ポータルのセキュリティMicrosoft 365 Lighthouse構成する

  • [アーティクル]

マネージド サービス プロバイダー (MSP) がテナントへのアクセス許可を委任している場合の顧客データへのアクセスの保護は、サイバーセキュリティの優先順位です。 Microsoft 365 Lighthouseには、Lighthouse ポータルのセキュリティを構成するのに役立つ必要な機能とオプションの両方の機能が付属しています。 Lighthouse にアクセスする前に、多要素認証 (MFA) が有効になっている特定のロールを設定する必要があります。 必要に応じて、Microsoft Entra Privileged Identity Management (PIM) と条件付きアクセスを設定できます。

多要素認証 (MFA) を設定する

ブログ記事で述べたように 、あなたのPa$$wordは関係ありません:

"パスワードは関係ありませんが、MFA は関係ありません。 調査に基づいて、MFA を使用した場合にアカウントが侵害される可能性が 99.9% を超える可能性は低くなります。

ユーザーが Lighthouse に初めてアクセスすると、Microsoft 365 アカウントがまだ構成されていない場合は、MFA を設定するように求められます。 ユーザーは、必要な MFA のセットアップ手順が完了するまで Lighthouse にアクセスできません。 認証方法の詳細については、「 多要素認証用に Microsoft 365 サインインを設定する」を参照してください。

ロールベースのアクセス制御を設定する

ロールベースのアクセス制御 (RBAC) は、ユーザー ロールに基づいてリソースまたは情報へのアクセスを許可します。 Lighthouse の顧客テナント データと設定へのアクセスは、クラウド ソリューション プロバイダー (CSP) プログラムからの特定のロールに制限されます。 Lighthouse で RBAC ロールを設定するには、きめ細かい委任された管理者特権 (GDAP) を使用して、ユーザーにきめ細かい割り当てを実装することをお勧めします。 テナントが正常にオンボードするには、委任された管理者特権 (DAP) が引き続き必要ですが、GDAP 専用のお客様は、DAP に依存せずにすぐにオンボードできるようになります。 お客様に対して DAP と GDAP が共存する場合は、GDAP アクセス許可が優先されます。

GDAP 関係を設定するには、「詳細な 管理者アクセス許可を取得して顧客のサービスを管理する」を参照してください。 Lighthouse の使用を推奨するロールの詳細については、「Microsoft 365 Lighthouseのアクセス許可の概要」を参照してください。

MSP 技術者は、委任された管理者特権 (DAP) を使用して、管理 エージェントまたはヘルプデスク エージェントの役割を使用して Lighthouse にアクセスすることもできます。

Lighthouse での顧客以外のテナント関連のアクション (たとえば、オンボード、顧客の非アクティブ化/再アクティブ化、タグの管理、ログの確認) の場合、MSP 技術者はパートナー テナントに割り当てられたロールを持っている必要があります。 パートナー テナント ロールの詳細については、「Microsoft 365 Lighthouseのアクセス許可の概要」を参照してください。

Microsoft Entra Privileged Identity Managementの設定 (PIM)

MSP は、PIM を使用して、セキュリティで保護された情報またはリソースへの高い特権ロール アクセス権を持つユーザーの数を最小限に抑えることができます。 PIM は、悪意のあるユーザーがリソースにアクセスしたり、承認されたユーザーが機密性の高いリソースに誤って影響を与えたりする可能性を減らします。 また、MSP は、ユーザーに Just-In-Time の高い特権ロールを付与して、リソースへのアクセス、広範な変更を行い、指定されたユーザーが特権アクセスを使用して何を行っているかを監視することもできます。

注:

MICROSOFT ENTRA PIM を使用するには、パートナー テナントにMicrosoft Entra ID P2 ライセンスが必要です。

次の手順では、PIM を使用して、パートナー テナント ユーザーを時間スコープの高い特権ロールに昇格させます。

  1. 記事「Microsoft Entra ID でロールを割り当てるためのグループを作成する」の説明に従って、ロール割り当て可能なグループを作成します

  2. [Microsoft Entra ID – すべてのグループ] に移動し、高い特権ロールのセキュリティ グループのメンバーとして新しいグループを追加します (たとえば、DAP の管理エージェント セキュリティ グループ、GDAP ロールの場合は同様のセキュリティ グループ)。

  3. 「特権アクセス グループに 適格な所有者とメンバーを割り当てる」の記事で説明されているように、新しいグループへの特権アクセスを設定します。

PIM の詳細については、「Privileged Identity Managementとは」を参照してください。

リスクベースのMicrosoft Entra条件付きアクセスを設定する

MSP は、リスクベースの条件付きアクセスを使用して、スタッフ メンバーが MFA を使用し、リスクの高いユーザーとして検出されたときにパスワードを変更することで (資格情報が漏洩した場合、または脅威インテリジェンスごとに) id を証明Microsoft Entra確認できます。 ユーザーは、危険なサインインとして検出された場合は、使い慣れた場所または登録済みのデバイスからサインインする必要もあります。 その他の危険な動作としては、悪意のある IP アドレスまたは匿名 IP アドレスからのサインイン、非定型または不可能な移動場所からのサインイン、異常なトークンの使用、パスワード スプレーからのパスワードの使用、その他の異常なサインイン動作の表示などがあります。 ユーザーのリスク レベルに応じて、MSP はサインイン時にアクセスをブロックすることもできます。 リスクの詳細については、「リスクとは」を参照してください。

注:

条件付きアクセスには、パートナー テナントにMicrosoft Entra ID P2 ライセンスが必要です。 条件付きアクセスを設定するには、「条件付きアクセスMicrosoft Entra構成する」を参照してください。

関連コンテンツ

パスワード リセットのアクセス許可 (記事)
Microsoft 365 Lighthouseのアクセス許可の概要 (記事)
Microsoft 365 LighthouseでMicrosoft Entraロールを表示する (記事)
Microsoft 365 Lighthouseの要件 (記事)
Microsoft 365 Lighthouseの概要 (記事)
Microsoft 365 Lighthouseにサインアップする (記事)
Microsoft 365 Lighthouse FAQ (記事)