Descripción de la autenticación en Microsoft Security Copilot
Copilot usa la autenticación en nombre de para acceder a datos relacionados con la seguridad a través de complementos activos de Microsoft. Se deben asignar roles de Security Copilot específicos para que un grupo o individuo acceda a la plataforma de Security Copilot. Después de autenticarse en la plataforma, la Microsoft Entra y la Access Control basada en roles de Azure (RBAC) determinan qué complementos están disponibles en los mensajes. El rol de Security Copilot controla a qué otras actividades tiene acceso en la plataforma, como configurar la configuración, asignar permisos y realizar tareas.
Security Copilot roles de RBAC no son roles Microsoft Entra. Security Copilot roles se definen y administran en Copilot y solo conceden acceso a Security Copilot características.
Microsoft Entra RBAC concede acceso a toda la cartera de productos de Microsoft, incluidos los servicios que contienen datos de seguridad. Estos roles se administran a través de la Centro de administración Microsoft Entra. Para obtener más información, consulte Asignación de roles de Microsoft Entra a los usuarios.
RBAC de Azure controla el acceso a recursos de Azure, como unidades de capacidad de seguridad (SCU) en un grupo de recursos o Microsoft Sentinel áreas de trabajo habilitadas. Para más información, consulte Asignación de roles de Azure.
Acceso a la plataforma de Security Copilot
Después de incorporar Security Copilot a su organización, configure Security Copilot RBAC para determinar el acceso de los usuarios a la plataforma de Security Copilot. A continuación, acote la cobertura de seguridad con directivas de acceso condicional. Para obtener más información sobre cómo proteger el acceso a la plataforma de Security Copilot más allá de RBAC, vea Proteger la inteligencia artificial con la directiva de acceso condicional.
roles de Security Copilot
Security Copilot presenta dos roles que funcionan como grupos de acceso, pero no son roles Microsoft Entra ID. En su lugar, solo controlan el acceso a las funcionalidades de la plataforma de Security Copilot y no proporcionan acceso por sí mismos a los datos de seguridad.
- Propietario de Copilot
- Colaborador de Copilot
roles de Microsoft Entra
Los siguientes roles de Microsoft Entra heredan automáticamente el acceso del propietario de Copilot, lo que garantiza que Security Copilot siempre tenga al menos un propietario. Administrador global es un rol de Microsoft Entra que tiene protecciones integradas contra la eliminación. Para obtener más información sobre la continuidad en Microsoft Entra, consulte Administración de cuentas de acceso de emergencia.
- Administrador de seguridad
- Administrador global
Roles recomendados
Aprovisione acceso a Security Copilot con el grupo De roles de seguridad de Microsoft recomendados, que usa un enfoque equilibrado para la seguridad y la eficacia administrativa. A los usuarios que ya tienen permiso de seguridad a través de roles de Microsoft Entra se les da acceso a la plataforma de Security Copilot con esta agrupación. Debe quitar el grupo Todos antes de agregar los roles de seguridad recomendados al acceso de colaborador.
La lista de roles recomendados incluye Microsoft Entra ID roles y algunos roles específicos del servicio. Si un complemento de Microsoft requiere un rol diferente para acceder a sus datos de seguridad, debe asegurarse de que también está asignado. Por ejemplo, la agrupación funciona bien para un analista asignado al rol de administrador de cumplimiento, que es uno de los roles recomendados, ya que este rol de Microsoft Entra también les proporciona acceso a los datos del complemento Microsoft Purview. Ese mismo analista necesita asignaciones de roles adicionales para usar sesiones de Copilot para acceder a datos de seguridad como Microsoft Sentinel. Para obtener más ejemplos, consulte Acceso a las funcionalidades de los complementos de Microsoft.
