Gewähren des Zugriffs auf Microsoft Copilot für Security für Partner
Wenn Sie mit einem Microsoft Managed Security Solution Provider (MSSP) arbeiten, können Sie ihm Zugriff auf Ihre Microsoft Copilot for Security-Funktionen gewähren. Wenn Sie einem MSSP Zugriff gewähren, können sich diese wie Ihr Sicherheitsteam anmelden und Copilot für Security verwenden.
Es gibt zwei Möglichkeiten, einem Partner die Verwaltung Ihres Microsoft Copilot für Security-Diensts zu ermöglichen.
GDAP
Genehmigen Sie Ihren Partner, um Security Copilot-Berechtigungen für Ihren Mandanten zu erhalten. Sie weisen einer Sicherheitsgruppe mithilfe von Granular Delegated Admin Privileges (GDAP) die erforderlichen Berechtigungen zu.B2B-Zusammenarbeit
Richten Sie Gastkonten für Einzelpersonen von Ihrem MSSP ein, um sich bei Ihrem Mandanten anzumelden.
Bei beiden Methoden gibt es Kompromisse. Verwenden Sie die folgende Tabelle, um zu entscheiden, welche Methode für Ihre Organisation am besten geeignet ist. Es ist möglich, beide Methoden für eine allgemeine Partnerstrategie zu kombinieren.
Überlegungen | GDAP | B2B-Zusammenarbeit |
---|---|---|
Wie wird der zeitgebundene Zugriff implementiert? | Der Zugriff ist standardmäßig zeitgebunden und in den Berechtigungsgenehmigungsprozess integriert. | Privileged Identity Management (PIM) mit zeitgebundenem Zugriff ist möglich, muss jedoch vom Kunden verwaltet werden. |
Wie wird Zugriff mit den geringsten Rechten verwaltet? | GDAP erfordert Sicherheitsgruppen. Eine Liste der erforderlichen Rollen mit den geringsten Berechtigungen führt das Setup. | Sicherheitsgruppen sind optional und werden vom Kunden verwaltet. |
Welche Plug-Ins werden unterstützt? | Einige Plug-Ins werden unterstützt. | Alle für den Kunden verfügbaren Plug-Ins stehen dem Partner zur Verfügung. |
Wie sieht die immersive Anmeldung aus? | Die Mandanten-ID muss der Security Copilot-URL manuell hinzugefügt werden. | Verwenden Sie die Mandantenwechselauswahl über die Benutzeroberfläche. |
Was ist die eingebettete Erfahrung? | Unterstützt, mit Dienstverwaltungslinks , um den Zugriff zu erleichtern. | Wird normal unterstützt. |
GDAP
GDAP ermöglicht Es Ihrem Partner, den Zugriff mit den geringsten Berechtigungen und zeitgebundenen Zugriff einzurichten, der explizit vom Security Copilot-Kunden gewährt wird. Der Zugriff wird einer Sicherheitsgruppe zugewiesen, wodurch der Verwaltungsaufwand sowohl für den Kunden als auch für den Partner reduziert wird.
Weitere Informationen finden Sie unter Einführung in GDAP.
Dies ist die aktuelle Matrix der Security Copilot-Plug-Ins, die GDAP unterstützen:
Security Copilot-Plug-In | Unterstützt GDAP |
---|---|
Externe Defender-Angriffsoberflächenverwaltung | Nein |
Entra | Insgesamt nein, aber einige Funktionen funktionieren. |
Intune | Ja |
MDTI | Nein |
Microsoft 365 Defender | Ja |
NL2KQL Defender | Ja |
NL2KQL Sentinel | Nein |
Sentinel | Nein |
Weitere Informationen finden Sie unter Workloads, die von GDAP unterstützt werden.
Schritt 1: GDAP-Beziehung
Der Partner sendet eine GDAP-Anforderung an den Kunden. Befolgen Sie die Anweisungen in diesem Artikel: Erhalten von Berechtigungen zum Verwalten von Kunden. Beachten Sie die Entra-Rollen, die für den Zugriff auf das Security Copilot-Portal und -Plug-Ins erforderlich sind. Weitere Informationen finden Sie unter Grundlegendes zur Authentifizierung.
