Microsoft 365 Lighthouse中的权限概述
Microsoft 365 Lighthouse权限主要由以下各项管理:
- 合作伙伴租户中基于角色的访问控制 (RBAC)
- 客户租户中 GDAP) (精细委派的管理权限
若要使用 Lighthouse,需要通过 RBAC 和 GDAP 分配的角色组合。
在合作伙伴租户中管理 Lighthouse RBAC 权限
合作伙伴租户中的 Lighthouse 权限是通过在 Lighthouse 中分配 RBAC 角色来管理的。 每个角色都有一组权限,用于确定用户可以在合作伙伴租户中访问和更改哪些数据。 Lighthouse RBAC 角色不提供对客户数据的访问权限。 对客户数据的访问受 Lighthouse 用户的 GDAP 权限控制 (请参阅 管理客户租户中的 GDAP) 。
RBAC 角色从 Lighthouse 的 Lighthouse 权限 页进行管理。 若要访问 Lighthouse 权限 页和管理权限,必须拥有以下角色之一:
- Microsoft Entra ID中的特权角色管理员
- Lighthouse 中的管理员
若要了解详细信息,请参阅在 Microsoft 365 Lighthouse 中管理 Lighthouse RBAC 权限。
下表概述了每个 Lighthouse RBAC 角色。 有关每个角色可以在合作伙伴租户中执行的操作的列表,请参阅 Lighthouse RBAC 角色和功能。
| Lighthouse RBAC 角色 | 概述 |
|---|---|
| 客户经理 | 客户经理对整个合作伙伴租户中的销售顾问页面和数据具有完全访问权限。 客户经理可以导出销售顾问数据。 |
| 管理员 | 管理员在 Lighthouse 中拥有完全的管理权限。 管理员可以管理 RBAC 和 GDAP 权限,并可以创建基线、标记和警报。 管理员在Microsoft Entra ID中自动分配特权角色管理员、用户管理员和组管理员角色,并在合作伙伴中心内分配管理员代理角色。 |
| 运算符 | 操作员根据为其管理的每个客户租户分配的 GDAP 权限,在 Lighthouse 中管理客户租户。 操作员可以查看高级客户租户状态并管理警报。 至少拥有一个Microsoft Entra角色的 Lighthouse 用户将被自动分配操作员角色。 注意: Lighthouse 管理员可以使用 “委派访问 ”页上的模板向 Lighthouse 用户分配 GDAP 权限。 |
| 读者 | 读者对 Lighthouse 中的数据具有只读访问权限。 Lighthouse 读者可以查看高级客户租户状态和警报。 |
Lighthouse RBAC 角色和功能
下表描述了每个 Lighthouse RBAC 角色可以在 Lighthouse 中执行的操作。 对于某些操作,除了 Lighthouse RBAC 角色外,还需要拥有Microsoft Entra角色。 对于其他操作,只需要Microsoft Entra角色。 Microsoft Entra角色要求在表的最后一列中指示。 有关Microsoft Entra角色及其可以执行的操作的完整列表,请参阅Microsoft Entra内置角色。
| 领域 | 操作 | 客户经理 | 管理员 | 运算符 | 读者 | 需要Microsoft Entra角色? |
|---|---|---|---|---|---|---|
| 主页 | 查看卡片上的数据 | 是 | ||||
| 添加用户 | 是 | |||||
| 重置密码 | 是 | |||||
| 卸载用户 | 是 | |||||
| 警告 | 查看警报和警报规则 | ✓ | ✓ | ✓ | 否 | |
| (更改严重性、状态或分配) 管理警报 | ✓ | 否 | ||||
| 创建、编辑和删除警报规则 | ✓ | 否 | ||||
| Copilot 见解 | 查看机会和采用数据 | 是 | ||||
| Tenants | 查看 “租户 ”页 | ✓ | ✓ | ✓ | ✓ | 否 |
| 查看租户详细信息 | 是 | |||||
| 导出数据 | ✓ | ✓ | ✓ | ✓ | 否 | |
| 查看标记 | ✓ | ✓ | ✓ | ✓ | 否 | |
| 在 Lighthouse 中创建、更新和删除标记 | ✓ | 否 | ||||
| 分配和删除租户中的标记 | ✓ | 否 | ||||
| 激活和停用租户 | ✓ | 否 | ||||
| 查看委派访问状态 | ✓ | ✓ | ✓ | ✓ | 否 | |
| 查看Microsoft安全功能分数 | 是 | |||||
| 查看基线分配 | ✓ | ✓ | ✓ | ✓ | 否 | |