| Asignación de roles | Ventaja | Debilidad |
|---|---|---|
| Roles de seguridad de Microsoft recomendados | Forma rápida y segura de proporcionar a los usuarios de la organización que ya tienen acceso a los datos de seguridad el acceso que necesitan a la plataforma. Todavía se pueden agregar más roles, usuarios y grupos. | El grupo es todo o nada. Si hay un rol en el grupo recomendado al que no desea tener acceso, se debe quitar todo el grupo. |
| Todos | A este grupo se le dio acceso de colaborador de forma predeterminada para simplificar el aprovisionamiento, pero ya no se agrega automáticamente para los nuevos clientes. | Resulta confuso si los usuarios con acceso a la plataforma no tienen acceso a los datos de seguridad. Esta opción no está disponible para nuevos clientes. |
| Personalizados | Control total sobre usuarios y grupos con acceso a la plataforma. | Requiere más complejidad administrativa. |
Acceso a las funcionalidades de los complementos de Microsoft
Security Copilot no va más allá del acceso que tiene, en consonancia con el principio RAI de seguridad y privacidad de Microsoft. Cada complemento de Microsoft tiene sus propios requisitos de rol que permanecen en vigor para acceder al servicio del complemento y sus datos. Compruebe que tiene asignados los roles y licencias adecuados para usar las funcionalidades de los complementos de Microsoft que se activan.
Tenga en cuenta estos ejemplos:
Colaborador de Copilot
Como analista, se le asigna el rol colaborador de Copilot para acceder a la plataforma de Copilot y la capacidad de crear sesiones. Esta asignación por sí sola no le da acceso a los datos de seguridad de su organización. Siguiendo el modelo con privilegios mínimos, no tiene ningún rol de Microsoft Entra confidencial, como administrador de seguridad. Para usar Copilot para acceder a datos de seguridad como el complemento Microsoft Sentinel, todavía necesita un rol RBAC de Azure adecuado, como Microsoft Sentinel Lector. Este rol le proporciona acceso a incidentes en el área de trabajo de Microsoft Sentinel desde Copilot. Para que la sesión de Copilot acceda a los dispositivos, directivas y posturas disponibles a través del complemento Intune, necesita un rol de Intune como Endpoint Security Manager. El mismo patrón es válido para acceder a Microsoft Defender XDR datos a través de la sesión de Copilot o las experiencias de Security Copilot insertadas.
Para obtener más información sobre RBAC específico del servicio, consulte los artículos siguientes:
Microsoft Entra grupo de seguridad
Aunque el rol Administrador de seguridad hereda el acceso a Copilot y a determinadas funcionalidades del complemento, este rol incluye
permisos. No asigne a los usuarios este rol únicamente para el acceso de Copilot. En su lugar, cree un grupo de seguridad y agregue ese grupo al rol copilot adecuado (propietario o colaborador).Para obtener más información, consulte Procedimientos recomendados para roles de Microsoft Entra.
Acceso a experiencias insertadas
Además del rol colaborador de Copilot, compruebe los requisitos de cada Security Copilot experiencia insertada para comprender qué roles y licencias adicionales son necesarios.
Para obtener más información, consulte experiencias de Security Copilot.
Asignar roles
En la tabla siguiente se muestra el acceso predeterminado concedido a los roles iniciales.
Nota:
Es posible que algunas organizaciones todavía tengan el grupo Todos asignado al acceso de colaborador de Copilot . Considere la posibilidad de reemplazar este amplio acceso por un grupo de roles de seguridad de Microsoft recomendados .
| Funcionalidad | Propietario de Copilot | Colaborador de Copilot |
|---|---|---|
| Creación de sesiones | Sí | Sí |
| Administrar complementos personalizados personales | Yes | Valor predeterminado No |
| Permitir a los colaboradores administrar complementos personalizados personales | Yes | No |
| Permitir a los colaboradores publicar complementos personalizados para el inquilino | Yes | No |
| Cargar archivos | Sí | Sí |
| Ejecución de promptbooks | Sí | Sí |
| Administración de los cuadernos de mensajes personales | Sí | Sí |
| Uso compartido de promptbooks con el inquilino | Sí | Sí |
| Actualizar el uso compartido de datos y las opciones de comentarios | Yes | No |
| Administración de la capacidad | Sí* | No |
| Ver panel de uso | Yes | No |
| Seleccionar idioma | Sí | Sí |
Asignar acceso Security Copilot
Asigne roles de Copilot dentro de Security Copilot configuración.
