢獻者角色
透過推薦的 Microsoft 安全角色群組,提供對 Security Copilot 的存取權限,該群組採用安全與管理效率的平衡方法。 已透過 Microsoft Entra 角色擁有安全權限的使用者,將在此套裝中獲得 Security Copilot 平台的貢獻者權限。 如果 Everyone 群組被指派,必須先移除它,才能加入推薦的安全角色。
| 角色指派 | 利用 | 弱點 |
|---|---|---|
| 推薦Microsoft安全職務 (預設) | 快速且安全的方式,讓組織中已擁有安全資料存取權的使用者能夠取得平台所需的存取權。 更多角色、使用者和群組仍可新增。 | 這個團體是全有或全無。 如果推薦群組中有你不想存取的角色,整個群組必須被移除。 |
| 每個人 | 該群組最初預設被授予貢獻者權限以簡化配置。 | 如果 Everyone 群組的使用者無法存取任何安全資料,Security Copilot 的體驗會很混亂。 |
| 自訂 | 對擁有平台存取權的使用者及群組完全掌控。 | 需要更多行政複雜度。 |
注意事項
新 Security Copilot 實例預設會指定推薦的 Microsoft 安全角色。 現有已分配「所有人」群組的客戶仍可繼續使用該分配。 但如果「所有人」群組被移除,就無法再指派。 Security Copilot 只支援為可分配角色群組權限。 欲了解更多關於這些群組的資訊,請參閱 Entra ID 中的「建立可分配角色群組」。
存取 Microsoft 外掛的功能
Security Copilot 不會超出你所擁有的存取權限,這與 Microsoft 的安全與隱私 RAI 原則相符。 每個 Microsoft 外掛都有其獨特的角色要求,這些角色仍有效,以存取外掛的服務及其資料。 確認你是否被分配了正確的角色和授權,以使用已啟用的 Microsoft 外掛的功能。
請參考以下範例:
副駕駛貢獻者
作為分析師,你會被分配 Copilot 貢獻 者角色,以便存取 Copilot 平台並建立會話。 這項任務本身並不會讓你存取組織的安全資料。 依照最低權限模式,你不會有像安全管理員這類敏感的 Microsoft Entra 角色。 要使用 Copilot 存取像 Microsoft Sentinel 外掛這類的安全資料,你仍然需要一個合適的 Azure RBAC 角色,例如 Microsoft Sentinel Reader。 此職位可讓您透過 Copilot 存取 Microsoft Sentinel 工作空間中的事件。 為了讓 Copilot 工作階段存取 Intune 外掛可用的裝置、政策和態勢,你需要一個像 Endpoint Security Manager 這樣的 Intune 角色。 同樣的情況也適用於透過 Copilot 會話或內嵌的 Security Copilot 體驗存取 Microsoft Defender 全面偵測回應資料。
欲了解更多服務專屬RBAC資訊,請參閱以下文章:
Microsoft Entra 安全群組
雖然 安全管理員 角色繼承了 Copilot 及某些外掛功能的存取權,但此角色包含
權限。 不要只為了 Copilot 權限而指派這個角色給使用者。 相反地,建立一個安全群組,並將該群組加入適當的副駕駛角色 (擁有者或貢獻者) 。欲了解更多資訊,請參閱 Microsoft Entra 角色的最佳實務。
推薦的 Microsoft 安全職務
擁有 Microsoft 統一安全運營平台存取權的分析師,會被分配一個自訂的 Defender 全面偵測回應角色,該角色可存取 Defender 入口網站中的多個工作負載。 如果自訂角色安全作業包含 Security Copilot,那麼 Recommende Microsoft Security 角色則讓他們能存取 Security Copilot 平台以及 Microsoft Defender 中的 Copilot,簡化安全管理。
存取嵌入式體驗
除了 Copilot 貢獻者角色外,還要確認每個 Security Copilot 嵌入式經驗的需求,以了解需要哪些額外角色和執照。
欲了解更多資訊,請參閱 Security Copilot 經驗分享。
指派角色
下表說明了初始角色的預設存取權限。
注意事項
有些組織可能仍將 Everyone 群組分配給 Copilot 貢獻者 權限。 考慮將此廣泛存取權限替換為 推薦的 Microsoft 安全角色 群組。
| 功能 | 副駕駛擁有者 | 副駕駛貢獻者 |
|---|---|---|
| 建立會話 | 是 | 是 |
| 管理個人自訂外掛 | 是 | 預設不 |
| 允許貢獻者管理個人自訂外掛 | 是 | 否 |
| 允許貢獻者為租戶發佈自訂外掛 | 是 | 否 |
| 更改租戶預裝外掛的可用性 | 是 | 否 |
| 上傳檔案 | 是 | 預設是的 |
| 管理上傳檔案的使用情況 | 是 | 否 |
