通过

授予合作伙伴对 Microsoft 安全 Copilot 的访问权限

  • 项目

如果使用 Microsoft 托管安全解决方案提供商 (MSSP) ,则可以授予他们访问Microsoft 安全 Copilot功能的权限。 授予 MSSP 访问权限后,他们将能够像安全团队一样登录并使用安全 Copilot。

可以通过两种方法允许合作伙伴管理 Microsoft 安全 Copilot。

  1. GDAP
    批准合作伙伴获取租户的安全 Copilot 权限。 他们使用粒度委派管理员特权 (GDAP) 为安全组分配所需的权限。

  2. B2B 协作
    为 MSSP 中的个人设置来宾帐户以登录到租户。

两种方法各有利弊。 使用下表来帮助确定哪种方法最适合你的组织。 可以将这两种方法混合用于整体合作伙伴策略。

注意事项 GDAP B2B 协作
如何实现限时访问 默认情况下,访问权限是受时间限制的,并且内置于权限审批过程中。 可以使用具有限时访问权限的特权标识管理 (PIM),但必须由客户维护。
如何管理最低权限访问 GDAP 需要安全组。 所需的最低特权角色列表将指导设置。 安全组是可选的,并由客户维护。
支持使用哪些插件 支持部分插件集。 可供客户使用的所有插件均可供合作伙伴使用。
什么是沉浸式登录 必须将租户 ID 手动添加到安全 Copilot URL。 从用户界面使用租户切换选择。
什么是嵌入式体验 支持,包含 服务管理 链接,便于访问。 正常支持。

GDAP

GDAP 允许合作伙伴使用安全 Copilot 客户显式授予的最低特权和有时间限制的访问权限来设置访问权限。 此访问权限会分配给一个安全组,这会减轻客户和合作伙伴双方的管理负担。

有关详细信息,请参阅 GDAP 简介

下面是支持 GDAP 的安全 Copilot 插件的当前矩阵:

安全 Copilot 插件 支持 GDAP
Defender 外部攻击面管理
Entra 总的来说,没有,但一些功能起作用。
Intune
MDTI
Microsoft 365 Defender
NL2KQL Defender
NL2KQL Sentinel
Sentinel

有关详细信息,请参阅 GDAP 支持的工作负载

步骤 1 - GDAP 关系

  1. 合作伙伴向其客户发送 GDAP 请求。 按照获取管理客户的权限一文中的说明操作。 请记住访问安全 Copilot 门户和插件所需的 Entra 角色。 有关详细信息,请参阅了解身份验证

  2. 客户批准合作伙伴发出的 GDAP 请求。 按照客户审批一文中的说明操作。

步骤 2 - 合作伙伴分配安全组权限

合作伙伴可创建一个安全组,并将已批准的权限分配给该组。 按照分配 Microsoft Entra 角色一文中的说明操作。

步骤 3 - 合作伙伴访问安全 Copilot

  1. 分配有已批准角色的合作伙伴安全组成员身份的合作伙伴帐户必须使用租户显式 URL。 UI 中的租户切换设置无法识别 GDAP 凭据。

  2. 更改 URL 以匹配客户租户。 例如,https://securitycopilot.microsoft.com/?tenantId=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

B2B 协作

此访问方法可邀请单个合作伙伴帐户作为来宾加入客户租户,以操作安全 Copilot。

步骤 1 - 为 MSSP 设置来宾帐户

注意

要执行此选项中所述的过程,必须在 Microsoft Entra 中分配有适当的角色,例如全局管理员、用户管理员或计费管理员。

  1. 转到 Microsoft Entra 管理中心并登录。

  2. 转到“标识”>“用户”>“所有用户”。

  3. 选择“新用户”>“邀请外部用户”,然后指定来宾帐户的设置。

    1. 在“基本信息”选项卡上,填写用户的电子邮件地址、显示名称和消息(如果要包含)。 (可以选择添加“抄送收件人”以接收电子邮件邀请的副本。)

    2. 在“属性”选项卡上的“标识”部分中,填写用户的名字和姓氏。 (可以选择填写要使用的任何其他字段。)

    3. 在“分配”选项卡上,选择“+ 添加角色”。 向下滚动,然后选择“安全操作员”或“安全读者”。

    4. 在“审阅 + 邀请”选项卡上,查看设置。 准备就绪后,选择“邀请”。

      MSSP 会收到一封电子邮件,其中包含一个链接,用于接受以来宾身份加入租户的邀请。

提示

要了解有关设置来宾帐户的详细信息,请参阅邀请外部用户

步骤 2 - 通知 MSSP

为 MSSP 设置来宾帐户后,可以通知他们现在可以使用安全 Copilot 功能。

  1. 告诉 MSSP 查找来自 Microsoft 的电子邮件通知。 电子邮件包含有关其用户帐户的详细信息,并包含为接受邀请而必须选择的链接。

  2. MSSP 可以通过访问 securitycopilot.microsoft.com 并使用其电子邮件帐户登录来访问 安全 Copilot。

  3. 共享以下文章,以帮助 MSSP 开始使用安全 Copilot:

技术支持

目前,如果 MSSP 有疑问并且需要安全 Copilot 的技术支持,你(作为组织的管理员)应代表 MSSP 联系客户支持。