Introducción a los permisos en Microsoft 365 Lighthouse
los permisos de Microsoft 365 Lighthouse se administran principalmente mediante lo siguiente:
- Control de acceso basado en rol (RBAC) de Lighthouse en el inquilino del asociado
- Privilegios administrativos delegados granulares (GDAP) en el inquilino del cliente
Para usar Lighthouse, necesita una combinación de roles asignados a través de RBAC y GDAP.
Administración de permisos de RBAC de Lighthouse en el inquilino del asociado
Los permisos de Lighthouse en el inquilino del asociado se administran mediante la asignación de roles de RBAC en Lighthouse. Cada rol tiene un conjunto de permisos que determina a qué usuarios de datos pueden acceder y cambiar dentro del inquilino del asociado. Los roles RBAC de Lighthouse no proporcionan acceso a los datos del cliente. El acceso a los datos del cliente se rige por los permisos de GDAP de un usuario de Lighthouse (consulte Administración de GDAP en el inquilino del cliente).
Los roles de RBAC se administran desde la página de permisos de Lighthouse en Lighthouse. Para acceder a la página permisos de Lighthouse y administrar permisos, debe tener uno de los siguientes roles:
- Administrador de roles con privilegios en Microsoft Entra ID
- Administrador en Lighthouse
Para más información, consulte Administración de permisos de RBAC de Lighthouse en Microsoft 365 Lighthouse.
En la tabla siguiente se proporciona información general sobre cada rol RBAC de Lighthouse. Para obtener una lista de las acciones que cada rol puede realizar en el inquilino del asociado, consulte Funciones y roles de RBAC de Lighthouse.
| Rol RBAC de Lighthouse | Información general |
|---|---|
| Administrador de cuentas | Los administradores de cuentas tienen acceso total a las páginas y los datos de Sales Advisor en todo el inquilino del asociado. Los administradores de cuentas pueden exportar datos de Sales Advisor. |
| Administrador | Los administradores tienen permisos administrativos completos en Lighthouse. Los administradores pueden administrar permisos de RBAC y GDAP y crear líneas base, etiquetas y alertas. A los administradores se les asignan automáticamente los roles Administrador de roles con privilegios, Administrador de usuarios y Administrador de grupos en Microsoft Entra ID y el rol Agente de Administración en el Centro de partners. |
| Operador | Los operadores administran los inquilinos de clientes en Lighthouse en función de los permisos de GDAP asignados para cada inquilino de cliente que administran. Los operadores pueden ver el estado de inquilino del cliente de alto nivel y administrar alertas. A los usuarios de Lighthouse que tengan al menos un rol de Microsoft Entra se les asigna automáticamente el rol Operador. Nota: Los administradores de Lighthouse pueden usar plantillas en la página Acceso delegado para asignar permisos GDAP a los usuarios de Lighthouse. |
| Lector | Los lectores tienen acceso de solo lectura a los datos de Lighthouse. Los lectores de Lighthouse pueden ver el estado y las alertas del inquilino del cliente de alto nivel. |
Funciones y funcionalidades de RBAC de Lighthouse
En la tabla siguiente se describen las acciones que cada rol RBAC de Lighthouse puede realizar en Lighthouse. Para algunas acciones, debe tener un rol de Microsoft Entra además de un rol RBAC de Lighthouse. Para otras acciones, solo se requiere un rol de Microsoft Entra. Microsoft Entra requisitos de rol se indican en la última columna de la tabla. Para obtener una lista completa de los roles Microsoft Entra y las acciones que pueden realizar, consulte Microsoft Entra roles integrados.
| Área | Acciones | Administrador de cuentas | Administrador | Operador | Lector | ¿Necesita Microsoft Entra rol? |
|---|---|---|---|---|---|---|
| Página principal | Visualización de datos en tarjetas | Yes | ||||
| Agregar usuarios | Yes | |||||
| Restablecer contraseña | Yes | |||||
| Usuarios fuera del panel | Yes | |||||
| Alertas | Visualización de alertas y reglas de alertas | ✓ | ✓ | ✓ | No | |
| Administrar alertas (cambiar gravedad, estado o asignación) | ✓ | No | ||||
| Creación, edición y eliminación de reglas de alerta | ✓ | No | ||||
| Conclusiones de Copilot | Visualización de oportunidades y datos de adopción | Yes | ||||
| Inquilinos | Ver la página Inquilinos | ✓ | ✓ | ✓ | ✓ | No |
| Visualización de los detalles del inquilino | Yes | |||||
| Exportar datos | ✓ | ✓ | ✓ | ✓ | No | |
| Ver etiquetas | ✓ | ✓ | ✓ | ✓ | No | |
| Creación, actualización y eliminación de etiquetas en Lighthouse | ✓ | No | ||||
| Asignación y eliminación de etiquetas de inquilinos | ✓ | No | ||||
| Activación e inactivación de un inquilino | ✓ | No | ||||
| Visualización del estado de acceso delegado | ✓ | ✓ | ✓ | ✓ | No | |
| Visualización de la puntuación segura de Microsoft | Yes | |||||
| Visualización de asignaciones de línea base | ✓ | ✓ | ✓ | ✓ | No | |
| Visualización del estado de la implementación | ✓ | Yes | ||||
| Visualización del uso de aplicaciones y servicios | ✓ | Yes | ||||
