Gewähren von Zugriff auf Microsoft Security Copilot
Wenn Sie mit einem Microsoft Managed Security Solution Provider (MSSP) arbeiten, stellen Sie sicher, dass dieser nur dann auf Ihre Security Copilot-Funktionen zugreift, wenn Sie ihm Zugriff gewähren. Das Konfigurieren von Granular Delegated Admin Privileges (GDAP) ist die beste Möglichkeit, Partner zu schützen, um mit allen Vorteilen zu arbeiten, die Security Copilot bietet, genau wie Ihr Sicherheitsteam.
Es gibt zwei Möglichkeiten, einem Partner die Verwaltung Ihrer Security Copilot zu ermöglichen.
GDAP (empfohlen)
Genehmigen Sie Ihren MSSP, um Security Copilot Berechtigungen für Ihren Mandanten zu erhalten. Sie weisen einer Sicherheitsgruppe die erforderlichen Berechtigungen mithilfe von Granular Delegated Admin Privileges (GDAP) zu.B2B-Zusammenarbeit
Richten Sie Gastkonten für Einzelpersonen ihres Partners ein, um sich bei Ihrem Mandanten anzumelden.
Bei beiden Methoden gibt es Kompromisse. Anhand der folgenden Tabelle können Sie entscheiden, welche Methode für Ihre organization am besten geeignet ist. Es ist möglich, beide Methoden für eine allgemeine Partnerstrategie zu kombinieren.
| Überlegungen | GDAP | B2B-Zusammenarbeit |
|---|---|---|
| Wie wird der zeitgebundene Zugriff implementiert? | Der Zugriff ist standardmäßig zeitgebunden und in den Berechtigungsgenehmigungsprozess integriert. | Privileged Identity Management (PIM) mit zeitgebundenem Zugriff ist möglich, muss jedoch vom Kunden verwaltet werden. |
| Wie wird Zugriff mit den geringsten Rechten verwaltet? | GDAP erfordert Sicherheitsgruppen. Eine Liste der erforderlichen Rollen mit den geringsten Berechtigungen führt das Setup. | Sicherheitsgruppen sind optional und werden vom Kunden verwaltet. |
| Welche Plug-Ins werden unterstützt? | Einige Plug-Ins werden unterstützt. | Alle für den Kunden verfügbaren Plug-Ins stehen dem Partner zur Verfügung. |
| Wie sieht die eigenständige Anmeldung aus ? | Der MSSP verwendet die Dienstverwaltung, um sich nahtlos bei Security Copilot für den entsprechenden Mandanten anzumelden. | Verwenden Sie die Mandantenwechselauswahl aus der einstellung Security Copilot. |
| Was ist die eingebettete Erfahrung? | Unterstützt, mit Dienstverwaltungslinks , um den Zugriff zu erleichtern. | Wird normal unterstützt. |
GDAP
GDAP ermöglicht es einem MSSP, den zugriff mit den geringsten Rechten und zeitgebundenen Zugriff einzurichten, der explizit vom Security Copilot Kunden gewährt wird. Nur MSSPs, die als Cloud Solution Partner (CSP) registriert sind, dürfen Security Copilot verwalten. Der Zugriff wird einer MSSP-Sicherheitsgruppe zugewiesen, wodurch der Verwaltungsaufwand sowohl für den Kunden als auch für den Partner reduziert wird. Einem MSSP-Benutzer wird die entsprechende Rolle und Sicherheitsgruppe zum Verwalten des Kunden zugewiesen.
Weitere Informationen finden Sie unter Einführung in GDAP.
Dies ist die aktuelle Matrix der Security Copilot-Plug-Ins, die GDAP unterstützen:
| Security Copilot-Plug-In | Unterstützt GDAP |
|---|---|
| Externe Defender-Angriffsoberflächenverwaltung | Nein |
| Entra | Insgesamt nein, aber einige Funktionen funktionieren. |
| Intune | Ja |
| MDTI | Nein |
| Defender XDR | Ja |
| NL2KQL Defender | Ja |
| NL2KQL Sentinel | Nein |
| Purview | Ja |
| Sentinel | Nein |
Weitere Informationen finden Sie unter Workloads, die von GDAP unterstützt werden.
GDAP-Beziehung
Der MSSP sendet eine GDAP-Anforderung an seinen Kunden. Befolgen Sie die Anweisungen in diesem Artikel: Erhalten von Berechtigungen zum Verwalten von Kunden. Um optimale Ergebnisse zu erzielen, sollte der MSSP die Rollen "Sicherheitsleser" und "Sicherheitsoperator" anfordern, um auf Security Copilot Plattform und Plug-Ins zuzugreifen. Weitere Informationen finden Sie unter Grundlegendes zur Authentifizierung.
Der Kunde genehmigt die GDAP-Anforderung vom Partner. Weitere Informationen finden Sie unter Kundengenehmigung.
