向合作伙伴授予对Microsoft Security Copilot的访问权限
如果使用Microsoft托管安全解决方案提供商 (MSSP) ,请确保它们仅在你授予他们访问权限时才访问你的Security Copilot功能。 (GDAP) 配置精细委派管理员特权是确保合作伙伴与安全团队一样使用Security Copilot带来的所有优势的最佳方法。
有两种方法允许合作伙伴管理Security Copilot。
建议的 GDAP ()
批准 MSSP 以获取租户Security Copilot权限。 他们使用粒度委派管理员特权 (GDAP) 为安全组分配所需的权限。B2B 协作
为合作伙伴中的个人设置来宾帐户以登录到租户。
两种方法各有利弊。 使用下表来帮助确定哪种方法最适合你的组织。 可以将这两种方法混合用于整体合作伙伴策略。
| 注意事项 | GDAP | B2B 协作 |
|---|---|---|
| 如何实现限时访问? | 默认情况下,访问权限是受时间限制的,并且内置于权限审批过程中。 | 可以使用具有限时访问权限的特权标识管理 (PIM),但必须由客户维护。 |
| 如何管理最低权限访问? | GDAP 需要安全组。 所需的最低特权角色列表将指导设置。 | 安全组是可选的,并由客户维护。 |
| 支持使用哪些插件? | 支持部分插件集。 | 可供客户使用的所有插件均可供合作伙伴使用。 |
| 什么是 独立登录 体验? | MSSP 使用服务管理无缝登录到相应租户的Security Copilot。 | 使用Security Copilot设置中的租户切换选择。 |
| 什么是嵌入式体验? | 支持,包含 服务管理 链接以方便访问。 | 正常支持。 |
GDAP
GDAP 允许 MSSP 设置由Security Copilot客户显式授予的最低特权和有时间限制的访问权限。 仅允许注册为云解决方案合作伙伴的 MSSP (CSP) 管理Security Copilot。 将访问权限分配给 MSSP 安全组,从而减轻客户和合作伙伴的管理负担。 为 MSSP 用户分配适当的角色和安全组来管理客户。
有关详细信息,请参阅 GDAP 简介。
下面是支持 GDAP 的安全 Copilot 插件的当前矩阵:
| 安全 Copilot 插件 | 支持 GDAP |
|---|---|
| Defender 外部攻击面管理 | 否 |
| Entra | 总的来说,没有,但一些功能起作用。 |
| Intune | 是 |
| MDTI | 否 |
| Defender XDR | 是 |
| NL2KQL Defender | 是 |
| NL2KQL Sentinel | 否 |
| Purview | 是 |
| Sentinel | 否 |
有关详细信息,请参阅 GDAP 支持的工作负载。
GDAP 关系
MSSP 向其客户发送 GDAP 请求。 按照获取管理客户的权限一文中的说明操作。 为了获得最佳结果,MSSP 应请求安全读取者和安全操作员角色来访问Security Copilot平台和插件。 有关详细信息,请参阅了解身份验证。
客户批准合作伙伴发出的 GDAP 请求。 有关详细信息,请参阅 客户审批。
安全组权限
MSSP 创建安全组并为其分配已批准的权限。 有关详细信息,请参阅分配Microsoft Entra角色。
客户将 MSSP 请求的角色添加到相应的Security Copilot角色 (Copilot 所有者或 copilot 参与者) 。 例如,如果 MSSP 请求安全操作员权限,客户会将该角色添加到 Security Copilot 内的 Copilot 参与者 角色。 有关详细信息,请参阅分配Security Copilot角色。
MSSP Security Copilot访问
MSSP 用户帐户需要已分配合作伙伴安全组的成员身份和已批准的角色才能连接到客户的Security Copilot。
MSSP 有一个 服务管理 页,允许无缝连接到已批准的客户工作负载。 例如,下图显示了 MSSP 用户可以为其客户 Tailspin Toys 管理的内容。
验证 URL 是否与客户租户匹配。 例如,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee。
B2B 协作
此访问方法可邀请单个合作伙伴帐户作为来宾加入客户租户,以操作安全 Copilot。
为合作伙伴设置来宾帐户
注意
若要执行此选项中所述的过程,必须在 Microsoft Entra 中分配相应的角色,例如用户管理员或计费管理员。
转到 Microsoft Entra 管理中心并登录。
转到“标识”>“用户”>“所有用户”。
选择“新用户”>“邀请外部用户”,然后指定来宾帐户的设置。
在“基本信息”选项卡上,填写用户的电子邮件地址、显示名称和消息(如果要包含)。 (可以选择添加“抄送收件人”以接收电子邮件邀请的副本。)
在“属性”选项卡上的“标识”部分中,填写用户的名字和姓氏。 (可以选择填写要使用的任何其他字段。)
在“分配”选项卡上,选择“+ 添加角色”。 向下滚动,然后选择“安全操作员”或“安全读者”。
在“审阅 + 邀请”选项卡上,查看设置。 准备就绪后,选择“邀请”。
合作伙伴会收到一封电子邮件,其中包含一个链接,用于接受邀请,以来宾身份加入租户。
提示
要了解有关设置来宾帐户的详细信息,请参阅邀请外部用户。
B2B Security Copilot访问
为合作伙伴设置来宾帐户后,可以通知他们现在可以使用你的Security Copilot功能。
告诉你的合作伙伴查找来自Microsoft的电子邮件通知。 电子邮件包含有关其用户帐户的详细信息,并包含为接受邀请而必须选择的链接。
合作伙伴访问 securitycopilot.microsoft.com 并使用其电子邮件帐户登录来访问Security Copilot。
合作伙伴使用租户切换功能来确保他们访问适当的客户。 例如,下图显示了 Fabrikam 的合作伙伴使用其凭据为其客户 Contoso 处理Security Copilot。
或者,直接在 URL 中设置租户 ID,例如,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.共享以下文章以帮助 MSSP 开始使用Security Copilot:
技术支持
目前,如果 MSSP 或合作伙伴有疑问,需要合作伙伴中心外部Security Copilot的技术支持,则客户组织应代表 MSSP 联系支持人员。