Grundlegendes zur Authentifizierung in Microsoft Copilot for Security

Copilot verwendet die Im-Auftrag-of-Authentifizierung, um über aktive Microsoft-Plug-Ins auf sicherheitsrelevante Daten zuzugreifen. Bestimmte Copilot for Security-Rollen müssen zugewiesen werden, damit eine Gruppe oder Person auf die Copilot for Security-Plattform zugreifen kann. Nachdem Sie bei der Plattform authentifiziert wurden, bestimmt Ihr Datenzugriff, welche Plug-Ins in Eingabeaufforderungen verfügbar sind. Ihre Rolle steuert, auf welche anderen Aktivitäten Sie Zugriff haben, z. B. Konfigurieren von Einstellungen, Zuweisen von Berechtigungen und Ausführen von Aufgaben.

Copilot for Security-Rollen sind keine Entra-Rollen. Sie werden in Copilot definiert und verwaltet und gewähren nur Zugriff auf Copilot for Security-Features.

Microsoft Entra Rollen gewähren Zugriff auf mehrere Produkte im gesamten Microsoft-Produktportfolio. Diese Rollen werden über die Microsoft Entra Admin Center verwaltet. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra Rollen zu Benutzern.

Azure-IAM-Rollen steuern den Zugriff auf Azure-Ressourcen wie SCU (Security Capacity Units) in einer Ressourcengruppe als Teil eines Abonnements. Weitere Informationen finden Sie unter Zuweisen von Azure-Rollen.

Zugreifen auf die Copilot for Security-Plattform

Nachdem Copilot for Security für Ihre organization integriert wurde, bestimmen die folgenden Rollen den Zugriff eines Benutzers auf die Copilot for Security-Plattform.

Copilot for Security-Rollen

Copilot for Security führt zwei Rollen ein, die wie Zugriffsgruppen funktionieren, aber nicht Microsoft Entra ID Rollen sind. Stattdessen steuern sie nur den Zugriff auf die Funktionen der Copilot for Security-Plattform.

  • Copilot-Besitzer
  • Copilot Mitwirkender

Standardmäßig erhalten alle Benutzer im Microsoft Entra Mandanten Copilot Mitwirkender Zugriff.

Microsoft Entra Rollen

Die folgenden Microsoft Entra Rollen erben automatisch den Copilot-Besitzerzugriff.

  • Sicherheitsadministrator
  • Globaler Administrator

Zugreifen auf die Funktionen von Microsoft-Plug-Ins

Copilot for Security geht nicht über ihren Zugriff hinaus. Jedes Microsoft-Plug-In hat seine eigenen Rollenanforderungen für den Aufruf des Plug-In-Diensts und seiner Daten. Vergewissern Sie sich, dass Ihnen die richtigen Dienstrollen und Lizenzen zugewiesen sind, um die Funktionen der aktivierten Microsoft-Plug-Ins zu verwenden.

Sehen Sie sich die folgenden Beispiele an:

  1. Copilot Mitwirkender

    Als Analyst wird Ihnen Copilot Mitwirkender Zugriff zugewiesen, der Ihnen Zugriff auf die Copilot-Plattform mit der Möglichkeit bietet, Sitzungen zu erstellen. Nach dem Modell mit den geringsten Rechten verfügen Sie nicht über Microsoft Entra Rollen wie Sicherheitsadministratoren. Um das Microsoft Sentinel-Plug-In nutzen zu können, benötigen Sie jedoch weiterhin eine geeignete Rolle wie Microsoft Sentinel Leser für Copilot, um auf Vorfälle im Microsoft Sentinel-Arbeitsbereich zuzugreifen. Sie benötigen eine weitere dienstspezifische Rolle wie Endpoint Security Manager for Copilot, um auf die Geräte, Berechtigungen, Richtlinien und Status zuzugreifen, die über das Intune-Plug-In verfügbar sind. Für Microsoft Defender XDR wird Ihnen eine benutzerdefinierte Rolle zugewiesen, die Ihnen Zugriff auf die eingebettete Copilot for Security-Erfahrung und Copilot-Zugriff auf Microsoft Defender XDR Daten ermöglicht.

