Accorder aux partenaires l’accès à Microsoft Security Copilot
Si vous travaillez avec un fournisseur de solutions de sécurité managée (MSSP) Microsoft, assurez-vous qu’il accède à vos fonctionnalités de Security Copilot uniquement lorsque vous lui accordez l’accès. La configuration des privilèges gdap (Granular Delegated Administration Privileges) est la meilleure façon de sécuriser les partenaires pour qu’ils tirent parti de tous les avantages qu’offre Copilot for Security, tout comme votre équipe de sécurité.
Il existe deux façons d’autoriser un partenaire à gérer vos Security Copilot.
GDAP (recommandé)
Approuvez votre MSSP pour obtenir Security Copilot autorisations pour votre locataire. Ils attribuent à un groupe de sécurité les autorisations nécessaires à l’aide des privilèges de Administration délégués granulaires (GDAP).Collaboration B2B
Configurez des comptes invités pour que les personnes de votre partenaire se connectent à votre locataire.
Les deux méthodes présentent des inconvénients. Utilisez le tableau suivant pour déterminer la méthode la mieux adaptée à votre organization. Il est possible de combiner les deux méthodes dans le cadre d'une stratégie globale de partenariat.
| Considération | GDAP | Collaboration B2B |
|---|---|---|
| Comment l'accès limité dans le temps est-il mis en œuvre ? | L'accès est limité dans le temps par défaut et intégré dans le processus d'approbation des autorisations. | La gestion des identités privilégiées (PIM) avec un accès limité dans le temps est possible, mais doit être maintenue par le client. |
| Comment l'accès au niveau le moins privilégié est-il administré ? | La GDAP nécessite des groupes de sécurité. Une liste des rôles les moins privilégiés nécessaires guide l'installation | Les groupes de sécurité sont facultatifs et gérés par le client. |
| Quels sont les plug-ins pris en charge? | Un ensemble partiel de plug-ins est pris en charge. | Tous les plug-ins disponibles pour le client sont disponibles pour le partenaire. |
| Qu’est-ce que l’expérience de connexion autonome ? | MsSP utilise la gestion des services pour se connecter en toute transparence à Security Copilot pour le locataire approprié. | Utilisez la sélection du commutateur de locataire à partir du paramètre Security Copilot. |
| Qu'est-ce que l'expérience intégrée ? | Pris en charge, avec des liens de gestion des services pour faciliter l’accès. | Pris en charge normalement. |
GDAP
GDAP permet à un MSSP de configurer l’accès le moins privilégié et limité dans le temps explicitement accordé par le client Security Copilot. Seuls les MSSP inscrits en tant que partenaire de solution cloud (CSP) sont autorisés à gérer Security Copilot. L’accès est attribué à un groupe de sécurité MSSP, ce qui réduit la charge administrative pour le client et le partenaire. Un utilisateur MSSP se voit attribuer le rôle et le groupe de sécurité appropriés pour gérer le client.
Pour plus d'informations, voir Introduction au GDAP
Voici la matrice actuelle des plug-ins Sécurité Copilot qui prennent en charge le GDAP :
| Plug-in Copilot de sécurité | Supporte le GDAP |
|---|---|
| Gestion de la surface d'attaque externe de Defender | Non |
| Entra | Dans l’ensemble, non, mais quelques fonctionnalités fonctionnent. |
| Intune | Oui |
| MDTI | Non |
| Defender XDR | Oui |
| NL2KQL Defender | Oui |
| NL2KQL Sentinel | Non |
| Purview | Oui |
| Sentinel | Non |
Pour plus d'informations, voir Charges de travail supportées par GDAP.
Relation GDAP
Le MSSP envoie une demande GDAP à son client. Suivez les instructions de cet article, Obtenir des autorisations pour gérer les clients . Pour obtenir de meilleurs résultats, le MSSP doit demander des rôles Lecteur de sécurité et Opérateur de sécurité pour accéder à Security Copilot plateforme et plug-ins. Pour plus d'informations, voir Comprendre l'authentification .
