Поделиться через

Настройка безопасности портала Microsoft 365 Lighthouse

  • Статья

Защита доступа к данным клиентов, когда поставщик управляемых служб (MSP) делегировал своим клиентам разрешения на доступ, является приоритетом кибербезопасности. Microsoft 365 Lighthouse предоставляет как обязательные, так и необязательные возможности для настройки безопасности портала Lighthouse. Прежде чем получить доступ к Lighthouse, необходимо настроить определенные роли с включенной многофакторной проверкой подлинности (MFA). При необходимости можно настроить Microsoft Entra управление привилегированными пользователями (PIM) и условный доступ.

Настройка многофакторной проверки подлинности (MFA)

Как упоминалось в записи блога Your Pa$$word не имеет значения:

"Ваш пароль не имеет значения, но MFA делает. Согласно нашим исследованиям, ваша учетная запись более чем на 99,9% меньше шансов быть скомпрометирована, если вы используете MFA".

При первом доступе пользователей к Lighthouse им будет предложено настроить MFA, если учетная запись Microsoft 365 еще не настроена. Пользователи не смогут получить доступ к Lighthouse, пока не будет завершен необходимый шаг настройки MFA. Дополнительные сведения о методах проверки подлинности см. в статье Настройка входа в Microsoft 365 для многофакторной проверки подлинности.

Настройка управления доступом на основе ролей

Управление доступом на основе ролей (RBAC) предоставляет доступ к ресурсам или информации на основе ролей пользователей. Доступ к данным и параметрам клиента в Lighthouse ограничен определенными ролями из программы "Поставщик облачных решений" (CSP). Чтобы настроить роли RBAC в Lighthouse, рекомендуется использовать детализированные делегированные административные привилегии (GDAP) для реализации детализированных назначений для пользователей. Делегированные административные привилегии (DAP) по-прежнему требуются для успешного подключения клиента, но клиенты, доступные только для GDAP, скоро смогут подключиться без зависимости от DAP. Разрешения GDAP имеют приоритет, когда DAP и GDAP сосуществуют для клиента.

Сведения о настройке связи GDAP см. в статье Получение подробных разрешений администратора для управления службой клиента — Центр партнеров. Дополнительные сведения о том, какие роли рекомендуется использовать Lighthouse, см. в статье Общие сведения о разрешениях в Microsoft 365 Lighthouse.

Специалисты MSP также могут получить доступ к Lighthouse с помощью ролей агента Администратор или агента службы поддержки с помощью делегированных административных привилегий (DAP).

Для действий, не связанных с клиентом, в Lighthouse (например, подключение, отключение или повторная активация клиента, управление тегами, просмотр журналов) технические специалисты MSP должны иметь назначенную роль в клиенте партнера. Дополнительные сведения о ролях клиента-партнера см. в статье Общие сведения о разрешениях в Microsoft 365 Lighthouse.

Настройка Microsoft Entra управление привилегированными пользователями (PIM)

MsPs может свести к минимуму число пользователей, имеющих доступ к роли с высоким уровнем привилегий для защиты информации или ресурсов с помощью PIM. PIM снижает вероятность того, что злоумышленник получает доступ к ресурсам или авторизованные пользователи непреднамеренно повлияют на конфиденциальный ресурс. MsPs также могут предоставлять пользователям JIT-роли с высокими привилегиями для доступа к ресурсам, внесения широких изменений и отслеживания действий назначенных пользователей с их привилегированным доступом.

Примечание.

Для использования Microsoft Entra PIM требуется лицензия Microsoft Entra ID P2 в клиенте партнера.

Ниже описано, как повысить уровень привилегий пользователей клиента партнера до ролей с более высоким уровнем привилегий по времени с помощью PIM.

  1. Создайте группу с возможностью назначения ролей, как описано в статье Создание группы для назначения ролей в Microsoft Entra ID.

  2. Перейдите к Microsoft Entra ID — Все Группы и добавьте новую группу в качестве члена группы безопасности для ролей с высоким уровнем привилегий (например, Администратор группы безопасности агентов для DAP или аналогично соответствующей группы безопасности для ролей GDAP).

  3. Настройте привилегированный доступ к новой группе, как описано в статье Назначение подходящих владельцев и участников для групп привилегированного доступа.

Дополнительные сведения о PIM см. в статье Что такое управление привилегированными пользователями?

Настройка условного доступа Microsoft Entra на основе рисков

MsPs могут использовать условный доступ на основе рисков, чтобы убедиться, что их сотрудники подтверждают свою личность с помощью MFA и изменяя пароль при обнаружении как рискованного пользователя (с утечкой учетных данных или по Microsoft Entra аналитики угроз). Пользователи также должны входить из знакомого расположения или зарегистрированного устройства, если он обнаруживается как рискованный вход. К другим рискованным действиям относятся вход с вредоносного или анонимного IP-адреса или из нетипичного или невозможного расположения для перемещения, использование аномального маркера, использование пароля из распыления пароля или применение других необычных действий при входе. В зависимости от уровня риска пользователя msps также могут заблокировать доступ при входе. Дополнительные сведения о рисках см. в статье Что такое риск?

Примечание.

Для условного доступа требуется лицензия Microsoft Entra ID P2 в клиенте партнера. Сведения о настройке условного доступа см. в статье Настройка условного доступа Microsoft Entra.

Связанные материалы

Разрешения на сброс пароля (статья)
Общие сведения о разрешениях в Microsoft 365 Lighthouse (статья)
Просмотр ролей Microsoft Entra в Microsoft 365 Lighthouse (статья)
Требования к Microsoft 365 Lighthouse (статья)
Обзор Microsoft 365 Lighthouse (статья)
Регистрация для Microsoft 365 Lighthouse (статья)
часто задаваемые вопросы Microsoft 365 Lighthouse (статья)