Yleiskatsaus käyttöoikeuksista Microsoft 365 Lighthousessa

  • Artikkeli
  • 4 minuutin lukuaika

Hallitut palveluntarjoajat voivat käyttää Microsoft 365 Lighthousea asiakasvuokraajien delegoiduilla käyttöoikeuksilla. Hajautetut delegoidut järjestelmänvalvojan oikeudet (GDAP) antavat msp:ille korkean hallinnan ja joustavuuden tarjoamalla asiakaskäyttöoikeuden Azure Active Directoryn (Azure AD) valmiiden roolien kautta. Vähiten etuoikeutettujen roolien määrittäminen tehtävän mukaan GDAP:n kautta MSP-teknikoille pienentää suojausriskiä sekä msp:ille että asiakkaille. Lisätietoja vähiten etuoikeutetuista rooleista tehtävän mukaan on artikkelissa Vähiten etuoikeutetut roolit – Kumppanikeskus ja Vähiten etuoikeutetut roolit tehtävän mukaan Azure Active Directoryssa. Lisätietoja GDAP-suhteen määrittämisestä asiakkaan vuokraajan kanssa on kohdassa Hajautetun järjestelmänvalvojan käyttöoikeuksien hankkiminen asiakaspalvelun - kumppanikeskuksen hallintaan.

Suosittelemme roolien määrittämistä MSP-teknikkojen ryhmille niiden tehtävien perusteella, jotka kunkin ryhmän on suoritettava asiakkaan puolesta. Esimerkiksi Service Desk -teknikot saattavat joutua vain lukemaan asiakkaan vuokraajan tietoja tai nollaamaan käyttäjän salasanat. Sen sijaan eskalointiasiantuntijat saattavat joutua ryhtymään korjaaviin toimiin asiakkaan vuokraajan suojausasetusten päivittämiseksi. Paras käytäntö on määrittää tehtävän suorittamiseen tarvittava vähiten salliva rooli, jotta asiakas- ja kumppanitiedot pysyvät suojattuina. Suosittelemme, että käytät Privileged Identity Management (PIM) aika-alueen käyttöoikeuksia yleisen järjestelmänvalvojan rooliin tarvittaessa. Yleisen käyttöoikeuden antaminen liian monelle käyttäjälle on tietoturvariski, ja suosittelemme sen rajoittamista mahdollisimman paljon. Lisätietoja PIM:n käyttöönotosta on kohdassa AZURE AD PIM:n määrittäminen.

Seuraavan osion taulukoissa kuvataan, mitkä GDAP-roolit myöntävät oikeuden lukea asiakastietoja ja ryhtyä toimiin asiakkaiden vuokraajien kohdalla Lighthousessa. Katso tämän artikkelin kohdasta Kumppanivuokraajan käyttöoikeudet lisärooleja, joita tarvitaan Majakka-entiteettien hallintaan (esimerkiksi tunnisteet ja Majakka-palvelupyynnöt).

Seuraavassa taulukossa on lueteltu suositellut GDAP-roolit esimerkiksi MSP-palvelutasoille.

Tilinvalvojat Service Desk -teknikot Järjestelmänvalvojat Eskalointiasiantuntijat
Suositellut GDAP-roolit
  • Tukipalvelun järjestelmänvalvoja
  • Suojauksen lukija
    +
  • Tukipalvelun järjestelmänvalvoja
  • Yleinen lukija
    +
  • Käyttäjän järjestelmänvalvoja
    +
  • Todennuksen järjestelmänvalvoja
  • Yleinen lukija
    +
  • Käyttäjän järjestelmänvalvoja
    +
  • Intune järjestelmänvalvoja
    +
  • Suojauksen järjestelmänvalvoja

Seuraavassa taulukossa on lueteltu toiminnot, joita MSP-palvelun esimerkkitasot voivat suorittaa eri Majakka-sivuilla niiden määritettyjen GDAP-roolien perusteella (jotka on esitetty edellisessä taulukossa).

Majakkasivu Tilinvalvojat sallitut toiminnot Service Desk -teknikot sallitut toiminnot Järjestelmänvalvojien sallitut toiminnot Eskalointiasiantuntijat sallitut toiminnot
Home
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
Vuokralaisten
  • Näytä vuokraajien luettelo
  • Päivitä asiakkaiden yhteystiedot ja sivustot
  • Käyttöönottosuunnitelmien tarkasteleminen
  • Näytä vuokraajien luettelo
  • Päivitä asiakkaiden yhteystiedot ja sivustot
  • Käyttöönottosuunnitelmien tarkasteleminen
  • Näytä vuokraajien luettelo
  • Päivitä asiakkaiden yhteystiedot ja sivustot
  • Käyttöönottosuunnitelmien tarkasteleminen
  • Näytä Microsoft 365 -palveluiden käyttö
  • Näytä vuokraajien luettelo
  • Päivitä asiakkaiden yhteystiedot ja sivustot
  • Käyttöönottosuunnitelmien tarkasteleminen
  • Näytä Microsoft 365 -palveluiden käyttö
Käyttäjät
  • Näytä vuokraajatason (ei käyttäjäkohtaiset) tiedot
  • Hae käyttäjätilejä vuokraajasta
  • Palauta muiden kuin järjestelmänvalvojien salasana*
  • Näytä kaikki käyttäjäkohtaiset tiedot
  • Hae käyttäjätilejä vuokraajasta
  • Palauta muiden kuin järjestelmänvalvojien salasana*
  • Näytä kaikki käyttäjäkohtaiset tiedot
  • Hae käyttäjätilejä vuokraajasta
  • Palauta muiden kuin järjestelmänvalvojien salasana*
  • Kirjautumisen estäminen
  • Näytä kaikki käyttäjäkohtaiset tiedot
  • Hae käyttäjätilejä vuokraajasta
  • Palauta muiden kuin järjestelmänvalvojien salasana*
  • Kirjautumisen estäminen
  • Vaarantuneet käyttäjät
  • Käyttäjien riskin hylkääminen
Laitteet
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Synkronointilaite
  • Käynnistä laite uudelleen
  • Diagnostiikan kerääminen
Uhkien hallinta
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Suorita täysi tarkistus
  • Pikatarkistus
  • Päivitä virustentorjunta
  • Uudelleenkäynnistyslaite
Perusaikatauluja
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
Windows 365
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
  • Näytä kaikki tiedot
Palvelun kunto**       N/A       N/A       N/A       N/A
Valvontalokit**       N/A       N/A       N/A       N/A

