Del via

Konfigurer Microsoft 365 Lighthouse portalsikkerhet

  • Artikkel

Beskyttelse av tilgang til kundedata når en administrert tjenesteleverandør (MSP) har delegert tilgangstillatelser til tenantene, er en prioritet for cybersikkerhet. Microsoft 365 Lighthouse leveres med både nødvendige og valgfrie funksjoner for å hjelpe deg med å konfigurere Lighthouse Portal-sikkerhet. Du må konfigurere bestemte roller med flerfaktorgodkjenning (MFA) aktivert før du kan få tilgang til Lighthouse. Du kan eventuelt konfigurere Microsoft Entra Privileged Identity Management (PIM) og betinget tilgang.

Konfigurer godkjenning med flere faktorer (MFA)

Som nevnt i blogginnlegget Din Pa $ $word spiller ingen rolle:

«Passordet ditt spiller ingen rolle, men MFA gjør det. Basert på våre studier, kontoen din er mer enn 99,9% mindre sannsynlig å bli kompromittert hvis du bruker MFA."

Når brukere får tilgang til Lighthouse for første gang, blir de bedt om å konfigurere MFA hvis Microsoft 365-kontoen deres ikke allerede har konfigurert den. Brukere får ikke tilgang til Lighthouse før det nødvendige konfigurasjonstrinnet for MFA er fullført. Hvis du vil lære mer om godkjenningsmetoder, kan du se Konfigurere Microsoft 365-påloggingen for godkjenning med flere faktorer.

Konfigurere rollebasert tilgangskontroll

Rollebasert tilgangskontroll (RBAC) gir tilgang til ressurser eller informasjon basert på brukerroller. Tilgang til kundeleierens data og innstillinger i Lighthouse er begrenset til bestemte roller fra Cloud Solution Provider (CSP)-programmet. Hvis du vil konfigurere RBAC-roller i Lighthouse, anbefaler vi at du bruker detaljert delegerte administrative rettigheter (GDAP) til å implementere detaljerte oppgaver for brukere. Delegerte administrative rettigheter (DAP) kreves fremdeles for at leieren skal kunne starte på nytt, men bare GDAP-kunder vil snart kunne starte uten avhengighet av DAP. GDAP-tillatelser prioriteres når DAP og GDAP eksisterer sammen for en kunde.

Hvis du vil konfigurere en GDAP-relasjon, kan du se Få detaljerte administratortillatelser for å administrere kundens tjeneste – Partnersenter. Hvis du vil ha mer informasjon om hvilke roller vi anbefaler å bruke Lighthouse, kan du se Oversikt over tillatelser i Microsoft 365 Lighthouse.

MSP-teknikere kan også få tilgang til Lighthouse ved hjelp av rollene Admin agent eller brukerstøtteagent via delegerte administrative rettigheter (DAP).

For ikke-kunde-leierrelaterte handlinger i Lighthouse (for eksempel pålasting, kundeaktivering/reaktivering, administrering av merker, gjennomgang av logger), må MSP-teknikere ha en tilordnet rolle i partnerleieren. Se oversikt over tillatelser i Microsoft 365 Lighthouse for mer informasjon om partnerleierroller.

Konfigurere Microsoft Entra Privileged Identity Management (PIM)

Parlamentsmedlemmer kan minimere antall personer som har rolletilgang med høye rettigheter til å sikre informasjon eller ressurser ved hjelp av PIM. PIM reduserer sjansen for at en ondsinnet person får tilgang til ressurser eller autoriserte brukere utilsiktet påvirker en sensitiv ressurs. Parlamentsmedlemmer kan også gi brukere akkurat i tide høye rettigheter roller for å få tilgang til ressurser, gjøre brede endringer, og overvåke hva de angitte brukerne gjør med sin privilegerte tilgang.

Obs!

Bruk av Microsoft Entra PIM krever en Microsoft Entra ID P2-lisens i partnerleieren.

Følgende trinn hever partnerleierbrukere til tidsomfanget høyere rettighetsroller ved hjelp av PIM:

  1. Opprett en rolletildelbar gruppe som beskrevet i artikkelen Opprett en gruppe for å tilordne roller i Microsoft Entra ID.

  2. Gå til Microsoft Entra ID – Alle Grupper og legg til den nye gruppen som medlem av en sikkerhetsgruppe for roller med høy tilgang (for eksempel Admin Agents-sikkerhetsgruppe for DAP eller en tilsvarende respektiv sikkerhetsgruppe for GDAP-roller).

  3. Konfigurer privilegert tilgang til den nye gruppen som beskrevet i artikkelen Tilordne kvalifiserte eiere og medlemmer for privilegerte tilgangsgrupper.

Hvis du vil lære mer om PIM, kan du se Hva er Privileged Identity Management?

Konfigurere risikobasert Microsoft Entra betinget tilgang

Parlamentsmedlemmer kan bruke risikobasert betinget tilgang for å sikre at de ansatte beviser sin identitet ved hjelp av MFA og ved å endre passordet når de oppdages som en risikabel bruker (med lekket legitimasjon eller per Microsoft Entra trusselintelligens). Brukere må også logge på fra en kjent plassering eller registrert enhet når de oppdages som en risikabel pålogging. Andre risikable virkemåter inkluderer pålogging fra en ondsinnet eller anonym IP-adresse eller fra et atypisk eller umulig reisested, ved hjelp av et uregelmessig token, ved hjelp av et passord fra en passordspray eller viser annen uvanlig påloggingsatferd. Avhengig av brukerens risikonivå kan parlamentsmedlemmer også velge å blokkere tilgang ved pålogging. Hvis du vil lære mer om risikoer, kan du se Hva er risiko?

Obs!

Betinget tilgang krever en Microsoft Entra ID P2-lisens i partnerleieren. Hvis du vil konfigurere betinget tilgang, kan du se Konfigurere Microsoft Entra betinget tilgang.

Beslektet innhold

Tillatelser for tilbakestilling av passord (artikkel)
Oversikt over tillatelser i Microsoft 365 Lighthouse (artikkel)
Vise Microsoft Entra roller i Microsoft 365 Lighthouse (artikkel)
Krav for Microsoft 365 Lighthouse (artikkel)
Oversikt over Microsoft 365 Lighthouse (artikkel)
Registrer deg for Microsoft 365 Lighthouse (artikkel)
vanlige spørsmål om Microsoft 365 Lighthouse (artikkel)