Beveiliging van Microsoft 365 Lighthouse portal configureren
Het beveiligen van toegang tot klantgegevens wanneer een Managed Service Provider (MSP) toegangsmachtigingen heeft gedelegeerd aan de tenants is een prioriteit voor cyberbeveiliging. Microsoft 365 Lighthouse wordt geleverd met zowel vereiste als optionele mogelijkheden om de beveiliging van de Lighthouse-portal te configureren. U moet specifieke rollen instellen waarvoor meervoudige verificatie (MFA) is ingeschakeld voordat u toegang hebt tot Lighthouse. U kunt eventueel Microsoft Entra Privileged Identity Management (PIM) en voorwaardelijke toegang instellen.
Meervoudige verificatie (MFA) instellen
Zoals vermeld in het blogbericht Your Pa$$word maakt het niet uit:
'Uw wachtwoord maakt niet uit, maar MFA wel. Op basis van onze onderzoeken is de kans dat uw account meer dan 99,9% minder wordt gecompromitteerd als u MFA gebruikt."
Wanneer gebruikers Lighthouse voor het eerst openen, wordt hen gevraagd om MFA in te stellen als dit nog niet is geconfigureerd voor hun Microsoft 365-account. Gebruikers hebben pas toegang tot Lighthouse als de vereiste MFA-installatiestap is voltooid. Zie Uw Microsoft 365-aanmelding instellen voor meervoudige verificatie voor meer informatie over verificatiemethoden.
Op rollen gebaseerd toegangsbeheer instellen
Op rollen gebaseerd toegangsbeheer (RBAC) verleent toegang tot resources of informatie op basis van gebruikersrollen. Toegang tot tenantgegevens en -instellingen van klanten in Lighthouse is beperkt tot specifieke rollen van het CSP-programma (Cloud Solution Provider). Als u RBAC-rollen in Lighthouse wilt instellen, raden we u aan gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) te gebruiken om gedetailleerde toewijzingen voor gebruikers te implementeren. Gedelegeerde beheerdersbevoegdheden (DAP) zijn nog steeds vereist om de tenant te kunnen onboarden, maar GDAP-klanten kunnen binnenkort onboarden zonder afhankelijkheid van DAP. GDAP-machtigingen hebben voorrang wanneer DAP en GDAP naast elkaar bestaan voor een klant.
Zie Gedetailleerde beheerdersmachtigingen verkrijgen voor het beheren van de service van een klant - Partnercentrum als u een GDAP-relatie wilt instellen. Zie Overzicht van machtigingen in Microsoft 365 Lighthouse voor meer informatie over welke rollen we aanbevelen om Lighthouse te gebruiken.
MSP-technici hebben ook toegang tot Lighthouse met behulp van Beheer-agent- of helpdeskagentrollen via gedelegeerde beheerdersbevoegdheden (DAP).
Voor niet-klant-tenantgerelateerde acties in Lighthouse (bijvoorbeeld onboarding, klant deactiveren/opnieuw activeren, tags beheren, logboeken controleren), moeten MSP-technici een toegewezen rol hebben in de partnertenant. Zie Overzicht van machtigingen in Microsoft 365 Lighthouse voor meer informatie over partnertenantrollen.
Microsoft Entra Privileged Identity Management (PIM) instellen
MSP's kunnen het aantal personen met roltoegang met hoge bevoegdheden tot het beveiligen van informatie of resources minimaliseren met behulp van PIM. PIM vermindert de kans dat een kwaadwillende persoon per ongeluk toegang krijgt tot resources of geautoriseerde gebruikers die per ongeluk invloed hebben op een gevoelige resource. MSP's kunnen gebruikers ook just-in-time-rollen met hoge bevoegdheden verlenen om toegang te krijgen tot resources, grote wijzigingen aan te brengen en te controleren wat de aangewezen gebruikers doen met hun bevoegde toegang.
Opmerking
Voor het gebruik van Microsoft Entra PIM is een Microsoft Entra ID P2-licentie in de partnertenant vereist.
Met de volgende stappen kunt u partnertenantgebruikers uitbreiden naar rollen met een hogere bevoegdheid met een tijdsbereik met behulp van PIM:
Maak een groep waaraan rollen kunnen worden toegewezen, zoals beschreven in het artikel Een groep maken voor het toewijzen van rollen in Microsoft Entra ID.
Ga naar Microsoft Entra ID : alle Groepen en voeg de nieuwe groep toe als lid van een beveiligingsgroep voor rollen met hoge bevoegdheden (bijvoorbeeld Beheer Beveiligingsgroep agents voor DAP of een vergelijkbare beveiligingsgroep voor GDAP-rollen).
Stel bevoegde toegang tot de nieuwe groep in, zoals beschreven in het artikel In aanmerking komende eigenaren en leden toewijzen voor groepen met bevoorrechte toegang.
Zie Wat is Privileged Identity Management? voor meer informatie over PIM.
Op risico gebaseerde Microsoft Entra voorwaardelijke toegang instellen
MSP's kunnen gebruikmaken van op risico's gebaseerde voorwaardelijke toegang om ervoor te zorgen dat hun personeelsleden hun identiteit bewijzen met behulp van MFA en door hun wachtwoord te wijzigen wanneer ze worden gedetecteerd als een riskante gebruiker (met gelekte referenties of per Microsoft Entra bedreigingsinformatie). Gebruikers moeten zich ook aanmelden vanaf een vertrouwde locatie of een geregistreerd apparaat wanneer ze worden gedetecteerd als een riskante aanmelding. Ander riskant gedrag is het aanmelden vanaf een kwaadwillend of anoniem IP-adres of vanaf een atypische of onmogelijke reislocatie, het gebruik van een afwijkend token, het gebruik van een wachtwoord van een wachtwoordspray of het vertonen van ander ongebruikelijk aanmeldingsgedrag. Afhankelijk van het risiconiveau van een gebruiker kunnen MSP's er ook voor kiezen om de toegang te blokkeren bij het aanmelden. Zie Wat is risico? voor meer informatie over risico's.
Opmerking
Voor voorwaardelijke toegang is een Microsoft Entra ID P2-licentie in de partnertenant vereist. Zie Configureren Microsoft Entra voorwaardelijke toegang als u voorwaardelijke toegang wilt instellen.
Verwante onderwerpen
Machtigingen voor wachtwoordherstel (artikel)
Overzicht van machtigingen in Microsoft 365 Lighthouse (artikel)
Uw Microsoft Entra rollen weergeven in Microsoft 365 Lighthouse (artikel)
Vereisten voor Microsoft 365 Lighthouse (artikel)
Overzicht van Microsoft 365 Lighthouse (artikel)
Registreren voor Microsoft 365 Lighthouse (artikel)
veelgestelde vragen over Microsoft 365 Lighthouse (artikel)