Übersicht über Berechtigungen in Microsoft 365 Lighthouse
Microsoft 365 Lighthouse Berechtigungen werden hauptsächlich wie folgt verwaltet:
- Lighthouse: rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) im Partnermandanten
- Differenzierte delegierte Administratorrechte (GDAP) im Kundenmandanten
Um Lighthouse verwenden zu können, benötigen Sie eine Kombination von Rollen, die über RBAC und GDAP zugewiesen werden.
Verwalten von Lighthouse RBAC-Berechtigungen im Partnermandanten
Lighthouse-Berechtigungen im Partnermandanten werden durch Zuweisen von RBAC-Rollen in Lighthouse verwaltet. Jede Rolle verfügt über einen Satz von Berechtigungen, der bestimmt, auf welche Daten Benutzer innerhalb des Partnermandanten zugreifen und diese ändern können. Lighthouse RBAC-Rollen bieten keinen Zugriff auf Kundendaten. Der Zugriff auf Kundendaten wird durch die GDAP-Berechtigungen eines Lighthouse-Benutzers gesteuert (siehe Verwalten von GDAP im Kundenmandanten).
RBAC-Rollen werden über die Lighthouse-Berechtigungsseite in Lighthouse verwaltet. Um auf die Lighthouse-Berechtigungsseite zuzugreifen und Berechtigungen zu verwalten, müssen Sie eine der folgenden Rollen besitzen:
- Administrator für privilegierte Rollen in Microsoft Entra ID
- Administrator in Lighthouse
Weitere Informationen finden Sie unter Verwalten von Lighthouse RBAC-Berechtigungen in Microsoft 365 Lighthouse.
Die folgende Tabelle enthält eine Übersicht über die einzelnen Lighthouse RBAC-Rollen. Eine Liste der Aktionen, die jede Rolle im Partnermandanten ausführen kann, finden Sie unter Lighthouse RBAC-Rollen und -Funktionen.
Lighthouse RBAC-Rolle | Übersicht |
---|---|
Konto-Manager | Konto-Manager haben vollen Zugriff auf Sales Advisor-Seiten und -Daten für den gesamten Partnermandanten. Account Manager können Sales Advisor-Daten exportieren. |
Administrator | Administratoren verfügen über vollständige Administratorberechtigungen in Lighthouse. Administratoren können RBAC- und GDAP-Berechtigungen verwalten, Überwachungsprotokolle anzeigen und Baselines, Tags und Warnungen erstellen. Administratoren werden automatisch die Rollen Administrator für privilegierte Rollen, Benutzeradministrator und Gruppenadministrator in Microsoft Entra ID und die Rolle Admin-Agent im Partner Center zugewiesen. |
Ursprung | Autoren können Mandanten, Tags, Warnungsregeln und Baselines verwalten, um Mandantenkonfigurationen bereitzustellen. |
Operator | Operatoren verwalten Kundenmandanten in Lighthouse basierend auf den GDAP-Berechtigungen, die ihnen für jeden von ihnen verwalteten Kundenmandanten zugewiesen sind. Operatoren können allgemeine Kundenmandanten-status anzeigen und Warnungen verwalten. Lighthouse-Benutzern, die mindestens eine Microsoft Entra Rolle besitzen, wird automatisch die Rolle Operator zugewiesen. Anmerkung: Lighthouse-Administratoren können Vorlagen auf der Seite Delegierter Zugriff verwenden, um Lighthouse-Benutzern GDAP-Berechtigungen zuzuweisen. |
Reader | Leser haben schreibgeschützten Zugriff auf Daten in Lighthouse. Lighthouse Reader können allgemeine status und Warnungen für Kundenmandanten anzeigen. |
Lighthouse RBAC-Rollen und -Funktionen
In der folgenden Tabelle werden die Aktionen beschrieben, die jede Lighthouse-RBAC-Rolle in Lighthouse ausführen kann. Für einige Aktionen müssen Sie zusätzlich zu einer Lighthouse RBAC-Rolle eine Microsoft Entra Rolle besitzen. Für andere Aktionen ist nur eine Microsoft Entra Rolle erforderlich. Microsoft Entra Rollenanforderungen werden in der letzten Spalte der Tabelle angegeben. Eine vollständige Liste der Microsoft Entra Rollen und der Aktionen, die sie ausführen können, finden Sie unter Microsoft Entra integrierten Rollen.
