Omówienie uprawnień w Microsoft 365 Lighthouse
Microsoft 365 Lighthouse uprawnienia są zarządzane głównie przez następujące elementy:
- Kontrola dostępu oparta na rolach (RBAC) w dzierżawie partnera
- Szczegółowe delegowane uprawnienia administracyjne (GDAP) w dzierżawie klienta
Do korzystania z usługi Lighthouse potrzebna jest kombinacja ról przypisanych za pośrednictwem kontroli dostępu opartej na rolach i protokołu GDAP.
Zarządzanie uprawnieniami kontroli dostępu opartej na rolach w usłudze Lighthouse w dzierżawie partnera
Uprawnienia usługi Lighthouse w dzierżawie partnera są zarządzane przez przypisanie ról RBAC w usłudze Lighthouse. Każda rola ma zestaw uprawnień, które określają, do których danych użytkownicy mogą uzyskiwać dostęp i zmieniać się w ramach dzierżawy partnera. Role RBAC usługi Lighthouse nie zapewniają dostępu do danych klientów. Dostęp do danych klientów podlega uprawnieniom GDAP użytkownika usługi Lighthouse (zobacz Zarządzanie GDAP w dzierżawie klienta).
Role RBAC są zarządzane na stronie uprawnień usługi Lighthouse w usłudze Lighthouse. Aby uzyskać dostęp do strony uprawnień usługi Lighthouse i zarządzać uprawnieniami, musisz mieć jedną z następujących ról:
- Administrator ról uprzywilejowanych w Tożsamość Microsoft Entra
- Administrator w lighthouse
Aby dowiedzieć się więcej, zobacz Manage Lighthouse RBAC permissions in Microsoft 365 Lighthouse (Zarządzanie uprawnieniami RBAC usługi Lighthouse w Microsoft 365 Lighthouse).
Poniższa tabela zawiera omówienie każdej roli RBAC usługi Lighthouse. Aby uzyskać listę akcji, które każda rola może wykonać w dzierżawie partnera, zobacz Role i możliwości RBAC usługi Lighthouse.
| Rola RBAC latarni morskiej | Omówienie |
|---|---|
| Menedżer kont | Menedżerowie kont mają pełny dostęp do stron i danych usługi Sales Advisor w całej dzierżawie partnera. Menedżerowie kont mogą eksportować dane usługi Sales Advisor. |
| Administrator | Administratorzy mają pełne uprawnienia administracyjne w aplikacji Lighthouse. Administratorzy mogą zarządzać uprawnieniami RBAC i GDAP, wyświetlać dzienniki inspekcji i tworzyć punkty odniesienia, tagi i alerty. Administratorom są automatycznie przypisywane role Administrator ról uprzywilejowanych, Administrator użytkowników i Administrator grupy w Tożsamość Microsoft Entra oraz rola agenta Administracja w Centrum partnerskim. |
| Autor | Autorzy mogą zarządzać dzierżawami, tagami, regułami alertów i punktami odniesienia w celu wdrożenia konfiguracji dzierżawy. |
| Operator | Operatorzy zarządzają dzierżawami klientów w usłudze Lighthouse na podstawie uprawnień GDAP przypisanych do nich dla każdej dzierżawy klienta, którą zarządzają. Operatorzy mogą wyświetlać stan dzierżawy klienta wysokiego poziomu i zarządzać alertami. Użytkownikom usługi Lighthouse, którzy posiadają co najmniej jedną rolę Microsoft Entra, automatycznie przypisywana jest rola Operator. Nuta: Administratorzy usługi Lighthouse mogą używać szablonów na stronie Delegowany dostęp do przypisywania uprawnień GDAP użytkownikom usługi Lighthouse. |
| Czytelnik | Czytelnicy mają dostęp tylko do odczytu do danych w lighthouse. Czytelnicy usługi Lighthouse mogą wyświetlać alerty i stan dzierżawy klienta wysokiego poziomu. |
Role i możliwości kontroli dostępu opartej na rolach w usłudze Lighthouse
W poniższej tabeli opisano akcje, które każda rola RBAC usługi Lighthouse może wykonywać w aplikacji Lighthouse. W przypadku niektórych akcji musisz posiadać rolę Microsoft Entra oprócz roli RBAC lighthouse. W przypadku innych akcji wymagana jest tylko rola Microsoft Entra. Microsoft Entra wymagania dotyczące roli są wskazane w ostatniej kolumnie tabeli. Aby uzyskać pełną listę ról Microsoft Entra i akcji, które mogą wykonywać, zobacz Microsoft Entra role wbudowane.