Berechtigungen für Sicherheitsgruppen
Der MSSP erstellt eine Sicherheitsgruppe und weist ihr die genehmigten Berechtigungen zu. Weitere Informationen finden Sie unter Zuweisen Microsoft Entra Rollen.
Der Kunde fügt die vom MSSP angeforderten Rollen der entsprechenden Security Copilot Rolle (Copilot-Besitzer oder Copilot-Mitwirkender) hinzu. Wenn der MSSP beispielsweise Berechtigungen für Sicherheitsoperator angefordert hat, fügt der Kunde diese Rolle der Rolle Copilot Mitwirkender innerhalb Security Copilot hinzu. Weitere Informationen finden Sie unter Zuweisen Security Copilot Rollen.
MSSP-Security Copilot-Zugriff
Das MSSP-Benutzerkonto benötigt die Mitgliedschaft in der zugewiesenen Partnersicherheitsgruppe und eine genehmigte Rolle, um eine Verbindung mit der Security Copilot eines Kunden herzustellen.
Der MSSP verfügt über eine Dienstverwaltungsseite , die eine nahtlose Verbindung mit genehmigten Kundenworkloads ermöglicht. Die folgende Abbildung zeigt beispielsweise, was ein MSSP-Benutzer für seinen Kunden Tailspin Toys verwalten kann.
Überprüfen Sie, ob die URL mit dem Kundenmandanten übereinstimmt. Beispiel:
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.
B2B-Zusammenarbeit
Diese Zugriffsmethode lädt einzelne Partnerkonten als Gäste zum Kundenmandanten ein, um Security Copilot zu betreiben.
Einrichten eines Gastkontos für Ihren Partner
Hinweis
Um die in dieser Option beschriebenen Verfahren ausführen zu können, müssen Sie über eine geeignete Rolle verfügen, z. B. Benutzeradministrator oder Abrechnungsadministrator, die in Microsoft Entra zugewiesen ist.
Wechseln Sie zum Microsoft Entra Admin Center, und melden Sie sich an.
Wechseln Sie zu Identität>Benutzer>Alle Benutzer.
Wählen Sie Neuer Benutzer>Externen Benutzer einladen aus, und geben Sie dann Einstellungen für das Gastkonto an.
Geben Sie auf der Registerkarte Allgemeine Informationen die E-Mail-Adresse des Benutzers, den Anzeigenamen und eine Nachricht ein, wenn Sie eine einschließen möchten. (Sie können optional einen Cc-Empfänger hinzufügen, der eine Kopie der E-Mail-Einladung erhalten soll.)
Geben Sie auf der Registerkarte Eigenschaften im Abschnitt Identität den Vor- und Nachnamen des Benutzers ein. (Sie können optional alle anderen Felder ausfüllen, die Sie verwenden möchten.)
Wählen Sie auf der Registerkarte Zuweisungen die Option + Rolle hinzufügen aus. Scrollen Sie nach unten, und wählen Sie entweder Sicherheits-Operator oder Sicherheitsleseberechtigter aus.
Überprüfen Sie auf der Registerkarte Überprüfen und einladen Ihre Einstellungen. Wenn Sie bereit sind, wählen Sie Einladen aus.
Der Partner erhält eine E-Mail mit einem Link zum Annehmen der Einladung, Ihrem Mandanten als Gast beizutreten.
Tipp
Weitere Informationen zum Einrichten eines Gastkontos finden Sie unter Einladen eines externen Benutzers.
B2B-Security Copilot-Zugriff
Nachdem Sie ein Gastkonto für Ihren Partner eingerichtet haben, können Sie ihn darüber informieren, dass er jetzt Ihre Security Copilot-Funktionen verwenden kann.
Bitten Sie Ihren Partner, nach einer E-Mail-Benachrichtigung von Microsoft zu suchen. Die E-Mail enthält Details zu ihrem Benutzerkonto und enthält einen Link, den sie auswählen müssen, um die Einladung anzunehmen.
Ihr Partner greift auf Security Copilot zu, indem er securitycopilot.microsoft.com besucht und sich mit dem E-Mail-Konto anmeldet.
Der Partner verwendet die Mandantenwechselfunktion, um sicherzustellen, dass er auf den entsprechenden Kunden zugreift. Die folgende Abbildung zeigt z. B. einen Partner von Fabrikam, der seine Anmeldeinformationen verwendet, um in Security Copilot für seinen Kunden Contoso zu arbeiten.
Alternativ können Sie die Mandanten-ID direkt in der URL festlegen, z. B.
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.Teilen Sie die folgenden Artikel mit, um Ihren MSSP bei den ersten Schritten mit Security Copilot zu unterstützen:
Technischer Support
Wenn Ihr MSSP oder Partner Fragen hat und technische Unterstützung für Security Copilot außerhalb des Partner Centers benötigt, sollte sich der Kunde organization im Namen des MSSP an den Support wenden.