Microsoft 365 Lighthouse -portaalin suojauksen määrittäminen

  • Artikkeli

Asiakastietojen käytön suojaaminen, kun hallittu palveluntarjoaja (MSP) on delegoinut käyttöoikeudet vuokraajilleen, on kyberturvallisuusprioriteetti. Microsoft 365 Lighthouse sisältää sekä tarvittavat että valinnaiset ominaisuudet, joiden avulla voit määrittää Majakkaportaalin suojauksen. Sinun on määritettävä tietyt roolit, joissa monimenetelmäinen todentaminen on käytössä, ennen kuin voit käyttää Majakkaa. Voit halutessasi määrittää Microsoft Entra Privileged Identity Management (PIM) ja ehdollisen käyttöoikeuden.

Monimenetelmäinen todentaminen (MFA)

Kuten blogikirjoituksessa mainitaan , Pa$$word ei ole väliä:

"Salasanalla ei ole väliä, mutta monimenetelmäinen todentaminen on sama. Tutkimusten perusteella tilisi on yli 99,9 % epätodennäköisempi vaarantua, jos käytät monimenetelmäistä todentamista."

Kun käyttäjät käyttävät Lighthousea ensimmäistä kertaa, heitä kehotetaan määrittämään MFA, jos heidän Microsoft 365 -tiliään ei ole vielä määritetty. Käyttäjät eivät voi käyttää Majakkaa, ennen kuin vaadittu MFA-määritysvaihe on suoritettu. Lisätietoja todennusmenetelmistä on artikkelissa Microsoft 365 -kirjautumisen määrittäminen monimenetelmäistä todentamista varten.

Roolipohjaisen käytön valvonnan määrittäminen

Roolipohjainen käyttöoikeuksien hallinta (RBAC) myöntää käyttöoikeuksia resursseihin tai tietoihin käyttäjäroolien perusteella. Asiakkaiden vuokraajatietojen ja -asetusten käyttö Lighthousessa on rajoitettu pilviratkaisujen tarjoajan (CSP) ohjelman tiettyihin rooleihin. Jos haluat määrittää RBAC-rooleja Lighthousessa, suosittelemme, että käytät hajautettuja delegoituja järjestelmänvalvojan oikeuksia (GDAP) eriytettyjen määritysten käyttöönottoon käyttäjille. Delegoidut järjestelmänvalvojan oikeudet (DAP) vaaditaan edelleen, jotta vuokraaja voidaan ottaa käyttöön onnistuneesti, mutta vain GDAP-asiakkaat voivat pian liittyä mukaan ilman riippuvuutta DAP:stä. GDAP-käyttöoikeudet ovat etusijalla, kun DAP ja GDAP ovat asiakkaiden käytössä.

Jos haluat määrittää GDAP-suhteen, katso eriytettyjen järjestelmänvalvojan käyttöoikeuksien hankkiminen asiakkaan palvelun hallintaan. Lisätietoja siitä, mitkä roolit suosittelemme käyttämään Majakkaa, on artikkelissa Yleiskatsaus käyttöoikeuksista Microsoft 365 Lighthousessa.

MSP-teknikot voivat myös käyttää Majakkaa käyttämällä Hallinta agentin tai tukiagentin rooleja delegoitujen järjestelmänvalvojan oikeuksien (DAP) kautta.

Muiden kuin asiakkaiden vuokraajaan liittyvissä Toiminnoissa Majakassa (esimerkiksi perehdytys, asiakkaiden aktivointi/uudelleenaktivointi, tunnisteiden hallinta, lokien tarkistus) MSP-teknikoilla on oltava määritetty rooli kumppanivuokraajassa. Lisätietoja vuokraajakumppaneiden rooleista on artikkelissa Yleiskatsaus käyttöoikeuksista Microsoft 365 Lighthousessa .

