如果您與 MSSP) (Microsoft 管理安全解決方案供應商合作,請確保只有在您授權他們存取時,他們才能存取您的Security Copilot能力。
有幾種方式可以讓合作夥伴管理你的 Security Copilot。
Azure燈塔
批准您的 MSSP,以獲得 Microsoft Sentinel 工作空間及其他支援 Azure 資源的 Security Copilot 權限。 ) 使用的 SCU (容量計畫是合作租戶的容量計畫。(推薦 GDAP)
核准你的 MSSP,取得租戶的 Security Copilot 權限。 他們會利用 GDAP) (細緻委派管理員權限,分配安全群組所需的權限。 ) 使用的 SCU (容量計畫是客戶的容量計畫。B2B 共同作業
為你合作夥伴的個人建立訪客帳號,讓他們登入你的租戶。 ) 使用的 SCU (容量計畫是客戶租戶的容量計畫。
這兩種方法都有各自的權衡之處。 請參考下表,協助判斷哪種方法最適合你的組織。 您可以針對整體合作夥伴策略混合這兩種方法。
| 考量事項 | GDAP | B2B 共同作業 | Azure燈塔 |
|---|---|---|---|
| 如何實作 時間限制存取權? | 根據預設,存取權為時間限制,且內建於權限核准程序中。 | 客戶可以Privileged Identity Management (以時間限制的存取方式實作 PIM) ,但必須自行維護。 | Privileged Identity Management (具有時間限制存取的 PIM) 可用於Azure基於角色的存取控制 (Azure RBAC) 。 |
| 如何管理 最低特殊權限存取? | GDAP 需要安全性群組。 所需的最低特殊權限角色清單會引導設定。 | 安全性群組為選用,並由客戶維護。 | Azure Lighthouse 需要 Microsoft Entra 安全群組。 欲了解更多資訊,請參閱 Azure Lighthouse 情境中的租戶、使用者與角色。 |
| 支援哪些外掛程式? | 支援部分外掛程式集。 | 所有可供客戶使用的外掛程式都可供合作夥伴使用。 | Azure Lighthouse 支援委派存取 Azure 資源,其中包括 Microsoft Sentinel。 欲了解更多支援的工作負載資訊,請參閱「什麼是 Azure Lighthouse」。 |
| 獨立 登入 體驗是什麼? | MSSP 利用服務管理無縫登入 Security Copilot,以指定租戶。 | 請使用 Security Copilot 設定中的租戶切換選項。 | MSSP 分析師透過其 Security Copilot 獨立入口網站,能透過 Azure Lighthouse 授權存取權限,對分析師擁有權限的 Microsoft Sentinel 工作空間發出提示。 |
| 什麼是 內嵌體驗? | 支援,並附有 服務管理 連結以促進存取。 | 正常支援。 | 支援於 Microsoft Defender 全面偵測回應與 Microsoft Sentinel 之間的統一安全運營平台整合。 Microsoft Sentinel事件會顯示在「調查 & 回應」下,允許執行嵌入的Security Copilot體驗。 欲了解更多資訊,請參閱 Microsoft Defender 全面偵測回應與 Sentinel 的整合。 |
| 執行提示時使用的 SCU (Security Copilot容量計畫) 誰? | 客戶租戶容量計畫。 | 客戶租戶容量計畫。 | 合作租戶的容量計畫。 |
Azure燈塔
Azure Lighthouse 允許 MSSP 設定由 Security Copilot 客戶明確授予的最低權限及時間限制存取權限,以授權存取 Azure 資源。 當在合作夥伴租戶中對客戶的 Microsoft Sentinel 工作空間執行 Security Copilot 提示時,會使用合作夥伴的容量計畫 SCU,而非客戶的容量計畫 SCU。
更多資訊請參閱《Azure Lighthouse 簡介》。
以下是目前支援 Azure Lighthouse 的 Security Copilot 外掛清單:
| 安全性 Copilot 外掛程式 | 支援 Azure Lighthouse |
|---|---|
| Microsoft Defender 外部攻擊面管理 | 否 |
| Microsoft Defender 威脅情報 | 否 |
