Compartilhar via


Configurar a segurança do portal do Microsoft 365 Lighthouse

Proteger o acesso aos dados dos clientes quando um Fornecedor de Serviços Geridos (MSP) tem permissões de acesso delegado aos respetivos inquilinos é uma prioridade de cibersegurança. Microsoft 365 Lighthouse inclui capacidades opcionais e necessárias para o ajudar a configurar a segurança do portal do Lighthouse. Tem de configurar funções específicas com a autenticação multifator (MFA) ativada antes de poder aceder ao Lighthouse. Opcionalmente, pode configurar Microsoft Entra Privileged Identity Management (PIM) e Acesso Condicional.

Configurar a autenticação multifator (MFA)

Conforme mencionado na publicação de blogue O seu Pa$$word não importa:

"A sua palavra-passe não importa, mas a MFA importa. Com base nos nossos estudos, a sua conta tem menos de 99,9% de probabilidade de ficar comprometida se utilizar a MFA."

Quando os utilizadores acederem ao Lighthouse pela primeira vez, ser-lhes-á pedido que configurem a MFA se a respetiva conta do Microsoft 365 ainda não a tiver configurada. Os utilizadores não poderão aceder ao Lighthouse até que o passo de configuração da MFA necessário esteja concluído. Para saber mais sobre os métodos de autenticação, consulte Configurar o início de sessão do Microsoft 365 para autenticação multifator.

Configurar o controlo de acesso baseado em funções

O controlo de acesso baseado em funções (RBAC) concede acesso a recursos ou informações com base em funções de utilizador. O acesso aos dados e definições do inquilino do cliente no Lighthouse está restrito a funções específicas do programa Fornecedor de Soluções Cloud (CSP). Para configurar funções RBAC no Lighthouse, recomendamos que utilize privilégios administrativos delegados granulares (GDAP) para implementar atribuições granulares para os utilizadores. Os privilégios administrativos delegados (DAP) continuam a ser necessários para que o inquilino seja integrado com êxito, mas os clientes apenas GDAP poderão integrar em breve sem dependência do DAP. As permissões GDAP têm precedência quando o DAP e o GDAP coexistem para um cliente.

Para configurar uma relação GDAP, veja Obter permissões de administrador granulares para gerir o serviço de um cliente – Centro de Parceiros. Para obter mais informações sobre as funções que recomendamos que utilizem o Lighthouse, veja Descrição geral das permissões no Microsoft 365 Lighthouse.

Os técnicos msp também podem aceder ao Lighthouse através de funções de Agente Administração ou Agente de Suporte Técnico através de privilégios administrativos delegados (DAP).

Para ações não relacionadas com o inquilino do cliente no Lighthouse (por exemplo, inclusão, desativação/reativação do cliente, gestão de etiquetas, revisão de registos), os técnicos do MSP têm de ter uma função atribuída no inquilino do parceiro. Veja Descrição geral das permissões no Microsoft 365 Lighthouse para obter mais detalhes sobre as funções de inquilino do parceiro.

Configurar Microsoft Entra Privileged Identity Management (PIM)

Os MSPs podem minimizar o número de pessoas que têm acesso de função de privilégio elevado para proteger informações ou recursos através do PIM. O PIM reduz a probabilidade de uma pessoa maliciosa obter acesso a recursos ou utilizadores autorizados que afetam inadvertidamente um recurso confidencial. Os MSPs também podem conceder aos utilizadores funções de privilégios elevados just-in-time para aceder a recursos, fazer alterações abrangentes e monitorizar o que os utilizadores designados estão a fazer com o acesso privilegiado.

Observação

Utilizar Microsoft Entra PIM requer uma licença P2 Microsoft Entra ID no inquilino do parceiro.

Os passos seguintes elevam os utilizadores do inquilino do parceiro para funções de privilégios superiores com âmbito de tempo através do PIM:

  1. Crie um grupo atribuível a funções, conforme descrito no artigo Criar um grupo para atribuir funções no Microsoft Entra ID.

  2. Aceda a Microsoft Entra ID – todos os Grupos e adicione o novo grupo como membro de um grupo de segurança para funções de privilégios elevados (por exemplo, Administração grupo de segurança Agentes para DAP ou um grupo de segurança igualmente respetivo para funções GDAP).

  3. Configure o acesso privilegiado ao novo grupo, conforme descrito no artigo Atribuir proprietários e membros elegíveis para grupos de acesso privilegiado.

Para saber mais sobre o PIM, consulte O que é Privileged Identity Management?

Configurar o Acesso Condicional do Microsoft Entra baseado no risco

Os MSPs podem utilizar o Acesso Condicional baseado no risco para garantir que os membros do seu pessoal provam a sua identidade através da MFA e alterando a palavra-passe quando detetadas como um utilizador de risco (com credenciais vazadas ou por Microsoft Entra informações sobre ameaças). Os utilizadores também têm de iniciar sessão a partir de uma localização familiar ou dispositivo registado quando detetados como um início de sessão de risco. Outros comportamentos de risco incluem iniciar sessão a partir de um endereço IP malicioso ou anónimo ou de uma localização de viagem atípica ou impossível, utilizar um token anómalo, utilizar uma palavra-passe de um spray de palavra-passe ou apresentar outro comportamento de início de sessão invulgar. Dependendo do nível de risco de um utilizador, os MSPs também podem optar por bloquear o acesso após o início de sessão. Para saber mais sobre riscos, consulte O que é o risco?

Observação

O Acesso Condicional requer uma licença Microsoft Entra ID P2 no inquilino do parceiro. Para configurar o Acesso Condicional, veja Configurar Microsoft Entra Acesso Condicional.

Permissões de reposição de palavra-passe (artigo)
Descrição geral das permissões no Microsoft 365 Lighthouse (artigo)
Ver as suas funções de Microsoft Entra no Microsoft 365 Lighthouse (artigo)
Requisitos para Microsoft 365 Lighthouse (artigo)
Descrição geral do Microsoft 365 Lighthouse (artigo)
Inscrever-se no Microsoft 365 Lighthouse (artigo)
MICROSOFT 365 LIGHTHOUSE FAQ (artigo)