パートナーにMicrosoft Security Copilotへのアクセスを許可する
Microsoft マネージド セキュリティ ソリューション プロバイダー (MSSP) を使用している場合は、アクセス権を付与した場合にのみSecurity Copilot機能にアクセスしていることを確認します。 セキュリティ チームと同様に、Copilot for Security が持つすべての利点と連携するためにパートナーをセキュリティで保護するための最善の方法は、きめ細かい委任された管理特権 (GDAP) の構成です。
パートナーがSecurity Copilotを管理できるようにするには、2 つの方法があります。
GDAP (推奨)
MSSP を承認して、テナントのSecurity Copilotアクセス許可を取得します。 詳細な代理管理者特権 (GDAP) を使用して必要なアクセス許可をセキュリティ グループに割り当てます。B2B コラボレーション
パートナーの個人がテナントにログインするためのゲスト アカウントを設定します。
どちらの方法にもトレードオフがあります。 次の表を使用して、組織に最適な方法を決定できるようにします。 パートナー戦略全体に両方の方法を組み合わせることができます。
| 考慮事項 | GDAP | B2B コラボレーション |
|---|---|---|
| 時間制限付きアクセス はどのように実装されますか? | アクセスは既定で時間制限付きであり、アクセス許可の承認プロセスに組み込まれています。 | 時間制限付きアクセスを使用した特権 ID 管理 (PIM) が可能ですが、顧客が管理する必要があります。 |
| 最小特権アクセス はどのように管理されますか? | GDAP にはセキュリティ グループが必要です。 必要な最小特権ロールの一覧によって、セットアップがガイドされます。 | セキュリティ グループは省略可能であり、顧客によって管理されます。 |
| どの プラグインがサポートされてますか? | プラグインの部分的なセットがサポートされています。 | 顧客が利用できるすべてのプラグインは、パートナーが利用できます。 |
| スタンドアロン ログイン エクスペリエンスとは | MSSP では、サービス管理を使用して、適切なテナントのSecurity Copilotにシームレスにログインします。 | [Security Copilot] 設定からテナント スイッチの選択を使用します。 |
| 埋め込みエクスペリエンス とは | アクセスを容易にする サービス管理 リンクを使用してサポートされます。 | 通常サポートされています。 |
GDAP
GDAP を使用すると、MSSP は、Security Copilot顧客によって明示的に付与された最小特権および時間バインド アクセスを設定できます。 Security Copilotの管理は、クラウド ソリューション パートナー (CSP) として登録されている MSP のみが許可されます。 アクセスは MSSP セキュリティ グループに割り当てられ、顧客とパートナーの両方の管理上の負担が軽減されます。 MSSP ユーザーには、顧客を管理するための適切なロールとセキュリティ グループが割り当てられます。
詳細については、「GDAP の概要」を参照してください。
GDAP をサポートする Security Copilot プラグインの現在のマトリックスを次に示します。
| Security Copilot プラグイン | GDAP をサポートします |
|---|---|
| Defender 外部攻撃面管理 | いいえ |
| Entra | 全体的によくありませんが、いくつかの機能が機能します。 |
| Intune | はい |
| MDTI | いいえ |
| Defender XDR | はい |
| NL2KQL Defender | はい |
| NL2KQL Sentinel | いいえ |
| Purview | はい |
| Sentinel | いいえ |
詳細については、「GDAP でサポートされるワークロード」を参照してください。
GDAP リレーションシップ
MSSP は GDAP 要求を顧客に送信します。 この記事の「顧客を管理するためのアクセス許可を取得する」の手順に従います。 最適な結果を得るには、MSSP は、プラットフォームとプラグインSecurity Copilotアクセスするためのセキュリティ 閲覧者とセキュリティ オペレーターのロールを要求する必要があります。 詳細については、「認証について」をご覧ください。
顧客が、パートナーからの GDAP 要求を承認します。 詳細については、「 顧客の承認」を参照してください。
セキュリティ グループのアクセス許可
MSSP によってセキュリティ グループが作成され、承認されたアクセス許可が割り当てられます。 詳細については、「Microsoft Entra ロールの割り当て」を参照してください。
お客様は、MSSP が要求したロールを適切なSecurity Copilotロール (Copilot 所有者または copilot 共同作成者) に追加します。 たとえば、MSSP がセキュリティオペレーターのアクセス許可を要求した場合、顧客はそのロールをSecurity Copilot内の Copilot 共同作成者ロールに追加します。 詳細については、「Security Copilot ロールの割り当て」を参照してください。
MSSP Security Copilot アクセス
MSSP ユーザー アカウントは、顧客のSecurity Copilotに接続するために、割り当てられたパートナー セキュリティ グループへのメンバーシップと承認済みのロールが必要です。
MSSP には、承認された顧客ワークロードへのシームレスな接続を可能にする サービス管理 ページがあります。 たとえば、次の図は、MSSP ユーザーが顧客 Tailspin Toys に対して管理できる内容を示しています。
URL が顧客テナントと一致すると検証します。 たとえば、「
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee」のように入力します。
B2B コラボレーション
このアクセス方法では個々のパートナー アカウントをゲストとして顧客テナントに招待して、Security Copilot を運用します。
パートナーのゲスト アカウントを設定する
注:
このオプションで説明されている手順を実行するには、ユーザー管理者や課金管理者などの適切なロールがMicrosoft Entraで割り当てられている必要があります。
Microsoft Entra 管理センター に移動して、サインインします。
[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
[新しいユーザー]>[外部ユーザーの招待] を選択してから、ゲスト アカウントの設定を指定します。
[基本] タブで、ユーザーのメール アドレス、表示名、メッセージ (含める場合) を入力します。 (必要に応じて [Cc 受信者] を追加して、招待メールのコピーを受け取ることができます。)
[プロパティ] タブの [ID] セクションで、ユーザーの姓と名を入力します。 (必要に応じて、使用するその他のフィールドを入力できます。)
[割り当て] タブで、[ロールの追加] を選択します。 下にスクロールし、[セキュリティ オペレーター]、または [セキュリティ 閲覧者] を選択します。
[確認と招待] タブで、設定を確認します。 準備ができたら、[招待] を選択します。
パートナーは、テナントにゲストとして参加するための招待を受け入れるためのリンクが記載されたメールを受け取ります。
ヒント
ゲスト アカウントの設定に関する詳細については、「外部ユーザーを招待する」を参照してください。
B2B Security Copilot アクセス
パートナーのゲスト アカウントを設定したら、Security Copilot機能を使用できることを通知する準備ができました。
パートナーに、Microsoft からのメール通知を探すよう指示します。 このメールには、ユーザー アカウントに関する詳細が含まれており、招待を受け入れるために選択する必要があるリンクが含まれています。
パートナーは、securitycopilot.microsoft.com にアクセスし、メール アカウントを使用してサインインすることで、Security Copilotにアクセスします。
パートナーは、テナント切り替え機能を使用して、適切な顧客にアクセスしていることを確認します。 たとえば、次の図は、Fabrikam のパートナーが資格情報を使用して顧客 Contoso のSecurity Copilotで作業することを示しています。
または、URL にテナント ID を直接設定します。たとえば、
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.MSSP がSecurity Copilotの使用を開始するのに役立つ次の記事を共有します。
テクニカル サポート
現在、MSSP またはパートナーに質問があり、パートナー センターの外部でSecurity Copilotのテクニカル サポートが必要な場合、顧客organizationは MSSP の代わりにサポートに問い合わせる必要があります。