| Microsoft Defender 全面偵測回應 | 否 |
| Microsoft Entra | 否 |
| Microsoft Intune | 否 |
| Microsoft Purview | 否 |
| Microsoft Sentinel | 是 |
| NL2KQL Defender | 否 |
| NL2KQL Sentinel | 是 |
Onboard a customer to Azure Lighthouse
收集租戶及訂閱資訊
- 要啟動客戶租戶,您必須擁有有效的Azure訂閱,並且需要以下資訊來建立Azure Resource Manager範本。
- MSSP 的租戶識別碼
- 客戶租戶識別碼
- 客戶租戶中每個特定訂閱的 Azure 訂閱 ID,這些訂閱將由 MSSP 管理,包含提供細節。
- 欲了解更多資訊,請參閱「讓客戶加入 Azure Lighthouse」。
- 欲了解更多資訊,若您需要向 Azure Marketplace 發布私人或公開的管理服務,請參見「向 Azure Marketplace 發布託管服務提供」。
- 要啟動客戶租戶,您必須擁有有效的Azure訂閱,並且需要以下資訊來建立Azure Resource Manager範本。
定義角色與權限
作為服務提供者,您可能想為單一客戶執行多項任務,因此不同範圍需要不同的存取權限。 你可以定義任意數量的授權,以指派適當的 Azure 內建角色。 要在範本中定義授權,您必須包含管理租戶中每個使用者、使用者群組或服務主體的 ID 值,該租戶是你想要授權的租戶。 你還需要包含每個想要指派的內建角色定義 ID。 欲了解更多資訊,請參閱「登機客戶至 Azure Lighthouse - Azure Lighthouse」。
若要使用 Microsoft Entra Privileged Identity Management (PIM) 進行即時存取,您需要建立合格授權。 欲了解更多資訊,請參閱 建立合格授權。
建立Azure Resource Manager範本
- 要讓客戶入職,你需要建立包含以下資訊的 Azure Resource Manager 範本。 當模板部署到客戶租戶後,mspOfferName 和 mspOfferDescription 的值會在 Azure 入口網站的服務提供者頁面中顯示。 你可以在 Azure 入口網站建立這個範本,或是手動修改我們範例倉庫提供的範本。 欲了解更多資訊,請參閱「讓客戶加入 Azure Lighthouse」。
部署Azure Resource Manager範本
- 建立範本後,客戶租戶的使用者必須在租戶中部署該範本。 每個你想 (的訂閱,或是每個包含你想) 的資源群組的訂閱,都需要獨立部署。 部署可透過 PowerShell、Azure CLI 或 Azure 入口網站完成。 欲了解更多資訊,請參閱「讓客戶加入 Azure Lighthouse」。
確認成功入職
- 當客戶訂閱成功導入 Azure Lighthouse 後,服務提供者租戶的使用者將能看到該訂閱及其資源。 你可以在 Azure 入口網站內,使用 PowerShell 或 Azure CLI 來確認。 欲了解更多資訊,請參閱「讓客戶加入 Azure Lighthouse」。
GDAP
GDAP 允許 MSSP 設定由 Security Copilot 客戶明確授予的最低權限及時間限制存取權限。 只有註冊為雲端解決方案合作夥伴 (CSP) 的 MSSP 才被允許管理Security Copilot。 存取權限會分配給 MSSP 安全群組,減輕客戶與合作夥伴的管理負擔。 MSSP 使用者會被分配適當的角色和安全群組來管理客戶。
如需詳細資訊,請參閱 GDAP 簡介。
以下是支援 GDAP 之安全性 Copilot 外掛程式的目前矩陣:
| 安全性 Copilot 外掛程式 | 支援 GDAP |
|---|---|
| Defender 外部受攻擊面管理 | 否 |
| Microsoft Entra | 整體來說,沒有,但有幾個功能是可行的。 |
| Intune | 是 |
| MDTI | 否 |
| Defender 全面偵測回應 | 是 |
| NL2KQL Defender | 是 |
| NL2KQL Sentinel | 否 |
| Purview | 是 |
| Microsoft Sentinel | 否 |
如需詳細資訊,請參閱 GDAP 支援的工作負載。
GDAP 關係