    Weitere Informationen zum Defender XDR benutzerdefinierter Rollen finden Sie unter Microsoft Defender XDR Unified RBAC.

  2. Microsoft Entra Sicherheitsgruppe

    Obwohl die Rolle "Sicherheitsadministrator " den Zugriff auf Copilot und bestimmte Plug-In-Funktionen erbt, umfasst diese Rolle Berechtigungen. Die ausschließliche Zuweisung dieser Rolle für den Copilot-Zugriff wird nicht empfohlen. Erstellen Sie stattdessen eine Sicherheitsgruppe, und fügen Sie diese Gruppe der entsprechenden Copilot-Rolle (Besitzer oder Mitwirkender) hinzu.

    Weitere Informationen finden Sie unter Bewährte Methoden für Microsoft Entra Rollen.

Zugreifen auf eingebettete Umgebungen

Überprüfen Sie zusätzlich zur Rolle Copilot Mitwirkender die Anforderungen für die einzelnen eingebetteten Copilot for Security-Funktionen, um zu verstehen, welche zusätzlichen Rollen und Lizenzen erforderlich sind.

Weitere Informationen finden Sie unter Copilot für Security.

Freigegebene Sitzungen

Copilot Mitwirkender Rolle ist die einzige Voraussetzung für die Freigabe eines Sitzungslinks oder das Anzeigen eines Sitzungslinks über diesen Mandanten.

Wenn Sie einen Sitzungslink freigeben, sollten Sie die folgenden Auswirkungen auf den Zugriff berücksichtigen:

  • Copilot for Security muss auf den Dienst und die Daten eines Plug-Ins zugreifen, um eine Antwort zu generieren, aber dieser Zugriff wird beim Anzeigen der freigegebenen Sitzung nicht ausgewertet. Wenn Sie beispielsweise Zugriff auf Geräte und Richtlinien in Intune haben und das Intune-Plug-In verwendet wird, um eine von Ihnen freigegebene Antwort zu generieren, benötigt der Empfänger des freigegebenen Sitzungslinks nicht Intune Zugriff, um die vollständigen Ergebnisse der Sitzung anzuzeigen.
  • Eine freigegebene Sitzung enthält alle Eingabeaufforderungen und Antworten, die in der Sitzung enthalten sind, unabhängig davon, ob sie nach der ersten Oder der letzten Eingabeaufforderung freigegeben wurde.
  • Nur der Benutzer, der eine Sitzung erstellt, steuert, welche Copilot-Benutzer auf diese Sitzung zugreifen können. Wenn Sie vom Ersteller der Sitzung einen Link für eine freigegebene Sitzung erhalten, haben Sie Zugriff. Wenn Sie diesen Link an eine andere Person weiterleiten, wird ihnen kein Zugriff gewährt.
  • Freigegebene Sitzungen sind schreibgeschützt.
  • Sitzungen können nur für Benutzer im selben Mandanten freigegeben werden, die Zugriff auf Copilot haben.
  • In einigen Regionen wird die Sitzungsfreigabe per E-Mail nicht unterstützt.
    • SouthAfricaNorth
    • UAENorth

Weitere Informationen zu freigegebenen Sitzungen finden Sie unter Navigieren in Copilot for Security.

Zuweisen von Rollen

Die folgende Tabelle veranschaulicht den Standardzugriff, der Startrollen gewährt wird.

Hinweis

Standardmäßig verfügt jeder über Copilot-Mitwirkender Zugriff. Erwägen Sie, diesen umfassenden Zugriff durch bestimmte Benutzer oder Gruppen zu ersetzen.

