Overzicht van machtigingen in Microsoft 365 Lighthouse

Gedelegeerde toegang tot tenants van klanten is vereist voor managed service providers (MSP's) om Microsoft 365 Lighthouse te gebruiken. Granular Delegated Beheer Privileges (GDAP) bieden MSP's een hoog niveau van controle en flexibiliteit door klanten toegang te bieden via ingebouwde rollen van Azure Active Directory (Azure AD). Het toewijzen van de minst bevoorrechte rollen per taak via GDAP aan MSP-technici vermindert het beveiligingsrisico voor zowel MSP's als klanten. Zie Voor meer informatie over rollen met minimale bevoegdheden per taak, zie Least-privileged roles - Partner Center en Least privileged roles by task in Azure Active Directory. Zie Gedetailleerde beheerdersmachtigingen verkrijgen voor het beheren van de service van een klant - Partnercentrum voor meer informatie over het instellen van een GDAP-relatie met een klanttenant.

We raden u aan rollen toe te wijzen aan groepen MSP-technici op basis van de taken die elke groep namens de klant moet uitvoeren. Service Desk-technici hoeven bijvoorbeeld alleen tenantgegevens van klanten te lezen of gebruikerswachtwoorden opnieuw in te stellen. Escalatietechnici moeten mogelijk meer corrigerende acties uitvoeren om de tenantbeveiligingsinstellingen van de klant bij te werken. Het is een best practice om de minst tolerante rol toe te wijzen die nodig is om een taak te voltooien, zodat klant- en partnergegevens veilig worden gehouden. We raden u aan om, indien nodig, Privileged Identity Management (PIM) te gebruiken om toegang binnen het tijdsbereik tot de rol globale beheerder in te schakelen. Te veel gebruikers globale toegang geven is een beveiligingsrisico en we raden u aan deze zo veel mogelijk te beperken. Zie Pim instellen Azure AD voor meer informatie over het inschakelen van PIM.

In de tabellen in de volgende sectie wordt beschreven welke GDAP-rollen machtigingen verlenen om klantgegevens te lezen en actie te ondernemen op klanttenants in Lighthouse. Zie Machtigingen in de partnertenant in dit artikel voor aanvullende rollen die zijn vereist voor het beheren van Lighthouse-entiteiten (bijvoorbeeld tags en Lighthouse-serviceaanvragen).

De volgende tabel bevat de aanbevolen GDAP-rollen voor sommige MSP-servicelagen.

Accountmanagers Servicedesktechnici Systeembeheerders Escalatietechnici
Aanbevolen GDAP-rollen
  • Helpdeskbeheerder
  • Beveiligingslezer
    +
  • Helpdeskbeheerder
  • Algemene lezer
    +
  • Gebruikersbeheerder
    +
  • Verificatiebeheerder
  • Algemene lezer
    +
  • Gebruikersbeheerder
    +
  • Intune-beheerder
    +
  • Beveiligingsbeheerder

De volgende tabel bevat de acties die de voorbeeld-MSP-servicelagen kunnen uitvoeren op de verschillende Lighthouse-pagina's, zoals bepaald door de toegewezen GDAP-rollen (die in de vorige tabel worden aangegeven).

Lighthouse-pagina Toegestane acties voor accountmanagers Toegestane acties voor servicedesktechnici Toegestane acties voor systeembeheerders Door escalatietechnici toegestane acties
Home
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
Tenants
  • Lijst met tenants weergeven
  • Contactpersonen en website van klanten bijwerken
  • Implementatieplannen weergeven
  • Lijst met tenants weergeven
  • Contactpersonen en website van klanten bijwerken
  • Implementatieplannen weergeven
  • Lijst met tenants weergeven
  • Contactpersonen en website van klanten bijwerken
  • Implementatieplannen weergeven
  • Gebruik van Microsoft 365-services weergeven
  • Lijst met tenants weergeven
  • Contactpersonen en website van klanten bijwerken
  • Implementatieplannen weergeven
  • Gebruik van Microsoft 365-services weergeven
Gebruikers
  • Gegevens op tenantniveau (niet-gebruikersspecifisch) weergeven
  • Gebruikersaccounts zoeken in verschillende tenants
  • Wachtwoord opnieuw instellen voor niet-beheerders*
  • Alle gebruikersspecifieke gegevens weergeven
  • Gebruikersaccounts zoeken in verschillende tenants
  • Wachtwoord opnieuw instellen voor niet-beheerders*
  • Alle gebruikersspecifieke gegevens weergeven
  • Gebruikersaccounts zoeken in verschillende tenants
  • Wachtwoord opnieuw instellen voor niet-beheerders*
  • Aanmelding blokkeren
  • Alle gebruikersspecifieke gegevens weergeven
  • Gebruikersaccounts zoeken in verschillende tenants
  • Wachtwoord opnieuw instellen voor niet-beheerders*
  • Aanmelding blokkeren
  • Gecompromitteerde gebruikers bevestigen
  • Risico voor gebruikers negeren
Apparaten
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Apparaat synchroniseren
  • Apparaat opnieuw opstarten
  • Diagnostische gegevens verzamelen
Bedreigingsbeheer
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Volledige scan uitvoeren
  • Snelle scan uitvoeren
  • Antivirusbeveiliging bijwerken
  • Apparaat opnieuw opstarten
Basislijnen
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
Windows 365
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
  • Alle gegevens weergeven
Servicestatus**       N.v.t.       N.v.t.       N.v.t.       N.v.t.
Auditlogboeken**       N.v.t.       N.v.t.       N.v.t.       N.v.t.

