Vue d’ensemble des autorisations dans Microsoft 365 Lighthouse
Microsoft 365 Lighthouse autorisations sont principalement gérées par les éléments suivants :
- Contrôle d’accès en fonction du rôle (RBAC) Lighthouse dans le locataire partenaire
- Privilèges d’administration délégués granulaires (GDAP) dans le locataire du client
Pour utiliser Lighthouse, vous avez besoin d’une combinaison de rôles attribués via RBAC et GDAP.
Gérer les autorisations RBAC Lighthouse dans le locataire partenaire
Les autorisations Lighthouse dans le locataire partenaire sont gérées en attribuant des rôles RBAC dans Lighthouse. Chaque rôle dispose d’un ensemble d’autorisations qui détermine les données auxquelles les utilisateurs peuvent accéder et modifier au sein du locataire partenaire. Les rôles RBAC Lighthouse ne fournissent pas d’accès aux données client. L’accès aux données client est régi par les autorisations GDAP d’un utilisateur Lighthouse (consultez Gérer GDAP dans le locataire du client).
Les rôles RBAC sont gérés à partir de la page Autorisations Lighthouse dans Lighthouse. Pour accéder à la page Autorisations Lighthouse et gérer les autorisations, vous devez avoir l’un des rôles suivants :
- Administrateur de rôle privilégié dans Microsoft Entra ID
- Administrateur dans Lighthouse
Pour plus d’informations, consultez Gérer les autorisations RBAC Lighthouse dans Microsoft 365 Lighthouse.
Le tableau suivant fournit une vue d’ensemble de chaque rôle RBAC Lighthouse. Pour obtenir la liste des actions que chaque rôle peut effectuer dans le locataire partenaire, consultez Rôles et fonctionnalités RBAC Lighthouse.
| Rôle RBAC Lighthouse | Vue d’ensemble |
|---|---|
| Gestionnaire de compte | Les gestionnaires de compte disposent d’un accès complet aux pages et aux données du conseiller commercial sur l’ensemble du locataire partenaire. Les gestionnaires de compte peuvent exporter des données sales Advisor. |
| Administrateur | Les administrateurs disposent d’autorisations d’administration complètes dans Lighthouse. Les administrateurs peuvent gérer les autorisations RBAC et GDAP et créer des bases de référence, des balises et des alertes. Les administrateurs se voient automatiquement attribuer les rôles Administrateur de rôle privilégié, Administrateur d’utilisateurs et Administrateur de groupe dans Microsoft Entra ID et le rôle Agent Administration dans l’Espace partenaires. |
| Opérateur | Les opérateurs gèrent les locataires clients dans Lighthouse en fonction des autorisations GDAP qui leur sont attribuées pour chaque locataire client qu’ils gèrent. Les opérateurs peuvent afficher les status client de haut niveau et gérer les alertes. Les utilisateurs Lighthouse qui détiennent au moins un rôle Microsoft Entra se voient attribuer automatiquement le rôle Opérateur. Note: Les administrateurs Lighthouse peuvent utiliser des modèles sur la page Accès délégué pour attribuer des autorisations GDAP aux utilisateurs lighthouse. |
| Lecteur | Les lecteurs ont un accès en lecture seule aux données dans Lighthouse. Les lecteurs Lighthouse peuvent afficher les status et les alertes de locataire client de haut niveau. |
Rôles et fonctionnalités du contrôle d’accès en fonction du rôle Lighthouse
Le tableau suivant décrit les actions que chaque rôle RBAC Lighthouse peut effectuer dans Lighthouse. Pour certaines actions, vous devez détenir un rôle Microsoft Entra en plus d’un rôle RBAC Lighthouse. Pour les autres actions, seul un rôle Microsoft Entra est requis. Microsoft Entra exigences de rôle sont indiquées dans la dernière colonne du tableau. Pour obtenir la liste complète des rôles Microsoft Entra et les actions qu’ils peuvent effectuer, consultez Microsoft Entra rôles intégrés.
