智能 Microsoft Security Copilot 副驾驶®是生成 AI 安全分析工具。 它可以帮助你和你的组织快速获取信息,并做出影响安全性和风险的决策。
Intune 具有由 Copilot 提供支持的功能。 这些功能可以访问Intune数据,并帮助你管理策略和设置、了解安全状况以及排查设备问题。
可通过两种方式使用 Copilot 访问Intune数据:
Intune 中的 Microsoft Copilot(本文):Copilot 嵌入在 Intune 中,可在 Microsoft Intune 管理中心获取。 Copilot 提示及其输出在 Intune 和 Intune 数据的上下文中。
此体验侧重于 IT 管理员/IT 专业人员。
智能 Microsoft Security Copilot 副驾驶®:此选项是独立的 Copilot,可在 智能 Microsoft Security Copilot 副驾驶® 门户中使用。 可以使用此门户从Security Copilot获取所有已启用服务的见解,例如Intune、Microsoft Defender、Microsoft Entra ID、Microsoft Purview 等。
此体验侧重于安全运营中心 (SOC),可供 IT 管理员使用。 有关详细信息,请参阅访问Security Copilot中的Microsoft Intune数据。
本文重点介绍 Intune 中的 Copilot,并介绍可与 Copilot 配合使用的 Intune 功能。
开始之前
要在 Intune 中使用 Copilot,应了解以下信息:
copilot 安全计算单元 (SCU) :Intune 中的 Copilot 包含在Security Copilot中。 使用 Intune 中的 Copilot 时没有任何其他许可要求或特定于 Intune 的许可要求。
有关 SCU 的详细信息,请参阅:
Copilot 配置:在 Intune 中使用 Copilot 功能之前,必须配置智能 Microsoft Security Copilot 副驾驶®,并且必须在 智能 Microsoft Security Copilot 副驾驶® 门户中完成第一次运行演示。 有关设置任务,请参阅Microsoft Copilot入门。
可以通过 Intune 管理中心>“租户管理”>“Copilot”来检查状态。
Copilot 角色:通过Security Copilot或Microsoft Entra ID管理对 Intune 中的 Copilot 的访问。 若要在Intune中使用 Copilot,必须为你或你的管理团队分配Security Copilot或Microsoft Entra ID的适当角色。 没有可访问 Copilot 的内置 Intune 角色。
有关详细信息,请参阅 智能 Microsoft Security Copilot 副驾驶® 中的角色和身份验证。
Intune插件源:若要在 Intune 中使用 Copilot,需要在 Security Copilot 中启用Intune插件。 通过此插件,可以访问 Intune 数据并在 Intune 管理中心使用 Copilot。
转到Security Copilot门户,选择“源” (提示栏>右) 。
在“管理源”中,启用 Microsoft Intune。
提示
某些角色可以启用或禁用插件。有关详细信息,请参阅管理智能 Microsoft Security Copilot 副驾驶®中的插件。
Intune 数据:Copilot 使用 Intune 数据。 当 Intune 管理员提交提示时,Copilot 只能访问他们有权访问的数据,其中包括分配给他们的 RBAC 角色和范围标记。
提示
有关 Intune 中的 Copilot 的一些常见问题,请转到 Intune 中的 Microsoft Copilot 常见问题解答。
开始使用 Copilot
要在 Intune 中访问 Copilot,请登录到 Intune 管理中心。 主屏幕列出了开始使用 Copilot 的方法。
可以在 Intune 中使用 Copilot 用于:
- 使用自然语言进行数据探索
- 策略和设置管理
- 设备详细信息和故障排除
数据浏览
使用自然语言,可以查询和浏览Intune数据,包括有关设备、用户、应用、策略、更新和合规性的数据。 还有一些内置示例可帮助你了解可以提出的问题类型。
运行查询时,Copilot 会汇总结果,并建议可以根据查询结果采取的作。 还可以使用查询输出将用户或设备添加到组,并创建自定义报表。
若要了解详细信息,请参阅浏览Intune数据并获取Microsoft Copilot建议。