Määritä Microsoft Entra Privileged Identity Management (PIM)

MSP:t voivat minimoida niiden henkilöiden määrän, joilla on suuri käyttöoikeus suojattuihin tietoihin tai resursseihin PIM:n avulla. PIM vähentää mahdollisuutta, että pahantahtoinen henkilö saa pääsyn resursseihin tai että valtuutetut käyttäjät vaikuttavat tahattomasti arkaluontoiseen resurssiin. MsP:t voivat myös antaa käyttäjille juuri ajoissa korkeita käyttöoikeusrooleja resurssien käyttämiseen, laajojen muutosten tekemiseen ja valvoa, mitä määritetyt käyttäjät tekevät etuoikeutetuilla käyttöoikeuksillaan.

Huomautus

Microsoft Entra PIM edellyttää Microsoft Entra ID P2 -käyttöoikeutta kumppanivuokraajassa.

Seuraavat vaiheet nostavat kumppanivuokraajan käyttäjät aikakatkaistiin suurempiin käyttöoikeusrooleihin PIM:n avulla:

  1. Luo roolille määritettävä ryhmä artikkelissa Ryhmän luominen roolien määrittämistä varten Microsoft Entra tunnuksella kuvatulla tavalla.

  2. Siirry kohtaan Microsoft Entra TUNNUS – Kaikki ryhmät ja lisää uusi ryhmä käyttöoikeusryhmän jäseneksi suurissa käyttöoikeusrooleissa (esimerkiksi Hallinta Agent -käyttöoikeusryhmä DAP:tä varten tai vastaava käyttöoikeusryhmä GDAP-rooleille).

  3. Määritä uuden ryhmän erityisoikeudet artikkelin Määritä oikeutetut omistajat ja jäsenet etuoikeutettuihin käyttöoikeusryhmiin mukaisesti.

Lisätietoja PIM:stä on artikkelissa Mikä on Privileged Identity Management?

Riskeihin perustuvien Microsoft Entra ehdollisten käyttöoikeuksien määrittäminen

MsP:t voivat käyttää riskipohjaista ehdollista käyttöoikeutta varmistaakseen, että henkilökunnan jäsenet todistavat henkilöllisyytensä monimenetelmäisen todentamisen avulla ja vaihtamalla salasanansa, kun heidät havaitaan riskialttiiksi käyttäjäksi (vuotaneilla tunnistetiedoilla tai Microsoft Entra uhkien tiedustelutiedoilla). Käyttäjien on myös kirjauduttava sisään tutusta sijainnista tai rekisteröidystä laitteesta, kun hänet havaitaan riskialttiiksi kirjautumiseksi. Muita riskialttiita toimintoja ovat sisäänkirjautuminen haitallisesta tai nimettömästä IP-osoitteesta tai epätyypillisestä tai mahdottomasta matkustussijainnista, poikkeavan tunnuksen käyttäminen, salasanasuihkeen salasanan käyttäminen tai muu epätavallinen kirjautumiskäyttäytyminen. Käyttäjän riskitasosta riippuen msp-käyttäjät voivat myös estää käytön kirjautumisen yhteydessä. Lisätietoja riskeistä on artikkelissa Mikä on riski?

Huomautus

Ehdollinen käyttö edellyttää Microsoft Entra ID P2 -käyttöoikeutta kumppanivuokraajaan. Jos haluat määrittää ehdollisen käyttöoikeuden, katso Microsoft Entra ehdollisten käyttöoikeuksien määrittäminen.

Aiheeseen liittyvä sisältö

Salasanan palautusoikeudet (artikkeli)
Yleiskatsaus käyttöoikeuksista Microsoft 365 Lighthousessa (artikkeli)
Tarkastele Microsoft Entra roolejasi Microsoft 365 Lighthousessa (artikkeli)
Microsoft 365 Lighthousen vaatimukset (artikkeli)
Microsoft 365 Lighthousen yleiskatsaus (artikkeli)
Rekisteröidy Microsoft 365 Lighthouseen (artikkeli)
Microsoft 365 Lighthousen usein kysytyt kysymykset (artikkeli)