| 跑提示本 | 是 | 是 |
| 管理個人提示本 | 是 | 是 |
| 與租戶共用提示本 | 是 | 是 |
| 更新資料共享與回饋選項 | 是 | 否 |
| 容量管理 | 是* | 否 |
| 檢視使用儀表板 | 是 | 否 |
| 選擇語言 | 是 | 是 |
指派 Security Copilot 存取權
在 Security Copilot 設定中指派副駕駛角色。
- 選擇
主選單。 - 選擇 角色分配>新增成員。
- 開始在 「新增成員 」對話框中輸入該人或團體的名稱。
- 選擇個人或團體。
- 選擇指派Security Copilot角色 (Copilot 擁有者或 Copilot 貢獻者) 。
- 選取 新增。
提示
我們建議使用安全群組來指派 Security Copilot 角色,而非個別使用者。 這降低了行政複雜度。
「Everyone」群組可從貢獻者存取中移除。 移除「所有人」群組後,考慮新增 推薦角色 。
Microsoft Entra 角色成員管理只能從 Microsoft Entra 系統管理中心管理。 欲了解更多資訊,請參閱管理 Microsoft Entra 使用者角色。
共享課程
共享會話連結或從該租戶查看的唯一條件是 Copilot 貢獻者角色。
當你分享會話連結時,請考慮以下存取意涵:
- Security Copilot 需要存取外掛的服務和資料來產生回應,但該存取權限在查看共享工作階段時並未被評估。 例如,如果你在 Intune 中能存取裝置和政策,且使用 Intune 外掛來產生你分享的回應,那麼共享會話連結的接收者不需要 Intune 權限就能查看完整會話結果。
- 共享會話包含該會話中所有提示與回應,無論是在第一個提示之後還是最後一次分享。
- 只有建立會話的使用者能控制哪些 Copilot 使用者能存取該會話。 如果你收到會話建立者提供的分享會話連結,你就有權限存取。 如果你把那個連結轉給別人,他們不會被授權存取。
- 共享會話為唯讀。
- 會話只能與同一租戶中擁有 Copilot 存取權的使用者共享。
- 有些地區不支援透過電子郵件分享會話。
SouthAfricaNorthUAENorth
欲了解更多共享會議資訊,請參閱 Navigating Security Copilot。
多租用戶
如果您的組織有多個租戶,或您利用 MSSP) (託管服務提供商夥伴,Security Copilot可以支援跨租戶進行驗證,以存取Security Copilot配置的安全資料。 為 Security Copilot 配置的租戶不一定是你的安全分析師登入的租戶。 我們目前透過不同的存取方式支援以下認證模型。
Azure B2B & 訪客帳戶能利用內建於 Security Copilot 獨立入口網站的「租戶切換」。 欲了解更多資訊,請參閱 Navigating Security Copilot 租戶轉換。
透過合作夥伴中心,GDAP) 的細緻委派管理員權限 (。 欲了解更多資訊,請參閱授予 MSSP 存取 Microsoft Security Copilot 的權限。
透過 Azure Portal 進入 Azure 燈塔。 欲了解更多資訊,請參閱授予 MSSP 存取 Microsoft Security Copilot 的權限。
租戶切換可透過 Security Copilot 獨立入口網站使用,但僅支援 B2B 協作帳戶或訪客帳戶。 欲了解更多資訊,請參閱 Navigating Security Copilot 租戶轉換。
跨租戶登入範例
Contoso 最近與 Fabrikam 合併。 兩個租戶都有資安分析師,但只有 Contoso 購買並配置了 Security Copilot。 Fabrikam 的分析師 Angus MacGregor 想用他們的 Fabrikam 憑證來使用 Security Copilot。 以下是實現此存取的步驟:
請確保 Angus MacGregor 的 Fabrikam 帳戶在 Contoso 租戶中有外部成員帳戶。
為外部成員帳號指派必要角色,以存取 Security Copilot 及所需的 Microsoft 外掛。
請使用 Fabrikam 帳號登入 Security Copilot 入口網站。
換租戶到 Contoso。
欲了解更多資訊,請參閱 Grant MSSP 存取權。
管理提示本
所有職務皆可製作提示書,包括為租戶發佈自訂提示書的能力。 在創作時,選擇是為自己出版一本提示書,還是為租戶出版。
更多資訊請參見 「自製提示書」。
預裝外掛認證
預裝外掛,如 Microsoft Sentinel 和 Azure AI Search,則需要更多設定。 外掛提供者決定認證的類型。 任何帶有齒輪 
或 設定 按鈕的插件都是依使用者設定的。 無論預裝插件是否受限,所有有權限使用該插件的使用者都會自行設定該插件的設定。
注意事項
網站外掛使用匿名認證來存取內容。
更多資訊請參閱 「管理預裝外掛」。