Intune 中的 Microsoft Copilot

智能 Microsoft Security Copilot 副驾驶®是生成 AI 安全分析工具。 它可以帮助你和你的组织快速获取信息，并做出影响安全性和风险的决策。

Intune 具有由 Security Copilot 提供支持的功能。 这些功能可访问 Intune 数据，并帮助你管理策略和设置、了解安全状况以及排查设备问题。

可通过两种方式使用 Copilot 访问 Intune 数据：

• Intune 中的 Microsoft Copilot（本文）：Copilot 嵌入在 Intune 中，可在 Microsoft Intune 管理中心获取。 Copilot 提示及其输出位于 Intune 和 Intune 的上下文中，Windows 365 云电脑数据。 这些功能访问 Intune 并Windows 365 云电脑数据。 它们可以帮助你管理策略和设置、了解安全状况以及排查设备问题，包括Windows 365云电脑。

  此体验侧重于 IT 管理员/IT 专业人员。

• 智能 Microsoft Security Copilot 副驾驶®：此选项是独立的 Copilot，可在 智能 Microsoft Security Copilot 副驾驶® 门户中使用。 可以使用此门户从Security Copilot获取所有已启用的服务（例如 Intune、Microsoft Defender、Microsoft Entra ID、Microsoft Purview 等）的见解。

  此体验侧重于安全运营中心 (SOC)，可供 IT 管理员使用。 有关详细信息，请参阅 Microsoft Intune 中的Security Copilot。

本文重点介绍 Intune 中的 Copilot，并介绍可与 Copilot 配合使用的 Intune 功能。

开始之前

要在 Intune 中使用 Copilot，应了解以下信息：

• (SCU) 的 Copilot 安全计算单元：Intune 中的 Copilot 随Security Copilot一起提供。 使用 Intune 中的 Copilot 时没有任何其他许可要求或特定于 Intune 的许可要求。

  有关 SCU 的详细信息，请参阅：

  • 安全 Copilot 入门
  • 管理 Security Copilot 中的容量

• Copilot 配置：在 Intune 中使用 Copilot 功能之前，必须配置Security Copilot，并且必须在 智能 Microsoft Security Copilot 副驾驶® 门户中完成第一次运行演示。 有关设置任务，请参阅智能 Microsoft Security Copilot 副驾驶®入门。

  可以通过 Intune 管理中心>“租户管理”>“Copilot”来检查状态。

  

• Copilot 角色：通过 Security Copilot 或 Microsoft Entra ID 管理对 Intune 中 Copilot 的访问。 若要在 Intune 中使用 Copilot，必须为你或你的管理团队分配Security Copilot或Microsoft Entra ID 中的相应角色。 没有可访问 Copilot 的内置 Intune 角色。

  默认情况下，Microsoft Entra ID 中的 Intune 管理员角色有权访问 Intune 中的 Copilot。 可以通过 Security Copilot 向其他角色分配对 Intune 中的 Copilot 的访问权限。

  有关详细信息，请参阅 智能 Microsoft Security Copilot 副驾驶® 中的角色和身份验证。

• Intune 插件源：若要在 Intune 中使用 Copilot，需要在 Security Copilot 中启用 Intune 插件。 通过此插件，可以访问 Intune 数据并在 Intune 管理中心使用 Copilot。

  转到Security Copilot门户，选择“源” (提示栏>右) 。

  

  在“管理源”中，启用 Microsoft Intune。

  

  提示

  某些角色可以启用或禁用插件。有关详细信息，请参阅管理智能 Microsoft Security Copilot 副驾驶®中的插件。

  若要将 Intune 中的 Copilot 用于 Windows 365 云电脑，请在 Security Copilot 门户>“源”中启用Windows 365。

• Intune 数据：Copilot 使用 Intune 数据。 当 Intune 管理员提交提示时，Copilot 只能访问他们有权访问的数据，其中包括分配给他们的 RBAC 角色和范围标记。

开始使用 Copilot

要在 Intune 中访问 Copilot，请登录到 Intune 管理中心。 在顶部的横幅中，选择“ Copilot”。

可以将 Intune 中的 Copilot 用于：

• 使用自然语言进行数据探索
• 策略和设置管理
• 设备详细信息和故障排除
• 分析终结点特权管理 (EPM) 请求
• Microsoft Surface 设备故障排除
• 获取有关Windows 365云电脑的见解

数据浏览

使用自然语言，可以查询和浏览 Intune 数据，包括有关设备、用户、应用、策略、更新和合规性的数据。 还有一些内置示例可帮助你了解可以提出的问题类型。

运行查询时，Copilot 会汇总结果，并建议可以根据查询结果采取的作。 还可以使用查询输出将用户或设备添加到组，并创建自定义报表。

若要了解详细信息，请参阅 浏览 Intune 数据并获取 Copilot 建议。

Copilot 对话助手提示建议

可以通过选择顶部横幅上的 Copilot 按钮，从 Intune 中的任何页面访问Copilot 对话助手。

打开Copilot 对话助手时，使用自然语言向 Copilot 提问。 智能搜索将你的请求与 Intune 中内置的可用提示相匹配。 这些提示作为建议提供。

这些建议是动态的，并在键入问题时进行更新。 你可以继续键入以使请求更具体，或者尝试其他自然语言措辞（如果找不到所需内容）。

提示建议分为三个部分 - 建议、浏览数据和检查文档。

✅ 建议

本部分的提示特定于 Intune 方案，例如设备故障排除和策略 & 设置管理。 此列表还包括有关排查 surface 设备Microsoft问题并获取有关Windows 365云电脑的见解的提示。

