Jaa

Microsoft 365 Lighthouse portaalin suojauksen määrittäminen

  • Artikkeli

Asiakastietojen käytön suojaaminen, kun hallittu palveluntarjoaja (MSP) on delegoinut käyttöoikeudet vuokraajilleen, on kyberturvallisuusprioriteetti. Microsoft 365 Lighthouse sisältää sekä pakollisia että valinnaisia ominaisuuksia, joiden avulla voit määrittää Majakkaportaalin suojauksen. Sinun on määritettävä tietyt roolit, joissa monimenetelmäinen todentaminen on käytössä, ennen kuin voit käyttää Majakkaa. Voit halutessasi määrittää Microsoft Entra Privileged Identity Management (PIM) ja ehdollisen käyttöoikeuden.

Monimenetelmäinen todentaminen (MFA)

Kuten blogikirjoituksessa mainitaan , Pa$$word ei ole väliä:

"Salasanalla ei ole väliä, mutta monimenetelmäinen todentaminen on sama. Tutkimusten perusteella tilisi on yli 99,9 % epätodennäköisempi vaarantua, jos käytät monimenetelmäistä todentamista."

Kun käyttäjät käyttävät Lighthousea ensimmäistä kertaa, heitä kehotetaan määrittämään MFA, jos heidän Microsoft 365 -tiliään ei ole vielä määritetty. Käyttäjät eivät voi käyttää Majakkaa, ennen kuin vaadittu MFA-määritysvaihe on suoritettu. Lisätietoja todennusmenetelmistä on artikkelissa Microsoft 365 -kirjautumisen määrittäminen monimenetelmäistä todentamista varten.

Roolipohjaisen käytön valvonnan määrittäminen

Roolipohjainen käyttöoikeuksien hallinta (RBAC) myöntää käyttöoikeuksia resursseihin tai tietoihin käyttäjäroolien perusteella. Asiakkaiden vuokraajatietojen ja -asetusten käyttö Lighthousessa on rajoitettu pilviratkaisujen tarjoajan (CSP) ohjelman tiettyihin rooleihin. Jos haluat määrittää RBAC-rooleja Lighthousessa, suosittelemme, että käytät hajautettuja delegoituja hallintaoikeuksia (GDAP) eriytettyjen määritysten toteuttamiseen käyttäjille. Delegoidut hallintaoikeudet (DAP) vaaditaan edelleen, jotta vuokraaja voidaan ottaa käyttöön onnistuneesti, mutta vain GDAP-asiakkaat voivat pian liittyä mukaan ilman riippuvuutta DAP:stä. GDAP-käyttöoikeudet ovat etusijalla, kun DAP ja GDAP ovat asiakkaiden käytössä.

Jos haluat määrittää GDAP-suhteen, katso lisätietoja artikkelista Eriytettyjen järjestelmänvalvojien käyttöoikeuksien hankkiminen asiakkaan palvelun - kumppanikeskuksen hallintaan. Lisätietoja siitä, mitkä roolit suosittelemme käyttämään Majakkaa, on artikkelissa Yleiskatsaus käyttöoikeuksista Microsoft 365 Lighthouse.

MSP-teknikot voivat myös käyttää Majakkaa käyttämällä Hallinta agentin tai tukiagentin rooleja delegoitujen järjestelmänvalvojan oikeuksien (DAP) kautta.

Muiden kuin asiakkaiden vuokraajaan liittyvissä Toiminnoissa Majakassa (esimerkiksi perehdytys, asiakkaiden aktivointi/uudelleenaktivointi, tunnisteiden hallinta, lokien tarkistus) MSP-teknikoilla on oltava määritetty rooli kumppanivuokraajassa. Katso lisätietoja vuokraajan roolien yleiskatsauksesta Microsoft 365 Lighthouse käyttöoikeuksista.

