Beskriva hur du aktiverar Microsoft Security Copilot

  • 5 minuter

För att börja använda Microsoft Security Copilot måste organisationer vidta åtgärder för att registrera tjänsten och användarna. Dessa kan vara:

  1. Identifiera din kundkategori
  2. Etablera Copilot kapacitet (om det behövs)
  3. Konfigurera standardmiljön
  4. Tilldela rollbehörigheter

Identifiera din kundkategori

Din onboarding-upplevelse beror på din licensstatus:

  • Microsoft 365 E5- och E7-kunder – Security Copilot ingår i din licens för Microsoft 365 E5 och E7. Microsoft etablerar och registrerar automatiskt Security Copilot för berättigade klienter genom nollklicksaktivering, så ingen Azure installation eller manuell kapacitetsetablering krävs. Kunder får ett 7-dagars förhandsmeddelande före aktivering. När etableringen är klar är Security Copilot redo att användas.
  • Non-Microsoft 365 E5- och E7-kunder – Om Security Copilot inte ingår i din licens måste du följa stegen för manuell registrering för att etablera SKU:er (Security Compute Units) för att använda Security Copilot.

Provisionskapacitet

För icke-Microsoft 365 E5- och E7-kunder fungerar Security Copilot på en etablerad kapacitet och en överförbrukningsmodell. Etablerad kapacitet faktureras per timme medan överförbrukningskapaciteten debiteras vid användning.

Du kan flexibelt etablera SKU:er (Security Compute Units) för att hantera regelbundna arbetsbelastningar och justera dem när som helst utan långsiktiga åtaganden. En SCU är måttenheten för beräkningskraft som används för att köra Copilot i både fristående och inbäddade upplevelser.

Om du vill hantera oväntade efterfrågetoppar kan du allokera ett överförbrukningsbelopp för att säkerställa att ytterligare SKU:er är tillgängliga när initialt etablerade enheter är uttömda under oväntade arbetsbelastningstoppar. Överförbrukningsenheter faktureras på begäran och kan anges som obegränsat eller maximalt belopp. Den här metoden möjliggör förutsägbar fakturering samtidigt som den ger flexibiliteten att hantera både regelbunden och oväntad användning. Se avsnittet sammanfattning och resurser i den här modulen för länkar till information om att hantera användning av säkerhetsberäkningsenheter och Priser för Security Copilot.

Innan användarna kan börja använda Copilot måste administratörer etablera och allokera kapacitet. Så här etablerar du kapacitet:

  • Du måste ha en Azure-prenumeration.

  • Du måste minst vara Azure-ägare eller Azure-deltagare på resursgruppsnivå.

  • Du måste vara säkerhetsadministratör eller högre i den klientorganisation som du registrerar Security Copilot.

    Tänk på att en global Microsoft Entra-administratörsroll inte nödvändigtvis har rollen Azure-ägare eller Azure-deltagare som standard. Microsoft Entra-rolltilldelningar beviljar inte åtkomst till Azure-resurser. Som global Microsoft Entra-administratör kan du aktivera åtkomsthantering för Azure-resurser via Azure-portalen. Mer information finns i Utöka åtkomsten för att hantera alla Azure-prenumerationer och hanteringsgrupper. När du har aktiverat åtkomsthantering till Azure-resurser kan du konfigurera lämplig Azure-roll.

Det finns två alternativ för att etablera kapacitet:

  • Etablera kapacitet inom Security Copilot (rekommenderas) – När du först öppnar Security Copilot som administratör vägleder en guide dig genom stegen för att konfigurera kapacitet, inklusive skapande av arbetsytor. Guiden uppmanar dig att ange information, inklusive arbetsytans namn, Azure prenumeration, resursgrupp, region, kapacitetsnamn och antalet SKU:er.
  • Etablera kapacitet via Azure – Azure Portal innehåller nu Security Copilot som en tjänst. Om du väljer tjänsten öppnas sidan där du anger information, inklusive din Azure-prenumeration, resursgrupp, region, kapacitetsnamn och antalet SKU:er.

Kommentar

Oavsett vilken metod du väljer måste du köpa minst en och högst 100 SKU:er. Det rekommenderade antalet enheter för att genomföra en inledande utforskning av Security Copilot är tre, med inställningen för överförbrukning satt till obegränsat.

Oavsett vilken metod du väljer att etablera kapacitet tar processen informationen och etablerar en resursgrupp för Microsoft Security Copilot-tjänsten i din Azure-prenumeration. SKU:erna är en Azure-resurs i den resursgruppen. Det kan ta några minuter att distribuera Azure-resursen.

