Concedere ai partner l'accesso a Microsoft Copilot per la sicurezza

Se si usa un provider di soluzioni di sicurezza gestita (MSSP) Microsoft, è possibile concedere loro l'accesso alle funzionalità di Microsoft Copilot per la sicurezza . Quando si concede l’accesso a un MSSP, è possibile accedere e usare Copilot per la sicurezza proprio come il team di sicurezza.

Esistono due modi per consentire a un partner di gestire la Microsoft Copilot per la sicurezza.

1. GDAP
   Approvare il partner per ottenere le autorizzazioni Copilot di sicurezza per il tenant. Assegnano a un gruppo di sicurezza le autorizzazioni necessarie usando I privilegi di amministratore delegato granulare (GDAP).

2. Collaborazione B2B
   Configurare gli account guest per gli utenti privati del provider MSSP per accedere al tenant.

Esistono compromessi per entrambi i metodi. Usare la tabella seguente per decidere quale metodo è più adatto all'organizzazione. È possibile combinare entrambi i metodi per una strategia globale dei partner.

Considerazione	GDAP	Collaborazione B2B
Come viene implementato l'accesso associato al tempo?	L'accesso è associato al tempo per impostazione predefinita e integrato nel processo di approvazione delle autorizzazioni.	La gestione Privileged Identity Management (PIM) con accesso vincolato al tempo è possibile, ma deve essere gestita dal cliente.
Come viene amministrato l'accesso con privilegi minimi?	GDAP richiede gruppi di sicurezza. Un elenco dei ruoli con privilegi minimi necessari guida la configurazione.	I gruppi di sicurezza sono facoltativi e gestiti dal cliente.
Quali plug-in sono supportati?	È supportato un set parziale di plug-in.	Tutti i plug-in disponibili per il cliente sono disponibili per il partner.
Qual è l'esperienza di accesso immersivo?	L'ID tenant deve essere aggiunto manualmente all'URL copilot di sicurezza.	Usare la selezione dell'opzione tenant dall'interfaccia utente.
Cos’è l'esperienza integrata?	Supportato, con collegamenti di gestione dei servizi per facilitare l'accesso.	Supportato normalmente.

GDAP

GDAP consente al partner di configurare l'accesso con privilegi minimi e con accesso associato a tempo esplicitamente concesso dal cliente Copilot di sicurezza. L'accesso viene assegnato a un gruppo di sicurezza che riduce il carico amministrativo sia per il cliente che per il partner.

Per ulteriori informazioni, vedere Introduzione ai privilegi amministrativi con delega granulari.

Ecco la matrice corrente dei plug-in Copilot di sicurezza che supportano GDAP:

Plug-in Copilot di sicurezza	Supporta GDAP
Gestione della superficie di attacco esterna di Defender	No
Entra	Nel complesso, no, ma alcune funzionalità funzionano.
Intune	Sì
MDTI	No
Microsoft 365 Defender	Sì
NL2KQL Defender	Sì
NL2KQL Sentinel	No
Sentinel	No

Per altre informazioni, vedere Carichi di lavoro supportati da GDAP.

Passaggio 1 - Relazione GDAP

1. Il partner invia una richiesta GDAP al cliente. Seguire le istruzioni in questo articolo, Ottenere le autorizzazioni per gestire il cliente. Tenere presente i ruoli Entra necessari per accedere al portale e ai plug-in di Copilot per la sicurezza. Per altre informazioni, vedere Informazioni sull'autenticazione.

2. Il cliente approva la richiesta GDAP del partner. Seguire le istruzioni in questo articolo, Approvazione del cliente.

Passaggio 2 - il partner assegna le autorizzazioni del gruppo di sicurezza

Il partner crea un gruppo di sicurezza e assegna al gruppo le autorizzazioni approvate. Seguire le istruzioni in questo articolo, Assegnare ruoli di Microsoft Entra.

Passaggio 3 - Il partner accede a Copilot per la sicurezza

1. L'account partner con appartenenza al gruppo di sicurezza partner assegnato al ruolo approvato deve usare un URL esplicito del tenant. L'impostazione dell'opzione tenant nell'interfaccia utente non riconosce le credenziali GDAP.

2. Modificare l'URL in modo che corrisponda al tenant del cliente. Ad esempio, https://securitycopilot.microsoft.com/?tenantId=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

Collaborazione B2B

Questo metodo di accesso invita i singoli account partner come guest del tenant del cliente per utilizzare Copilot per la sicurezza.

Passaggio 1 - Configurare un account guest per il provider MSSP

Nota

Per eseguire le procedure descritte in questa opzione, è necessario disporre di un ruolo appropriato, ad esempio Amministratore utenti o Amministratore fatturazione, assegnato in Microsoft Entra.

1. Passare all’Interfaccia di amministrazione di Microsoft Entra ed eseguire l’accesso.

2. Andare a Identità>Utenti>Tutti gli utenti.

3. Selezionare Nuovo utente>Invita utente esterno e quindi specificare le impostazioni per l'account guest.

   1. Nella scheda Informazioni di base immettere l'indirizzo di posta elettronica dell'utente, il nome visualizzato e un messaggio se si desidera includerne uno. A scelta, è possibile aggiungere un destinatario Cc per ricevere una copia dell'invito tramite posta elettronica.

   2. Nella sezione Identità della scheda Proprietà immettere il nome e il cognome dell'utente. A scelta, è possibile compilare tutti gli altri campi che si desidera usare.

   3. Nella scheda Assegnazioni selezionare + Aggiungi ruolo. Scorrere verso il basso e selezionare Operatore di sicurezza o Amministratore che legge i dati di sicurezza.

   4. Nella scheda Rivedi e invita rivedere le impostazioni. Quando si è pronti, selezionare Invita.

      Il provider MSSP riceve un messaggio di posta elettronica con un collegamento per accettare l'invito a partecipare al tenant come guest.

Consiglio

Per altre informazioni sulla configurazione di un account guest, vedere Invitare un utente esterno.

Passaggio 2 - Inviare una notifica al provider MSSP

Dopo aver configurato un account guest per il provider MSSP, è possibile inviare a tale account una notifica che indica che ora è possibile usare le funzionalità di Copilot per la sicurezza.

1. Indicare al provider MSSP di cercare una notifica tramite posta elettronica da Microsoft. Il messaggio di posta elettronica contiene i dettagli relativi all'account utente e include un collegamento che deve selezionare per accettare l'invito.

2. Il provider MSSP può accedere a Copilot per la sicurezza visitando securitycopilot.microsoft.com ed effettuando l’accesso tramite il proprio account di posta elettronica.

3. Per consentire al provider MSSP di iniziare a usare Copilot per la sicurezza, condividere gli articoli seguenti:

   • Esplorare Microsoft Copilot per la sicurezza
   • Introduzione a Microsoft Copilot per la sicurezza.
   • Analizzare lo script dannoso di un evento imprevisto

Supporto tecnico

Attualmente, se il provider MSSP ha domande e necessita di supporto tecnico per Copilot per la sicurezza, l'amministratore dell'organizzazione deve contattare il supporto tecnico per conto del provider MSSP.