Konfigurowanie zabezpieczeń portalu Microsoft 365 Lighthouse
Ochrona dostępu do danych klientów, gdy dostawca usług zarządzanych (MSP) delegował uprawnienia dostępu do swoich dzierżaw, jest priorytetem cyberbezpieczeństwa. Microsoft 365 Lighthouse oferuje zarówno wymagane, jak i opcjonalne funkcje ułatwiające konfigurowanie zabezpieczeń portalu lighthouse. Przed uzyskaniem dostępu do usługi Lighthouse należy skonfigurować określone role z włączonym uwierzytelnianiem wieloskładnikowym (MFA). Opcjonalnie można skonfigurować Microsoft Entra Privileged Identity Management (PIM) i dostęp warunkowy.
Konfigurowanie uwierzytelniania wieloskładnikowego (MFA)
Jak wspomniano we wpisie w blogu Twoja $word Pa$, nie ma znaczenia:
"Hasło nie ma znaczenia, ale uwierzytelnianie wieloskładnikowe to robi. Na podstawie naszych badań twoje konto jest o ponad 99,9% mniej narażone na naruszenie zabezpieczeń w przypadku korzystania z uwierzytelniania wieloskładnikowego"
Gdy użytkownicy uzyskują dostęp do usługi Lighthouse po raz pierwszy, zostanie wyświetlony monit o skonfigurowanie uwierzytelniania wieloskładnikowego, jeśli ich konto platformy Microsoft 365 nie zostało jeszcze skonfigurowane. Użytkownicy nie będą mogli uzyskać dostępu do usługi Lighthouse, dopóki nie zostanie ukończony wymagany krok konfiguracji uwierzytelniania wieloskładnikowego. Aby dowiedzieć się więcej na temat metod uwierzytelniania, zobacz Konfigurowanie logowania do platformy Microsoft 365 na potrzeby uwierzytelniania wieloskładnikowego.
Konfigurowanie kontroli dostępu opartej na rolach
Kontrola dostępu oparta na rolach (RBAC) udziela dostępu do zasobów lub informacji na podstawie ról użytkowników. Dostęp do danych i ustawień dzierżawy klienta w aplikacji Lighthouse jest ograniczony do określonych ról z programu Cloud Solution Provider (CSP). Aby skonfigurować role RBAC w usłudze Lighthouse, zalecamy użycie szczegółowych delegowanych uprawnień administracyjnych (GDAP) do implementowania szczegółowych przypisań dla użytkowników. Delegowane uprawnienia administracyjne (DAP) są nadal wymagane do pomyślnego dołączenia dzierżawy, ale klienci korzystający tylko z protokołu GDAP wkrótce będą mogli dołączyć bez zależności od języka DAP. Uprawnienia GDAP mają pierwszeństwo, gdy dap i GDAP współistnieją dla klienta.
Aby skonfigurować relację GDAP, zobacz Uzyskiwanie szczegółowych uprawnień administratora do zarządzania usługą klienta — Centrum partnerskie. Aby uzyskać więcej informacji na temat ról, które zalecamy używać usługi Lighthouse, zobacz Omówienie uprawnień w Microsoft 365 Lighthouse.
Technicy MSP mogą również uzyskiwać dostęp do usługi Lighthouse przy użyciu ról agenta Administracja lub agenta pomocy technicznej za pośrednictwem delegowanych uprawnień administracyjnych (DAP).
W przypadku akcji niezwiązanych z dzierżawą klienta w usłudze Lighthouse (na przykład dołączania, dezaktywowania/ponownego aktywowania klienta, zarządzania tagami, przeglądania dzienników) technicy MSP muszą mieć przypisaną rolę w dzierżawie partnera. Aby uzyskać więcej informacji na temat ról dzierżawy partnera, zobacz Omówienie uprawnień w Microsoft 365 Lighthouse.
