Поделиться через

Предоставление партнерам доступа к Microsoft Security Copilot

  • Статья

Если вы работаете с поставщиком решений для управляемой безопасности Майкрософт (MSSP), убедитесь, что он получает доступ к вашим возможностям Security Copilot только после предоставления им доступа. Настройка детализированных делегированных Администратор привилегий (GDAP) — это лучший способ защитить партнеров для работы со всеми преимуществами Security Copilot, как и ваша команда безопасности.

Существует два способа разрешить партнеру управлять вашим Security Copilot.

  1. GDAP (рекомендуется)
    Подтвердите mssp, чтобы получить разрешения Security Copilot для клиента. Они назначают группе безопасности необходимые разрешения с помощью детализированных делегированных Администратор привилегий (GDAP).

  2. Совместная работа B2B
    Настройте гостевые учетные записи для пользователей из партнера для входа в клиент.

Для обоих методов существуют компромиссы. Используйте следующую таблицу, чтобы решить, какой метод лучше всего подходит для вашей организации. Для общей партнерской стратегии можно смешать оба метода.

Фактор GDAP Совместная работа B2B
Как реализован доступ с ограничением по времени ? По умолчанию доступ привязан к времени и встроен в процесс утверждения разрешений. управление привилегированными пользователями (PIM) с доступом с ограничением по времени возможна, но должна поддерживаться клиентом.
Как администрируется доступ с наименьшими привилегиями ? Для GDAP требуются группы безопасности. Список необходимых ролей с наименьшими привилегиями определяет настройку. Группы безопасности являются необязательными и поддерживаются клиентом.
Какие подключаемые модули поддерживаются? Поддерживается частичный набор подключаемых модулей. Все подключаемые модули, доступные для клиента, доступны партнеру.
Что такое автономный вход ? MSSP использует управление службами для простого входа в Security Copilot для соответствующего клиента. Используйте параметр клиента, выбранный из параметра Security Copilot.
Что такое внедренный интерфейс? Поддерживается со ссылками на управление службами для упрощения доступа. Поддерживается в обычном режиме.

GDAP

GDAP позволяет MSSP настроить доступ с наименьшими привилегиями и доступ с ограниченной по времени, явно предоставленный клиентом Security Copilot. Управлять Security Copilot могут только mssp, зарегистрированные в качестве партнера по облачным решениям (CSP). Доступ назначается группе безопасности MSSP, что снижает административную нагрузку как для клиента, так и для партнера. Пользователю MSSP назначается соответствующая роль и группа безопасности для управления клиентом.

Дополнительные сведения см. в статье Введение в GDAP.

Ниже приведена текущая матрица Security Copilot подключаемых модулей, поддерживающих GDAP:

подключаемый модуль Security Copilot Поддерживает GDAP
Управление направлением внешних атак Defender Нет
Entra В целом нет, но некоторые возможности работают.
Intune Да
MDTI Нет
Defender XDR Да
NL2KQL Defender Да
NL2KQL Sentinel Нет
Purview Да
Sentinel Нет

Дополнительные сведения см. в разделе Рабочие нагрузки, поддерживаемые GDAP.

Отношение GDAP

  1. MSSP отправляет клиенту запрос GDAP. Следуйте инструкциям в этой статье Получение разрешений для управления клиентом. Для достижения наилучших результатов MSSP должен запрашивать роли читателя безопасности и оператора безопасности для доступа к Security Copilot платформе и подключаемым модулям. Дополнительные Подробнее см. в статье Общие сведения о проверке подлинности.

  2. Клиент утверждает запрос GDAP от партнера. Дополнительные сведения см. в разделе Утверждение клиента.

Разрешения группы безопасности

  1. MSSP создает группу безопасности и назначает ей утвержденные разрешения. Дополнительные сведения см. в разделе Назначение Microsoft Entra ролей.

  2. Клиент добавляет роли, запрошенные MSSP, в соответствующую роль Security Copilot (владелец Copilot или copilot участник). Например, если MSSP запросил разрешения оператора безопасности, клиент добавляет ее в роль Copilot участник в Security Copilot. Дополнительные сведения см. в статье Назначение ролей Security Copilot.

Доступ к Security Copilot MSSP

  1. Учетная запись пользователя MSSP должна быть членом назначенной партнерской группы безопасности и утвержденной ролью для подключения к Security Copilot клиента.

  2. MsSP содержит страницу управления службами , которая позволяет легко подключиться к утвержденным рабочим нагрузкам клиента. Например, на следующем рисунке показано, что пользователь MSSP может администрировать для своего клиента Tailspin Toys.

    Снимок экрана: экран управления службами Центра партнеров с выделением Security Copilot ссылкой.

  3. Проверьте, что URL-адрес соответствует клиенту клиента. Например, https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.

Совместная работа B2B

Этот метод доступа приглашает отдельные учетные записи партнеров в качестве гостей в клиент клиента для работы Security Copilot.

Настройка гостевой учетной записи для партнера

Примечание.

Для выполнения процедур, описанных в этом параметре, необходимо иметь соответствующую роль, например администратор пользователей или администратор выставления счетов, назначенную в Microsoft Entra.

  1. Перейдите к Центр администрирования Microsoft Entra и выполните вход.

  2. Перейдите в раздел Удостоверения>пользователей>Все пользователи.

  3. Выберите Новый пользователь>Пригласить внешнего пользователя, а затем укажите параметры для гостевой учетной записи.

    1. На вкладке Основные сведения введите адрес электронной почты пользователя, отображаемое имя и сообщение, если вы хотите включить его. (При необходимости можно добавить получателя cc , чтобы получить копию приглашения по электронной почте.)

    2. На вкладке Свойства в разделе Удостоверение введите имя и фамилию пользователя. (При необходимости можно заполнить любые другие поля, которые вы хотите использовать.)

    3. На вкладке Назначения выберите + Добавить роль. Прокрутите вниз и выберите Оператор безопасности или Средство чтения безопасности.

    4. На вкладке Рецензирование и приглашение проверьте параметры. Когда все будет готово, выберите Пригласить.

      Партнер получает электронное письмо со ссылкой на приглашение присоединиться к вашему клиенту в качестве гостя.

Совет

Дополнительные сведения о настройке гостевой учетной записи см. в статье Приглашение внешнего пользователя.

Доступ к Security Copilot B2B

После настройки гостевой учетной записи для партнера вы можете уведомить его о том, что теперь он может использовать ваши возможности Security Copilot.

  1. Попросите партнера искать уведомление по электронной почте от корпорации Майкрософт. Сообщение электронной почты содержит сведения об учетной записи пользователя и ссылку, которая должна быть выбрана для принятия приглашения.

  2. Ваш партнер обращается к Security Copilot, посетив securitycopilot.microsoft.com и выполнив вход с помощью учетной записи электронной почты.

  3. Партнер использует функцию переключения клиента, чтобы убедиться, что он обращается к соответствующему клиенту. Например, на следующем рисунке показано, как партнер из Fabrikam использует свои учетные данные для работы в Security Copilot для своего клиента Contoso.

    Снимок экрана: параметр переключения клиента.
    Кроме того, можно задать идентификатор клиента непосредственно в URL-адресе, например:
    https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.

  4. Поделитесь следующими статьями, чтобы помочь MSSP приступить к работе с Security Copilot:

Техническая поддержка

В настоящее время, если у вашего mssp или партнера есть вопросы и требуется техническая поддержка для Security Copilot за пределами центра партнеров, организация клиентов должна обратиться в службу поддержки от имени MSSP.