Comprendre l’authentification dans Microsoft Copilot pour la sécurité

Copilot utilise l’authentification de la part de pour accéder aux données liées à la sécurité via des plug-ins Microsoft actifs. Des rôles Copilot pour la sécurité spécifiques doivent être attribués pour permettre à un groupe ou à un individu d’accéder à la plateforme Copilot for Security. Une fois que vous êtes authentifié auprès de la plateforme, votre accès aux données détermine les plug-ins disponibles dans les invites. Votre rôle contrôle les autres activités auxquelles vous avez accès, telles que la configuration des paramètres, l’attribution d’autorisations et l’exécution de tâches.

Les rôles Copilot pour la sécurité ne sont pas des rôles Entra. Ils sont définis et gérés dans Copilot et accordent uniquement l’accès aux fonctionnalités de Copilot for Security.

Microsoft Entra rôles accordent l’accès à plusieurs produits dans le portefeuille de produits Microsoft. Ces rôles sont gérés via le centre d’administration Microsoft Entra. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra aux utilisateurs.

Les rôles Azure IAM contrôlent l’accès aux ressources Azure telles que les unités de capacité de sécurité (SCU) dans un groupe de ressources dans le cadre d’un abonnement. Pour plus d’informations, consultez Attribuer des rôles Azure.

Plateforme d’accès à Copilot for Security

Une fois Copilot for Security intégré à votre organization, les rôles suivants déterminent l’accès d’un utilisateur à la plateforme Copilot for Security.

Copilot pour les rôles de sécurité

Copilot for Security introduit deux rôles qui fonctionnent comme des groupes d’accès, mais qui ne sont pas Microsoft Entra ID rôles. Au lieu de cela, ils contrôlent uniquement l’accès aux fonctionnalités de la plateforme Copilot for Security.

  • Propriétaire du copilote
  • Copilot contributeur

Par défaut, tous les utilisateurs du locataire Microsoft Entra ont accès à Copilot contributeur.

Microsoft Entra rôles

Les rôles Microsoft Entra suivants héritent automatiquement de l’accès propriétaire Copilot.

  • Administrateur de sécurité
  • Administrateur général

Accéder aux fonctionnalités des plug-ins Microsoft

Copilot for Security ne va pas au-delà de l’accès dont vous disposez. Chaque plug-in Microsoft a ses propres exigences de rôle pour appeler le service du plug-in et ses données. Vérifiez que vous disposez des rôles de service et des licences appropriés pour utiliser les fonctionnalités des plug-ins Microsoft qui sont activés.

Prenons les exemples suivants :

  1. Copilot contributeur

    En tant qu’analyste, vous êtes affecté à Copilot contributeur accès, ce qui vous donne accès à la plateforme Copilot avec la possibilité de créer des sessions. En suivant le modèle de privilège minimum, vous n’avez aucun rôle Microsoft Entra comme Administrateur de la sécurité. Toutefois, pour pouvoir utiliser le plug-in Microsoft Sentinel, vous avez toujours besoin d’un rôle approprié, tel que Microsoft Sentinel Lecteur pour Copilot, pour accéder aux incidents dans l’espace de travail Microsoft Sentinel. Vous avez besoin d’un autre rôle spécifique au service, comme Endpoint Security Manager pour Copilot, pour accéder aux appareils, privilèges, stratégies et postures disponibles via le plug-in Intune. Par Microsoft Defender XDR, vous êtes affecté à un rôle personnalisé qui vous donne accès à l’expérience intégrée Copilot for Security et à Copilot l’accès aux données Microsoft Defender XDR.

    Pour plus d’informations sur Defender XDR rôles personnalisés, consultez Microsoft Defender XDR RBAC unifié.

  2. groupe de sécurité Microsoft Entra

    Bien que le rôle Administrateur de la sécurité hérite de l’accès à Copilot et à certaines fonctionnalités du plug-in, ce rôle inclut des autorisations. L’attribution de ce rôle uniquement pour l’accès Copilot n’est pas recommandée. Au lieu de cela, créez un groupe de sécurité et ajoutez-le au rôle Copilot approprié (Propriétaire ou Contributeur).

    Pour plus d’informations, consultez Meilleures pratiques pour les rôles Microsoft Entra.

Accéder aux expériences incorporées

En plus du rôle copilot contributeur, vérifiez les exigences pour chaque expérience incorporée Copilot for Security afin de comprendre les rôles et licences supplémentaires requis.

Pour plus d’informations, consultez Expériences Copilot pour la sécurité.

Sessions partagées

Copilot contributeur rôle est la seule condition requise pour partager un lien de session ou l’afficher à partir de ce locataire.