MSSP 會向客戶發送 GDAP 請求。 請依照 取得管理客戶的權限 一文中的指示操作。 為了獲得最佳效果,MSSP 應要求安全閱讀員及安全操作員角色存取 Security Copilot 平台及外掛。 如需詳細資訊,請參閱 瞭解驗證。
客戶核准來自合作夥伴的 GDAP 要求。 欲了解更多資訊,請參閱 客戶核准。
安全群組權限
MSSP 會建立一個安全群組,並指派核准的權限給它。 欲了解更多資訊,請參閱指派 Microsoft Entra 角色。
客戶將MSSP要求的角色加入相應Security Copilot角色 (副駕駛擁有者或副駕駛貢獻者) 。 例如,若 MSSP 要求安全操作員權限,客戶會將該角色加入 Security Copilot 的 Copilot 貢獻者角色。 欲了解更多資訊,請參閱指派 Security Copilot 角色。
MSSP Security Copilot 存取權限
MSSP 使用者帳號需為分配的合作夥伴安全群組成員資格,並獲得核准的角色,才能存取合作夥伴租戶中委託的 Microsoft Sentinel 工作空間。
MSSP 可存取 Security Copilot 獨立入口網站,並使用以下範例提示:
「List all Sentinel workspaces」可查看合作夥伴租戶及委派客戶 Microsoft Sentinel 工作空間內所有可用的 Sentinel 工作空間。
「從客戶 Microsoft Sentinel 工作空間>的工作區<名稱中摘要事件<事件 ID>」可查看客戶 Microsoft Sentinel 工作區中 Microsoft Sentinel 事件的摘要。
MSSP 可以在獨立體驗中存取 Security Copilot 的使用監控儀表板,查看與提示相關 SCU 成本,該提示在客戶的 Microsoft Sentinel 工作區中執行。 這可以透過在使用監控儀表板中看到會話 ID 以及在瀏覽器 URL 中查看 Security Copilot 會話時的會話 ID 來驗證。
B2B 共同作業
此存取方法會邀請個別合作夥伴帳戶作為客戶租用戶的來賓,以操作安全性 Copilot。
為你的伴侶設立一個訪客帳號
注意事項
要執行此選項中描述的程序,您必須在 Microsoft Entra 中指定適當的角色,例如使用者管理員或帳單管理員。
移至 Microsoft Entra 系統管理中心 並登入。
移至 [身分識別]>[使用者]>[所有使用者]。
選取 [新增使用者]>[邀請外部使用者],然後指定來賓帳戶的設定。
請在 [基本] 索引標籤上,填入使用者的電子郵件地址、顯示名稱和訊息 (若您想要將之包含在內)。 (您可以選擇性地新增 複本收件者,以接收電子郵件邀請的複本。)
在 [屬性] 索引標籤上的 [身分識別] 區段中,填入使用者的名字和姓氏。 (您可以選擇性地填入您想要使用的任何其他欄位。)
在 [指派] 索引標籤上,選取 [+ 新增角色]。 向下卷動,然後選取 [安全性操作員] 或 [安全性讀取者]。
在 [檢閱 + 邀請] 索引標籤上,檢閱您的設定。 當您準備好時,請選取 [邀請]。
合作夥伴會收到一封電子郵件,裡面有連結,讓你接受邀請,成為你的房客。
提示
若要深入瞭解設定來賓帳戶的相關資訊,請參閱 邀請外部使用者。
B2B Security Copilot 存取權限
當你為伴侶設定好訪客帳號後,就可以通知他們現在可以使用你的 Security Copilot 功能。
告訴你的夥伴去尋找 Microsoft 的電子郵件通知。 該電子郵件包含其使用者帳戶的詳細資料,並包含必須選取才能接受邀請的連結。
你的伴侶透過造訪 securitycopilot.microsoft.com 並使用電子郵件帳號登入來存取Security Copilot。
合作夥伴會使用租戶切換功能來確保他們存取的是正確的客戶。 例如,以下圖片顯示 Fabrikam 的一位合作夥伴使用憑證為客戶 Contoso 使用 Security Copilot 工作。
或者,直接在 URL 中設定租戶 ID,例如,
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.分享以下文章,幫助您的 MSSP 開始使用 Security Copilot:
技術支援
目前,如果您的 MSSP 或合作夥伴在合作夥伴中心外有疑問並需要 Security Copilot 的技術支援,客戶組織應代表 MSSP 聯絡客服。