När administratörerna har slutfört stegen för att registrera sig för Copilot kan de hantera kapaciteten genom att öka eller minska etablerade SKU:er inom Azure Portal eller själva Microsoft Security Copilot-produkten.

Security Copilot tillhandahåller en instrumentpanel för användningsövervakning för kapacitetsägare som gör det möjligt för dem att spåra användningen över tid och fatta välgrundade beslut om kapacitetsetablering. Instrumentpanelen för användningsövervakning ger synlighet, för en vald arbetsyta, i antalet enheter som används, de specifika plugin-program som används under sessioner och initierarna för dessa sessioner. På instrumentpanelen kan du också använda filter och exportera användningsdata sömlöst. Instrumentpanelen innehåller upp till 90 dagars data.

Skärmbild som visar instrumentpanelen för användningsövervakning.

Konfigurera standardmiljön

Om du vill konfigurera standardmiljön måste du ha minst en säkerhetsadministratörsroll.

Under installationen av Security Copilot uppmanas du att konfigurera inställningar. Dessa kan vara:

  • SCU-kapacitet – Välj kapaciteten för SCU:er som tidigare har tilldelats. Varje arbetsyta måste ha sin egen kapacitet.

  • Datalagring – När en organisation registrerar sig för Copilot avgör en av de tillgängliga inställningarna var dina kunddata ska lagras. Konfigurationen av datalagringsplatsen gäller på arbetsytenivå. Microsoft Security Copilot är verksamt i Microsoft Azure-datacenter i Europeiska unionen (EUDB), Storbritannien, USA, Australien och Nya Zeeland, Japan, Kanada och Sydamerika.

  • Bestäm var dina frågor utvärderas – Du kan begränsa utvärderingen inom din geo eller tillåta utvärdering var som helst i världen.

  • Loggning av granskningsdata i Microsoft Purview – Som en del av den inledande installationen och som anges under Ägarinställningar i den fristående upplevelsen kan du välja att tillåta att Microsoft Purview bearbetar och lagrar administratörsåtgärder, användaråtgärder och Copilot-svar. Detta omfattar data från alla Microsoft- och icke-Microsoft-integreringar. Om du anmäler dig och redan använder Microsoft Purview krävs ingen ytterligare åtgärd. Om du anmäler dig men inte redan använder Purview måste du följa Microsoft Purview-guiderna för att konfigurera en begränsad upplevelse. Den här konfigurationen gäller för alla arbetsytor i en klientorganisation.

    Skärmbild som visar inställningarna för hur du kan konfigurera granskningsloggning.

  • Organisationens data – Administratören måste också välja att inte dela data eller välja bort alternativ för datadelning. De här alternativen är en del av den första installationen och visas även under Ägarinställningar i den fristående miljön och kan konfigureras per arbetsyta. Aktivera eller inaktivera reglagen för något av följande alternativ:

    • Tillåt Microsoft att samla in data från Security Copilot för att verifiera produktprestanda med mänsklig granskning: När det är aktiverat delas kunddata med Microsoft för produktförbättring. Uppmaningar och svar utvärderas för att förstå om rätt plugin-program har valts, om utdata är vad som förväntades, hur svar, svarstid och utdataformat kan förbättras.

    • Tillåt Microsoft att samla in och granska data från Security Copilot för att skapa och validera Microsofts säkerhets-AI-modell: När den är aktiverad delas kunddata med Microsoft for Copilot AI-förbättring. Att välja det här alternativet tillåter INTE Microsoft att använda kunddata för att träna grundläggande modeller. Uppmaningar och svar utvärderas för att förbättra svaren och för att säkerställa att de är vad som förväntas och är användbara för dig.

      Mer information om hur Microsoft hanterar dina data finns i Datasäkerhet och sekretess.

      Skärmbild som visar inställningarna för hur du kan konfigurera datadelning för att förbättra Copilot.

  • Plugin-inställningar – Administratören hanterar plugin-program och konfigurerar om security Copilot ska få åtkomst till data från dina Microsoft 365-tjänster. De här inställningarna konfigureras per arbetsyta.

    • Konfigurera vem som kan lägga till och hantera egna anpassade plugin-program och vem som kan lägga till och hantera anpassade plugin-program för alla i organisationen.

    • Hantera tillgänglighet för plugin-program och begränsa åtkomsten. När de är aktiverade bestämmer administratörer vilka nya och befintliga plugin-program som är tillgängliga för alla i din organisation och som endast ska vara begränsade till ägare.

