Copilot for SecurityのMicrosoft Intune データにアクセスする

Copilot for Securityは、自然言語の Copilot エクスペリエンスを提供するクラウドベースの AI プラットフォームです。 インシデント応答、脅威ハンティング、インテリジェンス収集など、さまざまなシナリオでセキュリティ担当者をサポートするのに役立ちます。 実行できる操作の詳細については、「Microsoft Copilot for Securityとは」を参照してください。

Copilot for Securityは、Microsoft Intune データと統合されます。

Copilot for Securityと同じテナントでMicrosoft Intuneを使用する場合は、Copilot for Securityを使用して、Intune データに関する分析情報を取得できます。

Copilot for Securityに組み込まれているIntune機能があり、プロンプトを使用して、次のような詳細情報を取得できます。

• デバイス、アプリ、コンプライアンス & 構成ポリシー、およびIntuneで管理されているポリシーの割り当てに関する情報
• マネージド デバイスの属性とハードウェアの詳細
• 特定のデバイスに関する問題と、動作していないデバイス & 比較する

この記事では、Copilot for SecurityのMicrosoft Intune データにアクセスする方法と、サンプル プロンプトが含まれています。

セキュリティ管理者のフォーカス

Copilot for Securityには、Security Operations Center (SOC) またはセキュリティ管理者のフォーカスがあります。 そのため、SOC アナリストまたはセキュリティ管理者の場合は、Copilot for Securityを使用して、Intuneが管理するデバイスのセキュリティ体制を取得できます。

たとえば、悪意の兆候を示すユーザー/デバイスがあります。 また、不明なデバイスがIntuneに登録されるなど、悪意のある意図の後に発生するイベントがあることにも気付きます。 盗まれた資格情報を使用して登録し、アクセスしようとしている人がいる可能性があります。 詳細を取得する必要があります。

Copilot for Securityでは、Intune機能を使用して、次のような詳細情報を取得できます。

• 特定のデバイスについて質問し、デバイス名、デバイス ID、デバイスの製造元など、そのデバイスに関するすべてのプロパティを取得します
• デバイスがIntuneに登録されたタイミングを確認する
• デバイスのプライマリ ユーザーを見つける
• ノート PC や携帯電話などのデバイスの種類を決定する
• コンプライアンスの状態を確認します。特に、デバイスが非準拠であり、非準拠である理由

Microsoft Defenderでは、デバイスの種類を含むこの情報を使用して、次の手順を決定できます。 たとえば、デバイスの種類 (ノート PC と携帯電話、タブレット) に基づいてさまざまなアクションを実行できます。 Copilot for Securityは、Microsoft Defenderでデバイスへのリンクを提供して、任意の Defender アクションを実行することもできます。

知っておく必要があること

• 管理者がプロンプトを送信すると、Copilot は、管理者がアクセス許可を持つデータ (RBAC ロールと割り当てられたスコープ タグIntune含む) にのみアクセスできます。

  管理者がCopilot for SecurityのすべてのIntune データにアクセスする場合は、Microsoft Entra IDで次のいずれかのロールを使用します。

  • グローバル管理者
  • Intune サービス管理者 (Intune 管理者 とも呼ばれます)

  ロールと認証の詳細については、次のページを参照してください。

  • Microsoft Copilot for Securityでのロールと認証
  • Intuneでのロールベースのアクセス制御 (RBAC)
  • Intuneで分散 IT に RBAC とスコープ タグを使用する

• Intune データには、Copilot for Security ポータルでアクセスし、Intune管理センターで Copilot にアクセスできます。 Intune vs Copilot for Security の Copilot とその他の一般的な質問の詳細については、「faq Intuneの Microsoft Copilot」を参照してください。

Copilot for Securityを開き、Intuneを有効にする

Copilot for SecurityでIntune機能を使用するには、Intune プラグインを有効にします。

1. Microsoft Copilot for Securityに移動し、資格情報でサインインします。

2. プロンプト バーで、[ ソース ] (右隅) を選択します。

   

3. [ソースの管理] で、Microsoft Intuneを有効にします。

   

   注:

   一部のロールでは、プラグインを有効または無効にすることができます。 詳細については、「Microsoft Copilot for Securityでプラグインを管理する」を参照してください。

組み込みの機能を使用する

Copilot for Securityには、Intune管理者に役立つ組み込みのシステム機能があります。 Copilot for Securityのチュートリアルについては、「Microsoft Copilot for Securityの移動」を参照してください。

このセクションでは、Intune管理者に役立つ機能の一部について説明します。

システム機能

機能は、Microsoft Intuneなど、有効にしたさまざまなプラグインからデータを取得できる組み込みの機能です。 プロンプトを使用して、ユーザーやデバイスの詳細に割り当てられたアプリなど、Intune データについて何かを尋ねると、これらのIntune機能が使用されます。

Intuneの組み込みシステム機能Intune一覧を表示するには、次の手順に従います。

1. Copilot for Security ポータルのプロンプト バーで、[Copilot プロンプト] アイコン > [すべてのシステム機能を表示] を選択します。

   

