Conceder aos parceiros acesso ao Microsoft Security Copilot
Se estiver a trabalhar com um Fornecedor de Soluções de Segurança Gerida (MSSP) da Microsoft, certifique-se de que acedem às suas capacidades de Security Copilot apenas quando lhes conceder acesso.
Existem várias formas de permitir que um parceiro faça a gestão do seu Security Copilot.
Azure Lighthouse
Aprove o SEU MSSP para obter permissões Security Copilot para as áreas de trabalho Microsoft Sentinel e outros recursos suportados do Azure. O plano de capacidade (SCUs) utilizado é o plano de capacidade do inquilino parceiro.GDAP (recomendado)
Aprove o seu MSSP para obter permissões de Security Copilot para o seu inquilino. Atribuem a um grupo de segurança as permissões necessárias com Privilégios de Administração Delegado Granular (GDAP). O plano de capacidade (SCUs) utilizado é o plano de capacidade do cliente.Colaboração B2B
Configure contas de convidado para indivíduos do seu parceiro para iniciar sessão no seu inquilino. O plano de capacidade (SCUs) utilizado é o plano de capacidade do inquilino do cliente.
Há desvantagens em ambos os métodos. Utilize a tabela seguinte para ajudar a decidir qual o melhor método para a sua organização. É possível combinar os dois métodos em uma estratégia geral de parceiros.
| Considerações | GDAP | Colaboração B2B | Azure Lighthouse |
|---|---|---|---|
| Como é implementado o acesso com limite de tempo? | O acesso é com limite de tempo por padrão e integrado ao processo de aprovação de permissões. | O Privileged Identity Management (PIM) com acesso com limite de tempo é possível, mas deve ser mantido pelo cliente. | Privileged Identity Management (PIM) com acesso com limite de tempo é possível para o controlo de acesso baseado em funções do Azure (RBAC do Azure). |
| Como é administrado o acesso com privilégios mínimos? | O GDAP requer grupos de segurança. Uma lista das funções com privilégios mínimos necessárias guia a configuração. | Os grupos de segurança são opcionais e mantidos pelo cliente. | O Azure Lighthouse requer grupos de segurança Microsoft Entra. Para obter mais informações, veja Inquilinos, utilizadores e funções em cenários do Azure Lighthouse. |
| Quais são os plug-ins com suporte? | Há suporte para um conjunto parcial de plug-ins. | Todos os plug-ins disponíveis para o cliente estão disponíveis para o parceiro. | O Azure Lighthouse suporta o acesso delegado aos recursos do Azure, que inclui Microsoft Sentinel. Para obter mais informações sobre cargas de trabalho suportadas, veja O que é o Azure Lighthouse. |
| Qual é a experiência de início de sessão autónomo? | O MSSP utiliza a Gestão de serviços para iniciar sessão na Security Copilot para o inquilino adequado. | Utilize a seleção de comutador de inquilino da definição Security Copilot. | O analista do MSSP, a partir do respetivo portal Security Copilot autónomo, é capaz de pedir a qualquer Microsoft Sentinel área de trabalho que o analista tenha permissões para aceder ao aproveitamento do acesso delegado do Azure Lighthouse. |
| O que é a experiência integrada? | Suportado, com ligações de gestão de serviços para facilitar o acesso. | Suportada normalmente. | Suportada, com a integração da Plataforma SecOps Unificada entre Microsoft Defender XDR e Microsoft Sentinel. Microsoft Sentinel incidentes são apresentados em "Resposta & de investigação" que permite que as experiências de Security Copilot incorporadas sejam executadas. Para obter mais informações, veja Microsoft Defender XDR integração com Sentinel. |
| Quem é Security Copilot plano de capacidade (SCUs) são utilizados ao executar pedidos? | Plano de capacidade do inquilino do cliente. | Plano de capacidade do inquilino do cliente. | Plano de capacidade do inquilino do parceiro. |
Azure Lighthouse
O Azure Lighthouse permite que um MSSP configure o acesso com menos privilégios e com limite de tempo explicitamente concedido pelo cliente Security Copilot para acesso delegado aos recursos do Azure. Ao executar Security Copilot pedidos no inquilino do parceiro relativamente a Microsoft Sentinel áreas de trabalho do cliente, as SCUs do plano de capacidade do parceiro são utilizadas em vez das SCUs do plano de capacidade do cliente.
Para obter mais informações, veja Introdução ao Azure Lighthouse.