例如，可以输入 summarize 以查看与汇总相关的建议的列表：

如果提示需要更多信息，系统会提示输入该信息。 例如，如果选择“ 汇总 Intune 设备 ”建议，系统会提示输入设备 ID：

✅ 浏览数据

Copilot 对话助手包括可用于浏览 Intune 数据的所有提示。 在提示符中，你可能会看到“ 进一步探索 ”选项：

选择“ 进一步浏览”时，系统会重定向你的提示，提示已在“资源管理器”提示框中填写。 在我们的示例中，选择“ 平台 ”，然后从列表中选择你的平台：

若要了解详细信息，请参阅 浏览 Intune 数据。

✅ 查看文档

Copilot 对话助手允许直接向Microsoft文档提问。 键入时， “检查文档 ”部分中的提示会动态更新为正在键入的问题。 选择此提示，了解Microsoft文档中的详细信息。

策略和设置管理

Copilot 嵌入到策略设置和现有策略中。

✅ 使用 Copilot 了解有关单个设置和建议值的详细信息

创建 Intune 策略时，可以添加设置并配置这些设置以满足组织的要求。 添加设置时，会出现 Copilot 工具提示。

选择 Copilot 工具提示时，将打开 Copilot 提示窗口，并提供有关该设置的详细信息。

可以通过提出以下问题来获取有关此设置的更多见解：

• 是否已在任何其他策略中配置此设置？
• Microsoft是否推荐此设置的任何特定值？
• 此设置如何影响用户？
• 此设置如何影响安全性？

这些 Copilot 提示可以帮助你了解设置的效果、查找潜在的冲突并提供建议的值。 有关如何将 Copilot 与设置目录配合使用的示例，请转到使用设置目录创建设备配置策略。

可以在 Intune 中对以下策略类型使用 Copilot 工具提示：

• 合规性策略
• 设备配置策略（包括设置目录）
• 大多数终结点安全策略

✅ 使用 Copilot 汇总现有设备配置策略

在现有的 Intune 配置策略上，可以使用 Copilot 来汇总策略。 摘要描述了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。

若要在 Intune 中使用此功能，请选择现有策略，然后选择“使用 Copilot 进行汇总”。

可以在设备配置策略（包括设置目录和大多数终结点安全策略）上使用此功能。

✅ 使用 Copilot 分析合规性策略

在现有的 Intune 合规性策略上，可以使用 Copilot 分析策略的不同方面。 提示指南可帮助总结策略的作用、策略及其设置对用户的影响以及安全性。 还可以使用 Copilot 来帮助获取具有冲突设置的符合性策略。

设备详细信息和故障排除

✅ 使用 Copilot 获取设备详细信息并排查设备问题

可以使用 Copilot 获取特定于设备的信息，例如已安装的应用、组成员身份等。

若要在 Intune 中使用此功能，请选择一个设备，然后选择“ 使用 Copilot 进行汇总”。 Copilot 对话助手打开并执行提示：

此步骤会自动打开 Copilot 聊天 (（如果尚未打开) ），并执行提示。

有关对设备使用 Copilot 的详细信息，请转到 在 Intune 中使用 Copilot 排查设备问题。

✅ 使用 Copilot 创建 KQL 查询以获取设备详细信息

可以使用 Copilot 来帮助创建Kusto 查询语言 (KQL) 查询，以在 Intune 中使用设备查询时运行。

可以将此功能用于单个设备或多个设备。

查询单个设备

若要在 Intune 中查询单个设备，请转到 “设备>”“所有设备> ”选择设备，然后选择“ 监视>设备查询”。

在“Copilot 对话助手”中，输入有关设备的问题。 如果设备查询支持回答问题所需的属性，则 Copilot 会生成可以使用的 KQL 查询。

可以使用建议的查询或输入自己的查询来生成 KQL。 Copilot 生成 KQL，并提供 Copilot 如何创建查询以响应请求的说明。

下面是可以尝试的一些查询示例：

• Defender 是否在此设备上运行？
• 显示此设备上最后 5 个应用崩溃事件。
• 此设备上使用最多内存的前 10 个进程是什么？
• 在此设备上显示过期的证书。
• 在 C：\Windows\folderPath 中显示最近创建的 20 个文件
• 此设备是否支持 TPM 2.0？
• 显示此设备上按提供程序名称分组的驱动程序。

查询多个设备

若要在 Intune 中跨多个设备查询数据，请选择“ 设备>设备查询”。

在“Copilot 对话助手”中，输入有关设备的问题。 如果设备查询支持回答问题所需的属性，则 Copilot 会生成可以使用的 KQL 查询。

可以选择 Copilot 生成的选项来快速生成 KQL 查询。 或者，可以输入问题或请求其他设备数据。 若要提出新请求，请在 Copilot 对话助手 中提出新问题。

下面是可以尝试的一些查询示例：

• 哪些设备未加密？
• 向我展示Windows 11设备。
• 哪些设备具有热修复？
• 显示 TPM 2.0 设备。
• 显示按制造商排序的设备。
• 哪些设备在过去 30 天内未修补？

相关内容

• 使用 Intune 中的 Copilot 对设备进行故障排除。
• 使用设置目录创建设备配置策略。
• 详细了解 智能 Microsoft Security Copilot 副驾驶® 中的 Intune 功能。