Descripción de la autenticación en Microsoft Security Copilot
Copilot usa la autenticación en nombre de para acceder a datos relacionados con la seguridad a través de complementos activos de Microsoft. Se deben asignar roles de Security Copilot específicos para que un grupo o individuo acceda a la plataforma de Security Copilot. Después de autenticarse en la plataforma, la Microsoft Entra y la Access Control basada en roles de Azure (RBAC) determinan qué complementos están disponibles en los mensajes. El rol de Security Copilot controla a qué otras actividades tiene acceso en la plataforma, como configurar la configuración, asignar permisos y realizar tareas.
Security Copilot roles de RBAC no son roles Microsoft Entra. Security Copilot roles se definen y administran en Copilot y solo conceden acceso a Security Copilot características.
Microsoft Entra RBAC concede acceso a toda la cartera de productos de Microsoft, incluidos los servicios que contienen datos de seguridad. Estos roles se administran a través de la Centro de administración Microsoft Entra. Para obtener más información, consulte Asignación de roles de Microsoft Entra a los usuarios.
RBAC de Azure controla el acceso a recursos de Azure, como unidades de capacidad de seguridad (SCU) en un grupo de recursos o Microsoft Sentinel áreas de trabajo habilitadas. Para más información, consulte Asignación de roles de Azure.
Acceso a la plataforma de Security Copilot
Después de incorporar Security Copilot a su organización, configure Security Copilot RBAC para determinar el acceso de los usuarios a la plataforma de Security Copilot. A continuación, acote la cobertura de seguridad con directivas de acceso condicional. Para obtener más información sobre cómo proteger el acceso a la plataforma de Security Copilot más allá de RBAC, vea Proteger la inteligencia artificial con la directiva de acceso condicional.
roles de Security Copilot
Security Copilot presenta dos roles que funcionan como grupos de acceso, pero no son roles Microsoft Entra ID. En su lugar, solo controlan el acceso a las funcionalidades de la plataforma de Security Copilot y no proporcionan acceso por sí mismos a los datos de seguridad.
- Propietario de Copilot
- Colaborador de Copilot
roles de Microsoft Entra
Los siguientes roles de Microsoft Entra heredan automáticamente el acceso del propietario de Copilot, lo que garantiza que Security Copilot siempre tenga al menos un propietario. Administrador global es un rol de Microsoft Entra que tiene protecciones integradas contra la eliminación. Para obtener más información sobre la continuidad en Microsoft Entra, consulte Administración de cuentas de acceso de emergencia.
- Administrador de seguridad
- Administrador global
Roles recomendados
Aprovisione acceso a Security Copilot con el grupo De roles de seguridad de Microsoft recomendados, que usa un enfoque equilibrado para la seguridad y la eficacia administrativa. A los usuarios que ya tienen permiso de seguridad a través de roles de Microsoft Entra se les concede acceso de colaborador a la plataforma de Security Copilot con esta agrupación. Si se asigna el grupo Todos , debe quitarlo antes de agregar los roles de seguridad recomendados.
La lista de roles recomendados incluye roles de Microsoft Entra ID y algunos roles específicos del servicio, como roles de Microsoft Purview y roles de Microsoft Defender.
Si un complemento de Microsoft requiere un rol diferente para acceder a sus datos de seguridad, debe asegurarse de que también se asigna el rol de servicio adecuado. Por ejemplo, la agrupación funciona bien para un analista asignado al rol de administrador de cumplimiento . Este rol es uno de los roles recomendados de Microsoft Purview y les proporciona acceso a los datos del complemento Microsoft Purview. Sin embargo, ese mismo analista necesita asignaciones de roles adicionales para acceder a datos de seguridad como Microsoft Sentinel. Para obtener más ejemplos, consulte Acceso a las funcionalidades de los complementos de Microsoft.
| Asignación de roles | Ventaja | Debilidad |
|---|---|---|
| Roles de seguridad de Microsoft recomendados (predeterminado) | Forma rápida y segura de proporcionar a los usuarios de la organización que ya tienen acceso a los datos de seguridad el acceso que necesitan a la plataforma. Todavía se pueden agregar más roles, usuarios y grupos. | El grupo es todo o nada. Si hay un rol en el grupo recomendado al que no desea tener acceso, se debe quitar todo el grupo. |
| Todos | A este grupo se le concedió inicialmente acceso de colaborador de forma predeterminada para simplificar el aprovisionamiento. | Si un usuario del grupo todos los usuarios no tiene acceso a ningún dato de seguridad, la experiencia en Security Copilot es confusa. |
| Personalizados | Control total sobre usuarios y grupos con acceso a la plataforma. | Requiere más complejidad administrativa. |
Nota:
La asignación de los roles de seguridad de Microsoft recomendados a Copilot es el valor predeterminado para las nuevas instancias de Security Copilot. Los clientes existentes que tengan asignado el grupo todos los usuarios pueden seguir usando la asignación. Sin embargo, si se quita el grupo todos, no se puede volver a asignar.
