配置Microsoft 365 Lighthouse门户安全性

  • 项目

当托管服务提供商 (MSP) 向其租户委派访问权限时,保护对客户数据的访问是网络安全优先级。 Microsoft 365 Lighthouse附带必需和可选功能,可帮助你配置 Lighthouse 门户安全性。 在访问 Lighthouse 之前,必须设置具有多重身份验证 (MFA) 的特定角色。 可以选择性地设置Microsoft Entra Privileged Identity Management (PIM) 和条件访问。

设置多重身份验证 (MFA)

正如博客文章“ 你的 Pa$$word并不重要”中所述:

“密码并不重要,但 MFA 也很重要。 根据我们的研究,如果你使用 MFA,你的帐户被入侵的可能性将降低 99.9% 以上。”

当用户首次访问 Lighthouse 时,如果 Microsoft 365 帐户尚未配置 MFA,系统会提示他们设置 MFA。 在完成所需的 MFA 设置步骤之前,用户无法访问 Lighthouse。 若要详细了解身份验证方法,请参阅 为多重身份验证设置 Microsoft 365 登录

设置基于角色的访问控制

基于角色的访问控制 (RBAC) 基于用户角色授予对资源或信息的访问权限。 对 Lighthouse 中的客户租户数据和设置的访问仅限于云解决方案提供商 (CSP) 计划的特定角色。 若要在 Lighthouse 中设置 RBAC 角色,我们建议使用精细委派管理员权限 (GDAP) 为用户实现精细分配。 租户仍需要委派管理员权限 (DAP) 才能成功载入,但仅 GDAP 的客户将很快能够在不依赖于 DAP 的情况下加入。 当 DAP 和 GDAP 为客户共存时,GDAP 权限优先。

若要设置 GDAP 关系,请参阅 获取管理客户服务的精细管理员权限。 有关建议使用 Lighthouse 的角色的详细信息,请参阅 Microsoft 365 Lighthouse 中的权限概述

MSP 技术人员还可以通过使用管理员代理或支持代理角色访问 Lighthouse,方法是通过委派的管理员权限 (DAP) 。

对于 Lighthouse (中的非客户租户相关操作,例如加入、客户停用/重新激活、管理标记、查看日志) ,MSP 技术人员必须在合作伙伴租户中分配角色。 有关合作伙伴租户角色的更多详细信息,请参阅 Microsoft 365 Lighthouse 中的权限概述

设置Microsoft Entra Privileged Identity Management (PIM)

MSP 可以使用 PIM 将具有高特权角色访问权限的人员减少到安全信息或资源的数量。 PIM 可降低恶意人员获取资源访问权限或授权用户无意中影响敏感资源的可能性。 MSP 还可以向用户授予实时高特权角色以访问资源、进行广泛的更改,并监视指定用户使用其特权访问执行的操作。

注意

使用 Microsoft Entra PIM 需要合作伙伴租户中的Microsoft Entra ID P2 许可证。

以下步骤使用 PIM 将合作伙伴租户用户提升到具有时间范围的更高特权角色:

  1. 创建可分配角色的组,如创建用于在Microsoft Entra ID 中分配角色的组一文中所述。

  2. 转到Microsoft Entra ID – 所有组,并将新组添加为高特权角色的安全组的成员, (例如,管理员 DAP 的代理安全组或 GDAP 角色) 类似的相应安全组。

  3. 按照为特权访问组 分配符合条件的所有者和成员一文中所述,设置对新组的特权访问。

若要了解有关 PIM 的详细信息,请参阅什么是Privileged Identity Management?

设置基于风险Microsoft Entra条件访问

MSP 可以使用基于风险的条件访问来确保其员工使用 MFA 来证明其身份,并在被检测为具有泄露凭据的风险用户 (时更改其密码,或者根据Microsoft Entra威胁情报) 。 检测到存在风险的登录时,用户还必须从熟悉的位置或已注册的设备登录。 其他风险行为包括从恶意或匿名 IP 地址或从非典型或不可能的旅行位置登录、使用异常令牌、使用密码喷射中的密码或表现出其他异常登录行为。 根据用户的风险级别,MSP 还可以选择在登录时阻止访问。 若要了解有关风险的详细信息,请参阅 什么是风险?

注意

条件访问需要在合作伙伴租户中Microsoft Entra ID P2 许可证。 若要设置条件访问,请参阅配置Microsoft Entra条件访问

相关内容

密码重置权限 (文章)
Microsoft 365 Lighthouse (文章) 中的权限概述
在Microsoft 365 Lighthouse (文章) 中查看Microsoft Entra角色
Microsoft 365 Lighthouse (文章) 的要求
文章) (Microsoft 365 Lighthouse概述
注册Microsoft 365 Lighthouse (文章)
Microsoft 365 Lighthouse常见问题解答 (文章)