Bereich | Aktionen | Konto-Manager | Administrator | Ursprung | Operator | Reader | Benötigen Sie Microsoft Entra Rolle? |
---|---|---|---|---|---|---|---|
Homepage | Anzeigen von Daten auf Karten | Ja | |||||
Hinzufügen von Benutzern | Ja | ||||||
Kennwort zurücksetzen | Ja | ||||||
Offboarden von Benutzern | Ja | ||||||
Benachrichtigungen | Anzeigen von Warnungen und Warnungsregeln | ✓ | ✓ | ✓ | ✓ | Nein | |
Verwalten von Warnungen (Ändern des Schweregrads, status oder Zuweisung) | ✓ | ✓ | Nein | ||||
Erstellen, Bearbeiten und Löschen von Warnungsregeln | ✓ | ✓ | Nein | ||||
Copilot Insights | Anzeigen von Verkaufschancen und Einführungsdaten | Ja | |||||
Mandanten | Anzeigen der Seite "Mandanten " | ✓ | ✓ | ✓ | ✓ | ✓ | Nein |
Anzeigen von Mandantendetails | Ja | ||||||
Exportieren von Daten | ✓ | ✓ | ✓ | ✓ | ✓ | Nein | |
Tags anzeigen | ✓ | ✓ | ✓ | ✓ | ✓ | Nein | |
Erstellen, Aktualisieren und Löschen von Tags in Lighthouse | ✓ | ✓ | Nein | ||||
Zuweisen und Entfernen von Tags aus Mandanten | ✓ | ✓ | Nein | ||||
Aktivieren und Deaktivieren eines Mandanten | ✓ | ✓ | Nein | ||||
Anzeigen von status für delegierten Zugriff | ✓ | ✓ | ✓ | ✓ | ✓ | Nein | |
Anzeigen der Microsoft-Sicherheitsbewertung | Ja | ||||||
Anzeigen von Baselinezuweisungen | ✓ | ✓ | ✓ | ✓ | ✓ | Nein | |
Anzeigen von bereitstellungs status | ✓ | Ja | |||||
Anzeigen der Nutzung von Apps und Diensten | ✓ | Ja | |||||
Anzeigen und Bearbeiten von Kundenkontakt- und Websiteinformationen | ✓ | ✓ | ✓ | ✓ | Nein | ||
Benutzer | Suchen nach Benutzern | Ja | |||||
Anzeigen von Benutzermetriken | Ja | ||||||
Onboarding neuer Benutzer | Ja | ||||||
Offboarden von Benutzern | Ja | ||||||
Anzeigen inaktiver Benutzer | Ja | ||||||
Anzeigen freigegebener Postfächer | Ja | ||||||
Anzeigen und Verwalten riskanter Benutzer | Ja | ||||||
Anzeigen und Verwalten der mehrstufigen Authentifizierung | Ja | ||||||
Anzeigen und Verwalten der Self-Service-Kennwortzurücksetzung | Ja | ||||||
Geräte | Anzeigen von Gerätesicherheitsdaten | Ja | |||||
Anzeigen von Daten zur Verwaltung von Sicherheitsrisiken | Ja | ||||||
Anzeigen von Gerätekonformitätsdaten | Ja | ||||||
Anzeigen von Daten zur Bedrohungsverwaltung | Ja | ||||||
Anzeigen von Geräteintegritätsdaten | Ja | ||||||
Anzeigen Windows 365 Daten | Ja | ||||||
Anzeigen von Windows-Ereignisprotokollen | Ja | ||||||
Apps | Anzeigen von App-Leistungs- und App-Verwaltungsdaten | Ja | |||||
Isolierte Nachrichten | Anzeigen und Verwalten von in Quarantäne befindlichen Nachrichten | Ja | |||||
Baselines | Anzeigen von Baselines (Standard, benutzerdefiniert) und Aufgabendetails | ✓ | ✓ | ✓ | ✓ | Nein | |
Erstellen, Klonen, Bearbeiten und Zuweisen von Baselines | ✓ | ✓ | Nein | ||||
Extrahieren einer Aufgabe aus einem Mandanten zum Hinzufügen zu einer Baseline | ✓ | ✓ | Ja | ||||
Anzeigen von Bereitstellungserkenntnissen | Ja | ||||||
Dienstintegrität | Überwachen der Dienstintegrität1 | Nein | |||||
Support | Erstellen und Verwalten von Dienstanforderungen2 | Nein | |||||
Überwachungsprotokolle | Anzeigen von Überwachungsprotokollen | ✓ | Ja | ||||
