Udostępnij za pośrednictwem

Konfigurowanie zabezpieczeń portalu usługi Microsoft 365 Lighthouse

  • Artykuł

Ochrona dostępu do danych klientów, gdy dostawca usług zarządzanych (MSP) delegował uprawnienia dostępu do swoich dzierżaw, jest priorytetem cyberbezpieczeństwa. Usługa Microsoft 365 Lighthouse oferuje zarówno wymagane, jak i opcjonalne funkcje ułatwiające konfigurowanie zabezpieczeń portalu usługi Lighthouse. Przed uzyskaniem dostępu do usługi Lighthouse należy skonfigurować określone role z włączonym uwierzytelnianiem wieloskładnikowym (MFA). Opcjonalnie można skonfigurować usługę Microsoft Entra Privileged Identity Management (PIM) i dostęp warunkowy.

Konfigurowanie uwierzytelniania wieloskładnikowego (MFA)

Jak wspomniano we wpisie w blogu Twoja $word Pa$, nie ma znaczenia:

"Hasło nie ma znaczenia, ale uwierzytelnianie wieloskładnikowe to robi. Na podstawie naszych badań twoje konto jest o ponad 99,9% mniej narażone na naruszenie zabezpieczeń w przypadku korzystania z uwierzytelniania wieloskładnikowego"

Gdy użytkownicy uzyskują dostęp do usługi Lighthouse po raz pierwszy, zostanie wyświetlony monit o skonfigurowanie uwierzytelniania wieloskładnikowego, jeśli ich konto platformy Microsoft 365 nie zostało jeszcze skonfigurowane. Użytkownicy nie będą mogli uzyskać dostępu do usługi Lighthouse, dopóki nie zostanie ukończony wymagany krok konfiguracji uwierzytelniania wieloskładnikowego. Aby dowiedzieć się więcej na temat metod uwierzytelniania, zobacz Konfigurowanie logowania do platformy Microsoft 365 na potrzeby uwierzytelniania wieloskładnikowego.

Konfigurowanie kontroli dostępu opartej na rolach

Kontrola dostępu oparta na rolach (RBAC) udziela dostępu do zasobów lub informacji na podstawie ról użytkowników. Dostęp do danych i ustawień dzierżawy klienta w aplikacji Lighthouse jest ograniczony do określonych ról z programu Cloud Solution Provider (CSP). Aby skonfigurować role RBAC w aplikacji Lighthouse, zalecamy użycie szczegółowych uprawnień administratora delegowanych (GDAP) do implementowania szczegółowych przypisań dla użytkowników. Delegowane uprawnienia administratora (DAP) są nadal wymagane do pomyślnego dołączenia dzierżawy, ale klienci korzystający tylko z protokołu GDAP wkrótce będą mogli dołączyć bez zależności od języka DAP. Uprawnienia GDAP mają pierwszeństwo, gdy dap i GDAP współistnieją dla klienta.

Aby skonfigurować relację GDAP, zobacz Uzyskiwanie szczegółowych uprawnień administratora do zarządzania usługą klienta. Aby uzyskać więcej informacji na temat ról, które zalecamy używać usługi Lighthouse, zobacz Omówienie uprawnień w usłudze Microsoft 365 Lighthouse.

Technicy MSP mogą również uzyskiwać dostęp do usługi Lighthouse przy użyciu ról agenta administracyjnego lub agenta pomocy technicznej za pośrednictwem delegowanych uprawnień administratora (DAP).

W przypadku akcji niezwiązanych z dzierżawą klienta w usłudze Lighthouse (na przykład dołączania, dezaktywowania/ponownego aktywowania klienta, zarządzania tagami, przeglądania dzienników) technicy MSP muszą mieć przypisaną rolę w dzierżawie partnera. Aby uzyskać więcej informacji na temat ról dzierżawy partnera, zobacz Omówienie uprawnień w usłudze Microsoft 365 Lighthouse .