Eis a matriz atual dos plug-ins Security Copilot que suportam o Azure Lighthouse:
| Plug-in do Copilot de Segurança | Suporta o Azure Lighthouse |
|---|---|
| Microsoft Defender Mgmt de Superfície de Ataque Externo | Não |
| Informações sobre Ameaças do Microsoft Defender | Não |
| Microsoft Defender XDR | Não |
| Microsoft Entra | Não |
| Microsoft Intune | Não |
| Microsoft Purview | Não |
| Microsoft Sentinel | Sim |
| NL2KQL Defender | Não |
| NL2KQL Sentinel | Sim |
Integrar um cliente no Azure Lighthouse
Recolher detalhes do inquilino e da subscrição
- Para integrar o inquilino de um cliente, tem de ter uma subscrição ativa do Azure e precisará das seguintes informações para criar um modelo do Azure Resource Manager.
- ID de inquilino do MSSP
- ID de inquilino do cliente
- IDs de Subscrição do Azure para cada subscrição específica no inquilino do cliente que será gerida pelo MSSP, incluindo os detalhes da oferta.
- Para obter mais informações, veja Integrar um cliente no Azure Lighthouse.
- Para obter mais informações Se precisar de publicar uma oferta de serviço gerido privado ou público para Azure Marketplace, veja Publicar uma oferta de Serviço Gerido no Azure Marketplace.
- Para integrar o inquilino de um cliente, tem de ter uma subscrição ativa do Azure e precisará das seguintes informações para criar um modelo do Azure Resource Manager.
Definir funções e permissões
Enquanto fornecedor de serviços, poderá querer realizar várias tarefas para um único cliente, exigindo um acesso diferente para diferentes âmbitos. Pode definir quantas autorizações precisar para atribuir as funções incorporadas do Azure adequadas. Para definir autorizações no seu modelo, tem de incluir os valores de ID para cada utilizador, grupo de utilizadores ou principal de serviço no inquilino de gestão ao qual pretende conceder acesso. Também terá de incluir o ID de definição de função para cada função incorporada que pretende atribuir. Para obter mais informações, veja Integrar um cliente no Azure Lighthouse – Azure Lighthouse.
Para tirar partido Microsoft Entra Privileged Identity Management (PIM) para acesso just-in-time, terá de criar autorizações elegíveis. Para obter mais informações, veja Criar autorizações elegíveis.
Criar um modelo de Resource Manager do Azure
- Para integrar o cliente, terá de criar um modelo do Azure Resource Manager para a oferta com as seguintes informações. Os valores mspOfferName e mspOfferDescription estarão visíveis para o cliente na página Fornecedores de serviços do portal do Azure assim que o modelo for implementado no inquilino do cliente. Pode criar este modelo no portal do Azure ou ao modificar manualmente os modelos fornecidos no nosso repositório de exemplos. Para obter mais informações, veja Integrar um cliente no Azure Lighthouse.
Implementar o modelo do Azure Resource Manager
- Depois de criar o modelo, um utilizador no inquilino do cliente tem de implementá-lo no respetivo inquilino. É necessária uma implementação separada para cada subscrição que pretende integrar (ou para cada subscrição que contenha grupos de recursos que pretende integrar). A implementação pode ser efetuada com o PowerShell, com a CLI do Azure ou com a portal do Azure. Para obter mais informações, veja Integrar um cliente no Azure Lighthouse.
Confirmar a integração com êxito
- Quando uma subscrição de cliente tiver sido integrada com êxito no Azure Lighthouse, os utilizadores no inquilino do fornecedor de serviços poderão ver a subscrição e os respetivos recursos. Pode confirmá-lo no portal do Azure, com o PowerShell ou com a CLI do Azure. Para obter mais informações, veja Integrar um cliente no Azure Lighthouse.
GDAP
O GDAP permite que um MSSP configure o acesso com menos privilégios e com limite de tempo explicitamente concedido pelo cliente Security Copilot. Apenas os MSSPs registados como Parceiro de Solução Cloud (CSP) têm permissão para gerir Security Copilot. O acesso é atribuído a um grupo de segurança MSSP que reduz os encargos administrativos tanto para o cliente como para o parceiro. A um utilizador do MSSP é atribuída a função e o grupo de segurança adequados para gerir o cliente.
Para obter mais informações, consulte Introdução ao GDAP.
Esta é a matriz atual dos plug-ins do Copilot de Segurança que dão suporte ao GDAP:
| Plug-in do Copilot de Segurança | Com suporte para GDAP |
|---|---|
| Gerenciamento da Superfície de Ataque Externa do Defender | Não |
| Entra | No geral, não, mas algumas capacidades funcionam. |
| Intune | Sim |
| MDTI | Não |
| Defender XDR | Sim |
| NL2KQL Defender | Sim |
| NL2KQL Sentinel | Não |
| Purview | Sim |
| Sentinel | Não |
Para obter mais informações, consulte Cargas de trabalho com suporte pelo GDAP.