Berechtigungen | Anzeigen der Seite "Lighthouse-Berechtigungen" | ✓ | Nein | ||||
Einrichten und Verwalten von Lighthouse-Berechtigungen | ✓ | Nein | |||||
Anzeigen, Einrichten und Verwalten von GDAP auf der Seite Delegierter Zugriff | ✓ | Nein | |||||
Vertriebsberater | Anzeigen von Verkaufschancen | ✓ | ✓ | Nein | |||
Anzeigen von Abonnementverlängerungen | ✓ | ✓ | Nein | ||||
Anzeigen von Lizenzanforderungen | ✓ | ✓ | Nein |
1 Zum Überwachen der Dienstintegrität müssen Lighthouse-Benutzer mindestens eine Microsoft Entra Rolle im Partnermandanten mit folgendem Eigenschaftensatz besitzen: microsoft.office365.serviceHealth/allEntities/allTasks. Außerdem muss den Benutzern im Partner Center mindestens die Rolle "Admin-Agent" oder "Helpdesk-Agent" zugewiesen sein.
2 Zum Erstellen und Verwalten von Serviceanfragen müssen Lighthouse-Benutzer mindestens eine Microsoft Entra Rolle im Partnermandanten mit folgendem Eigenschaftensatz besitzen: microsoft.office365.supportTickets/allEntities/allTasks.
Verwalten von GDAP im Kundenmandanten
So wie Lighthouse RBAC-Rollen Berechtigungen im Partnermandanten verwalten, verwaltet GDAP Berechtigungen in den Kundenmandanten. GDAP bietet Ihnen ein hohes Maß an Kontrolle und Flexibilität, indem der Zugriff auf Kundenmandanten über Microsoft Entra integrierte Rollen ermöglicht wird. Das Zuweisen der Rollen mit den geringsten Berechtigungen nach Aufgabe zu MSP-Technikern über GDAP verringert das Sicherheitsrisiko sowohl für MSPs als auch für Kunden. Es wird empfohlen, GDAP-Leserrollen für Kundenmandanten zu verwenden, um Lighthouse-Benutzern eine aggregierte Ansicht für alle Kundenmandanten zu ermöglichen.
Weitere Informationen zum Einrichten einer GDAP-Beziehung mit einem Kundenmandanten in Lighthouse finden Sie unter Abrufen präziser Administratorberechtigungen zum Verwalten eines Kundendiensts – Partner Center.
Weitere Informationen zu Rollen mit den geringsten Berechtigungen nach Aufgabe finden Sie unter Rollen mit den geringsten Berechtigungen – Partner Center und Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID.
Weitere Informationen zur Einstellung von GDAP oder delegierten Administratorrechten (DAP) finden Sie unter Häufig gestellte Fragen zu GDAP – Partner Center, oder durchsuchen Sie die Partner Center-Ankündigungen nach Datumsangaben und Zeitplänen.
Eine vollständige Liste der Microsoft Entra Rollen und der Aktionen, die sie ausführen können, finden Sie unter Microsoft Entra integrierten Rollen. Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen Microsoft Entra Rollen zu Benutzern.
Verwandte Inhalte
Anzeigen Ihrer Microsoft Entra Rollen in Microsoft 365 Lighthouse (Artikel)
Verwalten von Lighthouse-RBAC-Berechtigungen in Microsoft 365 Lighthouse (Artikel)
Einrichten von GDAP in Microsoft 365 Lighthouse (Artikel)
Übersicht über die Seite "Delegierter Zugriff" in Microsoft 365 Lighthouse (Artikel)
Zuweisen von Rollen und Berechtigungen zu Benutzern – Partner Center (Artikel)
Häufig gestellte Fragen zu GDAP – Partner Center (Artikel)
Microsoft 365 Lighthouse häufig gestellte Fragen (FAQs) (Artikel)