Copilot for Security で Microsoft Intune データにアクセスする
Copilot for Security は、自然言語の Copilot エクスペリエンスを提供するクラウドベースの AI プラットフォームです。 インシデント応答、脅威ハンティング、インテリジェンス収集など、さまざまなシナリオでセキュリティ担当者をサポートするのに役立ちます。 実行できる操作の詳細については、「 Microsoft Copilot for Security とは」を参照してください。
Copilot for Security は、Microsoft Intune データと統合されます。
Copilot for Security と同じテナントで Microsoft Intune を使用する場合は、Copilot for Security を使用して Intune データに関する分析情報を取得できます。
Copilot for Security に組み込まれている Intune 機能があり、プロンプトを使用して、次のような詳細情報を取得できます。
- Intune で管理されているデバイス、アプリ、コンプライアンス & 構成ポリシー、ポリシーの割り当てに関する情報
- マネージド デバイスの属性とハードウェアの詳細
- 特定のデバイスに関する問題と、動作していないデバイス & 比較する
この記事では、Copilot for Security で Microsoft Intune データにアクセスする方法と、サンプル プロンプトが含まれています。
セキュリティ管理者のフォーカス
セキュリティ用 Copilot には、セキュリティ オペレーション センター (SOC) またはセキュリティ管理者のフォーカスがあります。 そのため、SOC アナリストまたはセキュリティ管理者の場合は、Copilot for Security を使用して、Intune が管理するデバイスのセキュリティ態勢を取得できます。
たとえば、悪意の兆候を示すユーザーまたはデバイスがあります。 また、Intune に登録されている不明なデバイスなど、悪意のある意図の後にいくつかのイベントが発生していることがわかります。 盗まれた資格情報を使用して登録し、アクセスしようとしている人がいる可能性があります。 詳細を取得する必要があります。
Copilot for Security では、Intune 機能を使用して、次のような詳細情報を取得できます。
- 特定のデバイスについて質問し、デバイス名、デバイス ID、デバイスの製造元など、そのデバイスに関するすべてのプロパティを取得します。
- デバイスが Intune に登録されるタイミングを決定します。
- デバイスのプライマリ ユーザーを見つける
- ノート PC や携帯電話などのデバイスの種類を決定します。
- コンプライアンスの状態 (特にデバイスが非準拠の場合)、および非準拠である理由を確認します。
Microsoft Defender では、デバイスの種類を含むこの情報を使用して、次の手順を決定できます。 たとえば、デバイスの種類 (ノート PC と携帯電話、タブレット) に基づいてさまざまなアクションを実行できます。 セキュリティ用の Copilot は、Microsoft Defender のデバイスへのリンクを提供して、任意の Defender アクションを実行することもできます。
知っておく必要があること
管理者がプロンプトを送信すると、Copilot は、管理者がアクセス許可を持つデータ ( RBAC ロール と、割り当てられた Intune スコープ タグ を含む) にのみアクセスできます。
管理者が Copilot for Security のすべての Intune データにアクセスする場合は、Microsoft Entra ID で次のロールを使用します。
- Intune サービス管理者 (Intune 管理者 とも呼ばれます)
ロールと認証の詳細については、次のページを参照してください。
Intune データには、 セキュリティ ポータルの Copilot と Intune 管理センターの Copilot でアクセスできます。 Intune の Copilot と Copilot for Security の詳細、およびその他の一般的な質問については、「 Intune の Microsoft Copilot に関する FAQ」を参照してください。
セキュリティの Copilot を開き、Intune を有効にする
Copilot for Security で Intune 機能を使用するには、Intune プラグインを有効にします。
Microsoft Copilot for Security に移動し、資格情報を使用してサインインします。
プロンプト バーで、[ソース ] (右隅) を選択 します 。
[ ソースの管理] で、Microsoft Intune を有効にします。
注:
一部のロールでは、プラグインを有効または無効にすることができます。 詳細については、「Microsoft Copilot for Security のプラグインを管理する」をご覧ください。
組み込みの機能を使用する
セキュリティ用の Copilot には、Intune 管理者に役立つ組み込みのシステム機能があります。 セキュリティのための Copilot のチュートリアルについては、「 Microsoft Copilot for Security のナビゲーション」を参照してください。
このセクションでは、Intune 管理者に役立つ機能の一部について説明します。
システム機能
機能は、Microsoft Intune など、有効にしたさまざまなプラグインからデータを取得できる組み込みの機能です。 ユーザーに割り当てられたアプリやデバイスの詳細など、Intune データについて何かを尋ねるプロンプトを使用する場合、プロンプトはこれらの Intune 機能を使用します。
Intune の組み込みシステム機能の一覧を表示するには、次の手順を使用します。
[Copilot for Security portal] プロンプト バーで、[Copilot プロンプト] アイコン > [すべてのシステム機能を表示する] を選択します。
[Microsoft Intune] セクションには、Intune のすべての組み込み機能の一覧があります。 任意の機能を選択し、その機能に関する詳細情報を取得できます。
セッション
Microsoft Intune 管理センターまたは Copilot for Security ポータルでプロンプトを使用すると、セッションが保存されます。 保存されたセッションを表示するには、次の手順を使用します。
セキュリティ ポータルの Copilot で、メニュー >My セッションに移動します。
セッションを選択すると、前のプロンプトと結果が表示されます。 すべてのセッションには、URL にセッション ID もあります。 このセッション ID を他のユーザーと共有して、同じプロンプト セッションを確認できます。
たとえば、セッション ID は
https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d
のようなものです。
Intune のサンプル プロンプト
Copilot for Security で独自のプロンプトを作成して、Intune データに関する情報を取得できます。 このセクションでは、いくつかのアイデアと例を紹介します。
開始する前に
プロンプトは明確かつ具体的なものを使用します。 プロンプトに特定のデバイス ID または名前、アプリ名、またはポリシー名を含めれば、より良い結果が得られる場合があります。
また、次のように、Intune をプロンプトに追加 すると良い場合もあります。
- Intune によると、今週登録されたデバイスの数はいくつですか?