Relação GDAP
O MSSP envia um pedido GDAP ao cliente. Siga as instruções deste artigo, Obter permissões para gerenciar o cliente. Para obter os melhores resultados, o MSSP deve pedir ao Leitor de segurança e às funções de operador de Segurança para aceder Security Copilot plataforma e plug-ins. Para obter mais informações, consulte Entender a autenticação.
O cliente aprova a solicitação de GDAP do parceiro. Para obter mais informações, veja Aprovação do cliente.
Permissões do grupo de segurança
O MSSP cria um grupo de segurança e atribui-lhe as permissões aprovadas. Para obter mais informações, veja Atribuir funções de Microsoft Entra.
O cliente adiciona as funções que o MSSP pediu à função de Security Copilot adequada (proprietário copilot ou copilot contribuidor). Por exemplo, se o MSSP tiver pedido permissões de operador de Segurança, o cliente adiciona essa função à função copilot contribuidor no Security Copilot. Para obter mais informações, veja Assigning Security Copilot roles (Atribuir funções Security Copilot).
Acesso Security Copilot MSSP
A conta de utilizador do MSSP precisa de ser associada ao grupo de segurança de parceiros atribuído e uma função aprovada para aceder à área de trabalho delegada Microsoft Sentinel do cliente no inquilino do parceiro.
O MSSP pode aceder Security Copilot portal autónomo e utilizar os pedidos de exemplo abaixo:
"Listar todas as áreas de trabalho Sentinel" para ver todas as áreas de trabalho disponíveis Sentinel no inquilino do parceiro e as áreas de trabalho Sentinel de clientes delegados.
"Resumir o ID do incidente <do nome da área <de trabalho da área de trabalho> Sentinel do cliente" para ver um resumo do incidente de Sentinel da área de trabalho Sentinel do> cliente.
O MSSP pode aceder ao Dashboard de Monitorização de Utilização do respetivo Security Copilot na experiência autónoma para ver o custo da SCU associado ao pedido efetuado na área de trabalho Sentinel do cliente. Isto pode ser validado ao ver o ID da sessão no Dashboard de Monitorização da Utilização e o ID da sessão no URL do browser ao ver a sessão Security Copilot.
Colaboração B2B
Esse método de acesso convida contas de parceiros individuais como convidados para o locatário do cliente para operar o Copilot de Segurança.
Configurar uma conta de convidado para o seu parceiro
Observação
Para executar os procedimentos descritos nesta opção, tem de ter uma função adequada, como Administrador de Utilizadores ou Administrador de Faturação, atribuída no Microsoft Entra.
Acesse o centro de administração do Microsoft Entra e entre.
Vá até Identidade>Usuários>Todos os usuários.
Selecione Novo usuário>Convidar usuário externo e especifique as configurações da conta de convidado.
Na guia Noções Básicas, preencha o endereço de email do usuário, o nome de exibição e uma mensagem, se quiser incluí-la. (Opcionalmente, você pode adicionar um destinatário Cc para receber uma cópia do convite por email.)
Na guia Propriedades, na seção Identidade, preencha o nome e o sobrenome do usuário. (Opcionalmente, você pode preencher quaisquer outros campos que queira usar.)
Na guia Atribuições, selecione + Adicionar função. Role a tela para baixo e selecione Operador de Segurança ou Leitor de Segurança.
Na guia Revisar + convidar, revise suas configurações. Quando estiver pronto, selecione Convidar.
O parceiro recebe um e-mail com uma ligação para aceitar o convite para aderir ao seu inquilino como convidado.
Dica
Para saber mais sobre a configuração de uma conta de convidado, consulte Convidar um usuário externo.
B2B Security Copilot acesso
Depois de configurar uma conta de convidado para o seu parceiro, está pronto para notificá-los de que agora podem utilizar as suas capacidades de Security Copilot.
Peça ao seu parceiro para procurar uma notificação por e-mail da Microsoft. O email contém detalhes sobre a conta de usuário e inclui um link que deve ser selecionado para aceitar o convite.
O seu parceiro acede a Security Copilot visitando securitycopilot.microsoft.com e iniciando sessão com a respetiva conta de e-mail.
O parceiro utiliza a funcionalidade de comutação de inquilino para garantir que está a aceder ao cliente adequado. Por exemplo, a imagem seguinte mostra um parceiro da Fabrikam a utilizar as respetivas credenciais para trabalhar no Security Copilot para o cliente, a Contoso.
Em alternativa, defina o ID do inquilino diretamente no URL, por exemplo,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.Partilhe os seguintes artigos para ajudar o seu MSSP a começar a utilizar Security Copilot:
Suporte técnico
Atualmente, se o seu MSSP ou parceiro tiver dúvidas e precisar de suporte técnico para Security Copilot fora do centro de parceiros, a organização do cliente deve contactar o suporte em nome do MSSP.