Security Copilot in Entra ID: Best Practices für Administratoren

Was wäre, wenn Ihre Sicherheitsabteilung rund um die Uhr mitdenken würde? Microsoft Security Copilot bringt genau das in Entra ID – mit KI-gestützter Analyse und Risikobewertung. Intelligente Sicherheitslösungen verändern die Arbeit von Identity- und Security-Administratoren grundlegend. Im Unterschied zu den bekannten Copilot-Instanzen in Microsoft 365 oder Azure zielt Security Copilot darauf ab, sicherheitsrelevante Entscheidungen zu beschleunigen und mit fundierten Kontextdaten zu untermauern.

Statt Texte zu generieren oder Verwaltungsprozesse zu vereinfachen, fokussiert sich Security Copilot auf Incident Response, Risikoanalysen, Threat Intelligence und Schutzmaßnahmen in Echtzeit, unterstützt durch generative KI auf Basis von GPT-4 und dem Microsoft-eigenen Sicherheitsmodell. Dieser Artikel gibt Ihnen einen umfassenden Überblick, wie Sie Microsoft Security Copilot in Entra ID optimal nutzen können, um Ihre Sicherheitsprozesse zu stärken und schnell fundierte Entscheidungen zu treffen.

🚨Hier finden Sie eine umfassende Zusammenfassung der 15 meistgenutzten Prompts für Security Copilot: ➡️ 15 Prompts für Security Copilot herunterladen 

Effiziente Risikoerkennung und Schadensbegrenzung mit Security Copilot

In Microsoft Entra ID entfaltet Security Copilot seine Stärke insbesondere bei

• der Analyse von Anmeldeereignissen,
• der Identifikation kompromittierter Konten
• bei der Risikoermittlung und -bewertung von Benutzeridentitäten und Anwendungen.

Administratoren können über natürliche Spracheingaben zielgerichtete Abfragen stellen, etwa zu riskanten Nutzern, signifikanten Richtlinienänderungen oder Berechtigungsmodifikationen. Dabei liefert Copilot sofort verwertbare Empfehlungen, verweist auf auffällige Aktivitäten und gibt kontextbezogene Hinweise zur Schadensbegrenzung.

Die Entra-Integration erlaubt außerdem den Zugriff auf Audit-Logs, Sign-in-Protokolle und rollenbasierte Zugriffsdaten, die automatisiert auf verdächtige Muster überprüft werden. Damit wird Copilot in Entra ID zu einem taktischen Werkzeug, das Sicherheitsoperationen im Identitätsbereich nicht nur beschleunigt, sondern auch strategisch verbessert.

Kapazitätsmodell und SCU-Logik verstehen

Die Nutzung von Security Copilot erfordert eine gezielte Ressourcenplanung. Microsoft rechnet dabei auf Basis sogenannter Security Compute Units (SCUs) ab. Diese Einheiten werden stundenweise berechnet und lassen sich entweder fest einplanen oder flexibel über sogenannte Überschreitungseinheiten („Overage Units“) abrufen.

Die Abrechnung erfolgt blockweise: Jede begonnene Stunde zählt als volle Einheit – egal, ob Sie die SCU nur 5 oder volle 55 Minuten nutzen. Bei Overage-Nutzung hingegen rechnet Microsoft minutengenau ab. Stellen Sie zum Beispiel um 9:05 Uhr eine SCU bereit, beenden diese um 9:35 Uhr und starten um 9:45 Uhr eine neue Einheit, zahlen Sie zwei volle SCUs für den Zeitraum von 9:00 bis 10:00 Uhr.

Der Zugriff auf Security Copilot setzt mindestens eine bereitgestellte SCU voraus.

👉 Für einen reibungslosen Einstieg empfiehlt Microsoft die Konfiguration mit drei SCUs und unbegrenzter Überschreitungskapazität.

Diese Konfiguration erlaubt es, auch bei plötzlichen Lastspitzen weiterhin stabile Reaktionszeiten zu garantieren. Wichtig ist dabei: SCUs für Security Copilot sind nicht kompatibel mit SCUs, die etwa für Microsoft Purview verwendet werden. Beide Anwendungsfälle müssen getrennt lizenziert werden.

Sicherheit in Azure: Entra ID absichern mit Copilot-Funktionen

Auch in Microsoft Azure lässt sich Entra ID durch KI-gestützte Funktionen absichern, die über den allgemeinen Azure Copilot bereitgestellt werden. Dieser Copilot unterscheidet sich funktional deutlich vom spezialisierten Security Copilot: Er unterstützt primär bei der Konfiguration und Verwaltung von Azure-Ressourcen durch erklärende Antworten, automatisierte Vorschläge und Code-Generierung.