Acceso a las funcionalidades de los complementos de Microsoft
Security Copilot no va más allá del acceso que tiene, en consonancia con el principio RAI de seguridad y privacidad de Microsoft. Cada complemento de Microsoft tiene sus propios requisitos de rol que permanecen en vigor para acceder al servicio del complemento y sus datos. Compruebe que tiene asignados los roles y licencias adecuados para usar las funcionalidades de los complementos de Microsoft que se activan.
Tenga en cuenta estos ejemplos:
Colaborador de Copilot
Como analista, se le asigna el rol colaborador de Copilot para acceder a la plataforma de Copilot y la capacidad de crear sesiones. Esta asignación por sí sola no le da acceso a los datos de seguridad de su organización. Siguiendo el modelo con privilegios mínimos, no tiene ningún rol de Microsoft Entra confidencial, como administrador de seguridad. Para usar Copilot para acceder a datos de seguridad como el complemento Microsoft Sentinel, todavía necesita un rol RBAC de Azure adecuado, como Microsoft Sentinel Lector. Este rol le proporciona acceso a incidentes en el área de trabajo de Microsoft Sentinel desde Copilot. Para que la sesión de Copilot acceda a los dispositivos, directivas y posturas disponibles a través del complemento Intune, necesita un rol de Intune como Endpoint Security Manager. El mismo patrón es válido para acceder a Microsoft Defender XDR datos a través de la sesión de Copilot o las experiencias de Security Copilot insertadas.
Para obtener más información sobre RBAC específico del servicio, consulte los artículos siguientes:
Microsoft Entra grupo de seguridad
Aunque el rol Administrador de seguridad hereda el acceso a Copilot y a determinadas funcionalidades del complemento, este rol incluye
permisos. No asigne a los usuarios este rol únicamente para el acceso de Copilot. En su lugar, cree un grupo de seguridad y agregue ese grupo al rol copilot adecuado (propietario o colaborador).Para obtener más información, consulte Procedimientos recomendados para roles de Microsoft Entra.
Roles de seguridad de Microsoft recomendados
Un analista con acceso a la plataforma de operaciones de seguridad unificada de Microsoft tiene asignado un rol de Defender XDR personalizado que les proporciona acceso a varias cargas de trabajo en el portal de Defender. Si las operaciones de seguridad de roles personalizados incluyen Security Copilot, los roles recomendados de Microsoft Security les proporcionan acceso a la plataforma de Security Copilot, así como a Copilot en Microsoft Defender, lo que simplifica la administración de la seguridad.
Acceso a experiencias insertadas
Además del rol colaborador de Copilot, compruebe los requisitos de cada Security Copilot experiencia insertada para comprender qué roles y licencias adicionales son necesarios.
Para obtener más información, consulte experiencias de Security Copilot.
Asignar roles
En la tabla siguiente se muestra el acceso predeterminado concedido a los roles iniciales.
Nota:
Es posible que algunas organizaciones todavía tengan el grupo Todos asignado al acceso de colaborador de Copilot . Considere la posibilidad de reemplazar este amplio acceso por un grupo de roles de seguridad de Microsoft recomendados .
| Funcionalidad | Propietario de Copilot | Colaborador de Copilot |
|---|---|---|
| Creación de sesiones | Sí | Sí |
| Administrar complementos personalizados personales | Yes | Valor predeterminado No |
| Permitir a los colaboradores administrar complementos personalizados personales | Yes | No |
| Permitir a los colaboradores publicar complementos personalizados para el inquilino | Yes | No |
| Cambiar la disponibilidad de los complementos preinstalados para el inquilino | Yes | No |
| Cargar archivos | Yes | Sí predeterminado |
| Administración del uso de archivos de carga | Yes | No |
| Ejecución de promptbooks | Sí | Sí |
| Administración de los cuadernos de mensajes personales | Sí | Sí |
| Uso compartido de promptbooks con el inquilino | Sí | Sí |
| Actualizar el uso compartido de datos y las opciones de comentarios | Yes | No |
| Administración de la capacidad | Sí* | No |
| Ver panel de uso | Yes | No |
| Seleccionar idioma | Sí | Sí |
Asignar acceso Security Copilot
Asigne roles de Copilot dentro de Security Copilot configuración.
