授與合作夥伴存取 Microsoft Security Copilot
如果您使用 Microsoft 受控安全性解決方案提供者 (MSSP) ,請確定只有當您授與他們存取權時,才能存取您的 Security Copilot 功能。
有數種方式可讓合作夥伴管理您的 Security Copilot。
Azure Lighthouse
核准您的 MSSP,以取得 Microsoft Sentinel 工作區和其他支援 Azure 資源的 Security Copilot 許可權。 ) 使用的容量方案 (SCUS 是合作夥伴租使用者的容量方案。建議的 GDAP ()
核准您的 MSSP 以取得租使用者的 Security Copilot 許可權。 他們會使用數據粒度委派 管理員 許可權 (GDAP) ,為安全組指派所需的許可權。 ) 使用的容量計劃 (SCUS 是客戶的容量計劃。B2B 共同作業
為合作夥伴的個人設定來賓帳戶,以登入您的租使用者。 ) 使用的容量方案 (SCUS 是客戶租使用者的容量方案。
這兩種方法都有各自的權衡之處。 使用下表來協助決定哪個方法最適合您的組織。 您可以針對整體合作夥伴策略混合這兩種方法。
| 考量事項 | GDAP | B2B 共同作業 | Azure Lighthouse |
|---|---|---|---|
| 如何實作 時間限制存取權? | 根據預設,存取權為時間限制,且內建於權限核准程序中。 | 具有時間限制存取權的特殊權限身分識別管理 (PIM) 可行,但必須由客戶維護。 | Privileged Identity Management Azure RBAC) (Azure 角色型訪問控制,) 具有時間系結存取權的 (PIM。 |
| 如何管理 最低特殊權限存取? | GDAP 需要安全性群組。 所需的最低特殊權限角色清單會引導設定。 | 安全性群組為選用,並由客戶維護。 | Azure Lighthouse 需要 Microsoft Entra 安全組。 如需詳細資訊,請參閱 Azure Lighthouse 案例中的租用戶、使用者和角色。 |
| 支援哪些外掛程式? | 支援部分外掛程式集。 | 所有可供客戶使用的外掛程式都可供合作夥伴使用。 | Azure Lighthouse 支援委派的 Azure 資源存取權,其中包括 Microsoft Sentinel。 如需支援工作負載的詳細資訊,請參閱 什麼是 Azure Lighthouse。 |
| 什麼是 獨立登入 體驗? | MSSP 會使用服務管理,順暢地登入適當租使用者的 Security Copilot。 | 使用 Security Copilot 設定中的租用戶切換選項。 | MSSP 分析師從其 Security Copilot 獨立入口網站中,能夠提示分析人員有權存取利用 Azure Lighthouse 委派存取權的任何 Microsoft Sentinel 工作區。 |
| 什麼是 內嵌體驗? | 支援 使用服務管理 連結來促進存取。 | 通常支援。 | 支援整合 SecOps Platform 與 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 之間的整合。 Microsoft Sentinel 事件會顯示在 [調查 & 回應] 底下,允許執行內嵌 Security Copilot 體驗。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 與 Sentinel 整合。 |
| 執行提示時, () 使用哪些 Security Copilot 容量計劃? | 客戶租使用者的容量方案。 | 客戶租使用者的容量方案。 | 合作夥伴租使用者的容量方案。 |
Azure Lighthouse
Azure Lighthouse 可讓 MSSP 設定 Security Copilot 客戶明確授與的最低許可權和時間限制存取權,以委派 Azure 資源的存取權。 在合作夥伴租用戶內針對客戶的 Microsoft Sentinel 工作區執行 Security Copilot 提示時,會使用合作夥伴的容量計劃 SCUS,而不是客戶的容量計劃 SCUS。
如需詳細資訊, 請參閱 Azure Lighthouse 簡介。
以下是支援 Azure Lighthouse 之 Security Copilot 外掛程式的目前矩陣:
| 安全性 Copilot 外掛程式 | 支援 Azure Lighthouse |
|---|---|
| Microsoft Defender 外部攻擊表面 Mgmt | 否 |