Im Kontext von Entra ID kann der Azure Copilot etwa bei der Einrichtung von Conditional Access Policies, dem Rollenkonzept oder beim Aufbau hybrider Identitätsmodelle assistieren.

Während Security Copilot sich auf Bedrohungsanalysen, Vorfallsreaktionen und risikobasierte Entscheidungsunterstützung fokussiert, hilft der Azure Copilot eher bei strukturellen Aufgaben und der Optimierung von Sicherheitsrichtlinien im Entwurfsprozess.

👉 Beide Werkzeuge ergänzen sich somit: Das eine denkt strategisch in Sicherheitsoperationen, das andere wirkt operativ bei der sicheren Konfiguration und Implementierung.

Auch ohne die vollständige Security-Copilot-Plattform ermöglicht es Azure Copilot, sicherheitsrelevante Informationen kontextbezogen und in Echtzeit zu analysieren. Besonders im Bereich der Identitäts- und Zugriffsverwaltung lassen sich mit Hilfe des eingebetteten Copilot potenzielle Schwachstellen aufdecken, Policies evaluieren und Benutzeraktivitäten effizient untersuchen. Er nutzt dabei dieselben Identitätsdaten aus Microsoft Entra, die auch Security Copilot verwendet, bleibt jedoch innerhalb der Benutzeroberfläche des Entra-Portals und richtet sich an Administratoren mit Fokus auf Identity Governance.

Der große Vorteil liegt in der niedrigen Einstiegshürde, denn der Copilot kann direkt aus dem Menüband heraus aktiviert werden und erfordert keine separate Bereitstellung von SCUs.

Prompts im Entra Admin Center

Die Nutzung erfolgt über einfache Spracheingaben, die sofort verarbeitet und visualisiert werden.

Mit dem Prompt „Welche Benutzer haben in den letzten 24 Stunden keine Multi-Faktor-Authentifizierung verwendet?“ identifiziert der Copilot direkt potenziell angreifbare Konten. Der Befehl „Welche Änderungen wurden an der Rolle ‚Benutzeradministrator‘ vorgenommen?“ listet chronologisch alle Rollenzuweisungen und Entfernungen auf, inklusive Zeitstempel und auslösendem Konto. Ebenso liefert der Prompt „Gib mir eine Übersicht aller Gruppen mit mehr als 50 Mitgliedern und externem Zugriff“ eine gezielte Filterung potenziell überberechtigter Gruppen.

Der Copilot reagiert auf diese Anfragen mit strukturierten Antworten, übersichtlichen Tabellen und direkter Verlinkung zu den betreffenden Verwaltungsbereichen, wodurch auch weniger erfahrene Admins sicherheitsrelevante Entscheidungen fundiert treffen können.

Security Copilot Onboarding in zwei Stufen

Im Vergleich zum Azure Copilot, ist der Security Copilot nicht automatisch integriert, sondern muss erst eingerichtet werden. Der Einstieg in Security Copilot erfolgt in zwei Schritten.

Zunächst wird die Kapazität eingerichtet, entweder direkt über das Security Copilot Portal oder über das Azure-Portal. Anschließend erfolgt die Zuweisung dieser Kapazität zur Standardumgebung in Entra ID. Rollen mit minimal notwendigen Rechten, etwa Intune-Administrator oder Entra-Compliance-Administrator, sollten bevorzugt zum Einsatz kommen. Die Nutzung globaler Adminrechte bleibt Notfallszenarien vorbehalten.

Beim Einrichten der Kapazität kann ein geografischer Standort gewählt werden. Sollte dieser überlastet sein, kann die Verarbeitung von Prompts auch in einer global verfügbaren Region erfolgen. Nach erfolgreicher Einrichtung erlaubt das Dashboard eine minutengenaue Überwachung der Auslastung, inklusive der genutzten SCUs und der aktivierten Überschreitungskapazität. Der Zugriff auf gespeicherte Daten erfolgt stets innerhalb der geografischen Region des Mandanten.

Best Practices für die Arbeit mit Copilot in Entra ID

Integriert in Microsoft Entra eröffnet Security Copilot neue Perspektiven auf das Identitäts- und Zugriffsmanagement. Die Entra-Funktionen ermöglichen detaillierte Einblicke in Benutzeraktivitäten, Gruppenzugehörigkeiten und Zugriffsrichtlinien, im Kontext laufender oder vergangener Sicherheitsvorfälle.

