Planifier un déploiement d’espace de travail
Les organisations déploient des espaces de travail de Security Copilot pour segmenter l’utilisation par équipe, périmètre de conformité ou besoin opérationnel. Avant de créer des espaces de travail, vous évaluez les besoins en capacité, les contraintes de résidence des données et les stratégies d’attribution de rôle. La planification garantit que chaque espace de travail s’aligne sur les stratégies organisationnelles tout en fournissant aux équipes les ressources et l’accès dont elles ont besoin.
Dans le scénario de Contoso, l’équipe SOC (Security Operations Center) nécessite une capacité élevée pour la chasse continue des menaces, l’équipe de conformité a besoin de résidence des données de l’UE et l’équipe d’architecture souhaite un bac à sable isolé. Ces exigences variées demandent une planification minutieuse avant de déployer des ressources.
Comprendre l’étendue et l’architecture de l’espace de travail
Un espace de travail est un environnement défini par le locataire dans lequel les utilisateurs, les agents et les automatisations opèrent. Chaque espace de travail conserve l’historique de session indépendant, l’allocation de capacité, les attributions de rôles et les paramètres de configuration. Toutes les interactions utilisateur ( invites manuelles, réponses déclenchées par agent et workflows automatisés) se produisent dans une limite d’espace de travail.
| Élément de l'espace de travail | Étendue | Exemple de cas d’usage |
|---|---|---|
| Données de session | Par espace de travail | Les sessions de l’équipe de conformité de l’UE restent dans la zone géographique de l’UE |
| Capacité (SU) | Par espace de travail | L’espace de travail SOC comporte 10 unités SCU ; le bac à sable a 2 unités SCU |
| Attributions de rôles | Par espace de travail | Le responsable SOC est propriétaire de l’espace de travail SOC uniquement |
| Configuration du plug-in | Par espace de travail | Bac à sable active les plug-ins expérimentaux |
| Routage des agents | Paramètre défini à l’échelle du locataire | L’agent Defender XDR dirige vers l’espace de travail SOC |
Contrairement à un seul environnement partagé, les espaces de travail fournissent une segmentation. Avec un espace de travail par défaut unique, toutes les équipes partagent la capacité, les rôles appliquent les limites de conformité à l’échelle de l’organisation et sont difficiles à appliquer. Avec plusieurs espaces de travail, chaque équipe obtient une capacité dédiée, les propriétaires spécifiques à l’espace de travail configurent les paramètres indépendamment et la résidence des données s’aligne sur les exigences régionales.
Planifier les besoins en capacité
Les espaces de travail de Security Copilot sont propulsés par des unités de calcul de sécurité (SCU). Le modèle de capacité que vous utilisez détermine la façon dont vous configurez et payez ces unités.
Capacité à la demande nécessite un abonnement Azure. Vous configurez les SCU horaires via le portail Azure ou lors de la création de l’espace de travail. Dans un modèle de paiement à l’usage, vous établissez une base de référence (par exemple 5 SCU) fonctionnant en continu, avec la possibilité d’ajouter des unités de dépassement activées lors des pics d’activité. Vous payez la capacité provisionnée par heure, ainsi que toute utilisation excessive. Ce modèle offre un contrôle précis. Vous augmentez la capacité avant la charge prévue et la réduisez pendant les heures creuses.
La capacité incluse dans Microsoft 365 E5 offre 400 SCU par mois pour 1 000 licences E5. Dans le modèle d’inclusion, une capacité Copilot par défaut est automatiquement présente dans votre tenant. Vous ne créez pas de capacité horaire ; au lieu de cela, l’utilisation déduit de l’allocation mensuelle de la SCU. Les SCU non utilisées ne sont pas reportées. Ce modèle simplifie le budget : vous utilisez des investissements E5 existants sans facturation Azure distincte.
Les SKU provisionnés représentent votre capacité de base de référence , unités qui restent allouées en continu. Les SCU de dépassement fournissent une élasticité : des unités supplémentaires qui s'activent automatiquement lorsque la capacité provisionnée est épuisée. Analysez vos profils d’utilisation : les charges de travail constantes tirent avantage d’un nombre élevé de SCU provisionnées avec peu de dépassement, tandis que les charges irrégulières s’adaptent mieux à une base plus faible associée à un dépassement plus important. Les unités de dépassement sont facturées uniquement lorsqu’elles sont consommées.
| Scénario | SCU provisionnés | Unités SCU de dépassement | Justification |
|---|---|---|---|
| Opérations SOC (24/7) | 10 | 5 | Une base élevée convient à la chasse continue aux menaces, tandis que le dépassement absorbe les pics d’incidents. |
| Audits de conformité (périodiques) | 5 | 3 | Base de référence modérée pour la surveillance continue ; dépassement pour les pics d’audit trimestriels |
| Test de bac à sable (intermittent) | 2 | 1 | Base de référence faible pour l’expérimentation ; dépassement minimal pour les démonstrations POC |
Sélectionner la résidence des données et les emplacements d'évaluation immédiate
Security Copilot impose deux choix d’emplacement géographique lors de la création d’un espace de travail : l’emplacement de stockage des données et celui du traitement des requêtes.
