Conceder a los asociados acceso a Microsoft Security Copilot
Si trabaja con un proveedor de soluciones de seguridad administrada de Microsoft (MSSP), asegúrese de que acceden a las funcionalidades de Security Copilot solo cuando les conceda acceso. La configuración de privilegios de Administración delegados granulares (GDAP) es la mejor manera de proteger a los asociados para que trabajen con todas las ventajas Security Copilot aporta, al igual que su equipo de seguridad.
Hay dos maneras de permitir que un asociado administre el Security Copilot.
GDAP (recomendado)
Apruebe el MSSP para obtener permisos de Security Copilot para el inquilino. Asignan a un grupo de seguridad los permisos necesarios mediante privilegios de Administración delegados granulares (GDAP).Colaboración B2B: aplicaciones
Configure cuentas de invitado para que las personas de su asociado inicien sesión en el inquilino.
Hay ventajas para ambos métodos. Use la tabla siguiente para ayudar a decidir qué método es el mejor para su organización. Es posible combinar ambos métodos para una estrategia general de partners.
| Consideración | GDAP | Colaboración B2B: aplicaciones |
|---|---|---|
| ¿Cómo se implementa el acceso con límite de tiempo ? | El acceso está limitado por el tiempo de forma predeterminada y está integrado en el proceso de aprobación de permisos. | Privileged Identity Management (PIM) con acceso con límite de tiempo es posible, pero el cliente debe mantenerlo. |
| ¿Cómo se administra el acceso con privilegios mínimos ? | GDAP requiere grupos de seguridad. Una lista de los roles con privilegios mínimos necesarios guía la configuración. | Los grupos de seguridad son opcionales y los mantiene el cliente. |
| ¿Qué complementos se admiten? | Se admite un conjunto parcial de complementos. | Todos los complementos disponibles para el cliente están disponibles para el partner. |
| ¿Cuál es la experiencia de inicio de sesión independiente ? | MSSP usa la administración de servicios para iniciar sesión sin problemas en Security Copilot para el inquilino adecuado. | Use la selección del conmutador de inquilino de la configuración de Security Copilot. |
| ¿Cuál es la experiencia insertada? | Compatible, con vínculos de administración de servicios para facilitar el acceso. | Se admite normalmente. |
GDAP
GDAP permite a un MSSP configurar el acceso con privilegios mínimos y con límite de tiempo concedido explícitamente por el cliente Security Copilot. Solo los MSSP registrados como asociados de soluciones en la nube (CSP) pueden administrar Security Copilot. El acceso se asigna a un grupo de seguridad de MSSP, lo que reduce la carga administrativa tanto para el cliente como para el asociado. A un usuario de MSSP se le asigna el rol y el grupo de seguridad adecuados para administrar el cliente.
Para más información, vea Introducción a los conjuntos de documentos.
Esta es la matriz actual de complementos de Copilot de seguridad que admiten GDAP:
| Complemento de Copilot de seguridad | Admite GDAP |
|---|---|
| Administración de superficies expuestas a ataques externos de Defender | No |
| Entra | En general, no, pero algunas funcionalidades funcionan. |
| Intune | Sí |
| MDTI | No |
| Defender XDR | Sí |
| NL2KQL Defender | Sí |
| NL2KQL Sentinel | No |
| Purview | Yes |
| Sentinel | No |
Para obtener más información, consulte Cargas de trabajo compatibles con GDAP.
Relación GDAP
MSSP envía una solicitud GDAP a su cliente. Siga las instrucciones de este artículo, Obtención de permisos para administrar el cliente. Para obtener los mejores resultados, MSSP debe solicitar los roles Lector de seguridad y Operador de seguridad para acceder a Security Copilot plataforma y complementos. Para obtener más información, vea agregar autenticación.
El cliente aprueba la solicitud GDAP del partner. Para obtener más información, consulte Aprobación del cliente.
Permisos de grupo de seguridad
MSSP crea un grupo de seguridad y le asigna los permisos aprobados. Para obtener más información, consulte Asignación de roles Microsoft Entra.
El cliente agrega los roles que el MSSP solicitó al rol de Security Copilot adecuado (propietario de Copilot o colaborador de copiloto). Por ejemplo, si MSSP solicitó permisos de operador de seguridad, el cliente agrega ese rol al rol colaborador de Copilot dentro de Security Copilot. Para obtener más información, consulte Asignación de roles Security Copilot.
Acceso Security Copilot de MSSP
La cuenta de usuario de MSSP necesita pertenencia al grupo de seguridad de asociado asignado y un rol aprobado para conectarse a la Security Copilot de un cliente.
MSSP tiene una página de administración de servicios que permite la conexión sin problemas a las cargas de trabajo de clientes aprobadas. Por ejemplo, en la imagen siguiente se muestra lo que un usuario de MSSP puede administrar para su cliente Tailspin Toys.
Valide que la dirección URL coincida con el inquilino del cliente. Por ejemplo,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.
Colaboración B2B: aplicaciones
Este método de acceso invita a cuentas de partner individuales como invitados al inquilino del cliente para que operen Security Copilot.
Configuración de una cuenta de invitado para el asociado
Nota:
Para realizar los procedimientos descritos en esta opción, debe tener un rol adecuado, como Administrador de usuarios o Administrador de facturación, asignado en Microsoft Entra.
Vaya al Centro de administración Microsoft Entra e inicie sesión.
Vaya aUsuarios>de identidad>Todos los usuarios.
Seleccione Nuevo usuario>Invitar a un usuario externo y, a continuación, especifique la configuración de la cuenta de invitado.
En la pestaña Aspectos básicos, rellene la dirección de correo electrónico del usuario, el nombre para mostrar y un mensaje si desea incluir uno. (Opcionalmente, puede agregar un destinatario cc para recibir una copia de la invitación por correo electrónico).
En la pestaña Propiedades, en la sección Identidad, rellene el nombre y el apellido del usuario. (Opcionalmente, puede rellenar cualquier otro campo que quiera usar).
En la pestaña Asignaciones, seleccione + Agregar rol. Desplácese hacia abajo y seleccione Operador de seguridad o Lector de seguridad.
En la pestaña Revisar e invitar, revise la configuración. Cuando esté listo, seleccione Invitar.
El asociado recibe un correo electrónico con un vínculo para aceptar la invitación para unirse a su inquilino como invitado.
Sugerencia
Para obtener más información sobre cómo configurar una cuenta de invitado, consulte Invitar a un usuario externo.
Acceso Security Copilot B2B
Una vez que haya configurado una cuenta de invitado para su asociado, estará listo para notificarle que ahora puede usar las funcionalidades de Security Copilot.
Indique a su asociado que busque una notificación por correo electrónico de Microsoft. El correo electrónico contiene detalles sobre su cuenta de usuario e incluye un vínculo que debe seleccionar para aceptar la invitación.
El asociado accede a Security Copilot visitando securitycopilot.microsoft.com e iniciando sesión con su cuenta de correo electrónico.
El asociado usa la característica de cambio de inquilino para asegurarse de que tiene acceso al cliente adecuado. Por ejemplo, en la siguiente imagen se muestra un asociado de Fabrikam con sus credenciales para trabajar en Security Copilot para su cliente, Contoso.
Como alternativa, establezca el identificador de inquilino directamente en la dirección URL, por ejemplo,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.Comparta los siguientes artículos para ayudar a MSSP a empezar a usar Security Copilot:
Soporte técnico
Actualmente, si su MSSP o asociado tiene preguntas y necesita soporte técnico para Security Copilot fuera del centro de partners, la organización del cliente debe ponerse en contacto con el soporte técnico en nombre del MSSP.