Lorsque vous partagez un lien de session, tenez compte des implications d’accès suivantes :

  • Copilot for Security doit accéder au service et aux données d’un plug-in pour générer une réponse, mais ce même accès n’est pas évalué lors de l’affichage de la session partagée. Par exemple, si vous avez accès aux appareils et aux stratégies dans Intune et que le plug-in Intune est utilisé pour générer une réponse que vous partagez, le destinataire du lien de session partagée n’a pas besoin d’un accès Intune pour afficher les résultats complets de la session.
  • Une session partagée contient toutes les invites et réponses incluses dans la session, qu’elle ait été partagée après la première invite ou la dernière.
  • Seul l’utilisateur qui crée une session contrôle les utilisateurs Copilot qui peuvent accéder à cette session. Si vous recevez un lien pour une session partagée de la part du créateur de session, vous avez accès. Si vous transférez ce lien à une autre personne, elle ne lui accorde pas l’accès.
  • Les sessions partagées sont en lecture seule.
  • Les sessions peuvent uniquement être partagées avec les utilisateurs du même locataire qui ont accès à Copilot.
  • Certaines régions ne prennent pas en charge le partage de session par e-mail.
    • SouthAfricaNorth
    • UAENorth

Pour plus d’informations sur les sessions partagées, consultez Navigation de Copilot pour la sécurité.

Attribuer des rôles

Le tableau suivant illustre l’accès par défaut accordé aux rôles de départ.

Remarque

Par défaut, tout le monde dispose d’un accès contributeur Copilot. Envisagez de remplacer cet accès étendu par des utilisateurs ou des groupes spécifiques.

Fonctionnalité Propriétaire du copilote Copilot contributeur
Créer des sessions Oui Oui
Gérer les plug-ins personnalisés personnels Oui Non par défaut
Autoriser les contributeurs à gérer des plug-ins personnalisés personnels Oui Non
Autoriser les contributeurs à publier des plug-ins personnalisés pour le locataire Oui Non
Charger des fichiers Oui Oui
Exécuter des promptbooks Oui Oui
Gérer les promptbooks personnels Oui Oui
Partager des promptbooks avec le locataire Oui Oui
Mettre à jour les options de partage de données et de commentaires Oui Non
Gestion de la capacité Oui* Non
Afficher le tableau de bord d’utilisation Oui Non
Sélectionner une langue Oui Oui

Attribuer l’accès à Copilot pour la sécurité

Attribuez des rôles Copilot dans les paramètres de Copilot pour la sécurité.

  1. Sélectionnez le menu Accueil.
  2. Sélectionnez Attribution> de rôleAjouter des membres.
  3. Commencez à taper le nom de la personne ou du groupe dans la boîte de dialogue Ajouter des membres .
  4. Sélectionnez la personne ou le groupe.
  5. Sélectionnez le rôle Copilot pour la sécurité à attribuer (propriétaire du copilot ou copilot contributeur).
  6. Sélectionnez Ajouter.

Brouillon de capture d’écran de l’attribution de rôles Copilot.

Conseil

Nous vous recommandons d’utiliser des groupes de sécurité pour attribuer des rôles Copilot for Security au lieu d’utilisateurs individuels. Cela réduit la complexité administrative.

Les rôles Administrateur général et Administrateur de la sécurité ne peuvent pas être supprimés de l’accès propriétaire, mais le groupe Tout le monde est amovible de l’accès Contributeur. Il s’agit également d’un groupe valide à rajouter si vous le souhaitez.

L’appartenance au rôle Entra n’est gérable qu’à partir du centre d’administration Microsoft Entra. Pour plus d’informations, consultez Gérer les rôles d’utilisateur Microsoft Entra.

Multitenant

Si votre organization a plusieurs locataires, Copilot for Security peut prendre en charge l’authentification entre eux pour accéder aux données de sécurité où Copilot for Security est approvisionné. Le locataire approvisionné pour Copilot for Security n’a pas besoin d’être le locataire à partir duquel votre analyste de sécurité se connecte. Pour plus d’informations, consultez Navigation dans copilote pour le changement de locataire de sécurité.

Exemple de connexion entre locataires

Contoso a récemment fusionné avec Fabrikam. Les deux locataires ont des analystes de sécurité, mais seul Contoso a acheté et approvisionné Copilot for Security. Angus MacGregor, analyste de Fabrikam, souhaite utiliser ses informations d’identification Fabrikam pour utiliser Copilot for Security. Voici les étapes pour effectuer cet accès :

  1. Vérifiez que le compte Fabrikam d’Angus MacGregor dispose d’un compte de membre externe dans le locataire Contoso.

  2. Attribuez au compte de membre externe les rôles nécessaires pour accéder à Copilot for Security et aux plug-ins Microsoft souhaités.

  3. Connectez-vous au portail Copilot for Security avec le compte Fabrikam.

  4. Basculez les locataires vers Contoso.

    Capture d’écran montrant le compte Fabrikam basculé vers le locataire Contoso.

Pour plus d’informations, consultez Accorder l’accès MSSP.