Data storage location détermine où Security Copilot stocke les données de session au repos ( invites, réponses et configuration de l’espace de travail). Les options incluent l’Australie (ANZ), l’Europe (UE), la Suisse (CH), le Royaume-Uni (Royaume-Uni) et États-Unis (États-Unis). Ce paramètre est immuable après la création de l’espace de travail. Pour les scénarios pilotés par la conformité tels que l’équipe de conformité de Contoso, la sélection de l’emplacement de stockage de données approprié lors de la création est essentielle.
L’emplacement d’évaluation des invites détermine l’emplacement où les ressources GPU traitent les invites. Vous pouvez correspondre à l’emplacement de stockage des données ou sélectionner « évaluer n’importe où avec une capacité disponible ». L’évaluation n’importe où améliore la réactivité en acheminant vers le centre de données le moins occupé, mais peut traiter des invites en dehors de votre région de données choisie. L’évaluation dans une région spécifique maintient un contrôle géographique plus strict, mais peut rencontrer une latence plus élevée pendant les pics régionaux d’utilisation.
Pour l’espace de travail de conformité de Contoso, les deux paramètres utilisent l’UE pour garantir que les données restent dans les limites européennes. Pour les espaces de travail SOC et de sandbox, le stockage de données est effectué aux États-Unis, mais l’évaluation immédiate se fait partout pour des performances optimales.
Identifier les rôles et autorisations requis
La création et la gestion d’espaces de travail nécessitent des rôles Azure et Security Copilot spécifiques. Comprendre les exigences de rôle avant le déploiement garantit que vous disposez des autorisations appropriées et que vous pouvez attribuer l’accès aux bonnes personnes.
Pour la création de l’espace de travail, vous avez besoin d’un rôle de Security Copilot pris en charge (Administrateur de la sécurité ou d’un rôle Microsoft Entra/Purview tel qu’Administrateur de conformité ou Gestion de l’organisation Purview). Pour définir la capacité lors de la création, vous avez également besoin de l'accès de Propriétaire ou de Contributeur Azure à l'abonnement Azure où les ressources de capacité sont créées.
Pour la configuration de l’espace de travail, les propriétaires d’espace de travail peuvent configurer des paramètres, attribuer des rôles, gérer des plug-ins et déployer des agents au sein de cet espace de travail spécifique. Le rôle de Propriétaire de l’espace de travail est spécifique à chaque espace de travail : être propriétaire d’un espace de travail ne confère pas la propriété des autres. L’accès Contributeur Azure sur la ressource de capacité permet d’associer ou de changer les allocations de capacité.
Pour l'utilisation de l'espace de travail, les contributeurs d'espace de travail peuvent utiliser des fonctionnalités Security Copilot , envoyer des invites, exécuter des guides, afficher l'historique des sessions, mais ne peuvent pas configurer les paramètres de l'espace de travail ni gérer l'accès. Les contributeurs représentent vos utilisateurs finaux classiques.
| Type de rôle | Exemple de rôle | Étendue | Obligatoire pour |
|---|---|---|---|
| Security Copilot | Owner | Par espace de travail | Configurer les paramètres de l’espace de travail, attribuer des rôles |
| Security Copilot | Contributeur | Par espace de travail | Utiliser les fonctionnalités de Security Copilot |
| Microsoft Entra | Administrateur de la sécurité | Locataire | Créer des espaces de travail, activer la journalisation d’audit |
| Azure RBAC | Propriétaire ou Contributeur | Abonnement/groupe de ressources | Configurer les ressources de capacité |
Le plan de déploiement de Contoso affecte le directeur SOC en tant que propriétaire de l’espace de travail SOC, le gestionnaire de conformité en tant que propriétaire de l’espace de travail de conformité et l’architecte de sécurité en tant que propriétaire de l’espace de travail de bac à sable. Chaque propriétaire peut configurer indépendamment son espace de travail sans affecter d’autres utilisateurs.
Planifier la gestion de plusieurs espaces de travail
Avec plusieurs espaces de travail, vous établissez des modèles pour naviguer entre les espaces de travail, surveiller l’utilisation agrégée et maintenir la cohérence entre les environnements.
Les propriétaires d’espaces de travail ainsi que les contributeurs affectés à plusieurs espaces utilisent le sélecteur d’espace de travail situé dans le fil d’Ariane du portail Security Copilot. Le nom de l’espace de travail affiché dans la barre de navigation reflète l’espace de travail actif actuel.
Les agents de Sécurité Microsoft intégrés (Defender XDR, Purview, Intune, Microsoft Entra) acheminent le trafic vers un espace de travail désigné par produit. Ce paramètre à l'échelle du locataire détermine quel espace de travail reçoit des interactions d'expérience intégrée. L’attribution d’agents garantit de manière réfléchie que les équipes opérationnelles accèdent Security Copilot en toute transparence à partir de leurs portails de sécurité principaux.