A Microsoft 365 Lighthouse portál biztonságának konfigurálása

Az ügyféladatokhoz való hozzáférés védelme, ha egy felügyelt szolgáltató (MSP) delegált hozzáférési engedélyekkel rendelkezik a bérlői számára, kiberbiztonsági prioritást élvez. A Microsoft 365 Lighthouse szükséges és opcionális képességekkel is rendelkezik a Lighthouse portál biztonságának konfigurálásához. A Lighthouse eléréséhez be kell állítania bizonyos szerepköröket, amelyeknél engedélyezve van a többtényezős hitelesítés (MFA). Igény szerint beállíthatja a Microsoft Entra Privileged Identity Managementet (PIM) és a feltételes hozzáférést.

Többtényezős hitelesítés (MFA) beállítása

Ahogy azt a blogbejegyzésben említettük, a Pa$$word nem számít:

"A jelszó nem számít, de az MFA igen. Tanulmányaink alapján a fiókja több mint 99,9%-kal kisebb valószínűséggel kerül veszélybe, ha MFA-t használ."

Amikor a felhasználók először férnek hozzá a Lighthouse-hoz, a rendszer kérni fogja, hogy állítsa be az MFA-t, ha a Microsoft 365-fiókjuk még nincs konfigurálva. A felhasználók csak akkor férhetnek hozzá a Lighthouse-hoz, ha a szükséges MFA-beállítási lépés befejeződik. További információ a hitelesítési módszerekről: A Microsoft 365-ös bejelentkezés beállítása többtényezős hitelesítéshez.

Szerepköralapú hozzáférés-vezérlés beállítása

A szerepköralapú hozzáférés-vezérlés (RBAC) hozzáférést biztosít az erőforrásokhoz vagy információkhoz a felhasználói szerepkörök alapján. A Lighthouse ügyfélbérlői adataihoz és beállításaihoz való hozzáférés a felhőszolgáltatói (CSP-) program adott szerepköreire korlátozódik. Az RBAC-szerepkörök Lighthouse-ban való beállításához javasoljuk, hogy részletes delegált rendszergazdai jogosultságokkal (GDAP) implementálja a részletes hozzárendeléseket a felhasználók számára. A bérlő sikeres előkészítéséhez továbbra is delegált rendszergazdai jogosultságokra (DAP) van szükség, de a csak GDAP-ügyfelek a DAP-hez való függőség nélkül is regisztrálhatnak. A GDAP-engedélyek elsőbbséget élveznek, ha a DAP és a GDAP együtt él egy ügyféllel.

GDAP-kapcsolat beállításához lásd: Részletes rendszergazdai engedélyek beszerzése az ügyfél szolgáltatásának kezeléséhez. További információ arról, hogy mely szerepköröket javasoljuk a Lighthouse használatához: A Microsoft 365 Lighthouse engedélyeinek áttekintése.

Az MSP-technikusok a Lighthouse-t rendszergazdai ügynök vagy segélyszolgálati ügynök szerepkörök használatával is elérhetik delegált rendszergazdai jogosultságokkal (DAP).

A Lighthouse nem ügyfél bérlővel kapcsolatos műveleteihez (például előkészítés, ügyfél inaktiválása/újraaktiválása, címkék kezelése, naplók áttekintése) az MSP-technikusoknak hozzárendelt szerepkörrel kell rendelkezniük a partnerbérlőben. A partnerbérlői szerepkörökkel kapcsolatos további részletekért lásd: Engedélyek áttekintése a Microsoft 365 Lighthouse-ban .

A Microsoft Entra Privileged Identity Management (PIM) beállítása

Az MSP-k minimálisra csökkenthetik azoknak a személyeknek a számát, akik magas jogosultsági szintű szerepkörrel rendelkeznek az információk vagy erőforrások biztonságossá tételéhez a PIM használatával. A PIM csökkenti annak az esélyét, hogy egy rosszindulatú személy hozzáfér az erőforrásokhoz vagy az arra jogosult felhasználókhoz, véletlenül hatással legyen egy bizalmas erőforrásra. Az MSP-k igény szerinti magas jogosultsági szerepköröket is biztosíthatnak a felhasználóknak az erőforrások eléréséhez, széles körű módosítások elvégzéséhez, valamint a kijelölt felhasználók kiemelt hozzáféréssel végzett tevékenységének figyeléséhez.

Megjegyzés:

A Microsoft Entra PIM használatához Microsoft Entra ID P2 licenc szükséges a partnerbérlőben.

A következő lépésekkel emelheti a partnerbérlő felhasználóit az időtartományú magasabb jogosultsági szerepkörökre a PIM használatával:

1. Hozzon létre egy szerepkörhöz hozzárendelhető csoportot a Szerepkörök hozzárendelésére szolgáló csoport létrehozása a Microsoft Entra ID-ban című cikkben leírtak szerint.

2. Lépjen a Microsoft Entra-azonosító – Minden csoport lapra , és vegye fel az új csoportot egy biztonsági csoport tagjaként a magas jogosultsági szintű szerepkörökhöz (például a DAP rendszergazdai ügynökeinek biztonsági csoportja vagy a GDAP-szerepkörökhöz hasonló biztonsági csoport).

3. Állítson be emelt szintű hozzáférést az új csoporthoz a Jogosult tulajdonosok és tagok hozzárendelése emelt szintű hozzáférési csoportokhoz című cikkben leírtak szerint.

További információ a PIM-ről: Mi az a Privileged Identity Management?

Kockázatalapú Microsoft Entra feltételes hozzáférés beállítása

Az MSP-k kockázatalapú feltételes hozzáféréssel gondoskodhatnak arról, hogy az alkalmazottak igazolják személyazonosságukat az MFA használatával és a jelszó megváltoztatásával, ha kockázatos felhasználóként észlelik őket (kiszivárgott hitelesítő adatokkal vagy a Microsoft Entra fenyegetésfelderítés alapján). A felhasználóknak egy ismerős helyről vagy regisztrált eszközről is be kell jelentkezniük, ha kockázatos bejelentkezést észlelnek. Az egyéb kockázatos viselkedések közé tartozik a rosszindulatú vagy névtelen IP-címről, illetve atipikus vagy lehetetlen utazási helyről való bejelentkezés, rendellenes token használata, jelszófeltörésből származó jelszó használata vagy egyéb szokatlan bejelentkezési viselkedés. A felhasználói kockázati szinttől függően az MSP-k úgy is dönthetnek, hogy bejelentkezéskor letiltják a hozzáférést. A kockázatokkal kapcsolatos további információkért lásd: Mi a kockázat?

Megjegyzés:

A feltételes hozzáféréshez Microsoft Entra ID P2 licenc szükséges a partnerbérlőben. A feltételes hozzáférés beállításához lásd: A Microsoft Entra feltételes hozzáférésének konfigurálása.

Kapcsolódó tartalom

Új jelszó kéréséhez szükséges engedélyek (cikk)
A Microsoft 365 Lighthouse engedélyeinek áttekintése (cikk)
A Microsoft Entra-szerepkörök megtekintése a Microsoft 365 Lighthouse-ban (cikk)
A Microsoft 365 Lighthouse követelményei (cikk)
A Microsoft 365 Lighthouse áttekintése (cikk)
Regisztráció a Microsoft 365 Lighthouse-ra (cikk)
Microsoft 365 Lighthouse – gyakori kérdések (cikk)