*Zie Machtigingen voor het opnieuw instellen van wachtwoorden voor een tabel waarin wordt vermeld welke rollen vereist zijn voor het opnieuw instellen van wachtwoorden voor tenantbeheerders van klanten.

**Er zijn verschillende rollen en machtigingen vereist om Servicestatus en auditlogboeken weer te geven. Zie Machtigingen in de partnertenant voor meer informatie.

Opmerking

Als u in Lighthouse een bericht krijgt met de mededeling dat u geen machtiging hebt om gegevens te bekijken of te bewerken, krijgt u een rol toegewezen die niet over de juiste machtigingen beschikt om de actie uit te voeren. U moet contact opnemen met een beheerder in uw partnertenant die u de juiste rol kan toewijzen voor de actie die u probeert uit te voeren.

Gedelegeerde Beheer-bevoegdheden (DAP) in Lighthouse

GDAP vervangt uiteindelijk DAP als de primaire methode voor het configureren van gedelegeerde toegang voor tenants van klanten. Als GDAP echter niet is ingesteld, hebben MSP-technici mogelijk nog steeds toegang tot Lighthouse met behulp van de Helpdesk-agent of Beheer agentrollen die zijn verleend via DAP. Voor klanten waar GDAP en DAP naast elkaar bestaan, hebben rollen die via GDAP aan MSP-technici worden verleend voorrang. Zie de veelgestelde vragen over GDAP of de aankondigingen van het Partnercentrum voor datums en tijdlijnen voor meer informatie over de afschaffing van GDAP of DAP.

Voor klanten met DAP en geen GDAP verleent de rol Beheer Agent machtigingen om alle tenantgegevens weer te geven en actie te ondernemen in Lighthouse (zie hieronder voor andere acties waarvoor ook een rol in de partnertenant is vereist).

De rol Helpdeskagent verleent machtigingen om alle tenantgegevens weer te geven en beperkte actie te ondernemen in Lighthouse, zoals het opnieuw instellen van gebruikerswachtwoorden, het blokkeren van aanmeldingen van gebruikers en het bijwerken van contactgegevens en websites van klanten.

Gezien de brede machtigingen die zijn verleend aan partnergebruikers met DAP-rollen, raden we u aan om GDAP zo snel mogelijk over te nemen.

Machtigingen in de partnertenant

Voor bepaalde acties in Lighthouse zijn roltoewijzingen in de partnertenant vereist. De volgende tabel bevat partnertenantrollen en de bijbehorende machtigingen.

Partnertenantrollen Machtigingen
Globale beheerder van partnertenant
  • Meld u aan voor Lighthouse in de Microsoft 365-beheercentrum.
  • Accepteer partnercontractwijzigingen tijdens de eerste uitvoering.
  • Een tenant activeren en inactiveren.
  • Tags maken, bijwerken en verwijderen.
  • Tags toewijzen aan en verwijderen uit een klanttenant.
  • Auditlogboeken controleren
Partnertenantlid met ten minste één Azure AD rol toegewezen met de volgende eigenschappenset:
microsoft.office365.supportTickets/allEntities/allTasks
(Zie Azure AD ingebouwde rollen voor een volledige lijst met Azure AD rollen.)
Lighthouse-serviceaanvragen maken.
Partnertenantlid dat voldoet aan beide van de volgende vereisten:
  • Aan ten minste één Azure AD rol is de volgende eigenschappenset toegewezen:
    microsoft.office365.serviceHealth/allEntities/allTasks
    (Zie Azure AD ingebouwde rollen voor een volledige lijst met Azure AD rollen.)
  • Er is ten minste één gedelegeerde DAP-rol toegewezen (Beheer agent of helpdeskagent)
Servicestatusgegevens weergeven.

Vereisten voor Microsoft 365 Lighthouse (artikel)
Veelgestelde vragen over gedelegeerde beheerbevoegdheden (DAP) (artikel)
Uw Azure Active Directory-rollen weergeven in Microsoft 365 Lighthouse (artikel)
Rollen en machtigingen toewijzen aan gebruikers (artikel)
Overzicht van Microsoft 365 Lighthouse (artikel)
Registreren voor Microsoft 365 Lighthouse (artikel)
Veelgestelde vragen over Microsoft 365 Lighthouse (artikel)