Общие сведения о разрешениях в Microsoft 365 Lighthouse
Microsoft 365 Lighthouse разрешениями в основном управляются следующими:
- Управление доступом на основе ролей (RBAC) Lighthouse в клиенте партнера
- Детализированные делегированные административные привилегии (GDAP) в клиенте клиента
Чтобы использовать Lighthouse, необходимо сочетание ролей, назначенных через RBAC и GDAP.
Управление разрешениями RBAC Lighthouse в клиенте партнера
Разрешения Lighthouse в клиенте партнера управляются путем назначения ролей RBAC в Lighthouse. Каждая роль имеет набор разрешений, определяющих, какие пользователи данных могут получать доступ и изменять в клиенте партнера. Роли RBAC Lighthouse не предоставляют доступ к данным клиентов. Доступ к данным клиента регулируется разрешениями GDAP пользователя Lighthouse (см. раздел Управление GDAP в клиенте клиента).
Роли RBAC управляются на странице разрешений Lighthouse в Lighthouse. Для доступа к странице разрешений Lighthouse и управления разрешениями необходимо иметь одну из следующих ролей:
- Администратор привилегированных ролей в Microsoft Entra ID
- Администратор в Lighthouse
Дополнительные сведения см. в статье Управление разрешениями Lighthouse RBAC в Microsoft 365 Lighthouse.
В следующей таблице представлен обзор каждой роли RBAC Lighthouse. Список действий, которые каждая роль может выполнять в клиенте партнера, см. в статье Роли и возможности Lighthouse RBAC.
| Роль RBAC Lighthouse | Обзор |
|---|---|
| Диспетчер учетных записей | Менеджеры по учетным записям имеют полный доступ к страницам и данным консультанта по продажам во всем клиенте партнера. Менеджеры по учетным записям могут экспортировать данные помощника по продажам. |
| Администратор | Администраторы имеют полные административные разрешения в Lighthouse. Администраторы могут управлять разрешениями RBAC и GDAP, просматривать журналы аудита и создавать базовые показатели, теги и оповещения. Администраторам автоматически назначаются роли "Администратор привилегированных ролей", "Администратор пользователей" и "Администратор группы" в Microsoft Entra ID и роль агента Администратор в Центре партнеров. |
| Автор | Авторы могут управлять клиентами, тегами, правилами генерации оповещений и базовыми планами для развертывания конфигураций клиентов. |
| Оператор | Операторы управляют клиентами клиентов в Lighthouse на основе разрешений GDAP, назначенных им для каждого клиента, которым они управляют. Операторы могут просматривать состояние клиента клиента высокого уровня и управлять оповещениями. Пользователям Lighthouse, у которых есть по крайней мере одна Microsoft Entra роль, автоматически назначается роль Оператор. Заметка: Администраторы Lighthouse могут использовать шаблоны на странице Делегированный доступ для назначения разрешений GDAP пользователям Lighthouse. |
| Читатель | Читатели имеют доступ только для чтения к данным в Lighthouse. Средства чтения Lighthouse могут просматривать состояние клиента и оповещения клиента высокого уровня. |
Роли и возможности RBAC Lighthouse
В следующей таблице описаны действия, которые каждая роль RBAC Lighthouse может выполнять в Lighthouse. Для некоторых действий необходимо использовать роль Microsoft Entra в дополнение к роли RBAC Lighthouse. Для других действий требуется только Microsoft Entra роль. Microsoft Entra требования к роли указаны в последнем столбце таблицы. Полный список Microsoft Entra ролей и действий, которые они могут выполнять, см. в разделе Microsoft Entra встроенных ролей.
| Область | Действия | Диспетчер учетных записей | Администратор | Автор | Оператор | Читатель | Нужна роль Microsoft Entra? |
|---|---|---|---|---|---|---|---|
| Домашняя страница | Просмотр данных на карточках | Да | |||||
| Добавление пользователей | Да | ||||||
| Сброс пароля | Да | ||||||
| Отключение пользователей | Да | ||||||
| Оповещения | Просмотр оповещений и правил генерации оповещений | ✓ | ✓ | ✓ | ✓ | Нет | |
| Управление оповещениями (изменение серьезности, состояния или назначения) | ✓ | ✓ | Нет | ||||
| Создание, изменение и удаление правил генерации оповещений | ✓ | ✓ | Нет | ||||
| Аналитика Copilot | Просмотр возможностей и данных по внедрению | Да | |||||
| Tenants | Просмотр страницы "Клиенты" | ✓ | ✓ | ✓ | ✓ | ✓ | Нет |
| Просмотр сведений о клиенте | Да | ||||||
| Экспорт данных | ✓ | ✓ | ✓ | ✓ | ✓ | Нет | |
| Просмотр тегов | ✓ | ✓ | ✓ | ✓ | ✓ | Нет | |
| Создание, обновление и удаление тегов в Lighthouse | ✓ | ✓ | Нет | ||||
| Назначение и удаление тегов из клиентов | ✓ | ✓ | Нет | ||||
| Активация и активация клиента | ✓ | ✓ | Нет | ||||
| Просмотр состояния делегированного доступа | ✓ | ✓ | ✓ | ✓ | ✓ | Нет | |
| Просмотр оценки безопасности (Майкрософт) | Да | ||||||
| Просмотр базовых назначений | ✓ | ✓ | ✓ | ✓ | ✓ | Нет | |