| Microsoft Defender 威脅情報 | 否 |
| Microsoft Defender XDR | 否 |
| Microsoft Entra | 否 |
| Microsoft Intune | 否 |
| Microsoft Purview | 否 |
| Microsoft Sentinel | 是 |
| NL2KQL Defender | 否 |
| NL2KQL Sentinel | 是 |
將客戶上線至 Azure Lighthouse
收集租用戶和訂用帳戶詳細數據
- 若要讓客戶的租用戶上線,您必須擁有作用中的 Azure 訂用帳戶,而且您需要下列資訊才能建立 Azure Resource Manager 範本。
- MSSP 的租用戶標識碼
- 客戶的租用戶標識碼
- 客戶租使用者中每個特定訂用帳戶的 Azure 訂用帳戶標識碼,將由 MSSP 管理,包括供應專案詳細數據。
- 如需詳細資訊,請 參閱將客戶上線至 Azure Lighthouse。
- 如需詳細資訊 如果您需要將私人或公用受控服務供應專案發佈至 Azure Marketplace,請參閱將受控服務供應專案發佈至 Azure Marketplace。
- 若要讓客戶的租用戶上線,您必須擁有作用中的 Azure 訂用帳戶,而且您需要下列資訊才能建立 Azure Resource Manager 範本。
定義角色和許可權
身為服務提供者,您可能想要為單一客戶執行多個工作,要求不同範圍有不同的存取權。 您可以視需要定義任意數量的授權,以指派適當的 Azure 內建角色。 若要在範本中定義授權,您必須在要授與存取權的管理租使用者中,包含每個使用者、使用者群組或服務主體的標識符值。 您也必須針對您想要指派的每個內建角色包含角色定義標識碼。 如需詳細資訊,請 參閱將客戶上線至 Azure Lighthouse - Azure Lighthouse。
若要利用 Microsoft Entra Privileged Identity Management (PIM) 進行 Just-In-Time 存取,您必須建立合格的授權。 如需詳細資訊,請 參閱建立合格的授權。
建立 Azure Resource Manager 範本
- 若要讓客戶上線,您必須使用下列資訊為您的供應專案建立 Azure Resource Manager 範本。 在客戶的租使用者中部署範本之後,客戶會在 Azure 入口網站 的服務提供者頁面中看到 mspOfferName 和 mspOfferDescription 值。 您可以在 Azure 入口網站 中建立此範本,或手動修改範例存放庫中提供的範本。 如需詳細資訊, 請參閱將客戶上線至 Azure Lighthouse。
部署 Azure Resource Manager 範本
- 建立範本之後,客戶租使用者中的用戶必須在其租使用者內部署範本。 您想要上線的每個訂用帳戶需要個別的部署 (或包含您想要上架) 之資源群組的每個訂用帳戶。 部署可以使用 PowerShell、使用 Azure CLI 或在 Azure 入口網站 中完成。 如需詳細資訊, 請參閱將客戶上線至 Azure Lighthouse。
確認成功上線
- 當客戶訂用帳戶成功上線至 Azure Lighthouse 時,服務提供者租使用者中的使用者將能夠看到訂用帳戶及其資源。 您可以在 Azure 入口網站 中使用 PowerShell 或使用 Azure CLI 來確認這一點。 如需詳細資訊, 請參閱將客戶上線至 Azure Lighthouse。
GDAP
GDAP 可讓 MSSP 設定 Security Copilot 客戶明確授與的最低許可權和時間限制存取權。 只有註冊為雲端解決方案合作夥伴 (CSP) 的 MSSP 才能管理 Security Copilot。 存取權會指派給 MSSP 安全組,以降低客戶和合作夥伴的系統管理負擔。 MSSP 用戶會獲指派適當的角色和安全組來管理客戶。
如需詳細資訊,請參閱 GDAP 簡介。
以下是支援 GDAP 之安全性 Copilot 外掛程式的目前矩陣:
| 安全性 Copilot 外掛程式 | 支援 GDAP |
|---|---|
| Defender 外部受攻擊面管理 | 否 |
| Entra | 整體而言,沒有,但有幾個功能可以運作。 |
| Intune | 是 |
| MDTI | 否 |
| Defender 全面偵測回應 | 是 |
| NL2KQL Defender | 是 |
| NL2KQL Sentinel | 否 |
