Microsoft 365 Lighthouseのアクセス許可の概要
Microsoft 365 Lighthouseアクセス許可は、主に次によって管理されます。
- パートナー テナントの Lighthouse ロールベースのアクセス制御 (RBAC)
- 顧客テナントのきめ細かい委任された管理特権 (GDAP)
Lighthouse を使用するには、RBAC と GDAP を介して割り当てられたロールの組み合わせが必要です。
パートナー テナントで Lighthouse RBAC のアクセス許可を管理する
パートナー テナントの Lighthouse アクセス許可は、Lighthouse で RBAC ロールを割り当てることによって管理されます。 各ロールには、パートナー テナント内でユーザーがアクセスおよび変更できるデータを決定する一連のアクセス許可があります。 Lighthouse RBAC ロールは、顧客データへのアクセスを提供しません。 顧客データへのアクセスは、Lighthouse ユーザーの GDAP アクセス許可によって管理されます ( 「顧客テナントでの GDAP の管理」を参照してください)。
RBAC ロールは、Lighthouse の Lighthouse アクセス許可 ページから管理されます。 Lighthouse のアクセス許可ページにアクセスし、アクセス許可を管理するには、次のいずれかのロールを保持する必要があります。
- Microsoft Entra IDの特権ロール管理者
- Lighthouse の管理者
詳細については、「Microsoft 365 Lighthouseでの Lighthouse RBAC アクセス許可の管理」を参照してください。
次の表に、各 Lighthouse RBAC ロールの概要を示します。 各ロールがパートナー テナントで実行できるアクションの一覧については、「 Lighthouse RBAC の役割と機能」を参照してください。
| Lighthouse RBAC ロール | 概要 |
|---|---|
| アカウント マネージャー | アカウント マネージャーは、パートナー テナント全体の Sales Advisor ページとデータにフル アクセスできます。 アカウント マネージャーは、Sales Advisor データをエクスポートできます。 |
| 管理者 | 管理者は Lighthouse で完全な管理アクセス許可を持っています。 管理者は、RBAC と GDAP のアクセス許可の管理、監査ログの表示、ベースライン、タグ、アラートの作成を行うことができます。 管理者には、Microsoft Entra IDの特権ロール管理者、ユーザー管理者、グループ管理者ロール、およびパートナー センターの管理 エージェント ロールが自動的に割り当てられます。 |
| 設定元 | 作成者は、テナント、タグ、アラート ルール、およびベースラインを管理して、テナント構成をデプロイできます。 |
| オペレーター | オペレーターは、管理する顧客テナントごとに割り当てられた GDAP アクセス許可に基づいて Lighthouse の顧客テナントを管理します。 オペレーターは、高レベルの顧客テナントの状態を表示し、アラートを管理できます。 少なくとも 1 つのMicrosoft Entraロールを保持している Lighthouse ユーザーには、オペレーター ロールが自動的に割り当てられます。 手記: Lighthouse 管理者は、[ 委任されたアクセス ] ページのテンプレートを使用して、Lighthouse ユーザーに GDAP アクセス許可を割り当てることができます。 |
| Reader | 閲覧者は Lighthouse のデータに読み取り専用でアクセスできます。 Lighthouse 閲覧者は、高レベルの顧客テナントの状態とアラートを表示できます。 |
Lighthouse RBAC の役割と機能
次の表では、Lighthouse RBAC の各ロールが Lighthouse で実行できるアクションについて説明します。 一部のアクションでは、Lighthouse RBAC ロールに加えてMicrosoft Entraロールを保持する必要があります。 その他のアクションの場合は、Microsoft Entra ロールのみが必要です。 Microsoft Entraロールの要件は、テーブルの最後の列に示されます。 Microsoft Entraロールと実行できるアクションの完全な一覧については、「Microsoft Entra組み込みロール」を参照してください。
| 分野 | アクション | アカウント マネージャー | 管理者 | 設定元 | オペレーター | Reader | ロールMicrosoft Entra必要ですか? |
|---|---|---|---|---|---|---|---|
| ホーム ページ | カードでデータを表示する | はい | |||||
| ユーザーの追加 | はい | ||||||
| パスワードのリセット | はい | ||||||
| オフボード ユーザー | はい | ||||||
| アラート | アラートとアラート ルールを表示する | ✓ | ✓ | ✓ | ✓ | いいえ | |
| アラートの管理 (重大度、状態、または割り当ての変更) | ✓ | ✓ | いいえ | ||||
| アラート ルールの作成、編集、削除 | ✓ | ✓ | いいえ | ||||
| Copilot の分析情報 | 機会と導入データを表示する | はい | |||||
| Tenants | [テナント] ページを表示する | ✓ | ✓ | ✓ | ✓ | ✓ | いいえ |
| テナントの詳細を表示する | はい | ||||||
| データのエクスポート | ✓ | ✓ | ✓ | ✓ | ✓ | いいえ | |
| タグの表示 | ✓ | ✓ | ✓ | ✓ | ✓ | いいえ | |
| Lighthouse でタグを作成、更新、削除する | ✓ | ✓ | いいえ | ||||
| テナントへのタグの割り当てと削除 | ✓ | ✓ | いいえ | ||||
| テナントのアクティブ化と非アクティブ化 | ✓ | ✓ | いいえ | ||||
| 委任されたアクセスの状態を表示する | ✓ | ✓ | ✓ | ✓ | ✓ | いいえ | |
| Microsoft セキュリティ スコアを表示する | はい | ||||||
| ベースラインの割り当てを表示する | ✓ | ✓ | ✓ | ✓ | ✓ | いいえ | |