Määritä Microsoft Entra Privileged Identity Management (PIM)

MSP:t voivat minimoida niiden henkilöiden määrän, joilla on suuri käyttöoikeus suojattuihin tietoihin tai resursseihin PIM:n avulla. PIM vähentää mahdollisuutta, että pahantahtoinen henkilö saa pääsyn resursseihin tai että valtuutetut käyttäjät vaikuttavat tahattomasti arkaluontoiseen resurssiin. MsP:t voivat myös antaa käyttäjille juuri ajoissa korkeita käyttöoikeusrooleja resurssien käyttämiseen, laajojen muutosten tekemiseen ja valvoa, mitä määritetyt käyttäjät tekevät etuoikeutetuilla käyttöoikeuksillaan.

Huomautus

Microsoft Entra PIM edellyttää Microsoft Entra ID P2 -käyttöoikeutta kumppanivuokraajassa.

Seuraavat vaiheet nostavat kumppanivuokraajan käyttäjät aikakatkaistiin suurempiin käyttöoikeusrooleihin PIM:n avulla:

  1. Luo roolille määritettävä ryhmä artikkelin Luo ryhmä roolien määrittämistä varten Microsoft Entra ID mukaisesti.

  2. Siirry Microsoft Entra ID – Kaikki Ryhmät ja lisää uusi ryhmä korkean oikeuden roolien käyttöoikeusryhmän jäseneksi (esimerkiksi Hallinta Agent -käyttöoikeusryhmä DAP:tä varten tai vastaava käyttöoikeusryhmä GDAP-rooleille).

  3. Määritä uuden ryhmän erityisoikeudet artikkelin Määritä oikeutetut omistajat ja jäsenet etuoikeutettuihin käyttöoikeusryhmiin mukaisesti.

Lisätietoja PIM:stä on artikkelissa Mikä on Privileged Identity Management?

Riskeihin perustuvien Microsoft Entra ehdollisten käyttöoikeuksien määrittäminen

MsP:t voivat käyttää riskipohjaista ehdollista käyttöoikeutta varmistaakseen, että henkilökunnan jäsenet todistavat henkilöllisyytensä monimenetelmäisen todentamisen avulla ja vaihtamalla salasanansa, kun heidät havaitaan riskialttiiksi käyttäjäksi (vuotaneilla tunnistetiedoilla tai Microsoft Entra uhkien tiedustelutiedoilla). Käyttäjien on myös kirjauduttava sisään tutusta sijainnista tai rekisteröidystä laitteesta, kun hänet havaitaan riskialttiiksi kirjautumiseksi. Muita riskialttiita toimintoja ovat sisäänkirjautuminen haitallisesta tai nimettömästä IP-osoitteesta tai epätyypillisestä tai mahdottomasta matkustussijainnista, poikkeavan tunnuksen käyttäminen, salasanasuihkeen salasanan käyttäminen tai muu epätavallinen kirjautumiskäyttäytyminen. Käyttäjän riskitasosta riippuen msp-käyttäjät voivat myös estää käytön kirjautumisen yhteydessä. Lisätietoja riskeistä on artikkelissa Mikä on riski?

Huomautus

Ehdollinen käyttö edellyttää Microsoft Entra ID P2 -käyttöoikeutta kumppanivuokraajaan. Jos haluat määrittää ehdollisen käyttöoikeuden, katso Microsoft Entra ehdollisten käyttöoikeuksien määrittäminen.

Aiheeseen liittyvä sisältö

Salasanan palautusoikeudet (artikkeli)
Microsoft 365 Lighthouse käyttöoikeuksien yleiskatsaus (artikkeli)
Microsoft Entra roolien tarkasteleminen Microsoft 365 Lighthouse (artikkeli)
Microsoft 365 Lighthouse vaatimukset (artikkeli)
Microsoft 365 Lighthouse yleiskatsaus (artikkeli)
Rekisteröidy Microsoft 365 Lighthouse varten (artikkeli)
Microsoft 365 Lighthouse usein kysytyt kysymykset (artikkeli)