Konfigurer sikkerhed i Microsoft 365 Lighthouse-portalen
Beskyttelse af adgang til kundedata, når en MSP (Managed Service Provider) har uddelegeret adgangstilladelser til sine lejere, er en prioritet for cybersikkerhed. Microsoft 365 Lighthouse leveres med både påkrævede og valgfrie funktioner, der kan hjælpe dig med at konfigurere sikkerhed i Lighthouse-portalen. Du skal konfigurere specifikke roller, hvor multifaktorgodkendelse (MFA) er aktiveret, før du kan få adgang til Lighthouse. Du kan eventuelt konfigurere Microsoft Entra Privileged Identity Management (PIM) og betinget adgang.
Konfigurer multifaktorgodkendelse (MFA)
Som nævnt i blogindlægget Din Pa $ $word betyder ikke noget:
"Din adgangskode er lige meget, men det gør MFA. På baggrund af vores undersøgelser er din konto mere end 99,9 % mindre tilbøjelige til at blive kompromitteret, hvis du bruger MFA."
Når brugerne får adgang til Lighthouse for første gang, bliver de bedt om at konfigurere MFA, hvis deres Microsoft 365-konto ikke allerede har konfigureret den. Brugerne kan ikke få adgang til Lighthouse, før det påkrævede trin til konfiguration af MFA er fuldført. Du kan få mere at vide om godkendelsesmetoder under Konfigurer dit Microsoft 365-logon til multifaktorgodkendelse.
Konfigurer rollebaseret adgangskontrol
Rollebaseret adgangskontrol giver adgang til ressourcer eller oplysninger baseret på brugerroller. Adgang til kundelejerdata og -indstillinger i Lighthouse er begrænset til specifikke roller fra programmet Cloud Solution Provider (CSP). Hvis du vil konfigurere RBAC-roller i Lighthouse, anbefaler vi, at du bruger detaljeret delegerede administratorrettigheder (GDAP) til at implementere detaljerede tildelinger for brugere. Der kræves stadig delegerede administratorrettigheder (DAP), for at lejeren kan onboarde korrekt, men kun GDAP-kunder vil snart kunne onboarde uden at være afhængige af DAP. GDAP-tilladelser har forrang, når DAP og GDAP eksisterer sammen for en kunde.
Hvis du vil konfigurere en GDAP-relation, skal du se Få detaljerede administratortilladelser til at administrere en kundes tjeneste. Du kan få flere oplysninger om, hvilke roller vi anbefaler at bruge Lighthouse i Oversigt over tilladelser i Microsoft 365 Lighthouse.
MSP-teknikere kan også få adgang til Lighthouse ved hjælp af rollerne Administration Agent eller Helpdesk Agent via delegerede administratorrettigheder (DAP).
For lejerrelaterede handlinger, der ikke er kunde, i Lighthouse (f.eks. onboarding, kunde deaktivering/genaktivering, administration af mærker, gennemsyn af logge), skal MSP-teknikere have en tildelt rolle i partnerlejer. Se Oversigt over tilladelser i Microsoft 365 Lighthouse for at få flere oplysninger om partnerlejerroller.
Konfigurer Microsoft Entra Privileged Identity Management (PIM)
MSP'er kan minimere antallet af personer, der har rolleadgang til sikre oplysninger eller ressourcer med høj rettighed ved hjælp af PIM. PIM reducerer risikoen for, at en ondsindet person får adgang til ressourcer eller godkendte brugere utilsigtet påvirker en følsom ressource. MSP'er kan også give brugere lige i tiden roller med høje rettigheder til at få adgang til ressourcer, foretage brede ændringer og overvåge, hvad de udpegede brugere gør med deres privilegerede adgang.
Bemærk!
Brug af Microsoft Entra PIM kræver en P2-licens med Microsoft Entra id i partnerlejer.
Følgende trin hæver brugere af partnerlejere til tidsbaserede roller med højere rettigheder ved hjælp af PIM:
Opret en gruppe, der kan tildeles en rolle, som beskrevet i artiklen Opret en gruppe til tildeling af roller i Microsoft Entra id.
Gå til Microsoft Entra-id – alle grupper, og tilføj den nye gruppe som medlem af en sikkerhedsgruppe for roller med rettigheder på højt niveau (f.eks. Administration Agenter sikkerhedsgruppe for DAP eller en tilsvarende respektive sikkerhedsgruppe for GDAP-roller).
Konfigurer privilegeret adgang til den nye gruppe som beskrevet i artiklen Tildel berettigede ejere og medlemmer til privilegerede adgangsgrupper.
Du kan få mere at vide om PIM under Hvad er Privileged Identity Management?
Konfigurer risikobaseret Microsoft Entra betinget adgang
MSP'er kan bruge risikobaseret betinget adgang til at sikre, at deres medarbejdere beviser deres identitet ved hjælp af MFA og ved at ændre deres adgangskode, når de registreres som en risikobetonet bruger (med lækkede legitimationsoplysninger eller pr. Microsoft Entra trusselsintelligens). Brugerne skal også logge på fra en velkendt placering eller en registreret enhed, når de registreres som et risikabelt logon. Andre risikable funktionsmåder omfatter at logge på fra en ondsindet eller anonym IP-adresse eller fra en atypisk eller umulig rejseplacering, ved hjælp af et unormalt token, ved hjælp af en adgangskode fra en adgangskodespray eller udviser andre usædvanlige logonadfærd. Afhængigt af en brugers risikoniveau kan MSP'er også vælge at blokere adgang ved logon. Du kan få mere at vide om risici under Hvad er risiko?
Bemærk!
Betinget adgang kræver en P2-licens til Microsoft Entra id i partnerlejer. Hvis du vil konfigurere betinget adgang, skal du se Konfiguration af Microsoft Entra Betinget adgang.
Relateret indhold
Tilladelser til nulstilling af adgangskode (artikel)
Oversigt over tilladelser i Microsoft 365 Lighthouse (artikel)
Få vist dine Microsoft Entra roller i Microsoft 365 Lighthouse (artikel)
Krav til Microsoft 365 Lighthouse (artikel)
Oversigt over Microsoft 365 Lighthouse (artikel)
Tilmeld dig Microsoft 365 Lighthouse (artikel)
Ofte stillede spørgsmål om Microsoft 365 Lighthouse (artikel)
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om