| デプロイの状態を表示する | ✓ | はい | |||||
| アプリとサービスの使用状況を表示する | ✓ | はい | |||||
| 顧客の連絡先と Web サイトの情報を表示および編集する | ✓ | ✓ | ✓ | ✓ | いいえ | ||
| Users | ユーザーを検索する | はい | |||||
| ユーザー メトリックを表示する | はい | ||||||
| 新しいユーザーのオンボード | はい | ||||||
| オフボード ユーザー | はい | ||||||
| 非アクティブなユーザーを表示する | はい | ||||||
| 共有メールボックスを表示する | はい | ||||||
| リスクの高いユーザーの表示と管理 | はい | ||||||
| 多要素認証の表示と管理 | はい | ||||||
| セルフサービス パスワード リセットの表示と管理 | はい | ||||||
| デバイス | デバイス のセキュリティ データを表示する | はい | |||||
| 脆弱性管理データを表示する | はい | ||||||
| デバイス コンプライアンス データを表示する | はい | ||||||
| 脅威管理データを表示する | はい | ||||||
| デバイスの正常性データを表示する | はい | ||||||
| Windows 365 データを表示する | はい | ||||||
| Windows イベント ログを表示する | はい | ||||||
| アプリ | アプリのパフォーマンスとアプリ管理データを表示する | はい | |||||
| 隔離されたメッセージ | 検疫されたメッセージの表示と管理 | はい | |||||
| 基準計画 | ベースライン (既定、カスタム) とタスクの詳細を表示する | ✓ | ✓ | ✓ | ✓ | いいえ | |
| ベースラインの作成、複製、編集、割り当て | ✓ | ✓ | いいえ | ||||
| テナントからタスクを抽出してベースラインに追加する | ✓ | ✓ | はい | ||||
| デプロイの分析情報を表示する | はい | ||||||
| サービス正常性 | サービス正常性の監視 1 | いいえ | |||||
| サポート | サービス要求の作成と管理2 | いいえ | |||||
| 監査ログ | 監査ログを表示する | ✓ | はい | ||||
| アクセス許可 | Lighthouse のアクセス許可ページを表示する | ✓ | いいえ | ||||
| Lighthouse のアクセス許可を設定および管理する | ✓ | いいえ | |||||
| [委任されたアクセス] ページで GDAP を表示、設定、管理する | ✓ | いいえ | |||||
| Sales Advisor | 営業案件を表示する | ✓ | ✓ | いいえ | |||
| サブスクリプションの更新を表示する | ✓ | ✓ | いいえ | ||||
| ライセンス要求を表示する | ✓ | ✓ | いいえ |
1 サービスの正常性を監視するには、Lighthouse ユーザーは、microsoft.office365.serviceHealth/allEntities/allTasks というプロパティ セットを持つパートナー テナントに少なくとも 1 つのMicrosoft Entraロールを保持する必要があります。 また、ユーザーには、パートナー センターで少なくとも 管理 エージェント ロールまたはヘルプデスク エージェント ロールが割り当てられている必要があります。
2 サービス要求を作成および管理するには、Lighthouse ユーザーがパートナー テナントに少なくとも 1 つのMicrosoft Entraロールを保持し、次のプロパティ セットを持つ必要があります: microsoft.office365.supportTickets/allEntities/allTasks。
顧客テナントで GDAP を管理する
Lighthouse RBAC ロールがパートナー テナントのアクセス許可を管理するのと同様に、GDAP は顧客テナントのアクセス許可を管理します。 GDAP は、組み込みロールを通じて顧客テナントにアクセスできるようにすることで、高度な制御と柔軟性Microsoft Entra提供します。 GDAP を使用して MSP 技術者にタスク別に最小限の特権ロールを割り当てることで、MSP と顧客の両方のセキュリティ リスクが軽減されます。 顧客テナント間で GDAP 閲覧者ロールを使用して、Lighthouse ユーザーにすべての顧客テナント全体の集計ビューを提供することをお勧めします。
Lighthouse で顧客テナントとの GDAP 関係を設定する方法の詳細については、「詳細 な管理者アクセス許可を取得して顧客のサービスを管理する - パートナー センター」を参照してください。
タスク別の最小特権ロールの詳細については、Microsoft Entra IDの「最小特権ロール - パートナー センター」および「タスクごとの最小特権ロール」を参照してください。
GDAP または委任された管理特権 (DAP) の非推奨の詳細については、「 GDAP に関するよく寄せられる質問 - パートナー センター」を参照するか、 パートナー センターのお知らせ で日付とタイムラインを検索してください。
Microsoft Entraロールと実行できるアクションの完全な一覧については、「Microsoft Entra組み込みロール」を参照してください。 ロールを割り当てる方法については、「ユーザーにMicrosoft Entraロールを割り当てる」を参照してください。
関連コンテンツ
Microsoft 365 LighthouseでMicrosoft Entraロールを表示する (記事)
Microsoft 365 Lighthouseで Lighthouse RBAC のアクセス許可を管理する (記事)
Microsoft 365 Lighthouseで GDAP を設定する (記事)
Microsoft 365 Lighthouseの [委任されたアクセス] ページの概要 (記事)
ユーザーにロールとアクセス許可を割り当てる - パートナー センター (記事)
GDAP に関してよく寄せられる質問 - パートナー センター (記事)
Microsoft 365 Lighthouseよく寄せられる質問 (FAQ) (記事)