Compartilhar via


Conceder aos parceiros acesso ao Microsoft Security Copilot

Se estiver a trabalhar com um Fornecedor de Soluções de Segurança Gerida (MSSP) da Microsoft, certifique-se de que acedem às suas capacidades de Security Copilot apenas quando lhes conceder acesso. Configurar Privilégios de Administração Delegados Granulares (GDAP) é a melhor forma de proteger os parceiros para trabalharem com todas as vantagens que o Copilot for Security traz, tal como a sua equipa de segurança.

Existem duas formas de permitir que um parceiro faça a gestão do seu Security Copilot.

  1. GDAP (recomendado)
    Aprove o seu MSSP para obter permissões de Security Copilot para o seu inquilino. Atribuem a um grupo de segurança as permissões necessárias com Privilégios de Administração Delegado Granular (GDAP).

  2. Colaboração B2B
    Configure contas de convidado para indivíduos do seu parceiro para iniciar sessão no seu inquilino.

Há desvantagens em ambos os métodos. Utilize a tabela seguinte para ajudar a decidir qual o melhor método para a sua organização. É possível combinar os dois métodos em uma estratégia geral de parceiros.

Considerações GDAP Colaboração B2B
Como é implementado o acesso com limite de tempo? O acesso é com limite de tempo por padrão e integrado ao processo de aprovação de permissões. O Privileged Identity Management (PIM) com acesso com limite de tempo é possível, mas deve ser mantido pelo cliente.
Como é administrado o acesso com privilégios mínimos? O GDAP requer grupos de segurança. Uma lista das funções com privilégios mínimos necessárias guia a configuração. Os grupos de segurança são opcionais e mantidos pelo cliente.
Quais são os plug-ins com suporte? Há suporte para um conjunto parcial de plug-ins. Todos os plug-ins disponíveis para o cliente estão disponíveis para o parceiro.
Qual é a experiência de início de sessão autónomo? O MSSP utiliza a Gestão de serviços para iniciar sessão na Security Copilot para o inquilino adequado. Utilize a seleção de comutador de inquilino da definição Security Copilot.
O que é a experiência integrada? Suportado, com ligações de gestão de serviços para facilitar o acesso. Suportada normalmente.

GDAP

O GDAP permite que um MSSP configure o acesso com menos privilégios e com limite de tempo explicitamente concedido pelo cliente Security Copilot. Apenas os MSSPs registados como Parceiro de Solução Cloud (CSP) têm permissão para gerir Security Copilot. O acesso é atribuído a um grupo de segurança MSSP que reduz os encargos administrativos tanto para o cliente como para o parceiro. A um utilizador do MSSP é atribuída a função e o grupo de segurança adequados para gerir o cliente.

Para obter mais informações, consulte Introdução ao GDAP.

Esta é a matriz atual dos plug-ins do Copilot de Segurança que dão suporte ao GDAP:

Plug-in do Copilot de Segurança Com suporte para GDAP
Gerenciamento da Superfície de Ataque Externa do Defender Não
Entra No geral, não, mas algumas capacidades funcionam.
Intune Sim
MDTI Não
Defender XDR Sim
NL2KQL Defender Sim
NL2KQL Sentinel Não
Purview Sim
Sentinel Não

Para obter mais informações, consulte Cargas de trabalho com suporte pelo GDAP.

Relação GDAP

  1. O MSSP envia um pedido GDAP ao cliente. Siga as instruções deste artigo, Obter permissões para gerenciar o cliente. Para obter os melhores resultados, o MSSP deve pedir ao Leitor de segurança e às funções de operador de Segurança para aceder Security Copilot plataforma e plug-ins. Para obter mais informações, consulte Entender a autenticação.

  2. O cliente aprova a solicitação de GDAP do parceiro. Para obter mais informações, veja Aprovação do cliente.

Permissões do grupo de segurança

  1. O MSSP cria um grupo de segurança e atribui-lhe as permissões aprovadas. Para obter mais informações, veja Atribuir funções de Microsoft Entra.

