Configuración de la seguridad del portal de Microsoft 365 Lighthouse
Proteger el acceso a los datos del cliente cuando un proveedor de servicios administrados (MSP) tiene permisos de acceso delegados a sus inquilinos es una prioridad de ciberseguridad. Microsoft 365 Lighthouse incluye funcionalidades necesarias y opcionales para ayudarle a configurar la seguridad del portal de Lighthouse. Debe configurar roles específicos con la autenticación multifactor (MFA) habilitada para poder acceder a Lighthouse. Opcionalmente, puede configurar Microsoft Entra Privileged Identity Management (PIM) y acceso condicional.
Configuración de la autenticación multifactor (MFA)
Como se mencionó en la entrada de blog Your Pa$$word doesn't matter:
"La contraseña no importa, pero MFA sí. Según nuestros estudios, su cuenta tiene más de un 99,9 % menos de probabilidades de verse comprometida si usa MFA".
Cuando los usuarios accedan a Lighthouse por primera vez, se les pedirá que configuren MFA si su cuenta de Microsoft 365 aún no la tiene configurada. Los usuarios no podrán acceder a Lighthouse hasta que se complete el paso de configuración de MFA necesario. Para más información sobre los métodos de autenticación, consulte Configuración del inicio de sesión de Microsoft 365 para la autenticación multifactor.
Configuración del control de acceso basado en rol
El control de acceso basado en rol (RBAC) concede acceso a recursos o información en función de los roles de usuario. El acceso a los datos y la configuración del inquilino del cliente en Lighthouse está restringido a roles específicos del programa Proveedor de soluciones en la nube (CSP). Para configurar roles de RBAC en Lighthouse, se recomienda usar privilegios de administrador delegados granulares (GDAP) para implementar asignaciones pormenorizadas para los usuarios. Los privilegios de administrador delegado (DAP) siguen siendo necesarios para que el inquilino se incorpore correctamente, pero los clientes solo de GDAP pronto podrán incorporarse sin dependencia de DAP. Los permisos GDAP tienen prioridad cuando DAP y GDAP coexisten para un cliente.
Para configurar una relación GDAP, consulte Obtención de permisos de administrador granulares para administrar el servicio de un cliente. Para obtener más información sobre qué roles se recomiendan usar Lighthouse, consulte Información general sobre los permisos en Microsoft 365 Lighthouse.
Los técnicos de MSP también pueden acceder a Lighthouse mediante el uso de roles de agente de Administración o agente del departamento de soporte técnico a través de privilegios de administrador delegado (DAP).
Para las acciones relacionadas con inquilinos que no son del cliente en Lighthouse (por ejemplo, incorporación, desactivación o reactivación del cliente, administración de etiquetas, revisión de registros), los técnicos de MSP deben tener un rol asignado en el inquilino del asociado. Consulte Introducción a los permisos en Microsoft 365 Lighthouse para obtener más información sobre los roles de inquilino de asociados.
Configuración de Microsoft Entra Privileged Identity Management (PIM)
Los CSP pueden minimizar el número de personas que tienen acceso a roles con privilegios elevados para proteger la información o los recursos mediante PIM. PIM reduce la posibilidad de que una persona malintencionada obtenga acceso a los recursos o a los usuarios autorizados que afecten involuntariamente a un recurso confidencial. Los CSP también pueden conceder a los usuarios roles de privilegios elevados Just-In-Time para acceder a los recursos, realizar cambios amplios y supervisar lo que hacen los usuarios designados con su acceso con privilegios.
Nota:
El uso de Microsoft Entra PIM requiere una licencia P2 de identificador de Microsoft Entra en el inquilino del asociado.
Los pasos siguientes elevan a los usuarios de inquilinos asociados a roles de privilegios más altos con ámbito de tiempo mediante PIM:
Cree un grupo asignable a roles como se describe en el artículo Creación de un grupo para asignar roles en Microsoft Entra id.
Vaya a Microsoft Entra id. : todos los grupos y agregue el nuevo grupo como miembro de un grupo de seguridad para roles con privilegios elevados (por ejemplo, Administración grupo de seguridad Agentes para DAP o un grupo de seguridad correspondiente similar para los roles de GDAP).
Configure el acceso con privilegios al nuevo grupo como se describe en el artículo Asignación de propietarios y miembros aptos para grupos de acceso con privilegios.
Para más información sobre PIM, consulte ¿Qué es Privileged Identity Management?
Configuración del acceso condicional Microsoft Entra basado en riesgos
Los CSP pueden usar el acceso condicional basado en riesgos para asegurarse de que sus miembros del personal demuestren su identidad mediante MFA y cambiando su contraseña cuando se detecta como un usuario de riesgo (con credenciales filtradas o por Microsoft Entra inteligencia sobre amenazas). Los usuarios también deben iniciar sesión desde una ubicación conocida o desde un dispositivo registrado cuando se detecta como un inicio de sesión de riesgo. Otros comportamientos de riesgo incluyen el inicio de sesión desde una dirección IP malintencionada o anónima o desde una ubicación de viaje atípica o imposible, el uso de un token anómalo, el uso de una contraseña de difusión de contraseñas o la exhibición de otro comportamiento de inicio de sesión inusual. En función del nivel de riesgo de un usuario, los CSP también pueden optar por bloquear el acceso al iniciar sesión. Para obtener más información sobre los riesgos, consulte ¿Qué es el riesgo?
Nota:
El acceso condicional requiere una licencia Microsoft Entra id. P2 en el inquilino del asociado. Para configurar el acceso condicional, consulte Configuración de Microsoft Entra acceso condicional.
Contenido relacionado
Permisos de restablecimiento de contraseña (artículo)
Introducción a los permisos en Microsoft 365 Lighthouse (artículo)
Ver los roles de Microsoft Entra en Microsoft 365 Lighthouse (artículo)
Requisitos para Microsoft 365 Lighthouse (artículo)
Información general de Microsoft 365 Lighthouse (artículo)
Registrarse para obtener Microsoft 365 Lighthouse (artículo)
Preguntas más frecuentes sobre Microsoft 365 Lighthouse (artículo)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de