*Katso salasanan palauttamisoikeudet taulukolle, jossa luetellaan, mitkä roolit tarvitaan asiakasvuokraajan järjestelmänvalvojien salasanojen palauttamiseen.

**Palvelun kunto ja valvontalokien tarkastelemiseen tarvitaan eri rooleja ja käyttöoikeuksia. Lisätietoja on artikkelissa Kumppanivuokraajan käyttöoikeudet.

Huomautus

Jos saat Majakassa viestin, jonka mukaan sinulla ei ole oikeuksia tarkastella tai muokata tietoja, sinulle määritetään rooli, jolla ei ole tarvittavia oikeuksia toiminnon suorittamiseen. Sinun on otettava yhteyttä kumppanivuokraajan järjestelmänvalvojaan, joka voi määrittää sinulle haluamasi roolin.

Delegoidut järjestelmänvalvojan oikeudet (DAP) Majakassa

GDAP korvaa lopulta DAP:n ensisijaisena menetelmänä asiakasvuokraajien delegoidun käytön määrittämiseksi. Jos GDAP:tä ei ole määritetty, MSP-teknikot voivat silti käyttää Lighthousea helpdesk-agentin tai DAP:n kautta myönnettyjen agenttiroolien Hallinta. Asiakkaille, joilla GDAP ja DAP ovat rinnakkaisia, MSP-teknikoille GDAP:n kautta myönnetyt roolit ovat etusijalla. Lisätietoja GDAP- tai DAP-poistosta on artikkelissa GDAP:n usein kysytyt kysymykset tai kumppanikeskuksen ilmoitukset päivämääristä ja aikajannoista.

Asiakkaille, joilla on DAP eikä GDAP- rooli, Hallinta Agent -rooli antaa oikeudet tarkastella kaikkia vuokraajan tietoja ja ryhtyä kaikkiin toimiin Majakassa (katso alta muita toimintoja, jotka edellyttävät roolia kumppanivuokraajassa).

Tukiagentin rooli myöntää oikeudet tarkastella kaikkia vuokraajan tietoja ja suorittaa rajoitettuja toimia Majakassa, kuten palauttaa käyttäjien salasanat, estää käyttäjien kirjautumiset sekä päivittää asiakkaan yhteystiedot ja sivustot.

Koska kumppanivuokraajan käyttäjille, joilla on DAP-rooleja, myönnetään laajat käyttöoikeudet, suosittelemme GDAP:n käyttöönottoa mahdollisimman pian.

Kumppanivuokraajan käyttöoikeudet

Tietyissä Lighthousen toiminnoissa kumppanivuokraajan roolimääritykset ovat pakollisia. Seuraavassa taulukossa on lueteltu kumppanivuokraajan roolit ja niihin liittyvät käyttöoikeudet.

Kumppanivuokraajan roolit Käyttöoikeudet
Kumppanivuokraajan yleinen järjestelmänvalvoja
  • Rekisteröidy Majakkaan Microsoft 365 -hallintakeskus.
  • Hyväksy kumppanisopimuksen muutokset ensimmäisen käyttökerden aikana.
  • Ota vuokraaja käyttöön ja aktivoi se.
  • Luo, päivitä ja poista tunnisteita.
  • Määritä ja poista tunnisteita asiakkaan vuokraajasta.
  • Tarkista valvontalokit
Kumppanivuokraajan jäsen, jolla on vähintään yksi Azure AD rooli määritettynä seuraavalla ominaisuusjoukolla:
microsoft.office365.supportTickets/allEntities/allTasks
(Täydellinen luettelo Azure AD rooleista on kohdassa Azure AD sisäiset roolit.)		 Luo majakkapalvelupyyntöjä.
Vuokraajan kumppanijäsen, joka täyttää molemmat seuraavista vaatimuksista:
  • Vähintään yhdelle Azure AD roolille on määritetty seuraava ominaisuusjoukko:
    microsoft.office365.serviceHealth/allEntities/allTasks
    (Täydellinen luettelo Azure AD rooleista on kohdassa Azure AD sisäiset roolit.)
  • Vähintään yksi DAP-rooli on määritetty (Hallinta agentti tai tukiagentti)
 Näytä palvelun kuntotiedot.

Aiheeseen liittyvä sisältö

Microsoft 365 Lighthousen vaatimukset (artikkeli)
Delegoitujen hallintaoikeuksien (DAP) usein kysytyt kysymykset (artikkeli)
Azure Active Directory -roolien tarkasteleminen Microsoft 365 Lighthousessa (artikkeli)
Roolien ja käyttöoikeuksien määrittäminen käyttäjille (artikkeli)
Microsoft 365 Lighthousen yleiskatsaus (artikkeli)
Rekisteröidy Microsoft 365 Lighthouseen (artikkeli)
Microsoft 365 Lighthousen usein kysytyt kysymykset (artikkeli)