| Zone | Actions | Gestionnaire de compte | Administrateur | Opérateur | Lecteur | Vous avez besoin Microsoft Entra rôle ? |
|---|---|---|---|---|---|---|
| Page d’accueil | Afficher les données sur les cartes | Oui | ||||
| Ajouter des utilisateurs | Oui | |||||
| Réinitialiser le mot de passe | Oui | |||||
| Utilisateurs hors-bord | Oui | |||||
| Alertes | Afficher les alertes et les règles d’alerte | ✓ | ✓ | ✓ | Non | |
| Gérer les alertes (modifier la gravité, la status ou l’affectation) | ✓ | Non | ||||
| Créer, modifier et supprimer des règles d’alerte | ✓ | Non | ||||
| Insights Copilot | Afficher les opportunités et les données d’adoption | Oui | ||||
| Tenants | Afficher la page Locataires | ✓ | ✓ | ✓ | ✓ | Non |
| Afficher les détails du locataire | Oui | |||||
| Exporter des données | ✓ | ✓ | ✓ | ✓ | Non | |
| Afficher les balises | ✓ | ✓ | ✓ | ✓ | Non | |
| Créer, mettre à jour et supprimer des balises dans Lighthouse | ✓ | Non | ||||
| Attribuer et supprimer des étiquettes des locataires | ✓ | Non | ||||
| Activer et désactiver un locataire | ✓ | Non | ||||
| Afficher les status d’accès délégué | ✓ | ✓ | ✓ | ✓ | Non | |
| Afficher le niveau de sécurité Microsoft | Oui | |||||
| Afficher les affectations de référence | ✓ | ✓ | ✓ | ✓ | Non | |
| Afficher les status de déploiement | ✓ | Oui | ||||
| Afficher l’utilisation des applications et des services | ✓ | Oui | ||||
| Afficher et modifier le contact client et les informations du site web | ✓ | ✓ | ✓ | ✓ | Non | |
| Utilisateurs | Rechercher des utilisateurs | Oui | ||||
| Afficher les métriques utilisateur | Oui | |||||
| Intégrer de nouveaux utilisateurs | Oui | |||||
| Utilisateurs hors-bord | Oui | |||||
| Afficher les utilisateurs inactifs | Oui | |||||
| Afficher les boîtes aux lettres partagées | Oui | |||||
| Afficher et gérer les utilisateurs à risque | Oui | |||||
| Afficher et gérer l’authentification multifacteur | Oui | |||||
| Afficher et gérer la réinitialisation de mot de passe en libre-service | Oui | |||||
| Appareils | Afficher les données de sécurité des appareils | Oui | ||||
| Afficher les données de gestion des vulnérabilités | Oui | |||||
| Afficher les données de conformité des appareils | Oui | |||||
| Afficher les données de gestion des menaces | Oui | |||||
| Afficher les données d’intégrité de l’appareil | Oui | |||||
| Afficher les données Windows 365 | Oui | |||||
| Afficher les journaux des événements Windows | Oui | |||||
| Applications | Afficher les données de gestion des applications et des performances des applications | Oui | ||||
| messages mis en quarantaine | Afficher et gérer les messages mis en quarantaine | Oui | ||||
| Bases de référence | Afficher les bases de référence (par défaut, personnalisées) et les détails des tâches | ✓ | ✓ | ✓ | Non | |
| Créer, cloner, modifier et affecter des bases de référence | ✓ | Non | ||||
| Afficher les insights de déploiement | Oui | |||||
| Intégrité des services | Surveiller l’intégritédu service 1 | Non | ||||
| Support | Créer et gérer des demandes de service2 | Non | ||||
| Journaux d’audit | Afficher les journaux d’audit | ✓ | Oui | |||
| Autorisations | Afficher la page Autorisations lighthouse | ✓ | Non | |||
| Configurer et gérer les autorisations Lighthouse | ✓ | Non | ||||
| Afficher, configurer et gérer GDAP sur la page Accès délégué | ✓ | Non | ||||
| Conseiller commercial | Afficher les opportunités | ✓ | ✓ | Non | ||
| Afficher les renouvellements d’abonnement | ✓ | ✓ | Non | |||
| Afficher les demandes de licence | ✓ | ✓ | Non |
1 Pour surveiller l’intégrité du service, les utilisateurs Lighthouse doivent détenir au moins un rôle Microsoft Entra dans le locataire partenaire avec les propriétés suivantes définies : microsoft.office365.serviceHealth/allEntities/allTasks. Les utilisateurs doivent également avoir au moins le rôle d’agent Administration ou d’agent de support technique qui leur est attribué dans l’Espace partenaires.
2 Pour créer et gérer des demandes de service, les utilisateurs Lighthouse doivent détenir au moins un rôle Microsoft Entra dans le locataire partenaire avec les propriétés suivantes définies : microsoft.office365.supportTickets/allEntities/allTasks.
Gérer GDAP dans le locataire du client
Tout comme les rôles RBAC Lighthouse gèrent les autorisations dans le locataire partenaire, GDAP gère les autorisations dans les locataires clients. GDAP vous offre un haut niveau de contrôle et de flexibilité en fournissant l’accès aux locataires clients via Microsoft Entra rôles intégrés. L’attribution des rôles les moins privilégiés par tâche aux techniciens MSP via GDAP réduit les risques de sécurité pour les msp et les clients. Nous vous recommandons d’utiliser des rôles de lecteur GDAP entre les locataires clients pour donner aux utilisateurs Lighthouse une vue d’ensemble de tous les locataires clients.
Pour plus d’informations sur la configuration d’une relation GDAP avec un locataire client dans Lighthouse, consultez Obtenir des autorisations d’administrateur précises pour gérer le service d’un client - Espace partenaires.
Pour plus d’informations sur les rôles avec privilèges minimum par tâche, consultez Rôles moins privilégiés - Espace partenaires et Rôles avec privilèges minimum par tâche dans Microsoft Entra ID.
Pour plus d’informations sur GDAP ou la dépréciation des privilèges d’administration délégués (DAP), consultez le Forum aux questions GDAP - Espace partenaires ou recherchez des dates et des chronologies dans les annonces de l’Espace partenaires .
Pour obtenir la liste complète des rôles Microsoft Entra et les actions qu’ils peuvent effectuer, consultez Microsoft Entra rôles intégrés. Pour plus d’informations sur l’attribution de rôles, consultez Attribuer des rôles Microsoft Entra aux utilisateurs.
Contenu connexe
Afficher vos rôles Microsoft Entra dans Microsoft 365 Lighthouse (article)
Gérer les autorisations RBAC Lighthouse dans Microsoft 365 Lighthouse (article)
Configurer GDAP dans Microsoft 365 Lighthouse (article)
Vue d’ensemble de la page Accès délégué dans Microsoft 365 Lighthouse (article)
Attribuer des rôles et des autorisations aux utilisateurs - Espace partenaires (article)
Forum aux questions GDAP - Espace partenaires (article)
Microsoft 365 Lighthouse questions fréquentes (FAQ) (article)