Freigeben über


Übersicht über Berechtigungen in Microsoft 365 Lighthouse

Microsoft 365 Lighthouse Berechtigungen werden hauptsächlich wie folgt verwaltet:

  • Lighthouse: rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) im Partnermandanten
  • Differenzierte delegierte Administratorrechte (GDAP) im Kundenmandanten

Um Lighthouse verwenden zu können, benötigen Sie eine Kombination von Rollen, die über RBAC und GDAP zugewiesen werden.

Verwalten von Lighthouse RBAC-Berechtigungen im Partnermandanten

Lighthouse-Berechtigungen im Partnermandanten werden durch Zuweisen von RBAC-Rollen in Lighthouse verwaltet. Jede Rolle verfügt über einen Satz von Berechtigungen, der bestimmt, auf welche Daten Benutzer innerhalb des Partnermandanten zugreifen und diese ändern können. Lighthouse RBAC-Rollen bieten keinen Zugriff auf Kundendaten. Der Zugriff auf Kundendaten wird durch die GDAP-Berechtigungen eines Lighthouse-Benutzers gesteuert (siehe Verwalten von GDAP im Kundenmandanten).

RBAC-Rollen werden über die Lighthouse-Berechtigungsseite in Lighthouse verwaltet. Um auf die Lighthouse-Berechtigungsseite zuzugreifen und Berechtigungen zu verwalten, müssen Sie eine der folgenden Rollen besitzen:

  • Administrator für privilegierte Rollen in Microsoft Entra ID
  • Administrator in Lighthouse

Weitere Informationen finden Sie unter Verwalten von Lighthouse RBAC-Berechtigungen in Microsoft 365 Lighthouse.

Die folgende Tabelle enthält eine Übersicht über die einzelnen Lighthouse RBAC-Rollen. Eine Liste der Aktionen, die jede Rolle im Partnermandanten ausführen kann, finden Sie unter Lighthouse RBAC-Rollen und -Funktionen.

Lighthouse RBAC-Rolle Übersicht
Konto-Manager Konto-Manager haben vollen Zugriff auf Sales Advisor-Seiten und -Daten für den gesamten Partnermandanten.

Account Manager können Sales Advisor-Daten exportieren.
Administrator Administratoren verfügen über vollständige Administratorberechtigungen in Lighthouse.

Administratoren können RBAC- und GDAP-Berechtigungen verwalten, Überwachungsprotokolle anzeigen und Baselines, Tags und Warnungen erstellen.

Administratoren werden automatisch die Rollen Administrator für privilegierte Rollen, Benutzeradministrator und Gruppenadministrator in Microsoft Entra ID und die Rolle Admin-Agent im Partner Center zugewiesen.
Ursprung Autoren können Mandanten, Tags, Warnungsregeln und Baselines verwalten, um Mandantenkonfigurationen bereitzustellen.
Operator Operatoren verwalten Kundenmandanten in Lighthouse basierend auf den GDAP-Berechtigungen, die ihnen für jeden von ihnen verwalteten Kundenmandanten zugewiesen sind.

Operatoren können allgemeine Kundenmandanten-status anzeigen und Warnungen verwalten.

Lighthouse-Benutzern, die mindestens eine Microsoft Entra Rolle besitzen, wird automatisch die Rolle Operator zugewiesen.

Anmerkung: Lighthouse-Administratoren können Vorlagen auf der Seite Delegierter Zugriff verwenden, um Lighthouse-Benutzern GDAP-Berechtigungen zuzuweisen.
Reader Leser haben schreibgeschützten Zugriff auf Daten in Lighthouse.

Lighthouse Reader können allgemeine status und Warnungen für Kundenmandanten anzeigen.

Lighthouse RBAC-Rollen und -Funktionen

In der folgenden Tabelle werden die Aktionen beschrieben, die jede Lighthouse-RBAC-Rolle in Lighthouse ausführen kann. Für einige Aktionen müssen Sie zusätzlich zu einer Lighthouse RBAC-Rolle eine Microsoft Entra Rolle besitzen. Für andere Aktionen ist nur eine Microsoft Entra Rolle erforderlich. Microsoft Entra Rollenanforderungen werden in der letzten Spalte der Tabelle angegeben. Eine vollständige Liste der Microsoft Entra Rollen und der Aktionen, die sie ausführen können, finden Sie unter Microsoft Entra integrierten Rollen.