Konfigurowanie Microsoft Entra Privileged Identity Management (PIM)
Dostawcy oprogramowania mogą zminimalizować liczbę osób, które mają dostęp do ról o wysokim poziomie uprawnień w celu zabezpieczenia informacji lub zasobów przy użyciu usługi PIM. Usługa PIM zmniejsza prawdopodobieństwo, że złośliwa osoba uzyska dostęp do zasobów lub autoryzowani użytkownicy przypadkowo wpłyną na poufny zasób. Dostawcy usług zarządzania mogą również przyznawać użytkownikom role just in time o wysokim poziomie uprawnień, aby uzyskiwać dostęp do zasobów, wprowadzać szerokie zmiany i monitorować, co wyznaczoni użytkownicy robią ze swoim uprzywilejowanym dostępem.
Uwaga
Korzystanie z Microsoft Entra PIM wymaga licencji Tożsamość Microsoft Entra P2 w dzierżawie partnera.
Poniższe kroki umożliwiają podniesienie poziomu uprawnień użytkowników dzierżawy partnera do ról wyższych uprawnień o określonym zakresie czasu przy użyciu usługi PIM:
Utwórz grupę z możliwością przypisywania ról zgodnie z opisem w artykule Tworzenie grupy do przypisywania ról w Tożsamość Microsoft Entra.
Przejdź do Tożsamość Microsoft Entra — wszystkie Grupy i dodaj nową grupę jako członka grupy zabezpieczeń dla ról o wysokich uprawnieniach (na przykład Administracja Grupy zabezpieczeń agentów dla języka DAP lub podobnie odpowiedniej grupy zabezpieczeń dla ról GDAP).
Skonfiguruj uprzywilejowany dostęp do nowej grupy zgodnie z opisem w artykule Przypisywanie uprawnionych właścicieli i członków dla uprzywilejowanych grup dostępu.
Aby dowiedzieć się więcej na temat usługi PIM, zobacz Co to jest Privileged Identity Management?
Konfigurowanie dostępu warunkowego Microsoft Entra opartego na ryzyku
Dostawcy usług mogą korzystać z dostępu warunkowego opartego na ryzyku, aby upewnić się, że członkowie personelu udowodnią swoją tożsamość za pomocą uwierzytelniania wieloskładnikowego i zmieniając hasło po wykryciu jako ryzykowny użytkownik (z wyciekiem poświadczeń lub według Microsoft Entra analizy zagrożeń). Użytkownicy muszą również zalogować się ze znanej lokalizacji lub zarejestrowanego urządzenia, gdy zostanie wykryte ryzykowne logowanie. Inne ryzykowne zachowania obejmują logowanie się ze złośliwego lub anonimowego adresu IP lub z nietypowej lub niemożliwej lokalizacji podróży, użycie nietypowego tokenu, użycie hasła z sprayu hasła lub inne nietypowe zachowanie logowania. W zależności od poziomu ryzyka użytkownika dostawcy oprogramowania mogą również zdecydować się na zablokowanie dostępu podczas logowania. Aby dowiedzieć się więcej na temat zagrożeń, zobacz Co to jest ryzyko?
Uwaga
Dostęp warunkowy wymaga licencji Tożsamość Microsoft Entra P2 w dzierżawie partnera. Aby skonfigurować dostęp warunkowy, zobacz Konfigurowanie dostępu warunkowego Microsoft Entra.
Zawartość pokrewna
Uprawnienia do resetowania hasła (artykuł)
Omówienie uprawnień w Microsoft 365 Lighthouse (artykuł)
Wyświetlanie ról Microsoft Entra w Microsoft 365 Lighthouse (artykuł)
Wymagania dotyczące Microsoft 365 Lighthouse (artykuł)
Omówienie Microsoft 365 Lighthouse (artykuł)
Tworzenie konta w celu Microsoft 365 Lighthouse (artykuł)
Microsoft 365 Lighthouse często zadawane pytania (artykuł)