- Seleccione el
menú principal. - Seleccione Asignación de roles>Agregar miembros.
- Empiece a escribir el nombre de la persona o grupo en el cuadro de diálogo Agregar miembros .
- Seleccione la persona o el grupo.
- Seleccione el rol Security Copilot que se va a asignar (propietario de Copilot o colaborador de Copilot).
- Seleccione Agregar.
Sugerencia
Se recomienda usar grupos de seguridad para asignar roles de Security Copilot en lugar de usuarios individuales. Esto reduce la complejidad administrativa.
Los roles administrador global y administrador de seguridad no se pueden quitar del acceso de propietario, pero el grupo Todos se puede quitar del acceso colaborador. Considere la posibilidad de agregar los roles recomendados después de quitar el grupo todos los usuarios.
Microsoft Entra pertenencia a roles solo se puede administrar desde el Centro de administración Microsoft Entra. Para obtener más información, vea Administrar Microsoft Entra roles de usuario.
Sesiones compartidas
El rol colaborador de Copilot es el único requisito para compartir un vínculo de sesión o verlo desde ese inquilino.
Al compartir un vínculo de sesión, tenga en cuenta estas implicaciones de acceso:
- Security Copilot necesita acceder al servicio y a los datos de un complemento para generar una respuesta, pero ese mismo acceso no se evalúa al ver la sesión compartida. Por ejemplo, si tiene acceso a dispositivos y directivas en Intune y el complemento Intune se usa para generar una respuesta que comparte, el destinatario del vínculo de sesión compartida no necesita Intune acceso para ver los resultados completos de la sesión.
- Una sesión compartida contiene todas las solicitudes y respuestas incluidas en la sesión, tanto si se ha compartido después de la primera solicitud como de la última.
- Solo el usuario que crea un control de sesión al que los usuarios de Copilot pueden acceder a esa sesión. Si recibe un vínculo para una sesión compartida del creador de la sesión, tiene acceso. Si reenvía ese vínculo a otra persona, no le concede acceso.
- Las sesiones compartidas son de solo lectura.
- Las sesiones solo se pueden compartir con los usuarios del mismo inquilino que tienen acceso a Copilot.
- Algunas regiones no admiten el uso compartido de sesiones por correo electrónico.
SouthAfricaNorthUAENorth
Para obtener más información sobre las sesiones compartidas, consulte Navegación por Security Copilot.
Multiempresa
Si su organización tiene varios inquilinos, Security Copilot puede dar cabida a la autenticación entre ellos para acceder a los datos de seguridad en los que se aprovisiona Security Copilot. El inquilino aprovisionado para Security Copilot no es necesario que sea el inquilino desde el que inicia sesión el analista de seguridad. Para obtener más información, consulte Navegación Security Copilot cambio de inquilino.
Ejemplo de inicio de sesión entre inquilinos
Contoso se ha combinado recientemente con Fabrikam. Ambos inquilinos tienen analistas de seguridad, pero solo Contoso compró y aprovisionó Security Copilot. Angus MacGregor, analista de Fabrikam, quiere usar su credencial de Fabrikam para usar Security Copilot. Estos son los pasos para realizar este acceso:
Asegúrese de que la cuenta de Fabrikam de Angus MacGregor tiene una cuenta de miembro externo en el inquilino de Contoso.
Asigne a la cuenta de miembro externo los roles necesarios para acceder a Security Copilot y a los complementos de Microsoft deseados.
Inicie sesión en el portal de Security Copilot con la cuenta de Fabrikam.
Cambie los inquilinos a Contoso.
Para obtener más información, consulte Concesión de acceso de MSSP.
Administración de los cuadernos de mensajes
La creación del cuaderno de mensajes está disponible para todos los roles, incluida la capacidad de publicar una libreta de mensajes personalizada para el inquilino. Elija si desea publicar una libreta de mensajes para usted o para el inquilino en el momento de la creación.
Para obtener más información, consulte Compilación de su propia libreta de mensajes.
Autenticación del complemento preinstalada
Los complementos preinstalados, como Microsoft Sentinel y Azure AI Search, requieren más configuración. El proveedor de complementos determina el tipo de autenticación. Cualquier complemento con el botón Engranaje 
o Configurar se configura por usuario. Independientemente de si un complemento preinstalado está restringido, todos los usuarios que tengan acceso al complemento configurarán la configuración del complemento por sí mismos.
Nota:
Los complementos del sitio web usan la autenticación anónima para acceder al contenido.
Para obtener más información, consulte Administrar complementos preinstalados.