Поделиться через

Настройка безопасности портала Microsoft 365 Lighthouse

  • Статья

Защита доступа к данным клиентов, когда поставщик управляемых служб (MSP) делегировал своим клиентам разрешения на доступ, является приоритетом кибербезопасности. Microsoft 365 Lighthouse предоставляет как обязательные, так и дополнительные возможности для настройки безопасности портала Lighthouse. Прежде чем получить доступ к Lighthouse, необходимо настроить определенные роли с включенной многофакторной проверкой подлинности (MFA). При необходимости можно настроить Microsoft Entra Privileged Identity Management (PIM) и условный доступ.

Настройка многофакторной проверки подлинности (MFA)

Как упоминалось в записи блога Your Pa$$word не имеет значения:

"Ваш пароль не имеет значения, но MFA делает. Согласно нашим исследованиям, ваша учетная запись более чем на 99,9% меньше шансов быть скомпрометирована, если вы используете MFA".

При первом доступе пользователей к Lighthouse им будет предложено настроить MFA, если учетная запись Microsoft 365 еще не настроена. Пользователи не смогут получить доступ к Lighthouse, пока не будет завершен необходимый шаг настройки MFA. Дополнительные сведения о методах проверки подлинности см. в статье Настройка входа в Microsoft 365 для многофакторной проверки подлинности.

Настройка управления доступом на основе ролей

Управление доступом на основе ролей (RBAC) предоставляет доступ к ресурсам или информации на основе ролей пользователей. Доступ к данным и параметрам клиента в Lighthouse ограничен определенными ролями из программы "Поставщик облачных решений" (CSP). Чтобы настроить роли RBAC в Lighthouse, рекомендуется использовать детализированные делегированные права администратора (GDAP) для реализации детализированных назначений для пользователей. Делегированные права администратора (DAP) по-прежнему требуются для успешного подключения клиента, но клиенты, доступные только для GDAP, скоро смогут подключиться без зависимости от DAP. Разрешения GDAP имеют приоритет, когда DAP и GDAP сосуществуют для клиента.

Сведения о настройке связи GDAP см. в статье Получение разрешений детализированного администратора для управления службой клиента. Дополнительные сведения о том, какие роли рекомендуется использовать Lighthouse, см. в статье Общие сведения о разрешениях в Microsoft 365 Lighthouse.

Специалисты MSP также могут получить доступ к Lighthouse с помощью ролей агента администрирования или агента службы поддержки через делегированные права администратора (DAP).

Для действий, не связанных с клиентом, в Lighthouse (например, подключение, отключение или повторная активация клиента, управление тегами, просмотр журналов) технические специалисты MSP должны иметь назначенную роль в клиенте партнера. Дополнительные сведения о ролях клиента партнера см. в статье Обзор разрешений в Microsoft 365 Lighthouse .

Настройка Microsoft Entra Privileged Identity Management (PIM)

MsPs может свести к минимуму число пользователей, имеющих доступ к роли с высоким уровнем привилегий для защиты информации или ресурсов с помощью PIM. PIM снижает вероятность того, что злоумышленник получает доступ к ресурсам или авторизованные пользователи непреднамеренно повлияют на конфиденциальный ресурс. MsPs также могут предоставлять пользователям JIT-роли с высокими привилегиями для доступа к ресурсам, внесения широких изменений и отслеживания действий назначенных пользователей с их привилегированным доступом.

Примечание.

Для использования Microsoft Entra PIM требуется лицензия Microsoft Entra ID P2 в клиенте партнера.

Ниже описано, как повысить уровень привилегий пользователей клиента партнера до ролей с более высоким уровнем привилегий по времени с помощью PIM.

  1. Создайте группу с возможностью назначения ролей, как описано в статье Создание группы для назначения ролей в Идентификаторе Microsoft Entra.

  2. Перейдите в microsoft Entra ID — All Groups и добавьте новую группу в качестве члена группы безопасности для ролей с высоким уровнем привилегий (например, группа безопасности агентов администрирования для DAP или аналогично соответствующая группа безопасности для ролей GDAP).

  3. Настройте привилегированный доступ к новой группе, как описано в статье Назначение подходящих владельцев и участников для групп привилегированного доступа.

Дополнительные сведения о PIM см. в статье Что такое управление привилегированными пользователями?

Настройка условного доступа Microsoft Entra на основе рисков

Поставщики msps могут использовать условный доступ на основе рисков, чтобы убедиться, что их сотрудники подтверждают свою личность с помощью MFA и изменяя пароль при обнаружении как пользователь с риском (с утечкой учетных данных или с учетом аналитики угроз Microsoft Entra). Пользователи также должны входить из знакомого расположения или зарегистрированного устройства, если он обнаруживается как рискованный вход. К другим рискованным действиям относятся вход с вредоносного или анонимного IP-адреса или из нетипичного или невозможного расположения для перемещения, использование аномального маркера, использование пароля из распыления пароля или применение других необычных действий при входе. В зависимости от уровня риска пользователя msps также могут заблокировать доступ при входе. Дополнительные сведения о рисках см. в статье Что такое риск?

Примечание.

Для условного доступа требуется лицензия Microsoft Entra ID P2 в клиенте партнера. Сведения о настройке условного доступа см. в разделе Настройка условного доступа Microsoft Entra.

Связанные материалы

Разрешения на сброс пароля (статья)
Обзор разрешений в Microsoft 365 Lighthouse (статья)
Просмотр ролей Microsoft Entra в Microsoft 365 Lighthouse (статья)
Требования к Microsoft 365 Lighthouse (статья)
Обзор Microsoft 365 Lighthouse (статья)
Регистрация в Microsoft 365 Lighthouse (статья)
Часто задаваемые вопросы о Microsoft 365 Lighthouse (статья)