Konfigurieren der Sicherheit Microsoft 365 Lighthouse Portals
Der Schutz des Zugriffs auf Kundendaten, wenn ein managed Service Provider (MSP) über delegierte Zugriffsberechtigungen an seine Mandanten verfügt, ist eine Cybersicherheitspriorität. Microsoft 365 Lighthouse verfügt sowohl über erforderliche als auch optionale Funktionen, mit denen Sie die Sicherheit des Lighthouse-Portals konfigurieren können. Sie müssen bestimmte Rollen mit aktivierter mehrstufiger Authentifizierung (Multi-Factor Authentication, MFA) einrichten, bevor Sie auf Lighthouse zugreifen können. Optional können Sie Microsoft Entra Privileged Identity Management (PIM) und bedingten Zugriff einrichten.
Einrichten der mehrstufigen Authentifizierung (MFA)
Wie im Blogbeitrag Your Pa$$word spielt keine Rolle:
"Ihr Kennwort spielt keine Rolle, MFA jedoch. Basierend auf unseren Studien ist die Wahrscheinlichkeit, dass Ihr Konto bei Verwendung von MFA kompromittiert wird, um mehr als 99,9 % geringer."
Wenn Benutzer zum ersten Mal auf Lighthouse zugreifen, werden sie aufgefordert, MFA einzurichten, wenn sie für ihr Microsoft 365-Konto noch nicht konfiguriert ist. Benutzer können erst auf Lighthouse zugreifen, wenn der erforderliche MFA-Einrichtungsschritt abgeschlossen ist. Weitere Informationen zu Authentifizierungsmethoden finden Sie unter Einrichten Ihrer Microsoft 365-Anmeldung für die mehrstufige Authentifizierung.
Einrichten der rollenbasierten Zugriffssteuerung
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) gewährt zugriff auf Ressourcen oder Informationen basierend auf Benutzerrollen. Der Zugriff auf Kundenmandantendaten und -einstellungen in Lighthouse ist auf bestimmte Rollen aus dem CSP-Programm (Cloud Solution Provider) beschränkt. Zum Einrichten von RBAC-Rollen in Lighthouse empfehlen wir die Verwendung granularer delegierter Administratorrechte (GDAP), um präzise Zuweisungen für Benutzer zu implementieren. Delegierte Administratorrechte (Delegierte Administratorrechte, DAP) sind weiterhin erforderlich, damit der Mandant erfolgreich integriert werden kann, aber nur FÜR GDAP-Kunden wird es bald möglich sein, das Onboarding ohne Abhängigkeit von DAP durchzuführen. GDAP-Berechtigungen haben Vorrang, wenn DAP und GDAP für einen Kunden gleichzeitig vorhanden sind.
Informationen zum Einrichten einer GDAP-Beziehung finden Sie unter Abrufen präziser Administratorberechtigungen zum Verwalten des Diensts eines Kunden. Weitere Informationen dazu, welche Rollen lighthouse empfohlen werden, finden Sie unter Übersicht über Berechtigungen in Microsoft 365 Lighthouse.
MSP-Techniker können auch auf Lighthouse zugreifen, indem sie Admin-Agent- oder Helpdesk-Agent-Rollen über delegierte Administratorrechte (DAP) verwenden.
Für nicht kundenspezifische mandantenbezogene Aktionen in Lighthouse (z. B. Onboarding, Kundendeaktivierung/Reaktivierung, Verwalten von Tags, Überprüfen von Protokollen) müssen MSP-Techniker eine zugewiesene Rolle im Partnermandanten haben. Weitere Informationen zu Partnermandantenrollen finden Sie unter Übersicht über Berechtigungen in Microsoft 365 Lighthouse.
Einrichten von Microsoft Entra Privileged Identity Management (PIM)
MSPs können die Anzahl von Personen mit Rollenzugriff mit hohen Berechtigungen auf sichere Informationen oder Ressourcen mithilfe von PIM minimieren. PIM verringert die Wahrscheinlichkeit, dass eine böswillige Person Zugriff auf Ressourcen oder autorisierte Benutzer erhält, die versehentlich eine sensible Ressource beeinträchtigen. MSPs können Benutzern auch Just-in-Time-Rollen mit hohen Berechtigungen für den Zugriff auf Ressourcen gewähren, umfassende Änderungen vornehmen und überwachen, was die angegebenen Benutzer mit ihrem privilegierten Zugriff tun.
Hinweis
Die Verwendung von Microsoft Entra PIM erfordert eine Microsoft Entra-ID P2-Lizenz im Partnermandanten.
Mit den folgenden Schritten werden Partnermandantenbenutzer mithilfe von PIM auf Rollen mit höheren Berechtigungen im Zeitbereich erhöht:
Erstellen Sie eine Gruppe, die Rollen zuweist, wie im Artikel Erstellen einer Gruppe zum Zuweisen von Rollen in Microsoft Entra ID beschrieben.
Wechseln Sie zu Microsoft Entra ID – Alle Gruppen, und fügen Sie die neue Gruppe als Mitglied einer Sicherheitsgruppe für Rollen mit hohen Berechtigungen hinzu (z. B. Admin Agents-Sicherheitsgruppe für DAP oder eine ähnliche entsprechende Sicherheitsgruppe für GDAP-Rollen).
Richten Sie privilegierten Zugriff auf die neue Gruppe ein, wie im Artikel Zuweisen berechtigter Besitzer und Mitglieder für Gruppen mit privilegiertem Zugriff beschrieben.
Weitere Informationen zu PIM finden Sie unter Was ist Privileged Identity Management?
Einrichten des risikobasierten Microsoft Entra bedingten Zugriffs
MSPs können den risikobasierten bedingten Zugriff verwenden, um sicherzustellen, dass ihre Mitarbeiter ihre Identität nachweisen, indem sie MFA verwenden und ihr Kennwort ändern, wenn es als riskanter Benutzer erkannt wird (mit kompromittierten Anmeldeinformationen oder gemäß Microsoft Entra Threat Intelligence). Benutzer müssen sich auch von einem vertrauten Ort oder einem registrierten Gerät anmelden, wenn sie als riskante Anmeldung erkannt werden. Andere riskante Verhaltensweisen sind die Anmeldung von einer schädlichen oder anonymen IP-Adresse oder von einem atypischen oder unmöglichen Reisestandort, die Verwendung eines anomalen Tokens, die Verwendung eines Kennworts aus einem Kennwortspray oder das Auftreten eines anderen ungewöhnlichen Anmeldeverhaltens. Abhängig von der Risikostufe eines Benutzers können MSPs auch den Zugriff bei der Anmeldung blockieren. Weitere Informationen zu Risiken finden Sie unter Was ist Risiko?
Hinweis
Der bedingte Zugriff erfordert eine Microsoft Entra-ID P2-Lizenz im Partnermandanten. Informationen zum Einrichten des bedingten Zugriffs finden Sie unter Konfigurieren Microsoft Entra bedingten Zugriffs.
Verwandte Inhalte
Berechtigungen für die Kennwortzurücksetzung (Artikel)
Übersicht über Berechtigungen in Microsoft 365 Lighthouse (Artikel)
Anzeigen Ihrer Microsoft Entra Rollen in Microsoft 365 Lighthouse (Artikel)
Anforderungen für Microsoft 365 Lighthouse (Artikel)
Übersicht über Microsoft 365 Lighthouse (Artikel)
Registrieren für Microsoft 365 Lighthouse (Artikel)
häufig gestellte Fragen zu Microsoft 365 Lighthouse (Artikel)
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für