| Obszar | Akcje | Menedżer kont | Administrator | Autor | Operator | Czytelnik | Potrzebujesz roli Microsoft Entra? |
|---|---|---|---|---|---|---|---|
| Strona główna | Wyświetlanie danych na kartach | Tak | |||||
| Dodawanie użytkowników | Tak | ||||||
| Resetuj hasło | Tak | ||||||
| Użytkownicy odłączeni | Tak | ||||||
| Alerty | Wyświetlanie alertów i reguł alertów | ✓ | ✓ | ✓ | ✓ | Nie | |
| Zarządzanie alertami (zmiana ważności, stanu lub przypisania) | ✓ | ✓ | Nie | ||||
| Tworzenie, edytowanie i usuwanie reguł alertów | ✓ | ✓ | Nie | ||||
| Szczegółowe informacje dotyczące rozwiązania Copilot | Wyświetlanie możliwości i danych wdrażania | Tak | |||||
| Najemców | Wyświetlanie strony Dzierżawy | ✓ | ✓ | ✓ | ✓ | ✓ | Nie |
| Wyświetlanie szczegółów dzierżawy | Tak | ||||||
| Eksportowanie danych | ✓ | ✓ | ✓ | ✓ | ✓ | Nie | |
| Wyświetlanie tagów | ✓ | ✓ | ✓ | ✓ | ✓ | Nie | |
| Tworzenie, aktualizowanie i usuwanie tagów w usłudze Lighthouse | ✓ | ✓ | Nie | ||||
| Przypisywanie i usuwanie tagów z dzierżaw | ✓ | ✓ | Nie | ||||
| Aktywowanie i aktywowanie dzierżawy | ✓ | ✓ | Nie | ||||
| Wyświetlanie stanu dostępu delegowanego | ✓ | ✓ | ✓ | ✓ | ✓ | Nie | |
| Wyświetlanie wskaźnika bezpieczeństwa firmy Microsoft | Tak | ||||||
| Wyświetlanie przypisań punktu odniesienia | ✓ | ✓ | ✓ | ✓ | ✓ | Nie | |
| Wyświetlanie stanu wdrożenia | ✓ | Tak | |||||
| Wyświetlanie użycia aplikacji i usług | ✓ | Tak | |||||
| Wyświetlanie i edytowanie informacji kontaktowych i informacji o witrynie internetowej klienta | ✓ | ✓ | ✓ | ✓ | Nie | ||
| Użytkownicy | Wyszukaj użytkowników | Tak | |||||
| Wyświetlanie metryk użytkowników | Tak | ||||||
| Dołączanie nowych użytkowników | Tak | ||||||
| Użytkownicy odłączeni | Tak | ||||||
| Wyświetlanie nieaktywnych użytkowników | Tak | ||||||
| Wyświetlanie udostępnionych skrzynek pocztowych | Tak | ||||||
| Podgląd i zarządzanie użytkownikami stwarzającymi zagrożenie | Tak | ||||||
| Wyświetlanie uwierzytelniania wieloskładnikowego i zarządzanie nimi | Tak | ||||||
| Wyświetlanie samoobsługowego resetowania haseł i zarządzanie nimi | Tak | ||||||
| Urządzeń | Wyświetlanie danych zabezpieczeń urządzeń | Tak | |||||
| Wyświetlanie danych zarządzania lukami w zabezpieczeniach | Tak | ||||||
| Wyświetlanie danych zgodności urządzeń | Tak | ||||||
| Wyświetlanie danych zarządzania zagrożeniami | Tak | ||||||
| Wyświetlanie danych kondycji urządzenia | Tak | ||||||
| Wyświetlanie danych Windows 365 | Tak | ||||||
| Wyświetlanie dzienników zdarzeń systemu Windows | Tak | ||||||
| Aplikacje | Wyświetlanie danych dotyczących wydajności aplikacji i zarządzania aplikacjami | Tak | |||||
| Komunikaty poddane kwarantannie | Wyświetlanie komunikatów poddanych kwarantannie i zarządzanie nimi | Tak | |||||
| Podstaw | Wyświetlanie planów bazowych (domyślnych, niestandardowych) i szczegółów zadania | ✓ | ✓ | ✓ | ✓ | Nie | |
| Tworzenie, klonowanie, edytowanie i przypisywanie punktów odniesienia | ✓ | ✓ | Nie | ||||
| Wyodrębnianie zadania z dzierżawy w celu dodania do punktu odniesienia | ✓ | ✓ | Tak | ||||
| Wyświetlanie szczegółowych informacji o wdrożeniu | Tak | ||||||
| Kondycja usługi | Monitorowanie kondycji usługi1 | Nie | |||||
| Pomoc techniczna | Tworzenie żądań obsługi i zarządzanie nimi2 | Nie | |||||
