Solución de problemas de directivas de acceso condicional para Microsoft Security Copilot

Visión general

Generative artificial intelligence (AI) servicios tales como Microsoft Security Copilot pueden aportar valor a su organización cuando se usen correctamente.

Aplique la política de acceso condicional a estos servicios de IA generativos siguiendo nuestra recomendación de dirigirse a todos los recursos. Estas directivas pueden incluirlas para todos los usuarios, usuarios de riesgo, inicios de sesión, cumplimiento de dispositivos y usuarios con riesgo interno.

Algunas organizaciones tienen como destino estos servicios directamente mediante las entidades de servicio subyacentes y los atributos de seguridad personalizados en sus directivas de acceso condicional:

  • 43d7b169-1d9e-4d32-8cd8-06c5974ed90c: administración de agentes de Security Copilot
  • bb5ffd56-39eb-458c-a53a-775ba21277da - Security Copilot Portal
  • bb3d68c2-d09e-4455-94a0-e323996dbaa3 - Security Copilot API
  • b0cf1501-8e0f-4fbb-b70a-52ca5ea7bda6: conector de Security Copilot Logic Apps

En estos casos, los administradores crean, asignan y tienen como destino estas entidades de servicio subyacentes con atributos de seguridad personalizados.

Roles necesarios

Los atributos de seguridad personalizados son confidenciales de seguridad y solo los usuarios delegados pueden administrarlos. Asigne uno o varios de los roles siguientes al usuario que administra o informa sobre estos atributos.

Nombre del rol Descripción
Administrador de asignaciones de atributos Asigne claves y valores de atributo de seguridad personalizados a los objetos de Microsoft Entra admitidos.
Lector de asignaciones de atributos Lea las claves y valores de atributos de seguridad personalizados para los objetos de Microsoft Entra admitidos.
Administrador de definiciones de atributos Definir y administrar la definición de atributos de seguridad personalizados.
Lector de definiciones de atributos Leer la definición de atributos de seguridad personalizados.

Asigne el rol adecuado a los usuarios que administran estos atributos en el ámbito del directorio o que notificarán sobre ellos. Para obtener pasos detallados, consulte Assign Microsoft Entra roles.

Importante

De forma predeterminada, el administrador global y otros roles de administrador no tienen permisos para leer, definir ni asignar atributos de seguridad personalizados.

Creación de atributos de seguridad personalizados

Siga las instrucciones del artículo Agregar o desactivar atributos de seguridad personalizados en Microsoft Entra ID para agregar los siguientes conjunto de atributos y nuevos atributos.

  • Cree un conjunto de atributos denominado SecurityCopilotAttributeSet.
  • Cree nuevos atributos denominados SecurityCopilotAttribute con Permitir múltiples valores asignados configurado en No y Solo permitir valores predefinidos asignados configurado en . Agregue el siguiente valor predefinido:
    • Autenticación Multifactor Requerida

Nota:

Los filtros de acceso condicional para las aplicaciones solo funcionan con atributos de seguridad personalizados de tipo "cadena". Los atributos de seguridad personalizados admiten la creación del tipo de datos booleano, pero la directiva de acceso condicional solo admite "string".

Asignación de atributos de seguridad personalizados a aplicaciones

  1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo Administrador de acceso condicional y Administrador de asignación de atributos.
  2. Vaya a Entra ID>Aplicaciones empresariales.
  3. Seleccione las aplicaciones para aplicar un atributo de seguridad personalizado a:
    1. 43d7b169-1d9e-4d32-8cd8-06c5974ed90c: administración de agentes de Security Copilot
    2. bb5ffd56-39eb-458c-a53a-775ba21277da - Security Copilot Portal
    3. bb3d68c2-d09e-4455-94a0-e323996dbaa3 - Security Copilot API
    4. b0cf1501-8e0f-4fbb-b70a-52ca5ea7bda6 - Conector de Security Copilot Logic Apps
  4. En Administrar>Atributos de seguridad personalizados, seleccione Agregar asignación.
  5. En Conjunto de atributos, seleccione el conjunto de atributos que creó.
  6. En Nombre de atributo, seleccione el atributo que creó.
  7. En Valores asignados, seleccione Agregar valores, elija el valor que creó en la lista y, a continuación, seleccione Listo.
  8. Haga clic en Guardar.

Segmentación de atributos de seguridad personalizados en la política de acceso condicional

  1. Inicie sesión en el Centro de administración Microsoft Entra como al menos un Administrador de acceso condicional y Attribute Definition Reader.
  2. Vaya a Entra ID>Acceso Condicional.
  3. Seleccione Nueva directiva o seleccione una directiva existente para actualizarla.
  4. Al configurar los recursos de destino, seleccione las siguientes opciones:
    1. Seleccione lo que esta directiva se aplica a Recursos (anteriormente aplicaciones en la nube).
    2. Incluir Seleccionar recursos.
    3. Seleccione Editar filtro.
    4. Establece Configurar en .
    5. Seleccione el atributo que creó.
    6. En Operador, seleccione Contains.
    7. Establezca Value en uno de los atributos personalizados.
    8. Seleccione Listo.

¿Qué directiva está causando problemas?

A veces es difícil que un administrador compruebe qué directiva actualizar cuando haya un problema. Use las instrucciones de Solución de problemas de inicio de sesión con el acceso condicional para comprobar qué directivas se aplican, qué directivas no se aplican y ejecutar diagnósticos de inicio de sesión para evitar problemas continuos.

Pasos siguientes

Comprender la autenticación en Microsoft Security Copilot

  • Last updated on