Del via

Konfigurer sikkerhet for Microsoft 365 Lighthouse-portalen

  • Artikkel

Beskyttelse av tilgang til kundedata når en administrert tjenesteleverandør (MSP) har delegert tilgangstillatelser til tenantene, er en prioritet for cybersikkerhet. Microsoft 365 Lighthouse leveres med både nødvendige og valgfrie funksjoner for å hjelpe deg med å konfigurere lighthouseportalsikkerhet. Du må konfigurere bestemte roller med flerfaktorgodkjenning (MFA) aktivert før du kan få tilgang til Lighthouse. Du kan eventuelt konfigurere Microsoft Entra Privileged Identity Management (PIM) og Betinget tilgang.

Konfigurer godkjenning med flere faktorer (MFA)

Som nevnt i blogginnlegget Din Pa $ $word spiller ingen rolle:

«Passordet ditt spiller ingen rolle, men MFA gjør det. Basert på våre studier, kontoen din er mer enn 99,9% mindre sannsynlig å bli kompromittert hvis du bruker MFA."

Når brukere får tilgang til Lighthouse for første gang, blir de bedt om å konfigurere MFA hvis Microsoft 365-kontoen deres ikke allerede har konfigurert den. Brukere får ikke tilgang til Lighthouse før det nødvendige konfigurasjonstrinnet for MFA er fullført. Hvis du vil lære mer om godkjenningsmetoder, kan du se Konfigurere Microsoft 365-påloggingen for godkjenning med flere faktorer.

Konfigurere rollebasert tilgangskontroll

Rollebasert tilgangskontroll (RBAC) gir tilgang til ressurser eller informasjon basert på brukerroller. Tilgang til kundeleierens data og innstillinger i Lighthouse er begrenset til bestemte roller fra Cloud Solution Provider (CSP)-programmet. Hvis du vil konfigurere RBAC-roller i Lighthouse, anbefaler vi at du bruker detaljerte delegerte administratorrettigheter (GDAP) til å implementere detaljerte oppgaver for brukere. Delegerte administratorrettigheter (DAP) kreves fremdeles for at leieren skal kunne starte på nytt, men bare GDAP-kunder vil snart kunne starte uten avhengighet av DAP. GDAP-tillatelser prioriteres når DAP og GDAP eksisterer sammen for en kunde.

Hvis du vil konfigurere en GDAP-relasjon, kan du se Få detaljerte administratortillatelser for å administrere en kundetjeneste. Hvis du vil ha mer informasjon om hvilke roller vi anbefaler å bruke Lighthouse, kan du se Oversikt over tillatelser i Microsoft 365 Lighthouse.

MSP-teknikere kan også få tilgang til Lighthouse ved hjelp av administratoragent- eller brukerstøtteagentroller via delegerte administratorrettigheter (DAP).

For ikke-kunde-leierrelaterte handlinger i Lighthouse (for eksempel pålasting, kundeaktivering/reaktivering, administrering av merker, gjennomgang av logger), må MSP-teknikere ha en tilordnet rolle i partnerleieren. Se oversikt over tillatelser i Microsoft 365 Lighthouse for mer informasjon om leierroller for partnere.

Konfigurere Microsoft Entra Privileged Identity Management (PIM)

Parlamentsmedlemmer kan minimere antall personer som har rolletilgang med høye rettigheter til å sikre informasjon eller ressurser ved hjelp av PIM. PIM reduserer sjansen for at en ondsinnet person får tilgang til ressurser eller autoriserte brukere utilsiktet påvirker en sensitiv ressurs. Parlamentsmedlemmer kan også gi brukere akkurat i tide høye rettigheter roller for å få tilgang til ressurser, gjøre brede endringer, og overvåke hva de angitte brukerne gjør med sin privilegerte tilgang.

Obs!

Bruk av Microsoft Entra PIM krever en Microsoft Entra ID P2-lisens i partnerleieren.

Følgende trinn hever partnerleierbrukere til tidsomfanget høyere rettighetsroller ved hjelp av PIM:

  1. Opprett en rolletildelbar gruppe som beskrevet i artikkelen Opprett en gruppe for tilordning av roller i Microsoft Entra ID.

  2. Gå til Microsoft Entra ID – alle grupper , og legg til den nye gruppen som medlem av en sikkerhetsgruppe for roller med høy tilgang (for eksempel sikkerhetsgruppe for administratoragenter for DAP eller en tilsvarende respektiv sikkerhetsgruppe for GDAP-roller).

  3. Konfigurer privilegert tilgang til den nye gruppen som beskrevet i artikkelen Tilordne kvalifiserte eiere og medlemmer for privilegerte tilgangsgrupper.

Hvis du vil vite mer om PIM, kan du se Hva er Privileged Identity Management?

Konfigurere risikobasert Betinget Microsoft Entra-tilgang

Parlamentsmedlemmer kan bruke risikobasert betinget tilgang for å sikre at de ansatte beviser sin identitet ved hjelp av MFA og ved å endre passordet når de oppdages som en risikabel bruker (med lekket legitimasjon eller per Microsoft Entra trusselintelligens). Brukere må også logge på fra en kjent plassering eller registrert enhet når de oppdages som en risikabel pålogging. Andre risikable virkemåter inkluderer pålogging fra en ondsinnet eller anonym IP-adresse eller fra et atypisk eller umulig reisested, ved hjelp av et uregelmessig token, ved hjelp av et passord fra en passordspray eller viser annen uvanlig påloggingsatferd. Avhengig av brukerens risikonivå kan parlamentsmedlemmer også velge å blokkere tilgang ved pålogging. Hvis du vil lære mer om risikoer, kan du se Hva er risiko?

Obs!

Betinget tilgang krever en Microsoft Entra ID P2-lisens i partnerleieren. Hvis du vil konfigurere betinget tilgang, kan du se Konfigurere Betinget Microsoft Entra-tilgang.

Beslektet innhold

Tillatelser for tilbakestilling av passord (artikkel)
Oversikt over tillatelser i Microsoft 365 Lighthouse (artikkel)
Se Microsoft Entra-rollene dine i Microsoft 365 Lighthouse (artikkel)
Krav til Microsoft 365 Lighthouse (artikkel)
Oversikt over Microsoft 365 Lighthouse (artikkel)
Registrer deg for Microsoft 365 Lighthouse (artikkel)
Vanlige spørsmål om Microsoft 365 Lighthouse (artikkel)