| Dzienniki inspekcji | Wyświetlanie dzienników inspekcji | ✓ | Tak | ||||
| Uprawnienia | Wyświetl stronę Uprawnienia latarni morskiej | ✓ | Nie | ||||
| Konfigurowanie uprawnień usługi Lighthouse i zarządzanie nimi | ✓ | Nie | |||||
| Wyświetlanie, konfigurowanie protokołu GDAP i zarządzanie nimi na stronie Dostęp delegowany | ✓ | Nie | |||||
| Doradca ds. sprzedaży | Wyświetlanie szans sprzedaży | ✓ | ✓ | Nie | |||
| Wyświetlanie odnowień subskrypcji | ✓ | ✓ | Nie | ||||
| Wyświetlanie żądań licencji | ✓ | ✓ | Nie |
1 Aby monitorować kondycję usługi, użytkownicy usługi Lighthouse muszą mieć co najmniej jedną rolę Microsoft Entra w dzierżawie partnera z następującym zestawem właściwości: microsoft.office365.serviceHealth/allEntities/allTasks. Użytkownicy muszą również mieć przypisaną co najmniej rolę agenta Administracja lub agenta pomocy technicznej w Centrum partnerskim.
2 Aby tworzyć żądania obsługi i zarządzać nimi, użytkownicy usługi Lighthouse muszą mieć co najmniej jedną rolę Microsoft Entra w dzierżawie partnera z następującym zestawem właściwości: microsoft.office365.supportTickets/allEntities/allTasks.
Zarządzanie usługą GDAP w dzierżawie klienta
Podobnie jak role RBAC usługi Lighthouse zarządzają uprawnieniami w dzierżawie partnera, GDAP zarządza uprawnieniami w dzierżawach klientów. Protokół GDAP zapewnia wysoki poziom kontroli i elastyczności dzięki zapewnieniu dostępu do dzierżaw klientów za pośrednictwem Microsoft Entra wbudowanych ról. Przypisywanie ról o najniższych uprawnieniach według zadania do techników MSP za pośrednictwem protokołu GDAP zmniejsza ryzyko bezpieczeństwa zarówno dla dostawców msps, jak i klientów. Zalecamy używanie ról czytnika GDAP w dzierżawach klientów, aby zapewnić użytkownikom usługi Lighthouse zagregowany widok we wszystkich dzierżawach klientów.
Aby uzyskać więcej informacji na temat konfigurowania relacji GDAP z dzierżawą klienta w aplikacji Lighthouse, zobacz Uzyskiwanie szczegółowych uprawnień administratora do zarządzania usługą klienta — Centrum partnerskie.
Aby uzyskać więcej informacji na temat ról o najniższych uprawnieniach według zadania, zobacz Role z najniższymi uprawnieniami — Centrum partnerskie i Najmniej uprzywilejowane role według zadania w Tożsamość Microsoft Entra.
Aby uzyskać więcej informacji na temat wycofywania GDAP lub delegowanych uprawnień administracyjnych (DAP), zobacz GDAP frequently asked questions — Partner Center (GDAP — Centrum partnerskie) lub wyszukaj w Centrum partnerskim ogłoszenia dotyczące dat i osi czasu.
Aby uzyskać pełną listę ról Microsoft Entra i akcji, które mogą wykonywać, zobacz Microsoft Entra role wbudowane. Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról Microsoft Entra użytkownikom.
Zawartość pokrewna
Wyświetlanie ról Microsoft Entra w Microsoft 365 Lighthouse (artykuł)
Zarządzanie uprawnieniami RBAC usługi Lighthouse w Microsoft 365 Lighthouse (artykuł)
Konfigurowanie protokołu GDAP w Microsoft 365 Lighthouse (artykuł)
Omówienie strony Dostęp delegowany w Microsoft 365 Lighthouse (artykuł)
Przypisywanie ról i uprawnień użytkownikom — Centrum partnerskie (artykuł)
Często zadawane pytania dotyczące protokołu GDAP — Centrum partnerskie (artykuł)
Microsoft 365 Lighthouse często zadawanych pytań (artykuł)