| Просмотр состояния развертывания | ✓ | Да | |||||
| Просмотр использования приложений и служб | ✓ | Да | |||||
| Просмотр и изменение сведений о контактах и веб-сайте клиента | ✓ | ✓ | ✓ | ✓ | Нет | ||
| пользователи; | Поиск пользователей | Да | |||||
| Просмотр метрик пользователей | Да | ||||||
| Подключение новых пользователей | Да | ||||||
| Отключение пользователей | Да | ||||||
| Просмотр неактивных пользователей | Да | ||||||
| Просмотр общих почтовых ящиков | Да | ||||||
| Просмотр рискованных пользователей и управление ими | Да | ||||||
| Просмотр многофакторной проверки подлинности и управление ими | Да | ||||||
| Просмотр и управление самостоятельным сбросом пароля | Да | ||||||
| Устройства | Просмотр данных о безопасности устройства | Да | |||||
| Просмотр данных об управлении уязвимостями | Да | ||||||
| Просмотр данных о соответствии устройств | Да | ||||||
| Просмотр данных по управлению угрозами | Да | ||||||
| Просмотр данных о работоспособности устройства | Да | ||||||
| Просмотр данных Windows 365 | Да | ||||||
| Просмотр журналов событий Windows | Да | ||||||
| Приложения | Просмотр данных о производительности приложения и управлении приложениями | Да | |||||
| Сообщения на карантине. | Просмотр сообщений в карантине и управление ими | Да | |||||
| Базовые показатели | Просмотр базовых показателей (по умолчанию, пользовательских) и сведений о задачах | ✓ | ✓ | ✓ | ✓ | Нет | |
| Создание, клонирование, изменение и назначение базовых показателей | ✓ | ✓ | Нет | ||||
| Извлечение задачи из клиента для добавления в базовый план | ✓ | ✓ | Да | ||||
| Просмотр аналитических сведений о развертывании | Да | ||||||
| Работоспособность служб | Мониторинг работоспособности службы1 | Нет | |||||
| Поддержка | Создание запросов на обслуживание и управление ими2 | Нет | |||||
| Журналы аудита | Просмотр журналов аудита | ✓ | Да | ||||
| Разрешения | Просмотр страницы разрешений Lighthouse | ✓ | Нет | ||||
| Настройка разрешений Lighthouse и управление ими | ✓ | Нет | |||||
| Просмотр, настройка GDAP и управление ими на странице Делегированный доступ | ✓ | Нет | |||||
| Консультант по продажам | Просмотр возможностей | ✓ | ✓ | Нет | |||
| Просмотр продлений подписки | ✓ | ✓ | Нет | ||||
| Просмотр запросов на лицензии | ✓ | ✓ | Нет |
1 Для мониторинга работоспособности служб пользователи Lighthouse должны содержать по крайней мере одну роль Microsoft Entra в клиенте партнера со следующим набором свойств: microsoft.office365.serviceHealth/allEntities/allTasks. Пользователям также должна быть назначена по крайней мере роль агента Администратор или агент службы поддержки в Центре партнеров.
2 Для создания запросов на обслуживание и управления ими пользователи Lighthouse должны содержать по крайней мере одну роль Microsoft Entra в клиенте партнера со следующим набором свойств: microsoft.office365.supportTickets/allEntities/allTasks.
Управление GDAP в клиенте клиента
Так же, как роли RBAC Lighthouse управляют разрешениями в клиенте партнера, GDAP управляет разрешениями в клиентах клиента. GDAP обеспечивает высокий уровень контроля и гибкости, предоставляя доступ к клиентам клиентов через Microsoft Entra встроенные роли. Назначение наименее привилегированных ролей по задачам техническим специалистам MSP через GDAP снижает риск безопасности как для MSP, так и для клиентов. Мы рекомендуем использовать роли читателя GDAP в клиентах клиентов, чтобы предоставить пользователям Lighthouse совокупное представление по всем клиентам клиентов.
Дополнительные сведения о настройке отношений GDAP с клиентом клиента в Lighthouse см. в разделе Получение подробных разрешений администратора для управления службой клиента — Центр партнеров.
Дополнительные сведения о наименее привилегированных ролях по задачам см. в разделах Наименее привилегированные роли — Центр партнеров и Наименее привилегированные роли по задачам в Microsoft Entra ID.
Дополнительные сведения об отмене GDAP или делегированных административных привилегий (DAP) см. в статье Часто задаваемые вопросы о GDAP — Центр партнеров или поиск дат и временных шкал в объявлениях Центра партнеров .
Полный список Microsoft Entra ролей и действий, которые они могут выполнять, см. в разделе Microsoft Entra встроенных ролей. Сведения о назначении ролей см. в статье Назначение Microsoft Entra ролей пользователям.
Связанные материалы
Просмотр ролей Microsoft Entra в Microsoft 365 Lighthouse (статья)
Управление разрешениями Lighthouse RBAC в Microsoft 365 Lighthouse (статья)
Настройка GDAP в Microsoft 365 Lighthouse (статья)
Обзор страницы делегированного доступа в Microsoft 365 Lighthouse (статья)
Назначение ролей и разрешений пользователям — Центр партнеров (статья)
Часто задаваемые вопросы о GDAP — Центр партнеров (статья)
Microsoft 365 Lighthouse часто задаваемые вопросы (статья)