授與合作夥伴存取 Microsoft Security Copilot
如果您正在使用 MSSP) (Microsoft 受控安全性解決方案提供者,請確定只有當您授與 Security Copilot 存取權時,才能存取您的 Security Copilot 功能。 設定 GDAP ) (更細微的委派 管理員 許可權,是保護合作夥伴使用 Copilot for Security 所帶來之所有優點的最佳方式,就像您的安全性小組一樣。
有兩種方式可讓合作夥伴管理您的 Security Copilot。
建議的 GDAP ()
核准您的 MSSP 以取得租使用者的 Security Copilot 許可權。 他們會使用 GDAP) (細微委派 管理員 許可權,為安全組指派所需的許可權。B2B 共同作業
為合作夥伴的個人設定來賓帳戶,以登入您的租使用者。
這兩種方法都有各自的權衡之處。 使用下表來協助決定哪個方法最適合您的組織。 您可以針對整體合作夥伴策略混合這兩種方法。
| 考量事項 | GDAP | B2B 共同作業 |
|---|---|---|
| 如何實作 時間限制存取權? | 根據預設,存取權為時間限制,且內建於權限核准程序中。 | 具有時間限制存取權的特殊權限身分識別管理 (PIM) 可行,但必須由客戶維護。 |
| 如何管理 最低特殊權限存取? | GDAP 需要安全性群組。 所需的最低特殊權限角色清單會引導設定。 | 安全性群組為選用,並由客戶維護。 |
| 支援哪些外掛程式? | 支援部分外掛程式集。 | 所有可供客戶使用的外掛程式都可供合作夥伴使用。 |
| 什麼是 獨立登入 體驗? | MSSP 會使用服務管理,順暢地登入適當租使用者的 Security Copilot。 | 使用 Security Copilot 設定中的租用戶切換選項。 |
| 什麼是 內嵌體驗? | 支援 使用服務管理 連結來促進存取。 | 通常支援。 |
GDAP
GDAP 可讓 MSSP 設定 Security Copilot 客戶明確授與的最低許可權和時間限制存取權。 只有註冊為雲端解決方案合作夥伴 (雲端解決方案提供者) 的 MSSP 才能管理 Security Copilot。 存取權會指派給 MSSP 安全組,以降低客戶和合作夥伴的系統管理負擔。 MSSP 用戶會獲指派適當的角色和安全組來管理客戶。
如需詳細資訊,請參閱 GDAP 簡介。
以下是支援 GDAP 之安全性 Copilot 外掛程式的目前矩陣:
| 安全性 Copilot 外掛程式 | 支援 GDAP |
|---|---|
| Defender 外部受攻擊面管理 | 否 |
| Entra | 整體而言,沒有,但有幾個功能可以運作。 |
| Intune | 是 |
| MDTI | 否 |
| Defender 全面偵測回應 | 是 |
| NL2KQL Defender | 是 |
| NL2KQL Sentinel | 否 |
| Purview | 是 |
| Sentinel | 否 |
如需詳細資訊,請參閱 GDAP 支援的工作負載。
GDAP 關聯性
MSSP 會將 GDAP 要求傳送給其客戶。 請依照 取得管理客戶的權限 一文中的指示操作。 為了獲得最佳結果,MSSP 應該要求安全性讀取者和安全性操作員角色存取 Security Copilot 平臺和外掛程式。 如需詳細資訊,請參閱 瞭解驗證。
客戶核准來自合作夥伴的 GDAP 要求。 如需詳細資訊,請 參閱客戶核准。
安全組許可權
MSSP 會建立安全組,併為其指派核准的許可權。 如需詳細資訊,請參閱指派 Microsoft Entra 角色。
客戶會將 MSSP 要求的角色新增至適當的 Security Copilot 角色, (Copilot 擁有者或 copilot 參與者) 。 例如,如果 MSSP 要求安全性操作員許可權,客戶會將該角色新增至 Security Copilot 內的 Copilot 參與者角色。 如需詳細資訊,請參閱指派 Security Copilot 角色。
MSSP Security Copilot 存取
MSSP 使用者帳戶需要獲指派合作夥伴安全組的成員資格,以及已核准的角色,才能連線到客戶的 Security Copilot。
MSSP 有一個 服務管理 頁面,可讓您順暢地連線到已核准的客戶工作負載。 例如,下圖顯示 MSSP 使用者可以為其客戶 Tailspin Toys 管理的專案。
驗證 URL 是否符合客戶租使用者。 例如,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee。
B2B 共同作業
此存取方法會邀請個別合作夥伴帳戶作為客戶租用戶的來賓,以操作安全性 Copilot。
為您的合作夥伴設定來賓帳戶
注意事項
若要執行此選項中所述的程式,您必須在 Microsoft Entra 中指派適當的角色,例如用戶系統管理員或計費管理員。
移至 Microsoft Entra 系統管理中心 並登入。
移至 [身分識別]>[使用者]>[所有使用者]。
選取 [新增使用者]>[邀請外部使用者],然後指定來賓帳戶的設定。
請在 [基本] 索引標籤上,填入使用者的電子郵件地址、顯示名稱和訊息 (若您想要將之包含在內)。 (您可以選擇性地新增 複本收件者,以接收電子郵件邀請的複本。)
在 [屬性] 索引標籤上的 [身分識別] 區段中,填入使用者的名字和姓氏。 (您可以選擇性地填入您想要使用的任何其他欄位。)
在 [指派] 索引標籤上,選取 [+ 新增角色]。 向下卷動,然後選取 [安全性操作員] 或 [安全性讀取者]。
在 [檢閱 + 邀請] 索引標籤上,檢閱您的設定。 當您準備好時,請選取 [邀請]。
合作夥伴會收到一封電子郵件,其中包含接受邀請以來賓身分加入租用戶的邀請。
提示
若要深入瞭解設定來賓帳戶的相關資訊,請參閱 邀請外部使用者。
B2B Security Copilot 存取
為您的合作夥伴設定來賓帳戶之後,您就可以通知他們,他們現在可以使用您的 Security Copilot 功能。
告訴您的合作夥伴尋找來自Microsoft的電子郵件通知。 該電子郵件包含其使用者帳戶的詳細資料,並包含必須選取才能接受邀請的連結。
您的合作夥伴藉由造訪 securitycopilot.microsoft.com 並使用其電子郵件帳戶登入,來存取 Security Copilot。
合作夥伴會使用租用戶切換功能,以確保他們存取適當的客戶。 例如,下圖顯示來自 Fabrikam 的合作夥伴使用其認證來為客戶 Contoso Security Copilot 工作。
或者,直接在 URL 中設定租使用者標識碼,例如
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.分享下列文章,以協助您的 MSSP 開始使用 Security Copilot:
技術支援
目前,如果您的 MSSP 或合作夥伴有問題,且需要合作夥伴中心外部 Security Copilot 的技術支援,客戶組織應該代表 MSSP 連絡支持人員。