- Seleccione el
menú principal. - Seleccione Asignación de roles>Agregar miembros.
- Empiece a escribir el nombre de la persona o grupo en el cuadro de diálogo Agregar miembros .
- Seleccione la persona o el grupo.
- Seleccione el rol Security Copilot que se va a asignar (propietario de Copilot o colaborador de Copilot).
- Seleccione Agregar.
Sugerencia
Se recomienda usar grupos de seguridad para asignar roles de Security Copilot en lugar de usuarios individuales. Esto reduce la complejidad administrativa.
Los roles administrador global y administrador de seguridad no se pueden quitar del acceso de propietario, pero el grupo Todos se puede quitar del acceso colaborador. Considere la posibilidad de agregar los roles recomendados después de quitar el grupo todos los usuarios.
Microsoft Entra pertenencia a roles solo se puede administrar desde el Centro de administración Microsoft Entra. Para obtener más información, vea Administrar Microsoft Entra roles de usuario.
Sesiones compartidas
El rol colaborador de Copilot es el único requisito para compartir un vínculo de sesión o verlo desde ese inquilino.
Al compartir un vínculo de sesión, tenga en cuenta estas implicaciones de acceso:
- Security Copilot necesita acceder al servicio y a los datos de un complemento para generar una respuesta, pero ese mismo acceso no se evalúa al ver la sesión compartida. Por ejemplo, si tiene acceso a dispositivos y directivas en Intune y el complemento Intune se usa para generar una respuesta que comparte, el destinatario del vínculo de sesión compartida no necesita Intune acceso para ver los resultados completos de la sesión.
- Una sesión compartida contiene todas las solicitudes y respuestas incluidas en la sesión, tanto si se ha compartido después de la primera solicitud como de la última.
- Solo el usuario que crea un control de sesión al que los usuarios de Copilot pueden acceder a esa sesión. Si recibe un vínculo para una sesión compartida del creador de la sesión, tiene acceso. Si reenvía ese vínculo a otra persona, no le concede acceso.
- Las sesiones compartidas son de solo lectura.
- Las sesiones solo se pueden compartir con los usuarios del mismo inquilino que tienen acceso a Copilot.
- Algunas regiones no admiten el uso compartido de sesiones por correo electrónico.
SouthAfricaNorthUAENorth
Para obtener más información sobre las sesiones compartidas, consulte Navegación por Security Copilot.
Multiempresa
Si su organización tiene varios inquilinos, Security Copilot puede dar cabida a la autenticación entre ellos para acceder a los datos de seguridad en los que se aprovisiona Security Copilot. El inquilino aprovisionado para Security Copilot no es necesario que sea el inquilino desde el que inicia sesión el analista de seguridad. Para obtener más información, consulte Navegación Security Copilot cambio de inquilino.
Ejemplo de inicio de sesión entre inquilinos
Contoso se ha combinado recientemente con Fabrikam. Ambos inquilinos tienen analistas de seguridad, pero solo Contoso compró y aprovisionó Security Copilot. Angus MacGregor, analista de Fabrikam, quiere usar su credencial de Fabrikam para usar Security Copilot. Estos son los pasos para realizar este acceso:
Asegúrese de que la cuenta de Fabrikam de Angus MacGregor tiene una cuenta de miembro externo en el inquilino de Contoso.
Asigne a la cuenta de miembro externo los roles necesarios para acceder a Security Copilot y a los complementos de Microsoft deseados.
Inicie sesión en el portal de Security Copilot con la cuenta de Fabrikam.
Cambie los inquilinos a Contoso.
Para obtener más información, consulte Concesión de acceso de MSSP.