| Visualización y edición de la información de contactos y sitios web del cliente | ✓ | ✓ | ✓ | ✓ | No | |
| Usuarios | Búsqueda de usuarios | Yes | ||||
| Visualización de métricas de usuario | Yes | |||||
| Incorporación de nuevos usuarios | Yes | |||||
| Usuarios fuera del panel | Yes | |||||
| Visualización de usuarios inactivos | Yes | |||||
| Visualización de buzones compartidos | Yes | |||||
| Visualización y administración de usuarios de riesgo | Yes | |||||
| Visualización y administración de la autenticación multifactor | Yes | |||||
| Visualización y administración del autoservicio de restablecimiento de contraseña | Sí | |||||
| Dispositivos | Visualización de datos de seguridad de dispositivos | Yes | ||||
| Visualización de datos de administración de vulnerabilidades | Yes | |||||
| Visualización de datos de cumplimiento de dispositivos | Yes | |||||
| Visualización de datos de administración de amenazas | Yes | |||||
| Visualización de datos de estado del dispositivo | Yes | |||||
| Visualización de datos Windows 365 | Yes | |||||
| Visualización de registros de eventos de Windows | Yes | |||||
| Aplicaciones | Visualización del rendimiento de la aplicación y los datos de administración de aplicaciones | Yes | ||||
| Mensajes en cuarentena | Visualización y administración de mensajes en cuarentena | Yes | ||||
| Líneas base | Visualización de líneas base (predeterminadas, personalizadas) y detalles de tareas | ✓ | ✓ | ✓ | No | |
| Creación, clonación, edición y asignación de líneas base | ✓ | No | ||||
| Visualización de información de implementación | Yes | |||||
| Estado del servicio | Supervisión del estadodel servicio 1 | No | ||||
| Soporte técnico | Creación y administración de solicitudes de servicio2 | No | ||||
| Registros de auditoría | Visualización de registros de auditoría | ✓ | Yes | |||
| Permisos | Ver la página Permisos de Lighthouse | ✓ | No | |||
| Configuración y administración de permisos de Lighthouse | ✓ | No | ||||
| Visualización, configuración y administración de GDAP en la página Acceso delegado | ✓ | No | ||||
| Asesor de ventas | Visualización de oportunidades | ✓ | ✓ | No | ||
| Visualización de las renovaciones de suscripciones | ✓ | ✓ | No | |||
| Visualización de solicitudes de licencia | ✓ | ✓ | No |
1 Para supervisar el estado del servicio, los usuarios de Lighthouse deben tener al menos un rol Microsoft Entra en el inquilino del asociado con el siguiente conjunto de propiedades: microsoft.office365.serviceHealth/allEntities/allTasks. Los usuarios también deben tener al menos el rol agente de Administración o el rol Agente del departamento de soporte técnico asignados en el Centro de partners.
2 Para crear y administrar solicitudes de servicio, los usuarios de Lighthouse deben tener al menos un rol de Microsoft Entra en el inquilino del asociado con el siguiente conjunto de propiedades: microsoft.office365.supportTickets/allEntities/allTasks.
Administración de GDAP en el inquilino del cliente
Al igual que los roles RBAC de Lighthouse administran permisos en el inquilino del asociado, GDAP administra los permisos en los inquilinos del cliente. GDAP proporciona un alto nivel de control y flexibilidad al proporcionar acceso a los inquilinos del cliente a través de Microsoft Entra roles integrados. La asignación de los roles con privilegios mínimos por tarea a los técnicos de MSP a través de GDAP reduce el riesgo de seguridad para los MSP y los clientes. Se recomienda usar roles de lector GDAP entre inquilinos de clientes para proporcionar a los usuarios de Lighthouse una vista agregada en todos los inquilinos de clientes.
Para obtener más información sobre cómo configurar una relación GDAP con un inquilino de cliente en Lighthouse, consulte Obtención de permisos de administrador pormenorizados para administrar el servicio de un cliente: Centro de partners.
Para obtener más información sobre los roles con privilegios mínimos por tarea, vea Roles con privilegios mínimos: roles del Centro de partners y roles con privilegios mínimos por tarea en Microsoft Entra ID.
Para obtener más información sobre el desuso de GDAP o los privilegios administrativos delegados (DAP), consulte Preguntas más frecuentes sobre GDAP: Centro de partners o busque fechas y escalas de tiempo en los anuncios del Centro de partners.
Para obtener una lista completa de los roles Microsoft Entra y las acciones que pueden realizar, consulte Microsoft Entra roles integrados. Para obtener información sobre cómo asignar roles, consulte Asignación de roles Microsoft Entra a los usuarios.
Contenido relacionado
Ver los roles de Microsoft Entra en Microsoft 365 Lighthouse (artículo)
Administración de permisos de RBAC de Lighthouse en Microsoft 365 Lighthouse (artículo)
Configuración de GDAP en Microsoft 365 Lighthouse (artículo)
Información general de la página Acceso delegado en Microsoft 365 Lighthouse (artículo)
Asignación de roles y permisos a los usuarios: Centro de partners (artículo)
Preguntas más frecuentes sobre GDAP: Centro de partners (artículo)
Microsoft 365 Lighthouse preguntas más frecuentes (artículo)