- (ユーザー名) の Intune デバイスについて教えてください。
さまざまなプロンプトとバリエーションを試して、ユース ケースに最適なものを確認します。 チャット AI モデルにはさまざまなものがあるため、受け取った結果に基づいてプロンプトを繰り返し調整します。
プロンプトをプロンプトブックに保存して、今後使用することもできます。 詳細については、次を参照してください:
Intune データに関する一般的な情報
デバイスの数、展開されたアプリ、デバイスのプラットフォーム バージョンなど、Intune データに関する一般的な情報を取得 します。
サンプル プロンプト:
- Intune にどのようなアプリが追加されていますか?
- 最も多く割り当てられている Intune アプリはどれですか?
- この 24 時間で Intune に登録されたデバイスの数はいくつですか?
- Jon Smith の Intune デバイスについて教えてください。
ポリシー ターゲット
特定のアプリが割り当てられているグループや、特定のアプリが割り当てられているユーザーの数など、ポリシー ターゲットの詳細を取得します。
サンプル プロンプト:
- ContosoApp が割り当てられているユーザーは何人ですか?
- ContosoApp はどのグループに割り当てられていますか?
- デバイス ID (デバイス ID を入力) に割り当てられているアプリはいくつありますか?
- DeviceA に "Microsoft Store アプリの自動更新を許可する" ポリシーが適用されるのはなぜですか?
- ユーザー UserA の Intune デバイスについて教えてください。
- PolicyA が DeviceB に適用されているのはなぜですか?
特定のデバイス
グループ メンバーシップや割り当てられたアプリなど、特定のデバイスに関する情報を取得します。
サンプル プロンプト:
- UserA@contoso.comで使用されるデバイスは何ですか?
- DeviceA はどのようなグループに含まれますか?
- DeviceA に関する操作アシスト。
- DeviceA のプライマリ ユーザーは誰ですか?
- ContosoApp は DeviceA にインストールされていますか?
- DeviceA で検出されたアプリを表示します。
類似点と相違点
両方のデバイスに割り当てられているコンプライアンス ポリシー、ハードウェア、デバイス構成など、2 つのデバイスの類似点と相違点を取得します。
サンプル プロンプト:
- DeviceA と DeviceB のハードウェア構成の違いは何ですか?
- DeviceA デバイスと DeviceB デバイス間のコンプライアンス ポリシーの類似点は何ですか?
- DeviceA と DeviceB のデバイス構成プロファイルの違いは何ですか?
- DeviceA と DeviceB にインストールされているアプリケーションを比較。
フィードバックの提供
Intune と Copilot for Security の統合に関するフィードバックは、開発に役立ちます。 フィードバックを提供するには、Copilot for Security で、完了した各プロンプトの下部にあるフィードバック ボタンを使用します。
可能な限り、結果が期待どおりでない場合は、結果を改善するために何ができるかを説明する単語をいくつか書きます。 Intune 固有のプロンプトを入力し、結果が Intune に関連していない場合は、その情報を含めます。
データ処理とプライバシー
Copilot for Security のデータ プライバシーの詳細については、「 Microsoft Copilot for Security のプライバシーとデータ セキュリティ」を参照してください。
Security Copilot と対話して Intune データを取得すると、Security Copilot はそのデータを Intune からプルします。 プロンプト、取得された Intune データ、プロンプト結果に表示される出力は、Security Copilot サービス内で処理され、保存されます。
Copilot for Security を使用して Intune データを取得する場合、Copilot for Security には、割り当てられた RBAC ロール と Intune スコープ タグ によって定義されたデータとアクセス許可にもアクセスできます。