Le client approuve la demande GDAP du partenaire. Pour plus d’informations, consultez Approbation du client.
Autorisations de groupe de sécurité
Le MSSP crée un groupe de sécurité et lui attribue les autorisations approuvées. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra.
Le client ajoute les rôles demandés par le mssp au rôle de Security Copilot approprié (propriétaire du copilot ou copilote contributeur). Par exemple, si le MSSP a demandé des autorisations d’opérateur de sécurité, le client ajoute ce rôle au rôle Copilot contributeur dans Security Copilot. Pour plus d’informations, consultez Attribution de rôles Security Copilot.
Accès Security Copilot MSSP
Le compte d’utilisateur MSSP doit être membre du groupe de sécurité partenaire attribué et un rôle approuvé pour se connecter aux Security Copilot d’un client.
Le mssp dispose d’une page de gestion des services qui permet une connexion transparente aux charges de travail client approuvées. Par exemple, l’image suivante montre ce qu’un utilisateur MSSP peut administrer pour son client Tailspin Toys.
Vérifiez que l’URL correspond au locataire du client. Par exemple :
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.
Collaboration B2B
Cette méthode d'accès invite les comptes partenaires individuels en tant qu'invités du client locataire à utiliser le Copilot de sécurité.
Configurer un compte invité pour votre partenaire
Remarque
Pour effectuer les procédures décrites dans cette option, vous devez disposer d’un rôle approprié, tel que Administrateur d’utilisateurs ou Administrateur de facturation, attribué dans Microsoft Entra.
Accédez au centre d'administration Microsoft Entra et connectez-vous.
Accédez à Identité>Utilisateurs>Tous les utilisateurs.
Sélectionnez Nouvel utilisateur>Inviter un utilisateur externe, puis spécifiez les paramètres du compte invité.
Dans l'onglet Bases, indiquez l'adresse électronique de l'utilisateur, son nom d'affichage et un message si vous souhaitez en inclure un. (Vous pouvez éventuellement ajouter un destinataire Cc qui recevra une copie de l'invitation par courrier électronique).
Dans l'onglet Propriétés, dans la section Identité, indiquez le nom et le prénom de l'utilisateur. (Vous pouvez éventuellement remplir d'autres champs que vous souhaitez utiliser).
Sous l’onglet Affectations , sélectionnez + Ajouter un rôle. Faites défiler vers le bas, puis sélectionnez Opérateur de sécurité ou Lecteur de sécurité.
Sous l’onglet Vérifier + inviter , passez en revue vos paramètres. Lorsque vous êtes prêt, sélectionnez Inviter.
Le partenaire reçoit un e-mail avec un lien pour accepter l’invitation à rejoindre votre locataire en tant qu’invité.
Conseil
Pour en savoir plus sur la configuration d'un compte d'invité, voir Inviter un utilisateur externe.
Accès Security Copilot B2B
Une fois que vous avez configuré un compte invité pour votre partenaire, vous êtes prêt à l’informer qu’il peut désormais utiliser vos fonctionnalités de Security Copilot.
Demandez à votre partenaire de rechercher une notification par e-mail de Microsoft. L'e-mail contient des informations sur leur compte d'utilisateur et un lien qu'ils doivent sélectionner pour accepter l'invitation.
Votre partenaire accède à Security Copilot en visitant securitycopilot.microsoft.com et en se connectant à l’aide de son compte de messagerie.
Le partenaire utilise la fonctionnalité de changement de locataire pour s’assurer qu’il accède au client approprié. Par exemple, l’image suivante montre un partenaire de Fabrikam utilisant ses informations d’identification pour travailler dans Security Copilot pour son client, Contoso.
Vous pouvez également définir l’ID de locataire directement dans l’URL, par exemple,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.Partagez les articles suivants pour aider votre MSSP à commencer à utiliser Security Copilot :
Support technique
Actuellement, si votre MSSP ou partenaire a des questions et a besoin d’un support technique pour Security Copilot en dehors de l’Espace partenaires, le client organization doit contacter le support au nom du MSSP.