Copilot erkennt automatisch risikobehaftete Anmeldeereignisse, korreliert Signaldaten aus verschiedenen Quellen und liefert eine narrative Zusammenfassung der Bedrohungslage. Diese enthält bereits erste Handlungsoptionen, etwa zur Eskalation oder Quarantäne des betroffenen Kontos.

✅ Top 5 Best Practices für Security Copilot in Entra ID

1. Nutzen Sie präzise Prompts: Je genauer die Anfrage, desto treffsicherer die Analyse.

2. Vertrauen, aber prüfen: Ergebnisse von Copilot immer validieren.

3. Regelmäßig trainieren: Admins sollten Copilot aktiv in der täglichen Arbeit nutzen.

4. Rollen beachten: Nur berechtigte Nutzer sollten sicherheitsrelevante Daten abfragen dürfen.

5. Mit anderen Tools kombinieren: Copilot spielt am besten mit Sentinel, Defender & Co.

Mit der Eingabe „Fasse die Risikodetails des Benutzers Max.Mustermann@contoso.com zusammen“ generiert Security Copilot eine kompakte Übersicht über erkannte Anomalien und Risikodetektionen, etwa ungewöhnliche Anmeldeversuche, den Einsatz unsicherer Authentifizierungsverfahren oder Verstöße gegen Zugriffsrichtlinien.

Der zweite Prompt „Welche Geräte hat Max.Mustermann@contoso.com registriert?“ liefert ergänzend eine Liste der mit diesem Konto verbundenen Endgeräte, einschließlich Details zu Betriebssystem, Gerätezustand und Compliance-Status. Diese Informationen bilden zusammen eine solide Entscheidungsgrundlage, um bei Bedarf Maßnahmen wie MFA-Erzwingung, Gerätereinigung oder temporäre Kontosperrung einzuleiten.

Copilot identifiziert dabei auch Muster wie Anmeldungen von ungewöhnlichen IP-Adressen, den Einsatz neuer Geräte oder mehrfach fehlgeschlagene Authentifizierungen. Diese Informationen dienen als Basis für automatisierte Handlungsempfehlungen.

Einblick in Anmeldeverhalten und Audit-Logs

Auch bei der Analyse von Benutzeraktivitäten zeigt Security Copilot seine Stärken. Administratoren können gezielt nach Aktivitäten bestimmter Benutzer suchen, etwa in Zusammenhang mit Rollenzuweisungen, Richtlinienänderungen oder Gruppenmodifikationen. Copilot greift dafür auf die Audit-Logs von Entra ID zu und stellt die Ergebnisse strukturiert in natürlicher Sprache dar.

Mit gezielten Prompts lassen sich tiefgreifende Einblicke in Benutzeraktivitäten gewinnen, die für forensische Analysen oder die Validierung sicherheitskritischer Vorgänge unverzichtbar sind. Der Befehl „Zeige mir alle Aktivitäten von Max.Mustermann@contoso.com in den Audit-Logs der letzten 72 Stunden“ ruft sämtliche protokollierten Änderungen und Aktionen dieses Benutzers im angegebenen Zeitraum ab. Dazu zählen unter anderem Rollenzuweisungen, Richtlinienänderungen, App-Zugriffe oder administrative Eingriffe, die sich zeitlich präzise nachverfolgen lassen.

Ergänzend verschafft der Prompt „Liste mir die letzten 20 Anmeldeversuche von Max.Mustermann@contoso.com mit Status und Gerät“ einen chronologischen Überblick über erfolgreiche und fehlgeschlagene Logins, inklusive Metadaten zu IP-Adresse, verwendetem Browser und Endgerät. Diese Kombination aus Audit- und Sign-in-Informationen ermöglicht eine punktgenaue Untersuchung verdächtiger Aktivitäten und unterstützt eine schnelle Risikoabschätzung auf Nutzerebene.

Bei Bedarf lassen sich die Ergebnisse tabellarisch aufbereiten und exportieren. Copilot liefert Informationen über verwendete Endgeräte, eingesetzte Browser, den Erfolg oder Misserfolg der Anmeldung und prüft, ob die Geräte konform und verwaltet sind.

Gruppenanalyse und Verwaltung von Zugriffsrechten

Neben individuellen Benutzerdaten lässt sich auch die Gruppenstruktur über Copilot analysieren. Besonders hilfreich ist das bei der Prüfung von Berechtigungsvererbung oder bei der Untersuchung potenziell kompromittierter Gruppen.