    • Tillåt att Security Copilot får åtkomst till data från dina Microsoft 365-tjänster. Om det här alternativet är inaktiverat kan din organisation inte använda plugin-program som har åtkomst till Microsoft 365-tjänster. För närvarande krävs det här alternativet för användning av Plugin-programmet Microsoft Purview. För att ställa in och/eller ändra den här inställningen krävs en användare med en Copilot-ägarroll eller en global Microsoft Entra-administratörsroll.

      Skärmbild som visar plugin-inställningarna och inställningen för att tillåta Security Copilot att komma åt data från dina Microsoft 365-tjänster.

Rollbehörigheter

För att säkerställa att användarna kan komma åt funktionerna i Copilot måste de ha rätt rollbehörigheter. Rollbehörigheter konfigureras per arbetsyta.

Behörigheter kan tilldelas med hjälp av roller från Microsoft Entra, Microsoft Purview eller Security Copilot. Vi rekommenderar att du anger den minst privilegierade roll som gäller för varje användare.

Security Copilot introducerar två roller som fungerar som åtkomstgrupper men som inte är Microsoft Entra-ID-roller. I stället styr de bara åtkomsten till funktionerna i Security Copilot-plattformen och ger ingen åtkomst själva till säkerhetsdata.

Microsoft Security Copilot-rollerna är:

  • Copilot-ägare
  • Copilot-bidragsgivare

Följande Microsoft Entra- och Microsoft Purview-roller ärver automatiskt Copilot-ägare åtkomst, vilket säkerställer att Security Copilot alltid har minst två ägare:

Microsoft Entra roller och ansvar:

  • Faktureringsadministratör
  • Microsoft Entra-efterlevnadsadministratör
  • Global administratör
  • Intune-administratör
  • säkerhetsadministratör

Microsoft Purview-roller:

  • Administratör för Purview-efterlevnad
  • Administratör för Purview-datastyrning
  • Purview Organisationshantering

Skärmbild som visar rolltilldelningsinställningarna.

Endast användare som har rollen global administratör, säkerhetsadministratör eller Copilot-ägare kan göra rolltilldelningar i Copilot genom att lägga till/ta bort medlemmar från rollerna Ägare och Deltagare.

En grupp som administratörer/ägare kan inkludera som medlem i deltagarrollen är gruppen Rekommenderade Microsoft-säkerhetsroller . Den här gruppen finns bara i Security Copilot och är ett paket med befintliga Microsoft Entra-roller. När du lägger till den här gruppen som medlem i deltagarrollen får alla användare som är medlemmar i Microsoft Entra ID roller som ingår i den rekommenderade Microsoft Security rollgruppen åtkomst till Copilot-plattformen. Det här alternativet ger ett snabbt och säkert sätt att ge användare i din organisation, som redan har åtkomst till säkerhetsdata som används av Copilot via ett Microsoft-plugin-program, åtkomst till Copilot-plattformen.

En detaljerad lista över de behörigheter som beviljats för var och en av dessa roller finns i avsnittet Tilldela roller i Förstå autentisering i Microsoft Security Copilot.

Copilot-plugins och rollkrav

Din roll styr vilka aktiviteter du har åtkomst till, till exempel att konfigurera inställningar, tilldela behörigheter eller utföra uppgifter. Copilot går inte längre än den åtkomst du har. Dessutom kan enskilda Microsoft plugin-program ha egna rollkrav för åtkomst till tjänsten och data som den representerar. Till exempel kan en analytiker som har tilldelats en roll som säkerhetsoperatör eller en Copilot-arbetsytedeltagare komma åt Copilot-portalen och skapa sessioner, men för att använda Plugin-programmet Microsoft Sentinel behöver du en lämplig roll som Microsoft Sentinel Reader för att få åtkomst till incidenter på arbetsytan. För att få åtkomst till de enheter, behörigheter och principer som är tillgängliga via Microsoft Intune-plugin-programmet skulle samma analytiker behöva en annan tjänstspecifik roll som Intune Endpoint Security Manager-rollen.

I allmänhet använder Microsoft-plugin-program i Copilot OBO-modellen (på uppdrag av) – vilket innebär att Copilot vet att en kund har licenser för specifika produkter och automatiskt loggas in på dessa produkter. Copilot kan sedan komma åt de specifika produkterna när plugin-programmet är aktiverat och, i förekommande fall, parametrar konfigureras. Vissa Microsoft plugin-program som kräver installation kan innehålla konfigurerbara parametrar som används för autentisering i stället för OBO-modellen.

Aktivering av enskilda plugin-program och konfiguration av plugin-program görs per arbetsyta.