2. [Microsoft Intune] セクションには、Intuneのすべての組み込み機能の一覧があります。 任意の機能を選択し、その機能に関する詳細情報を取得できます。

セッション

Microsoft Intune管理センターまたはCopilot for Security ポータルでプロンプトを使用すると、セッションが保存されます。 保存されたセッションを表示するには、次の手順を使用します。

1. Copilot for Security ポータルで、[マイ セッション] メニューに移動します>。

   

2. セッションを選択すると、前のプロンプトと結果が表示されます。 すべてのセッションには、URL にセッション ID もあります。 このセッション ID を他のユーザーと共有して、同じプロンプト セッションを確認できます。

   たとえば、セッション ID は のようなもの https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900dです。

Intune のサンプル プロンプト

Copilot for Securityで独自のプロンプトを作成して、Intune データに関する情報を取得できます。 このセクションでは、いくつかのアイデアと例を紹介します。

開始する前に

• プロンプトは明確かつ具体的なものを使用します。 プロンプトに特定のデバイス ID やデバイス名、アプリ名、またはポリシー名を含めると、より良い結果が得られる可能性があります。

  また、次のように、Intune をプロンプトに追加 すると良い場合もあります。

  • Intune によると、今週登録されたデバイスの数はいくつですか
  • (ユーザー名) の Intune デバイスについて教えてください

• さまざまなプロンプトとバリエーションを試して、ユース ケースに最適なものを確認します。 チャット AI モデルにはさまざまなものがあるため、受け取った結果に基づいてプロンプトを繰り返し調整します。

  プロンプトをプロンプトブックに保存して、今後使用することもできます。 詳細については、次を参照してください:

  • Microsoft Copilot for Securityでのプロンプト
  • Microsoft Copilot for Securityでのプロンプトブックの使用

Intune データに関する一般的な情報

デバイスの数、展開されたアプリ、デバイスのプラットフォーム バージョンなど、Intune データに関する一般的な情報を取得 します。

サンプル プロンプト:

• Intune にどのようなアプリが追加されていますか?
• 最も多く割り当てられている Intune アプリはどれですか?
• この 24 時間で Intune に登録されたデバイスの数はいくつですか?
• Jon Smith の Intune デバイスについて教えてください。

ポリシー ターゲット

特定のアプリが割り当てられているグループや、特定のアプリが割り当てられているユーザーの数など、ポリシー ターゲットの詳細を取得します。

サンプル プロンプト:

• ContosoApp が割り当てられているユーザーは何人ですか?
• ContosoApp はどのグループに割り当てられていますか?
• デバイス ID (デバイス ID を入力) に割り当てられているアプリはいくつありますか?
• "Microsoft Store アプリの自動更新を許可する" ポリシーが DeviceA に適用されるのはなぜですか?
• ユーザー UserA の Intune デバイスについて教えてください。
• PolicyA が DeviceB に適用されているのはなぜですか?

特定のデバイス

グループ メンバーシップや割り当てられたアプリなど、特定のデバイスに関する情報を取得します。

サンプル プロンプト:

• によって使用 UserA@contoso.comされるデバイスは何ですか?
• DeviceA はどのグループに属していますか?
• DeviceA について教えてください。
• DeviceA のプライマリ ユーザーは誰ですか?
• ContosoApp は DeviceA にインストールされていますか?
• DeviceA で検出されたアプリを表示

類似点と相違点

両方のデバイスに割り当てられているコンプライアンス ポリシー、ハードウェア、デバイス構成など、2 つのデバイスの類似点と相違点を取得します。

サンプル プロンプト:

• DeviceA と DeviceB のハードウェア構成の違いは何ですか?
• DeviceA と DeviceB のコンプライアンス ポリシーの類似点は何ですか?
• DeviceA と DeviceB のデバイス構成プロファイルの違いは何ですか?
• DeviceA と DeviceB にインストールされているアプリケーションを比較。

フィードバックの提供

IntuneとCopilot for Securityの統合に関するフィードバックは、開発に役立ちます。 フィードバックを提供するには、Copilot for Securityで、完了した各プロンプトの下部にあるフィードバック ボタンを使用します。

可能な限り、結果が期待どおりでない場合は、結果を改善するために何ができるかを説明する単語をいくつか書きます。 Intune 固有のプロンプトを入力し、結果が Intune に関連していない場合は、その情報を含めます。

データ処理とプライバシー

Copilot for Securityのデータ プライバシーの詳細については、「Microsoft Copilot for Securityのプライバシーとデータ セキュリティ」を参照してください。

Security Copilot を使用して Intune データを取得する際、Security Copilot はそのデータを Intune から取得します。 プロンプト、取得された Intune データ、プロンプト結果に表示される出力は、Security Copilot サービス内で処理され、保存されます。

Copilot for Securityを使用してデータIntune取得する場合、Copilot for Securityには、RBAC ロールによって定義されたデータとアクセス許可、および割り当てられたIntuneスコープ タグにもアクセスできます。

関連記事

• Microsoft Copilot for Securityとは
• Microsoft Copilot for Securityのプライバシーとデータセキュリティ
• Intuneで Microsoft Copilot を使用する