Funktion Copilot-Besitzer Copilot Mitwirkender
Erstellen von Sitzungen Ja Ja
Verwalten von persönlichen benutzerdefinierten Plug-Ins Ja Standard nein
Zulassen, dass Mitwirkende persönliche benutzerdefinierte Plug-Ins verwalten Ja Nein
Zulassen, dass Mitwirkende benutzerdefinierte Plug-Ins für den Mandanten veröffentlichen Ja Nein
Dateien hochladen Ja Ja
Ausführen von Promptbooks Ja Ja
Verwalten von persönlichen Promptbooks Ja Ja
Freigeben von Promptbooks für den Mandanten Ja Ja
Aktualisieren von Datenfreigabe- und Feedbackoptionen Ja Nein
Kapazitätsverwaltung Ja* Nein
Anzeigen der nutzungs Dashboard Ja Nein
Sprache auswählen Ja Ja

Zuweisen des Zugriffs auf Copilot for Security

Weisen Sie Copilot-Rollen in Copilot für Sicherheitseinstellungen zu.

  1. Wählen Sie das Startmenü aus.
  2. Wählen Sie Rollenzuweisung>Mitglieder hinzufügen aus.
  3. Beginnen Sie mit der Eingabe des Namens der Person oder Gruppe im Dialogfeld Mitglieder hinzufügen .
  4. Wählen Sie die Person oder Gruppe aus.
  5. Wählen Sie die Rolle Copilot für Sicherheit aus, die zugewiesen werden soll (Copilot-Besitzer oder Copilot-Mitwirkender).
  6. Klicken Sie auf Hinzufügen.

Screenshot des Entwurfs der Zuweisung von Copilot-Rollen.

Tipp

Wir empfehlen die Verwendung von Sicherheitsgruppen, um Copilot for Security-Rollen anstelle einzelner Benutzer zuzuweisen. Dies reduziert die administrative Komplexität.

Die Rollen "Globaler Administrator " und "Sicherheitsadministrator " können nicht aus dem Zugriff "Besitzer" entfernt werden, aber die Gruppe "Jeder " kann vom Zugriff "Mitwirkender" entfernt werden. Es ist auch eine gültige Gruppe, die bei Bedarf wieder hinzugefügt werden kann.

Die Entra-Rollenmitgliedschaft kann nur vom Microsoft Entra Admin Center aus verwaltet werden. Weitere Informationen finden Sie unter Verwalten Microsoft Entra Benutzerrollen.

Mehrfachmandanten

Wenn Ihr organization über mehrere Mandanten verfügt, kann Copilot for Security die Authentifizierung über sie hinweg ermöglichen, um auf Sicherheitsdaten zuzugreifen, in denen Copilot for Security bereitgestellt wird. Der Mandant, der für Copilot for Security bereitgestellt wird, muss nicht der Mandant sein, von dem sich Ihr Sicherheitsanalyst anmeldet. Weitere Informationen finden Sie unter Navigieren zum Wechseln von Copilot for Security-Mandanten.

Beispiel für eine mandantenübergreifende Anmeldung

Contoso wurde kürzlich mit Fabrikam zusammengeführt. Beide Mandanten verfügen über Sicherheitsanalysten, aber nur Contoso hat Copilot for Security erworben und bereitgestellt. Angus MacGregor, ein Analyst von Fabrikam, möchte seine Fabrikam-Anmeldeinformationen verwenden, um Copilot for Security zu verwenden. Gehen Sie wie folgt vor, um diesen Zugriff zu erreichen:

  1. Stellen Sie sicher, dass das Fabrikam-Konto von Angus MacGregor über ein externes Mitgliedskonto im Contoso-Mandanten verfügt.

  2. Weisen Sie dem externen Mitgliedskonto die erforderlichen Rollen zu, um auf Copilot for Security und die gewünschten Microsoft-Plug-Ins zuzugreifen.

  3. Melden Sie sich mit dem Fabrikam-Konto beim Copilot for Security-Portal an.

  4. Wechseln Sie mandanten zu Contoso.

    Screenshot: Wechsel des Fabrikam-Kontos zum Contoso-Mandanten

Weitere Informationen finden Sie unter Gewähren des MSSP-Zugriffs.