Konfigurowanie usługi Microsoft Entra Privileged Identity Management (PIM)

Dostawcy oprogramowania mogą zminimalizować liczbę osób, które mają dostęp do ról o wysokim poziomie uprawnień w celu zabezpieczenia informacji lub zasobów przy użyciu usługi PIM. Usługa PIM zmniejsza prawdopodobieństwo, że złośliwa osoba uzyska dostęp do zasobów lub autoryzowani użytkownicy przypadkowo wpłyną na poufny zasób. Dostawcy usług zarządzania mogą również przyznawać użytkownikom role just in time o wysokim poziomie uprawnień, aby uzyskiwać dostęp do zasobów, wprowadzać szerokie zmiany i monitorować, co wyznaczoni użytkownicy robią ze swoim uprzywilejowanym dostępem.

Uwaga

Korzystanie z usługi Microsoft Entra PIM wymaga licencji Microsoft Entra ID P2 w dzierżawie partnera.

Poniższe kroki umożliwiają podniesienie poziomu uprawnień użytkowników dzierżawy partnera do ról wyższych uprawnień o określonym zakresie czasu przy użyciu usługi PIM:

  1. Utwórz grupę z możliwością przypisywania ról zgodnie z opisem w artykule Tworzenie grupy do przypisywania ról w identyfikatorze Microsoft Entra.

  2. Przejdź do obszaru Microsoft Entra ID — wszystkie grupy i dodaj nową grupę jako członka grupy zabezpieczeń dla ról o wysokich uprawnieniach (na przykład grupy zabezpieczeń Agenci administratorzy dla języka DAP lub podobnie odpowiedniej grupy zabezpieczeń dla ról GDAP).

  3. Skonfiguruj uprzywilejowany dostęp do nowej grupy zgodnie z opisem w artykule Przypisywanie uprawnionych właścicieli i członków dla uprzywilejowanych grup dostępu.

Aby dowiedzieć się więcej na temat usługi PIM, zobacz Co to jest usługa Privileged Identity Management?

Konfigurowanie dostępu warunkowego entra firmy Microsoft opartego na ryzyku

Dostawcy usług mogą korzystać z dostępu warunkowego opartego na ryzyku, aby upewnić się, że członkowie personelu udowodnią swoją tożsamość za pomocą uwierzytelniania wieloskładnikowego i zmieniając hasło po wykryciu jako ryzykowny użytkownik (z wyciekiem poświadczeń lub na podstawie analizy zagrożeń w usłudze Microsoft Entra). Użytkownicy muszą również zalogować się ze znanej lokalizacji lub zarejestrowanego urządzenia, gdy zostanie wykryte ryzykowne logowanie. Inne ryzykowne zachowania obejmują logowanie się ze złośliwego lub anonimowego adresu IP lub z nietypowej lub niemożliwej lokalizacji podróży, użycie nietypowego tokenu, użycie hasła z sprayu hasła lub inne nietypowe zachowanie logowania. W zależności od poziomu ryzyka użytkownika dostawcy oprogramowania mogą również zdecydować się na zablokowanie dostępu podczas logowania. Aby dowiedzieć się więcej na temat zagrożeń, zobacz Co to jest ryzyko?

Uwaga

Dostęp warunkowy wymaga licencji Microsoft Entra ID P2 w dzierżawie partnera. Aby skonfigurować dostęp warunkowy, zobacz Konfigurowanie dostępu warunkowego w usłudze Microsoft Entra.

Zawartość pokrewna

Uprawnienia do resetowania hasła (artykuł)
Omówienie uprawnień w usłudze Microsoft 365 Lighthouse (artykuł)
Wyświetlanie ról usługi Microsoft Entra w usłudze Microsoft 365 Lighthouse (artykuł)
Wymagania dotyczące usługi Microsoft 365 Lighthouse (artykuł)
Omówienie usługi Microsoft 365 Lighthouse (artykuł)
Tworzenie konta w usłudze Microsoft 365 Lighthouse (artykuł)
Microsoft 365 Lighthouse — często zadawane pytania (artykuł)