Configurare la sicurezza del portale di Microsoft 365 Lighthouse

  • Articolo

La protezione dell'accesso ai dati dei clienti quando un provider di servizi gestiti (MSP) dispone di autorizzazioni di accesso delegate ai tenant è una priorità di sicurezza informatica. Microsoft 365 Lighthouse include funzionalità obbligatorie e facoltative che consentono di configurare la sicurezza del portale Lighthouse. Prima di poter accedere a Lighthouse, è necessario configurare ruoli specifici con l'autenticazione a più fattori abilitata. Facoltativamente, è possibile configurare Microsoft Entra Privileged Identity Management (PIM) e l'accesso condizionale.

Configurare l'autenticazione a più fattori (MFA)

Come accennato nel post di blog Your Pa$$word non importa:

"La password non è importante, ma l'autenticazione a più fattori lo fa. In base ai nostri studi, il tuo account ha più del 99,9% di probabilità in meno di essere compromesso se usi MFA."

Quando gli utenti accedono a Lighthouse per la prima volta, verrà richiesto di configurare MFA se l'account Microsoft 365 non è già configurato. Gli utenti non potranno accedere a Lighthouse fino al completamento del passaggio di configurazione dell'autenticazione a più fattori richiesto. Per altre informazioni sui metodi di autenticazione, vedere Configurare l'accesso a Microsoft 365 per l'autenticazione a più fattori.

Configurare il controllo degli accessi in base al ruolo

Il controllo degli accessi in base al ruolo concede l'accesso alle risorse o alle informazioni in base ai ruoli utente. L'accesso ai dati e alle impostazioni del tenant del cliente in Lighthouse è limitato a ruoli specifici del programma Cloud Solution Provider (CSP). Per configurare i ruoli controllo degli accessi in base al ruolo in Lighthouse, è consigliabile usare privilegi di amministratore delegati granulari (GDAP) per implementare assegnazioni granulari per gli utenti. I privilegi di amministratore delegato (DAP) sono ancora necessari per consentire al tenant di eseguire correttamente l'onboarding, ma i clienti solo GDAP saranno presto in grado di eseguire l'onboarding senza una dipendenza da DAP. Le autorizzazioni GDAP hanno la precedenza quando dap e GDAP coesistono per un cliente.

Per configurare una relazione GDAP, vedere Ottenere autorizzazioni di amministratore granulari per gestire il servizio di un cliente. Per altre informazioni sui ruoli consigliati per l'uso di Lighthouse, vedere Panoramica delle autorizzazioni in Microsoft 365 Lighthouse.

I tecnici MSP possono anche accedere a Lighthouse usando Amministrazione ruoli agente o agente helpdesk tramite privilegi di amministratore delegato (DAP).

Per le azioni non correlate al tenant del cliente in Lighthouse (ad esempio, onboarding, disattivazione/riattivazione dei clienti, gestione dei tag, revisione dei log), i tecnici MSP devono avere un ruolo assegnato nel tenant del partner. Per altre informazioni sui ruoli del tenant partner, vedere Panoramica delle autorizzazioni in Microsoft 365 Lighthouse.

Configurare Microsoft Entra Privileged Identity Management (PIM)

I provider di servizi gestiti possono ridurre al minimo il numero di persone che dispongono di un accesso al ruolo con privilegi elevati per proteggere le informazioni o le risorse usando PIM. PIM riduce la possibilità che una persona malintenzionata accinga ad accedere alle risorse o agli utenti autorizzati inavvertitamente influisca su una risorsa sensibile. I provider di servizi cloud possono anche concedere agli utenti ruoli con privilegi elevati ji-in-time per accedere alle risorse, apportare modifiche generali e monitorare le operazioni eseguite dagli utenti designati con l'accesso con privilegi.

Nota

L'uso di Microsoft Entra PIM richiede una licenza Microsoft Entra ID P2 nel tenant partner.

I passaggi seguenti elevano gli utenti del tenant partner ai ruoli con privilegi più elevati con ambito temporale usando PIM:

  1. Creare un gruppo assegnabile di ruolo come descritto nell'articolo Creare un gruppo per l'assegnazione di ruoli in Microsoft Entra ID.

  2. Passare a MICROSOFT ENTRA ID : tutti i gruppi e aggiungere il nuovo gruppo come membro di un gruppo di sicurezza per i ruoli con privilegi elevati, ad esempio Amministrazione gruppo di sicurezza Agenti per DAP o un gruppo di sicurezza analogo per i ruoli GDAP.

  3. Configurare l'accesso con privilegi al nuovo gruppo come descritto nell'articolo Assegnare proprietari e membri idonei per i gruppi di accesso con privilegi.

Per altre informazioni su PIM, vedere Che cos'è Privileged Identity Management?

Configurare l'accesso condizionale Microsoft Entra basato sui rischi

Gli MSP possono usare l'accesso condizionale basato sul rischio per assicurarsi che i membri del personale dimostrino la propria identità usando MFA e modificando la password quando vengono rilevati come utenti rischiosi (con credenziali perse o per Microsoft Entra intelligence sulle minacce). Gli utenti devono anche accedere da una posizione familiare o da un dispositivo registrato quando vengono rilevati come accesso rischioso. Altri comportamenti rischiosi includono l'accesso da un indirizzo IP dannoso o anonimo o da una posizione di viaggio atipica o impossibile, l'uso di un token anomalo, l'uso di una password da uno spray password o l'esposizione di altri comportamenti di accesso insoliti. A seconda del livello di rischio di un utente, gli msp possono anche scegliere di bloccare l'accesso al momento dell'accesso. Per altre informazioni sui rischi, vedere Che cos'è il rischio?

Nota

L'accesso condizionale richiede una licenza Microsoft Entra ID P2 nel tenant del partner. Per configurare l'accesso condizionale, vedere Configurazione dell'accesso condizionale Microsoft Entra.

Contenuto correlato

Autorizzazioni per la reimpostazione della password (articolo)
Panoramica delle autorizzazioni in Microsoft 365 Lighthouse (articolo)
Visualizzare i ruoli Microsoft Entra in Microsoft 365 Lighthouse (articolo)
Requisiti per Microsoft 365 Lighthouse (articolo)
Panoramica di Microsoft 365 Lighthouse (articolo)
Iscriversi a Microsoft 365 Lighthouse (articolo)
domande frequenti su Microsoft 365 Lighthouse (articolo)