Microsoft Entra ID 保护在 Microsoft Entra 中应用 Copilot 的功能，以汇总用户的风险级别，提供与事件相关的见解，并提供快速缓解建议。 标识风险调查是保护组织的关键步骤。 Microsoft Entra 中的 Copilot 通过向 IT 管理员和安全运营中心（SOC）分析师提供适当的上下文来调查和修正标识风险和基于标识的事件，帮助缩短解决时间。 风险用户摘要便于管理员和响应方快速访问上下文中最重要的信息以帮助调查。

快速响应身份威胁：

风险摘要：以自然语言总结用户风险级别提升的原因。

建议：获取有关如何缓解和响应这些类型的攻击的指导，并提供帮助和文档快速链接。

本文介绍如何在 Microsoft Entra 中访问 Microsoft Entra ID 保护和 Copilot 的风险用户摘要功能。 使用此功能需要 Microsoft Entra ID P2 许可证。

先决条件

已启用 Security Copilot 的租户。 有关详细信息，请参阅 Microsoft 安全 Copilot 使用指南 。

调查有风险的用户

查看和调查有风险的用户：

至少以安全读取者身份登录到Microsoft Entra 管理中心。

导航到 ID 保护>风险用户。

从有风险的用户报表中选择一个用户。

在 “有风险的用户详细信息 ”窗口中，信息将显示在 “汇总”中。

有风险的用户摘要包含三个部分：

Copilot 摘要：按自然语言总结 ID 保护为何将用户标记为有风险。

接下来要做什么：列出调查此事件及防止将来类似事件发生的后续步骤。

帮助和文档：列出帮助和文档的资源。

在此示例中，建议的修正是：

创建登录风险和基于用户风险 的条件访问策略。

建议的帮助和文档包括：

ID 保护中有哪些风险？

事件响应剧本

基于风险的访问策略

使用 Copilot 调查有风险的用户

从 Microsoft Entra 管理中心的 Copilot 按钮启动 Security Copilot。 使用自然语言的问题或提示进行以下操作：

根据风险列出或标识用户

提取特定于用户的风险信息

汇总用户风险历史记录

根据风险列出或标识用户

使用Microsoft安全 Copilot，可以轻松检索和汇总系统中有关用户风险状态的信息。

例如：

列出当前标记为有风险的所有用户。

显示当前处于危险状态的用户。

识别标记为有风险的用户。

列出所有已遭入侵的用户。

显示当前被视为安全的用户。

当前有多少用户被标记为有风险？

提供所有有风险的用户的计数。

特定于用户的风险信息

使用 Microsoft Security Copilot，可以专注于特定用户并确定其风险级别。

例如：

确定此用户当前是否具有高风险

显示此用户的详细风险信息

用户风险历史记录

使用 Microsoft Security Copilot，可以检索有关用户随时间推移的信息来建立其风险历史记录。

显示此用户的风险历史记录

此用户是否已标记为有风险

此用户以前有风险

相关内容

详细了解 有风险的用户。