Auch gruppenbasierte Analysen lassen sich mit Security Copilot effizient durchführen. Der Prompt „Wie viele Mitglieder hat die Gruppe ‚Finanzen-Extern‘?“ liefert eine präzise Zahl aktiver Benutzerkonten innerhalb der angegebenen Gruppe und ermöglicht damit eine schnelle Einschätzung über deren Umfang und potenzielle Angriffsfläche.

Noch detaillierter wird es mit dem Befehl „Zeige mir E-Mail-Adresse, Jobtitel und Telefonnummer aller Mitglieder der Gruppe ‚IT-Projektleitung‘“. Diese Abfrage gibt eine vollständige Übersicht über alle zugewiesenen Benutzer, inklusive ihrer organisatorischen Rollen und Kontaktinformationen. Mit diesen Informationen bewerten Sie gezielt, welche Gruppen welche Zugriffe und Berechtigungen besitzen, z.B. bei Audits oder Sicherheitschecks. Diese Funktionen sind sowohl im Standalone-Portal von Copilot als auch direkt in der Entra-Oberfläche eingebettet verfügbar. Die eingebettete Variante erlaubt es, ohne Kontextwechsel zu arbeiten und direkt aus der Benutzeroberfläche heraus Sicherheitsanalysen durchzuführen.

Analyse von Applikationsrisiken und Service Principals

Ein weiterer Fokus liegt auf der Verwaltung und Bewertung von Anwendungen und Service Principals. Administratoren stehen Funktionen zur Verfügung, mit denen riskante Anwendungen identifiziert, übermäßige Berechtigungen erkannt und nicht mehr genutzte Registrierungen aufgedeckt werden können.

Besonders kritisch: Anwendungen mit hohen Berechtigungen, die außerhalb des eigenen Mandanten registriert sind, ein gängiger Angriffsvektor bei lateralen Bewegungen von Angreifern.

Die Bewertung dieser Risiken erfolgt auf Basis der in Microsoft Entra ID Protection hinterlegten Signale. Administratoren können Copilot nutzen, um automatisch empfohlene Maßnahmen zu erhalten. Dazu gehören das Einschränken von Rechten oder das Deaktivieren überflüssiger Anwendungen.

Der Prompt „Zeige mir alle riskanten Anwendungen in meinem Mandanten“ liefert eine kuratierte Liste von Applikationen. Diese bewertet Copilot anhand von Identitätsschutz-Signalen. Dazu zählen riskante Berechtigungen, auffällige Nutzungsmuster oder abgelaufene Zertifikate.

Die Abfrage „Welche Anwendungen wurden außerhalb meines Mandanten registriert und sind aktiv?“ deckt externe Apps mit aktiven Service Principals im eigenen Tenant auf. Es ist ein möglicher Risikofaktor für unkontrollierten Drittzugriff.

Mit dem Prompt „Welche Delegated Permissions besitzt die App ‚HR-SelfService‘?“ lassen sich die delegierten Berechtigungen einer spezifischen Anwendung exakt aufschlüsseln. So erkennen Sie, welche Rechte die App im Namen des angemeldeten Benutzers erhält – und ob sie dadurch übermäßig auf sensible Daten zugreift.

Die Eingabe „Zeige mir alle Service Principals mit Admin-Rollen“ gibt zudem einen Überblick über technische Identitäten mit privilegierten Zugriffsrechten, die häufig ein erhöhtes Angriffsrisiko darstellen. Die Analyse durch den Prompt „Welche Anwendungen sind seit 90 Tagen ungenutzt?“ identifiziert veraltete oder verwaiste Anwendungen . Diese stellen eine häufig übersehene Angriffsfläche dar.

👉 Wir zeigen Ihnen gerne, wie Security Copilot und my-IAM gemeinsam für mehr Übersicht, Sicherheit und Automatisierung sorgen.

Kontaktieren Sie unser Team

Mehr zur my-IAM platform

Die my-IAM platform vereint sämtliche Identitäten aus verschiedenen Quellsystemen und macht sie für Anwendungen und Apps jeder Art nutzbar. Neben der Teams-integrierten App my-IAM PeopleConnect, umfasst sie die Business Services my-IAM RealIdentity und my-IAM RealGroup.

Jetzt Online-Demo buchen

Sie können unser Team auch telefonisch erreichen unter
+49 8196 998 4330.