| 查看部署状态 | ✓ | 是 | ||||
| 查看应用和服务使用情况 | ✓ | 是 | ||||
| 查看和编辑客户联系人和网站信息 | ✓ | ✓ | ✓ | ✓ | 否 | |
| 用户 | 搜索用户 | 是 | ||||
| 查看用户指标 | 是 | |||||
| 加入新用户 | 是 | |||||
| 卸载用户 | 是 | |||||
| 查看非活动用户 | 是 | |||||
| 查看共享邮箱 | 是 | |||||
| 查看和管理有风险的用户 | 是 | |||||
| 查看和管理多重身份验证 | 是 | |||||
| 查看和管理自助密码重置 | 是 | |||||
| 设备 | 查看设备安全数据 | 是 | ||||
| 查看漏洞管理数据 | 是 | |||||
| 查看设备符合性数据 | 是 | |||||
| 查看威胁管理数据 | 是 | |||||
| 查看设备运行状况数据 | 是 | |||||
| 查看Windows 365数据 | 是 | |||||
| 查看 Windows 事件日志 | 是 | |||||
| 应用 | 查看应用性能和应用管理数据 | 是 | ||||
| 被隔离的邮件 | 查看和管理隔离的邮件 | 是 | ||||
| 基线 | 查看基线 (默认、自定义) 和任务详细信息 | ✓ | ✓ | ✓ | 否 | |
| 创建、克隆、编辑和分配基线 | ✓ | 否 | ||||
| 查看部署见解 | 是 | |||||
| 服务运行状况 | 监视服务运行状况1 | 否 | ||||
| 支持 | 创建和管理服务请求2 | 否 | ||||
| 审核日志 | 查看审核日志 | ✓ | 是 | |||
| 权限 | 查看 Lighthouse 权限 页 | ✓ | 否 | |||
| 设置和管理 Lighthouse 权限 | ✓ | 否 | ||||
| 在 “委派的访问 ”页上查看、设置和管理 GDAP | ✓ | 否 | ||||
| 销售顾问 | 查看商机 | ✓ | ✓ | 否 | ||
| 查看订阅续订 | ✓ | ✓ | 否 | |||
| 查看许可证请求 | ✓ | ✓ | 否 |
1 若要监视服务运行状况,Lighthouse 用户必须在具有以下属性集的合作伙伴租户中至少拥有一个Microsoft Entra角色:microsoft.office365.serviceHealth/allEntities/allTasks。 用户还必须在合作伙伴中心中至少具有管理员代理角色或支持人员代理角色。
2 若要创建和管理服务请求,Lighthouse 用户必须在合作伙伴租户中至少拥有一个Microsoft Entra角色,并具有以下属性集:microsoft.office365.supportTickets/allEntities/allTasks。
在客户租户中管理 GDAP
正如 Lighthouse RBAC 角色管理合作伙伴租户中的权限一样,GDAP 管理客户租户中的权限。 GDAP 通过Microsoft Entra内置角色提供对客户租户的访问权限,为你提供了高度的控制和灵活性。 通过 GDAP 按任务将最低特权角色分配给 MSP 技术人员可降低 MSP 和客户的安全风险。 建议跨客户租户使用 GDAP 读取者角色,以便为 Lighthouse 用户提供跨所有客户租户的聚合视图。
有关在 Lighthouse 中与客户租户建立 GDAP 关系的详细信息,请参阅 获取精细的管理员权限来管理客户的服务 - 合作伙伴中心。
有关按任务排序的最低特权角色的详细信息,请参阅 Microsoft Entra ID 中的最低特权角色 - 合作伙伴中心和按任务列出最低特权角色。
有关 GDAP 或委托的管理权限 (DAP) 弃用的详细信息,请参阅 GDAP 常见问题 - 合作伙伴中心,或搜索 合作伙伴中心公告 以获取日期和时间线。
有关Microsoft Entra角色及其可以执行的操作的完整列表,请参阅Microsoft Entra内置角色。 有关如何分配角色的信息,请参阅向用户分配Microsoft Entra角色。
相关内容
在Microsoft 365 Lighthouse (文章) 中查看Microsoft Entra角色
在 Microsoft 365 Lighthouse (文章) 中管理 Lighthouse RBAC 权限
在Microsoft 365 Lighthouse (文章中设置 GDAP)
Microsoft 365 Lighthouse (文章中的“委派访问”页面概述)
向用户分配角色和权限 - 合作伙伴中心 (文章)
GDAP 常见问题解答 - 合作伙伴中心 (文章)
Microsoft 365 Lighthouse常见问题 () (文章)