Purview 中的智能 Microsoft Security Copilot 副驾驶®代理入门

2025-06-30

使用这些过程推出 Microsoft Purview 代理。

开始之前

如果不熟悉在 Microsoft Purview 中智能 Microsoft Security Copilot 副驾驶®代理，应阅读以下文章。

Microsoft Purview 中的Security Copilot代理概述 (预览版)

SKU/订阅许可

Microsoft Purview 代理需要标准的按席位许可模型和即用即付计费模型。你的组织必须获得以下许可：

Microsoft Purview 数据丢失防护 ( Purview DLP) 使用 Purview DLP 会审代理。

Microsoft Purview 会审代理在执行任务时使用安全计算单元 (SCU) 。必须预配 SCU，才能使会审代理正常工作。使用的 SCU 数取决于所处理的警报的数量和类型。有关 SCU 的详细信息，请参阅安全计算单元 (SCU) 。可以在使用情况监视工具中跟踪 SCU 使用情况。有关加入智能 Microsoft Security Copilot 副驾驶®的详细信息，请参阅智能 Microsoft Security Copilot 副驾驶®入门。

有关许可的信息，请参阅

权限和角色

使用 Microsoft Purview 代理执行不同的功能需要不同的权限和角色。有关详细信息，请参阅 Microsoft Purview 门户中的权限和 Microsoft Purview 门户中的角色和角色组。

重要

代理在保存代理配置的最后一个用户的安全上下文中运行。此身份验证适用于 90 天。 90 天后，代理将停止运行，直到再次手动保存配置。

用于启用 Purview DLP 代理的权限

用于启用和管理 Purview DLP 代理的帐户必须具有以下所有角色：

信息保护分析师或信息保护调查员 (角色组：合规性管理员或合规性数据管理员或数据安全管理或信息保护或信息保护分析师或信息保护调查员)
Security Copilot参与者 (在 Security Copilot) 中托管

用于自定义和配置 Purview DLP 代理的权限

用于自定义和配置 Purview DLP 代理的帐户必须具有以下所有角色：

Purview 代理分析 (角色组：信息保护分析师或信息保护调查人员或信息保护或合规性管理员或数据安全管理)
Security Copilot参与者 (在 Security Copilot) 中托管

用于查看会审 Purview DLP 警报的权限

用于查看 Purview DLP 会审代理警报活动的帐户必须能够访问 Purview DLP 警报，该警报授予以下角色：

Purview 代理分析 (角色组：信息保护分析师或信息保护调查人员或信息保护或合规性管理员或数据安全管理)
可选 - Security Copilot参与者 (在 Security Copilot) 中托管

部署和配置路线图

实现 Microsoft Purview 代理涉及几个阶段：

基础结构先决条件
启用代理
安装代理
暂停代理
删除代理

基础结构先决条件

Microsoft Purview 会审代理在智能 Microsoft Security Copilot 副驾驶® 上运行。

租户必须载入到智能 Microsoft Security Copilot 副驾驶®。有关如何载入的详细信息，请参阅智能 Microsoft Security Copilot 副驾驶®入门。
必须在 Security Copilot 中启用 Microsoft 365 数据共享。有关详细信息，请参阅从 Microsoft 365 服务访问数据。
必须在智能 Microsoft Security Copilot 副驾驶® 中启用 Microsoft Purview 插件。有关详细信息，请参阅在智能 Microsoft Security Copilot 副驾驶® 中启用 Microsoft Purview 源。

启用代理

此过程适用于尚未启用任何 Microsoft Purview 代理或已删除代理的组织，并且你希望再次启用它们。启用代理后，它们可在 Microsoft Purview 中使用。租户中每个代理只能有一个实例。

使用具有所需权限的帐户登录到 Microsoft Purview 门户。
在左侧导航窗格中，选择“ 代理”。
选择“ 浏览代理”。
选择要启用的代理，然后选择“ 添加”。这会打开一个页面，其中显示了启用代理的要求。
选择 “设置”，这会打开 “部署代理 全局配置”页。可以执行下列操作：
1. 选择 根据设置的计划自动运行。如果不选择此选项，则必须一次手动运行一个代理。计划由 Microsoft 设置，组织无法配置。稍后可以在编辑代理时更改此设置。
2. 选择警报时间范围，即代理查找要会审的警报的时间范围。分析人员可以在编辑代理时缩短时间范围，但不能延长时间范围。有关详细信息，请参阅选择警报时间范围。
选择“部署”。成功部署代理时，会看到解决方案>中的<警报会审代理已部署消息。

