Konfigurace zabezpečení portálu Microsoft 365 Lighthouse
Ochrana přístupu k datům zákazníků v případech, kdy má poskytovatel spravovaných služeb (MSP) delegovaná přístupová oprávnění ke svým tenantům, je prioritou kybernetické bezpečnosti. Microsoft 365 Lighthouse obsahuje požadované i volitelné funkce, které vám pomůžou nakonfigurovat zabezpečení portálu Lighthouse. Abyste mohli získat přístup k Lighthouse, musíte nastavit konkrétní role s povoleným vícefaktorovým ověřováním (MFA). Volitelně můžete nastavit Microsoft Entra Privileged Identity Management (PIM) a podmíněný přístup.
Nastavení vícefaktorového ověřování (MFA)
Jak je uvedeno v blogovém příspěvku Váš Pa$$word nezáleží:
"Na vašem heslu nezáleží, ale mfaktorové ověřování ano. Na základě našich studií je u vašeho účtu o více než 99,9 % nižší pravděpodobnost ohrožení zabezpečení, pokud použijete vícefaktorové ověřování."
Když uživatelé přistupují k Lighthouse poprvé, zobrazí se jim výzva k nastavení vícefaktorového ověřování, pokud ho jejich účet Microsoft 365 ještě nemá nakonfigurované. Uživatelé nebudou mít přístup k Lighthouse, dokud se nedokončí požadovaný krok nastavení vícefaktorového ověřování. Další informace o metodách ověřování najdete v tématu Nastavení přihlášení k Microsoftu 365 pro vícefaktorové ověřování.
Nastavení řízení přístupu na základě role
Řízení přístupu na základě role (RBAC) uděluje přístup k prostředkům nebo informacím na základě rolí uživatelů. Přístup k datům a nastavením tenanta zákazníka ve službě Lighthouse je omezený na konkrétní role z programu Cloud Solution Provider (CSP). Pokud chcete nastavit role RBAC ve službě Lighthouse, doporučujeme použít podrobná delegovaná oprávnění správce (GDAP) k implementaci podrobných přiřazení pro uživatele. Delegovaná oprávnění správce (DAP) se stále vyžadují, aby se tenant úspěšně onboardoval, ale zákazníci s výhradně GDAP budou brzy moct onboardovat bez závislosti na DAP. Oprávnění GDAP mají přednost, když pro zákazníka existují společně DAP a GDAP.
Informace o nastavení vztahu GDAP najdete v tématu Získání podrobných oprávnění správce ke správě služeb zákazníka. Další informace o tom, které role doporučujeme používat Lighthouse, najdete v tématu Přehled oprávnění v Microsoft 365 Lighthouse.
Technici MSP mohou také přistupovat ke službě Lighthouse pomocí rolí agenta Správa nebo agenta helpdesku prostřednictvím delegovaných oprávnění správce (DAP).
U akcí nesouvisecích s klientem zákazníka ve službě Lighthouse (například onboarding, deaktivace nebo opětovná aktivace zákazníka, správa značek, kontrola protokolů) musí mít technici MSP přiřazenou roli v partnerském tenantovi. Další podrobnosti o rolích partnerského tenanta najdete v tématu Přehled oprávnění v Microsoft 365 Lighthouse.
Nastavení Microsoft Entra Privileged Identity Management (PIM)
Poskytovatelé zásad správy můžou minimalizovat počet lidí, kteří mají přístup role s vysokými oprávněními k zabezpečení informací nebo prostředků pomocí PIM. PIM snižuje riziko, že osoba se zlými úmysly získá přístup k prostředkům nebo autorizovaní uživatelé neúmyslně ovlivní citlivý prostředek. Poskytovatelé služeb pro správu také můžou uživatelům udělit role s vysokým oprávněním za běhu pro přístup k prostředkům, provádět rozsáhlé změny a monitorovat, co určení uživatelé dělají se svým privilegovaným přístupem.
Poznámka
Použití Microsoft Entra PIM vyžaduje licenci Microsoft Entra ID P2 v partnerském tenantovi.
Následující postup zvýší úroveň uživatelů tenanta partnera na časově omezené role s vyššími oprávněními pomocí PIM:
Vytvořte skupinu s možností přiřazení rolí, jak je popsáno v článku Vytvoření skupiny pro přiřazování rolí v id Microsoft Entra.
Přejděte na Microsoft Entra ID – Všechny skupiny a přidejte novou skupinu jako člena skupiny zabezpečení pro role s vysokými oprávněními (například skupinu zabezpečení Správa Agents pro DAP nebo podobnou skupinu zabezpečení pro role GDAP).
Nastavte pro novou skupinu privilegovaný přístup, jak je popsáno v článku Přiřazení oprávněných vlastníků a členů pro skupiny privilegovaného přístupu.
Další informace o PIM najdete v tématu Co je Privileged Identity Management?
Nastavení podmíněného přístupu na základě rizik Microsoft Entra
Poskytovatelé služeb zabezpečení můžou používat podmíněný přístup založený na rizicích, aby zajistili, že jejich zaměstnanci prokáží svoji identitu pomocí vícefaktorového ověřování a změní heslo, pokud se zjistí jako rizikový uživatel (s uniklými přihlašovacími údaji nebo podle Microsoft Entra analýzy hrozeb). Uživatelé se také musí přihlásit ze známého umístění nebo registrovaného zařízení, pokud se zjistí jako rizikové přihlášení. Mezi další rizikové chování patří přihlášení ze škodlivé nebo anonymní IP adresy nebo z atypického nebo nemožného místa cesty, použití neobvyklého tokenu, použití hesla ze spreje hesel nebo projevování jiného neobvyklého chování při přihlašování. V závislosti na úrovni rizika uživatele můžou poskytovatelé ms také blokovat přístup při přihlášení. Další informace o rizicích najdete v tématu Co je riziko?
Poznámka
Podmíněný přístup vyžaduje licenci Microsoft Entra ID P2 v partnerském tenantovi. Informace o nastavení podmíněného přístupu najdete v tématu Konfigurace Microsoft Entra podmíněného přístupu.
Související obsah
Oprávnění k resetování hesla (článek)
Přehled oprávnění v Microsoft 365 Lighthouse (článek)
Zobrazení rolí Microsoft Entra v Microsoft 365 Lighthouse (článek)
Požadavky na Microsoft 365 Lighthouse (článek)
Přehled Microsoft 365 Lighthouse (článek)
Registrace k Microsoft 365 Lighthouse (článek)
nejčastější dotazy k Microsoft 365 Lighthouse (článek)
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro