Configurar Microsoft 365 Lighthouse segurança do portal
Proteger o acesso aos dados do cliente quando um MSP (Provedor de Serviços Gerenciados) delegar permissões de acesso aos seus locatários é uma prioridade de segurança cibernética. Microsoft 365 Lighthouse vem com recursos necessários e opcionais para ajudá-lo a configurar a segurança do portal do Lighthouse. Você deve configurar funções específicas com MFA (autenticação multifator) habilitada para acessar o Lighthouse. Opcionalmente, você pode configurar o PIM (Microsoft Entra Privileged Identity Management) e o Acesso Condicional.
Configurar a MFA (autenticação multifator)
Conforme mencionado na postagem do blog , seu pa$$word não importa:
"Sua senha não importa, mas a MFA importa. Com base em nossos estudos, sua conta tem mais de 99,9% menos chances de ser comprometida se você usar MFA.".
Quando os usuários acessarem o Lighthouse pela primeira vez, eles serão solicitados a configurar o MFA se sua conta do Microsoft 365 ainda não a tiver configurada. Os usuários não poderão acessar o Lighthouse até que a etapa de instalação de MFA necessária seja concluída. Para saber mais sobre métodos de autenticação, consulte Configurar sua entrada do Microsoft 365 para autenticação multifator.
Configurar o controle de acesso baseado em função
O RBAC (controle de acesso baseado em função) concede acesso a recursos ou informações com base em funções de usuário. O acesso a dados e configurações de locatário do cliente no Lighthouse é restrito a funções específicas do programa CSP (Provedor de Soluções na Nuvem). Para configurar funções RBAC no Lighthouse, recomendamos usar GDAP (privilégios de administrador delegado granular) para implementar atribuições granulares para usuários. Os privilégios de administrador delegado (DAP) ainda são necessários para que o locatário integre com êxito, mas os clientes somente GDAP em breve poderão integrar sem uma dependência do DAP. As permissões GDAP têm precedência quando DAP e GDAP coexistem para um cliente.
Para configurar uma relação GDAP, consulte Obter permissões de administrador granular para gerenciar o serviço de um cliente. Para obter mais informações sobre quais funções recomendamos usar o Lighthouse, consulte Visão geral das permissões no Microsoft 365 Lighthouse.
Os técnicos do MSP também podem acessar o Lighthouse usando funções de Agente Administração ou Agente auxiliar por meio de privilégios de administrador delegado (DAP).
Para ações não relacionadas ao locatário do cliente no Lighthouse (por exemplo, integração, desativação/reativação do cliente, gerenciamento de marcas, revisão de logs), os técnicos da MSP devem ter uma função atribuída no locatário parceiro. Consulte Visão geral das permissões no Microsoft 365 Lighthouse para obter mais detalhes sobre as funções de locatário do parceiro.
Configurar Microsoft Entra Privileged Identity Management (PIM)
Os MSPs podem minimizar o número de pessoas que têm acesso a função de alto privilégio para proteger informações ou recursos usando PIM. O PIM reduz a chance de uma pessoa mal-intencionada obter acesso a recursos ou usuários autorizados inadvertidamente afetando um recurso confidencial. Os MSPs também podem conceder aos usuários funções de alto privilégio just-in-time para acessar recursos, fazer alterações amplas e monitorar o que os usuários designados estão fazendo com seu acesso privilegiado.
Observação
Usar Microsoft Entra PIM requer uma licença de ID P2 Microsoft Entra no locatário do parceiro.
As etapas a seguir elevam os usuários locatários parceiros para funções de privilégios superiores com escopo de tempo usando PIM:
Crie um grupo atribuível a função conforme descrito no artigo Criar um grupo para atribuir funções no Microsoft Entra ID.
Vá para Microsoft Entra ID – Todos os Grupos e adicione o novo grupo como membro de um grupo de segurança para funções de alto privilégio (por exemplo, Administração Grupo de segurança agentes para DAP ou um grupo de segurança igualmente respectivo para funções GDAP).
Configure o acesso privilegiado ao novo grupo, conforme descrito no artigo Atribuir proprietários e membros qualificados para grupos de acesso privilegiados.
Para saber mais sobre o PIM, confira O que é Privileged Identity Management?
Configurar o acesso condicional Microsoft Entra baseado em risco
Os MSPs podem usar o Acesso Condicional baseado em risco para garantir que seus funcionários provem sua identidade usando a MFA e alterando sua senha quando detectado como um usuário arriscado (com credenciais vazadas ou por Microsoft Entra inteligência contra ameaças). Os usuários também devem entrar de um local familiar ou dispositivo registrado quando detectados como uma entrada arriscada. Outros comportamentos de risco incluem entrar de um endereço IP malicioso ou anônimo ou de um local de viagem atípico ou impossível, usar um token anômalo, usar uma senha de um spray de senha ou exibir outro comportamento de entrada incomum. Dependendo do nível de risco de um usuário, os MSPs também podem optar por bloquear o acesso após a entrada. Para saber mais sobre riscos, confira O que é o risco?
Observação
O Acesso Condicional requer uma licença Microsoft Entra ID P2 no locatário do parceiro. Para configurar o Acesso Condicional, consulte Configurando Microsoft Entra acesso condicional.
Conteúdo relacionado
Permissões de redefinição de senha (artigo)
Visão geral das permissões no Microsoft 365 Lighthouse (artigo)
Exibir suas funções de Microsoft Entra em Microsoft 365 Lighthouse (artigo)
Requisitos para Microsoft 365 Lighthouse (artigo)
Visão geral do Microsoft 365 Lighthouse (artigo)
Inscrever-se para Microsoft 365 Lighthouse (artigo)
Microsoft 365 Lighthouse perguntas frequentes (artigo)
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de