安装代理

启用代理后，需要为代理设置特定的触发器。触发器用于确定代理会审的警报。可以在 “代理 ”页中执行此作，也可以在解决方案的 “警报 ”页上首次运行体验中执行此作。对于此过程，我们将使用第一个运行体验警报页方法。此过程假定你仍Microsoft Purview 门户打开到上一过程中的 “浏览代理 ”页。

重要

始终使用最新的代理配置。

选择“ 转到 <解决方案>”。这会打开解决方案的 “警报 ”页。
由于处于第一次运行体验中，因此会看到带有 “自定义 ”按钮的对话框，选中该按钮后，该对话框将打开 “自定义警报会审代理 ”浮出控件。
在这里，选择接受 “选择警报时间范围” 的默认全局设置，或者将其更改为比代理部署期间配置的要短。
选择 “选择策略 ”以选择代理将对其警报进行会审的策略。在预览版中，所有策略默认处于选中状态，可在此处进行更改。

重要

在公共预览版中，Purview DLP 代理将仅会审作用域为 Exchange、Teams、OneDrive 和 SharePoint 位置的策略中的警报。此外，会审代理仅支持使用Microsoft提供敏感信息类型的策略 (SCT) 和可训练的分类器。
选择 “选择策略”。
选择“审阅”。
选择“ 启动代理”。

最多允许代理 2 小时完成对来自此初始设置的范围中的警报的会审。

暂停代理

使用具有所需权限的帐户登录到 Microsoft Purview 门户。
在左侧导航窗格中，选择“ 代理”。
选择“ 浏览代理”。
为要暂停的 代理选择“查看 代理”。这会打开代理概述页。
在代理概述页最右上角，选择位于“编辑代理”按钮旁边的省略号 (三个点) 。
选择 “停用代理”。暂停代理会阻止代理对警报进行会审。它不会删除代理，也不会重置 “选择警报时间范围 ”引用时间点。

删除代理

使用具有所需权限的帐户登录到 Microsoft Purview 门户。
在左侧导航窗格中，选择“ 代理”。
选择“ 浏览代理”。
为要暂停的 代理选择“查看 代理”。这会打开代理概述页。
在代理概述页最右上角，选择位于“编辑代理”按钮旁边的省略号 (三个点) 。
选择 “删除代理”。删除代理会将其从 Purview Microsoft 中删除。如果想要再次使用它，则必须再次完成 “启用代理”和 “设置代理” 过程。删除代理会重置 选择警报时间范围 引用时间点。

编辑代理

使用具有所需权限的帐户登录到 Microsoft Purview 门户。
在左侧导航窗格中，选择“ 代理”。
选择“ 浏览代理”。
选择要编辑的代理的 “查看 代理”。这会打开代理概述页。
选择 “编辑代理”。这会打开 “编辑代理 ”页。
选择 “触发器”。
在这里，可以更改代理运行的时间， 代理将在一次一个警报上手动运行 ，或者 代理将根据设置的计划自动运行。
选择 “编辑 ”以更改 “选择警报时间范围 ”值以及代理将从中会审警报的策略。
如果选择“ 代理将在一次对一个警报手动运行”，则可以在解决方案的 “警报 ”页中选择一个警报。将开关设置为 “警报会审代理预览版 ”，然后选择“ 运行代理”。

监视 SCU 使用情况

使用具有所需权限的帐户登录到 Microsoft Purview 门户。
在左侧导航窗格中，选择“ 代理”。
选择“ 浏览代理”。
选择要编辑的代理的 “查看 代理”。这会打开代理概述页。
选择 “编辑代理”。这会打开 “编辑代理 ”页。
选择“使用情况监视”。
可以在使用情况监视工具中跟踪 SCU 使用情况。

警报页概述

使用具有所需权限的帐户登录到 Microsoft Purview 门户。
打开要查看其会审警报的解决方案。
打开解决方案的 “警报 ”页。
在页面的右上角，有一个新的切换开关，可用于在警报页面的Standard视图和警报会审代理 (预览) 警报页面视图之间进行选择。将切换到 警报会审代理 (预览) 视图。此视图显示代理已会审的警报。警报按代理分组为四个类别：
- 全部
- 需要注意
- 不太紧急
- 未分类

后续步骤

有关查看会审警报的信息，请参阅特定于解决方案的文章。