パートナーに Microsoft Copilot for Security へのアクセス権を付与する
Microsoft マネージド セキュリティ ソリューション プロバイダー (MSSP) を使用している場合は、Microsoft Copilot for Security 機能へのアクセス権を付与できます。 MSSP アクセス権が付与されると、セキュリティ チームと同じようにサインインして Copilot for Security を使用できます。
パートナーが Microsoft Copilot for Security を管理できるようにするには、2 つの方法があります。
GDAP
パートナーを承認して、テナントの Security Copilot のアクセス許可を取得します。 詳細な代理管理者特権 (GDAP) を使用して必要なアクセス許可をセキュリティ グループに割り当てます。B2B コラボレーション
MSSP からテナントにログインする個人のゲスト アカウントを設定します。
どちらの方法にもトレードオフがあります。 次の表を使用して、組織に最適な方法を決定できるようにします。 パートナー戦略全体に両方の方法を組み合わせることができます。
| 考慮事項 | GDAP | B2B コラボレーション |
|---|---|---|
| 時間制限付きアクセス はどのように実装されますか? | アクセスは既定で時間制限付きであり、アクセス許可の承認プロセスに組み込まれています。 | 時間制限付きアクセスを使用した特権 ID 管理 (PIM) が可能ですが、顧客が管理する必要があります。 |
| 最小特権アクセス はどのように管理されますか? | GDAP にはセキュリティ グループが必要です。 必要な最小特権ロールの一覧によって、セットアップがガイドされます。 | セキュリティ グループは省略可能であり、顧客によって管理されます。 |
| どの プラグインがサポートされてますか? | プラグインの部分的なセットがサポートされています。 | 顧客が利用できるすべてのプラグインは、パートナーが利用できます。 |
| イマーシブ ログイン とは | テナント ID は、Security Copilot URL に手動で追加する必要があります。 | ユーザー インターフェイスからテナント スイッチの選択を使用します。 |
| 埋め込みエクスペリエンス とは | アクセスを容易にするためのサービス管理リンクを使用してサポートされています。 | 通常サポートされています。 |
GDAP
GDAP を使用すると、パートナーは、Security Copilot の顧客によって明示的に付与された最小特権の時間制限付きアクセスを使用してアクセスを設定できるようになります。 アクセスは、顧客とパートナーの両方の管理上の負担を軽減するセキュリティ グループに割り当てられます。
詳細については、「GDAP の概要」を参照してください。
GDAP をサポートする Security Copilot プラグインの現在のマトリックスを次に示します。
| Security Copilot プラグイン | GDAP をサポートします |
|---|---|
| Defender 外部攻撃面管理 | いいえ |
| Entra | 全体的によくありませんが、いくつかの機能が機能します。 |
| Intune | はい |
| MDTI | いいえ |
| Microsoft 365 Defender | はい |
| NL2KQL Defender | はい |
| NL2KQL Sentinel | いいえ |
| Sentinel | いいえ |
詳細については、「GDAP でサポートされるワークロード」を参照してください。
手順 1 - GDAP リレーションシップ
パートナーが、GDAP 要求を顧客に送信します。 この記事の「顧客を管理するためのアクセス許可を取得する」の手順に従います。 Security Copilot ポータルとプラグインにアクセスするために必要な Entra ロールに注意してください。 詳細については、「認証について」をご覧ください。
顧客が、パートナーからの GDAP 要求を承認します。 この記事の「顧客の承認」の手順に従います。
手順 2 - パートナーがセキュリティ グループのアクセス許可を割り当てる
パートナーはセキュリティ グループを作成し、承認されたアクセス許可をグループに割り当てます。 この記事の「Microsoft Entra ロールを割り当てる」の手順に従います。
手順 3 - パートナーが Security Copilot にアクセスする
承認されたロールが割り当てられているパートナー セキュリティ グループへのメンバーシップがあるパートナー アカウントでは、テナントによる明示的な URL を使用する必要があります。 UI のテナント切り替え設定では、GDAP 資格情報が認識されません。
URL を変更して、顧客テナントと一致させます。 たとえば、「
https://securitycopilot.microsoft.com/?tenantId=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx」のように入力します。
B2B コラボレーション
このアクセス方法では個々のパートナー アカウントをゲストとして顧客テナントに招待して、Security Copilot を運用します。
手順 1 - MSSP のゲスト アカウントを設定する
注:
このオプションで説明されている手順を実行するには、グローバル管理者、ユーザー管理者、課金管理者などの適切なロールが Microsoft Entra で割り当てられている必要があります。
Microsoft Entra 管理センター に移動して、サインインします。
[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
[新しいユーザー]>[外部ユーザーの招待] を選択してから、ゲスト アカウントの設定を指定します。
[基本] タブで、ユーザーのメール アドレス、表示名、メッセージ (含める場合) を入力します。 (必要に応じて [Cc 受信者] を追加して、招待メールのコピーを受け取ることができます。)
[プロパティ] タブの [ID] セクションで、ユーザーの姓と名を入力します。 (必要に応じて、使用するその他のフィールドを入力できます。)
[割り当て] タブで、[ロールの追加] を選択します。 下にスクロールし、[セキュリティ オペレーター]、または [セキュリティ 閲覧者] を選択します。
[確認と招待] タブで、設定を確認します。 準備ができたら、[招待] を選択します。
MSSP はリンクを含むメールを受信して、ゲストとしてテナントに参加するための招待を受け入れることができます。
ヒント
ゲスト アカウントの設定に関する詳細については、「外部ユーザーを招待する」を参照してください。
手順 2 - MSSP に通知する
MSSP のゲスト アカウントを設定したら、Copilot for Security 機能を使用できることを通知する準備ができます。
MSSP に Microsoft からのメール通知を確認してもらうように指示します。 このメールには、ユーザー アカウントに関する詳細が含まれており、招待を受け入れるために選択する必要があるリンクが含まれています。
MSSP は、securitycopilot.microsoft.com にアクセスしてから、メール アカウントを使用してサインインすることで、Copilot for Security にアクセスできます。
次の記事を共有して、MSSP が Copilot for Security の使用を開始できるようにします。
テクニカル サポート
現在、MSSP に質問があり、Security Copilot のテクニカル サポートが必要な場合は、(組織の管理者として) MSSP の代わりにサポートにお問い合わせください。