Der Kunde genehmigt die GDAP-Anforderung vom Partner. Befolgen Sie die Anweisungen in diesem Artikel: Kundengenehmigung.
Schritt 2: Partner weist Sicherheitsgruppenberechtigungen zu
Der Partner erstellt eine Sicherheitsgruppe und weist der Gruppe die genehmigten Berechtigungen zu. Befolgen Sie die Anweisungen in diesem Artikel: Zuweisen von Microsoft Entra-Rollen.
Schritt 3: Partner greift auf Security Copilot zu
Das Partnerkonto mit Mitgliedschaft in der Partnersicherheitsgruppe, dem die genehmigte Rolle zugewiesen ist, muss eine mandantenspezifische URL verwenden. Die Mandantenwechseleinstellung in der Benutzeroberfläche erkennt keine GDAP-Anmeldeinformationen.
Ändern Sie die URL so, dass sie dem Kundenmandanten entspricht. Beispiel:
https://securitycopilot.microsoft.com/?tenantId=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
.
B2B-Zusammenarbeit
Diese Zugriffsmethode lädt einzelne Partnerkonten als Gäste zum Kundenmandanten ein, um Security Copilot zu betreiben.
Schritt 1: Einrichten eines Gastkontos für Ihren MSSP
Hinweis
Um die in dieser Option beschriebenen Verfahren ausführen zu können, muss Ihnen in Microsoft Entra eine geeignete Rolle zugewiesen sein, z. B. Benutzeradministrator oder Abrechnungsadministrator.
Wechseln Sie zum Microsoft Entra Admin Center, und melden Sie sich an.
Wechseln Sie zu Identität>Benutzer>Alle Benutzer.
Wählen Sie Neuer Benutzer>Externen Benutzer einladen aus, und geben Sie dann Einstellungen für das Gastkonto an.
Geben Sie auf der Registerkarte Allgemeine Informationen die E-Mail-Adresse des Benutzers, den Anzeigenamen und eine Nachricht ein, wenn Sie eine einschließen möchten. (Sie können optional einen Cc-Empfänger hinzufügen, der eine Kopie der E-Mail-Einladung erhalten soll.)
Geben Sie auf der Registerkarte Eigenschaften im Abschnitt Identität den Vor- und Nachnamen des Benutzers ein. (Sie können optional alle anderen Felder ausfüllen, die Sie verwenden möchten.)
Wählen Sie auf der Registerkarte Zuweisungen die Option + Rolle hinzufügen aus. Scrollen Sie nach unten, und wählen Sie entweder Sicherheits-Operator oder Sicherheitsleseberechtigter aus.
Überprüfen Sie auf der Registerkarte Überprüfen und einladen Ihre Einstellungen. Wenn Sie bereit sind, wählen Sie Einladen aus.
Der MSSP erhält eine E-Mail mit einem Link, um die Einladung zum Beitritt zu Ihrem Mandanten als Gast anzunehmen.
Tipp
Weitere Informationen zum Einrichten eines Gastkontos finden Sie unter Einladen eines externen Benutzers.
Schritt 2: Benachrichtigen Ihres MSSP
Nachdem Sie ein Gastkonto für Ihren MSSP eingerichtet haben, können Sie ihn benachrichtigen, dass er jetzt Ihre Copilot für Security-Funktionen verwenden kann.
Bitten Sie Ihren MSSP, nach einer E-Mail-Benachrichtigung von Microsoft zu suchen. Die E-Mail enthält Details zu ihrem Benutzerkonto und enthält einen Link, den sie auswählen müssen, um die Einladung anzunehmen.
Ihr MSSP kann auf Copilot für Security zugreifen, indem er securitycopilot.microsoft.com besucht und sich mit dem E-Mail-Konto anmeldet.
Teilen Sie die folgenden Artikel, um Ihrem MSSP bei den ersten Schritten mit Copilot für Security zu helfen:
Technischer Support
Wenn Ihr MSSP Fragen hat und technischen Support für Security Copilot benötigt, sollten Sie sich (als Administrator für Ihre Organisation) im Namen des MSSP an den Support wenden.