  2. O cliente adiciona as funções que o MSSP pediu à função de Security Copilot adequada (proprietário copilot ou copilot contribuidor). Por exemplo, se o MSSP tiver pedido permissões de operador de Segurança, o cliente adiciona essa função à função copilot contribuidor no Security Copilot. Para obter mais informações, veja Assigning Security Copilot roles (Atribuir funções Security Copilot).

Acesso Security Copilot MSSP

  1. A conta de utilizador do MSSP precisa de ser associada ao grupo de segurança de parceiros atribuído e uma função aprovada para ligar ao Security Copilot de um cliente.

  2. O MSSP tem uma página de Gestão de serviços que permite uma ligação totalmente integrada a cargas de trabalho de clientes aprovadas. Por exemplo, a imagem seguinte mostra o que um utilizador do MSSP pode administrar para o cliente Tailspin Toys.

    Captura de ecrã a mostrar o ecrã de gestão do serviço do centro de parceiros a realçar Security Copilot ligação.

  3. Valide se o URL corresponde ao inquilino do cliente. Por exemplo, https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.

Colaboração B2B

Esse método de acesso convida contas de parceiros individuais como convidados para o locatário do cliente para operar o Copilot de Segurança.

Configurar uma conta de convidado para o seu parceiro

Observação

Para executar os procedimentos descritos nesta opção, tem de ter uma função adequada, como Administrador de Utilizadores ou Administrador de Faturação, atribuída no Microsoft Entra.

  1. Acesse o centro de administração do Microsoft Entra e entre.

  2. Vá até Identidade>Usuários>Todos os usuários.

  3. Selecione Novo usuário>Convidar usuário externo e especifique as configurações da conta de convidado.

    1. Na guia Noções Básicas, preencha o endereço de email do usuário, o nome de exibição e uma mensagem, se quiser incluí-la. (Opcionalmente, você pode adicionar um destinatário Cc para receber uma cópia do convite por email.)

    2. Na guia Propriedades, na seção Identidade, preencha o nome e o sobrenome do usuário. (Opcionalmente, você pode preencher quaisquer outros campos que queira usar.)

    3. Na guia Atribuições, selecione + Adicionar função. Role a tela para baixo e selecione Operador de Segurança ou Leitor de Segurança.

    4. Na guia Revisar + convidar, revise suas configurações. Quando estiver pronto, selecione Convidar.

      O parceiro recebe um e-mail com uma ligação para aceitar o convite para aderir ao seu inquilino como convidado.

Dica

Para saber mais sobre a configuração de uma conta de convidado, consulte Convidar um usuário externo.

B2B Security Copilot acesso

Depois de configurar uma conta de convidado para o seu parceiro, está pronto para notificá-los de que agora podem utilizar as suas capacidades de Security Copilot.

  1. Peça ao seu parceiro para procurar uma notificação por e-mail da Microsoft. O email contém detalhes sobre a conta de usuário e inclui um link que deve ser selecionado para aceitar o convite.

  2. O seu parceiro acede a Security Copilot visitando securitycopilot.microsoft.com e iniciando sessão com a respetiva conta de e-mail.

  3. O parceiro utiliza a funcionalidade de comutação de inquilino para garantir que está a aceder ao cliente adequado. Por exemplo, a imagem seguinte mostra um parceiro da Fabrikam a utilizar as respetivas credenciais para trabalhar no Security Copilot para o cliente, a Contoso.

    Captura de ecrã a mostrar a definição de comutador de inquilino.
    Em alternativa, defina o ID do inquilino diretamente no URL, por exemplo,
    https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.

  4. Partilhe os seguintes artigos para ajudar o seu MSSP a começar a utilizar Security Copilot:

Suporte técnico

Atualmente, se o seu MSSP ou parceiro tiver dúvidas e precisar de suporte técnico para Security Copilot fora do centro de parceiros, a organização do cliente deve contactar o suporte em nome do MSSP.