| Purview | 是 |
| Sentinel | 否 |
如需詳細資訊,請參閱 GDAP 支援的工作負載。
GDAP 關聯性
MSSP 會將 GDAP 要求傳送給其客戶。 請依照 取得管理客戶的權限 一文中的指示操作。 為了獲得最佳結果,MSSP 應該要求安全性讀取者和安全性作員角色存取 Security Copilot 平臺和外掛程式。 如需詳細資訊,請參閱 瞭解驗證。
客戶核准來自合作夥伴的 GDAP 要求。 如需詳細資訊,請 參閱客戶核准。
安全組許可權
MSSP 會建立安全組,併為其指派核准的許可權。 如需詳細資訊,請參閱指派 Microsoft Entra 角色。
客戶會將 MSSP 要求的角色新增至適當的 Security Copilot 角色, (Copilot 擁有者或 copilot 參與者) 。 例如,如果 MSSP 要求安全性作員許可權,客戶會將該角色新增至 Security Copilot 內的 Copilot 參與者角色。 如需詳細資訊,請參閱指派 Security Copilot 角色。
MSSP Security Copilot 存取
MSSP 使用者帳戶需要獲指派合作夥伴安全組的成員資格,以及核准的角色,才能存取合作夥伴租用戶中客戶的委派 Microsoft Sentinel 工作區。
MSSP 可以存取獨立入口 Security Copilot,並使用下列範例提示:
「列出所有 Sentinel 工作區」,以查看合作夥伴租使用者內所有可用的 Sentinel 工作區,以及委派的客戶 Sentinel 工作區。
「從客戶 Sentinel 工作>區的工作<區名稱摘要事件<事件>標識符」,以查看客戶 Sentinel 工作區中 Sentinel 事件的摘要。
MSSP 可以在獨立體驗中存取其 Security Copilot 的使用方式監視儀錶板,以查看與針對客戶 Sentinel 工作區執行的提示相關聯的 SCU 成本。 檢視 Security Copilot 工作階段時,您可以在 [使用方式監視儀錶板] 中看到會話標識碼,以及瀏覽器 URL 中的會話識別碼,以進行驗證。
B2B 共同作業
此存取方法會邀請個別合作夥伴帳戶作為客戶租用戶的來賓,以操作安全性 Copilot。
為您的合作夥伴設定來賓帳戶
注意事項
若要執行此選項中所述的程式,您必須在 Microsoft Entra 中指派適當的角色,例如用戶系統管理員或計費管理員。
移至 Microsoft Entra 系統管理中心 並登入。
移至 [身分識別]>[使用者]>[所有使用者]。
選取 [新增使用者]>[邀請外部使用者],然後指定來賓帳戶的設定。
請在 [基本] 索引標籤上,填入使用者的電子郵件地址、顯示名稱和訊息 (若您想要將之包含在內)。 (您可以選擇性地新增 複本收件者,以接收電子郵件邀請的複本。)
在 [屬性] 索引標籤上的 [身分識別] 區段中,填入使用者的名字和姓氏。 (您可以選擇性地填入您想要使用的任何其他欄位。)
在 [指派] 索引標籤上,選取 [+ 新增角色]。 向下卷動,然後選取 [安全性操作員] 或 [安全性讀取者]。
在 [檢閱 + 邀請] 索引標籤上,檢閱您的設定。 當您準備好時,請選取 [邀請]。
合作夥伴會收到一封電子郵件,其中包含接受邀請以來賓身分加入租用戶的邀請。
提示
若要深入瞭解設定來賓帳戶的相關資訊,請參閱 邀請外部使用者。
B2B Security Copilot 存取
為您的合作夥伴設定來賓帳戶之後,您就可以通知他們,他們現在可以使用您的 Security Copilot 功能。
告訴您的合作夥伴尋找來自Microsoft的電子郵件通知。 該電子郵件包含其使用者帳戶的詳細資料,並包含必須選取才能接受邀請的連結。
您的合作夥伴藉由造訪 securitycopilot.microsoft.com 並使用其電子郵件帳戶登入,來存取 Security Copilot。
合作夥伴會使用租用戶切換功能,以確保他們存取適當的客戶。 例如,下圖顯示來自 Fabrikam 的合作夥伴使用其認證來為客戶 Contoso Security Copilot 工作。
或者,直接在 URL 中設定租使用者標識碼,例如
https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.分享下列文章,以協助您的 MSSP 開始使用 Security Copilot:
技術支援
目前,如果您的 MSSP 或合作夥伴有問題,且需要合作夥伴中心外部 Security Copilot 的技術支援,客戶組織應該代表 MSSP 連絡支持人員。