策略和设置管理
Copilot 嵌入到策略设置和现有策略中。
✅ 使用 Copilot 了解有关单个设置和建议值的详细信息
创建 Intune 策略时,可以添加设置并配置这些设置以满足组织的要求。 添加设置时,会出现 Copilot 工具提示。
选择 Copilot 工具提示时,将打开Copilot 提示窗口,并提供有关该设置的详细信息。
在 Copilot 窗口中,有更多提示可供使用。 还可以选择提示指南,并从现有选项列表中选择。
Copilot 提示可以帮助你了解设置的影响,查找潜在的冲突,并提供建议的值。 有关如何将 Copilot 与设置目录配合使用的示例,请转到使用设置目录创建设备配置策略。
可以在 Intune 中对以下策略类型使用 Copilot 工具提示:
- 合规性策略
- 设备配置策略(包括设置目录)
- 大多数终结点安全策略
✅ 使用 Copilot 汇总现有策略
在现有 Intune 策略上,可以使用 Copilot 来汇总策略。 摘要描述了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。
若要在 Intune 中使用此功能,请选择现有策略,然后选择“使用 Copilot 进行汇总”。
可以在 Intune 中对以下策略类型使用此功能:
- 合规性策略
- 设备配置策略(包括设置目录)
- 大多数终结点安全策略
设备详细信息和故障排除
✅ 使用 Copilot 获取设备详细信息并排查设备问题
可以使用 Copilot 获取特定于设备的信息,例如已安装的应用、组成员身份等。
若要在Intune中使用此功能,请选择一个设备,然后选择“使用 Copilot 进行汇总”。
当 Copilot 窗口打开时,选择一个提示,并根据需要输入任何必需或可选输入。 还可以打开提示指南,了解一些后续问题。
有关对设备使用 Copilot 的详细信息,请转到使用Intune中的Microsoft Copilot排查设备问题。
✅ 使用 Copilot 创建 KQL 查询以获取设备详细信息
可以使用 Copilot 来帮助创建在 Intune 中使用设备查询时要运行的Kusto 查询语言 (KQL) 查询。
注意
若要在租户中使用设备查询,必须具有包含Microsoft Intune 高级分析的许可证。 有关详细信息,请参阅 Intune 加载项。
可以将此功能用于单个设备或多个设备。
查询单个设备
若要查询Intune中的单个设备,请选择一台设备,选择“设备查询”,然后选择“使用 Copilot 查询”。
当 Copilot 窗口打开时,输入有关设备的问题。 如果设备查询支持回答问题所需的属性,则 Copilot 会生成一个 KQL 查询,可用于获取所需的数据。
若要使用 Copilot 生成的查询,请选择“ 添加到编辑器 ”以将其添加到设备查询中的查询编辑器,或选择“ 添加并运行 ”将其添加到编辑器并自动运行。 若要查看有关 COpilot 如何为响应请求而创建查询的 Copilot 生成说明,请选择“ 此查询是如何生成的?”。
下面是可以尝试的一些查询示例:
Defender 是否在此设备上运行?
显示此设备上最后 5 个应用崩溃事件。
此设备上使用最多内存的前 10 个进程是什么?
在此设备上显示过期的证书。
在 C:\Windows\folderPath 中显示最近创建的 20 个文件
此设备是否支持 TPM 2.0?
显示此设备上按提供程序名称分组的驱动程序。
注意
Copilot 只能为与设备查询支持的属性相关的请求生成查询。 不能使用此功能向 Copilot 询问设备查询中提供的内容以外的设备详细信息。 有关设备查询中支持的属性的完整列表,请转到 “设备查询”。
查询多个设备
若要在Intune中跨多台设备查询数据,请选择“设备>”“设备查询>”“使用 Copilot 查询”。
当 Copilot 窗口打开时,输入有关设备的问题。 如果设备查询支持回答问题所需的属性,则 Copilot 会生成一个 KQL 查询,可用于获取所需的数据。
可以选择 Copilot 生成的选项来快速生成 KQL 查询,也可以输入问题或请求其他设备数据。 Copilot 生成查询后,选择“ 添加到编辑器 ”以将其添加到查询编辑器,或选择“ 添加并运行 ”以将其添加到编辑器并自动运行。 若要发出新请求,请选择“ 使用 Copilot 查询 ”以显示“Copilot”窗格。
下面是可以尝试的一些查询示例:
- 哪些设备尚未加密?
- 向我展示Windows 11设备。
- 哪些设备具有热修复?
- 显示 TPM 2.0 设备。
- 显示按制造商排序的设备。
- 哪些设备在过去 30 天内未修补?