Bereich Aktionen Konto-Manager Administrator Ursprung Operator Reader Benötigen Sie Microsoft Entra Rolle?
Homepage Anzeigen von Daten auf Karten Ja
Hinzufügen von Benutzern Ja
Kennwort zurücksetzen Ja
Offboarden von Benutzern Ja
Benachrichtigungen Anzeigen von Warnungen und Warnungsregeln Nein
Verwalten von Warnungen (Ändern des Schweregrads, status oder Zuweisung) Nein
Erstellen, Bearbeiten und Löschen von Warnungsregeln Nein
Copilot Insights Anzeigen von Verkaufschancen und Einführungsdaten Ja
Mandanten Anzeigen der Seite "Mandanten " Nein
Anzeigen von Mandantendetails Ja
Exportieren von Daten Nein
Tags anzeigen Nein
Erstellen, Aktualisieren und Löschen von Tags in Lighthouse Nein
Zuweisen und Entfernen von Tags aus Mandanten Nein
Aktivieren und Deaktivieren eines Mandanten Nein
Anzeigen von status für delegierten Zugriff Nein
Anzeigen der Microsoft-Sicherheitsbewertung Ja
Anzeigen von Baselinezuweisungen Nein
Anzeigen von bereitstellungs status Ja
Anzeigen der Nutzung von Apps und Diensten Ja
Anzeigen und Bearbeiten von Kundenkontakt- und Websiteinformationen Nein
Benutzer Suchen nach Benutzern Ja
Anzeigen von Benutzermetriken Ja
Onboarding neuer Benutzer Ja
Offboarden von Benutzern Ja
Anzeigen inaktiver Benutzer Ja
Anzeigen freigegebener Postfächer Ja
Anzeigen und Verwalten riskanter Benutzer Ja
Anzeigen und Verwalten der mehrstufigen Authentifizierung Ja
Anzeigen und Verwalten der Self-Service-Kennwortzurücksetzung Ja
Geräte Anzeigen von Gerätesicherheitsdaten Ja
Anzeigen von Daten zur Verwaltung von Sicherheitsrisiken Ja
Anzeigen von Gerätekonformitätsdaten Ja
Anzeigen von Daten zur Bedrohungsverwaltung Ja
Anzeigen von Geräteintegritätsdaten Ja
Anzeigen Windows 365 Daten Ja
Anzeigen von Windows-Ereignisprotokollen Ja
Apps Anzeigen von App-Leistungs- und App-Verwaltungsdaten Ja
Isolierte Nachrichten Anzeigen und Verwalten von in Quarantäne befindlichen Nachrichten Ja
Baselines Anzeigen von Baselines (Standard, benutzerdefiniert) und Aufgabendetails Nein
Erstellen, Klonen, Bearbeiten und Zuweisen von Baselines Nein
Extrahieren einer Aufgabe aus einem Mandanten zum Hinzufügen zu einer Baseline Ja
Anzeigen von Bereitstellungserkenntnissen Ja
Dienstintegrität Überwachen der Dienstintegrität1 Nein
Support Erstellen und Verwalten von Dienstanforderungen2 Nein
Überwachungsprotokolle Anzeigen von Überwachungsprotokollen Ja
Berechtigungen Anzeigen der Seite "Lighthouse-Berechtigungen" Nein
Einrichten und Verwalten von Lighthouse-Berechtigungen Nein
Anzeigen, Einrichten und Verwalten von GDAP auf der Seite Delegierter Zugriff Nein
Vertriebsberater Anzeigen von Verkaufschancen Nein
Anzeigen von Abonnementverlängerungen Nein
Anzeigen von Lizenzanforderungen Nein

1 Zum Überwachen der Dienstintegrität müssen Lighthouse-Benutzer mindestens eine Microsoft Entra Rolle im Partnermandanten mit folgendem Eigenschaftensatz besitzen: microsoft.office365.serviceHealth/allEntities/allTasks. Außerdem muss den Benutzern im Partner Center mindestens die Rolle "Admin-Agent" oder "Helpdesk-Agent" zugewiesen sein.

2 Zum Erstellen und Verwalten von Serviceanfragen müssen Lighthouse-Benutzer mindestens eine Microsoft Entra Rolle im Partnermandanten mit folgendem Eigenschaftensatz besitzen: microsoft.office365.supportTickets/allEntities/allTasks.

Verwalten von GDAP im Kundenmandanten

So wie Lighthouse RBAC-Rollen Berechtigungen im Partnermandanten verwalten, verwaltet GDAP Berechtigungen in den Kundenmandanten. GDAP bietet Ihnen ein hohes Maß an Kontrolle und Flexibilität, indem der Zugriff auf Kundenmandanten über Microsoft Entra integrierte Rollen ermöglicht wird. Das Zuweisen der Rollen mit den geringsten Berechtigungen nach Aufgabe zu MSP-Technikern über GDAP verringert das Sicherheitsrisiko sowohl für MSPs als auch für Kunden. Es wird empfohlen, GDAP-Leserrollen für Kundenmandanten zu verwenden, um Lighthouse-Benutzern eine aggregierte Ansicht für alle Kundenmandanten zu ermöglichen.

Weitere Informationen zum Einrichten einer GDAP-Beziehung mit einem Kundenmandanten in Lighthouse finden Sie unter Abrufen präziser Administratorberechtigungen zum Verwalten eines Kundendiensts – Partner Center.

Weitere Informationen zu Rollen mit den geringsten Berechtigungen nach Aufgabe finden Sie unter Rollen mit den geringsten Berechtigungen – Partner Center und Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID.

Weitere Informationen zur Einstellung von GDAP oder delegierten Administratorrechten (DAP) finden Sie unter Häufig gestellte Fragen zu GDAP – Partner Center, oder durchsuchen Sie die Partner Center-Ankündigungen nach Datumsangaben und Zeitplänen.

Eine vollständige Liste der Microsoft Entra Rollen und der Aktionen, die sie ausführen können, finden Sie unter Microsoft Entra integrierten Rollen. Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen Microsoft Entra Rollen zu Benutzern.

Anzeigen Ihrer Microsoft Entra Rollen in Microsoft 365 Lighthouse (Artikel)
Verwalten von Lighthouse-RBAC-Berechtigungen in Microsoft 365 Lighthouse (Artikel)
Einrichten von GDAP in Microsoft 365 Lighthouse (Artikel)
Übersicht über die Seite "Delegierter Zugriff" in Microsoft 365 Lighthouse (Artikel)
Zuweisen von Rollen und Berechtigungen zu Benutzern – Partner Center (Artikel)
Häufig gestellte Fragen zu GDAP – Partner Center (Artikel)
Microsoft 365 Lighthouse häufig gestellte Fragen (FAQs) (Artikel)