Microsoft 365 Lighthouse 사용 권한 개요
MSP(관리 서비스 공급자)가 Microsoft 365 Lighthouse 사용하려면 고객 테넌트에 대한 위임된 액세스가 필요합니다. GDAP(세분화된 위임된 관리자 권한)는 Azure Active Directory(Azure AD) 기본 제공 역할을 통해 고객 액세스를 제공하여 MSP에 높은 수준의 제어 및 유연성을 제공합니다. GDAP를 통해 태스크별로 최소 권한 있는 역할을 MSP 기술자에게 할당하면 MSP와 고객 모두의 보안 위험이 줄어듭니다. 태스크별 최소 권한 역할에 대한 자세한 내용은 Azure Active Directory 최소 권한 역할 - 파트너 센터 및 최소 권한 있는 역할(작업별 최소 권한 역할)을 참조하세요. 고객 테넌트와의 GDAP 관계 설정에 대한 자세한 내용은 고객의 서비스를 관리하기 위한 세부적인 관리자 권한 가져오기 - 파트너 센터를 참조하세요.
각 그룹이 고객을 대신하여 수행해야 하는 작업에 따라 MSP 기술자 그룹에 역할을 할당하는 것이 좋습니다. 예를 들어 서비스 데스크 기술자는 고객 테넌트 데이터를 읽거나 사용자 암호를 재설정하기만 하면 됩니다. 반면 에스컬레이션 엔지니어는 고객 테넌트 보안 설정을 업데이트하기 위해 더 많은 수정 작업을 수행해야 할 수 있습니다. 고객 및 파트너 데이터가 안전하게 유지되도록 작업을 완료하는 데 필요한 최소 허용 역할을 할당하는 것이 가장 좋습니다. 필요한 경우 PIM(Privileged Identity Management)을 사용하여 전역 관리자 역할에 대한 시간 범위 액세스를 사용하도록 설정하는 것이 좋습니다. 너무 많은 사용자에게 전역 액세스를 제공하는 것은 보안 위험이며 가능한 한 제한하는 것이 좋습니다. PIM을 사용하도록 설정하는 방법에 대한 자세한 내용은 Azure AD PIM 설정을 참조하세요.
다음 섹션의 표에서는 고객 데이터를 읽고 Lighthouse의 고객 테넌트에 대한 조치를 취할 수 있는 권한을 부여하는 GDAP 역할에 대해 설명합니다. Lighthouse 엔터티를 관리하는 데 필요한 추가 역할(예: 태그 및 Lighthouse 서비스 요청)은 이 문서의 파트너 테넌트 권한을 참조하세요.
MSP 서비스 계층, 권장 GDAP 역할 및 사용 권한 예제
다음 표에서는 몇 가지 예제 MSP 서비스 계층에 대해 권장되는 GDAP 역할을 나열합니다.
| 계정 관리자 | 서비스 데스크 기술자 | 시스템 관리자 | 에스컬레이션 엔지니어 | |
|---|---|---|---|---|
| 권장되는 GDAP 역할 |
|
|
|
|
다음 표에는 MSP 서비스 계층이 할당된 GDAP 역할(이전 표에 표시됨)에 의해 결정된 대로 다른 Lighthouse 페이지에서 수행할 수 있는 작업이 나열되어 있습니다.
| 등대 페이지 | 계정 관리자가 허용한 작업 | 서비스 데스크 기술자가 허용한 작업 | 시스템 관리자가 허용한 작업 | 에스컬레이션 엔지니어가 허용한 작업 |
|---|---|---|---|---|
| Home |
|
|
|
|
| 테넌트 |
|
|
|
|
| 사용자 |
|
|
|
|
| 디바이스 |
|
|
|
|
| 위협 관리 |
|
|
|
|
| 기준 |
|
|
|
|
| Windows 365 |
|
|
|
|
| 서비스 상태** | 해당(N/A) | 해당(N/A) | 해당(N/A) | 해당(N/A) |
| 감사 로그** | 해당(N/A) | 해당(N/A) | 해당(N/A) | 해당(N/A) |
*고객 테넌트 관리자의 암호를 재설정 하는 데 필요한 역할을 나열하는 테이블에 대한 암호 재설정 권한을 참조하세요.
**서비스 상태 및 감사 로그를 보려면 다른 역할 및 권한이 필요합니다. 자세한 내용은 파트너 테넌트에서 사용 권한을 참조하세요.
참고
Lighthouse에서 정보를 보거나 편집할 수 있는 권한이 없다는 메시지가 표시되면 작업을 수행할 적절한 권한이 없는 역할이 할당됩니다. 수행하려는 작업에 적절한 역할을 할당할 수 있는 파트너 테넌트의 관리자에게 문의해야 합니다.
Lighthouse의 DAP(위임된 관리자 권한)
결국 GDAP는 고객 테넌트에 대한 위임된 액세스를 구성하는 기본 방법으로 DAP를 대체합니다. 그러나 GDAP가 설정되지 않은 경우 MSP 기술자는 DAP를 통해 부여된 기술 지원팀 에이전트 또는 관리 에이전트 역할을 사용하여 Lighthouse에 계속 액세스할 수 있습니다. GDAP 및 DAP가 공존하는 고객의 경우 GDAP를 통해 MSP 기술자에게 부여된 역할이 우선합니다. GDAP 또는 DAP 사용 중단에 대한 자세한 내용은 GDAP 질문 과 대답 또는 날짜 및 타임라인에 대한 파트너 센터 공지를 참조하세요.
DAP가 있고 GDAP가 없는 고객의 경우 관리자 에이전트 역할은 모든 테넌트 데이터를 보고 Lighthouse에서 작업을 수행할 수 있는 권한을 부여합니다(파트너 테넌트에서 역할이 필요한 다른 작업은 아래 참조).
기술 지원팀 에이전트 역할은 모든 테넌트 데이터를 보고 Lighthouse에서 사용자 암호 재설정, 사용자 로그인 차단, 고객 연락처 정보 및 웹 사이트 업데이트와 같은 제한된 작업을 수행할 수 있는 권한을 부여합니다.
DAP 역할을 가진 파트너 사용자에게 부여된 광범위한 권한을 감안할 때 가능한 한 빨리 GDAP를 채택하는 것이 좋습니다.
파트너 테넌트에서 사용 권한
Lighthouse의 특정 작업의 경우 파트너 테넌트에서 역할 할당이 필요합니다. 다음 표에는 파트너 테넌트 역할 및 관련 권한이 나열되어 있습니다.
| 파트너 테넌트 역할 | 권한 |
|---|---|
| 파트너 테넌트 전역 관리자 |
|
| 다음 속성 집합과 함께 하나 이상의 Azure AD 역할이 할당된 파트너 테넌트 멤버: microsoft.office365.supportTickets/allEntities/allTasks (Azure AD 역할의 전체 목록은 Azure AD 기본 제공 역할을 참조하세요.) |
Lighthouse 서비스 요청을 만듭니다. |
다음 요구 사항을 모두 충족하는 파트너 테넌트 멤버:
|
서비스 상태 정보를 봅니다. |
관련 콘텐츠
Microsoft 365 Lighthouse 요구 사항(문서)
DAP(위임된 관리 권한) FAQ (문서)
Microsoft 365 Lighthouse Azure Active Directory 역할 보기(문서)
사용자에게 역할 및 권한 할당 (문서)
Microsoft 365 Lighthouse 개요(문서)
Microsoft 365 Lighthouse 등록(문서)
Microsoft 365 Lighthouse FAQ(문서)