Configurar a Microsoft 365 Lighthouse do portal

Proteger o acesso aos dados do cliente quando um MSP (Provedor de Serviços Gerenciados) tiver permissões de acesso delegadas a seus locatários é uma prioridade de segurança cibernética. Microsoft 365 Lighthouse vem com os recursos obrigatórios e opcionais para ajudá-lo a configurar a segurança do portal do Lighthouse. Você deve configurar funções específicas com a MFA (autenticação multifator) habilitada para poder acessar o Lighthouse. Opcionalmente, você pode configurar o Azure AD Privileged Identity Management (PIM) e o Acesso Condicional.

Configurar a MFA (autenticação multifator)

Conforme mencionado na postagem no blog Seu Pa$$word não importa:

"Sua senha não importa, mas a MFA faz. Com base em nossos estudos, sua conta tem mais de 99,9% menos probabilidade de ser comprometida se você usar a MFA."

Quando os usuários acessam o Lighthouse pela primeira vez, eles serão solicitados a configurar a MFA se sua conta de Microsoft 365 ainda não a tiver configurada. Os usuários não poderão acessar o Lighthouse até que a etapa de configuração de MFA necessária seja concluída. Para saber mais sobre métodos de autenticação, consulte Configurar sua Microsoft 365 entrada para autenticação multifator.

Configurar o controle de acesso baseado em função

O RBAC (controle de acesso baseado em função) concede acesso a recursos ou informações com base em funções de usuário. O acesso a dados e configurações de locatário do cliente no Lighthouse é restrito a funções específicas do programa Provedor de Soluções na Nuvem (CSP). Para configurar funções RBAC no Lighthouse, recomendamos o uso de GDAP (Granular Delegated Admin Privileges) para implementar atribuições granulares para os usuários. Os DAP (privilégios de administrador delegados) ainda são necessários para que o locatário seja integrado com êxito, mas os clientes somente GDAP poderão ser integrados em breve sem uma dependência do DAP. As permissões GDAP têm precedência quando DAP e GDAP coexistem para um cliente.

Para configurar uma relação GDAP, consulte Obter permissões de administrador granulares para gerenciar o serviço de um cliente. Para obter mais informações sobre quais funções recomendamos usar o Lighthouse, consulte Visão geral das permissões Microsoft 365 Lighthouse.

Os técnicos do MSP também podem acessar o Lighthouse usando funções de Agente Administrador ou Agente de Assistência Técnica por meio de DAP (Privilégios de Administrador Delegado).

Para ações não relacionadas ao locatário do cliente no Lighthouse (por exemplo, integração, desativação/reativação do cliente, gerenciamento de marcas, revisão de logs), os técnicos do MSP devem ter uma função atribuída no locatário do parceiro. Consulte Visão geral das permissões no Microsoft 365 Lighthouse para obter mais detalhes sobre as funções de locatário do parceiro.

Configurar o Azure AD Privileged Identity Management (PIM)

Os MSPs podem minimizar o número de pessoas que têm acesso à função de alto privilégio para proteger informações ou recursos usando o PIM. O PIM reduz a chance de uma pessoa mal-intencionada obter acesso a recursos ou usuários autorizados afetar inadvertidamente um recurso confidencial. Os MSPs também podem conceder aos usuários funções de alto privilégio just-in-time para acessar recursos, fazer alterações amplas e monitorar o que os usuários designados estão fazendo com seu acesso privilegiado.

Observação

Usar Azure AD PIM requer uma Azure AD Premium P2 no locatário do parceiro.

As etapas a seguir elevem os usuários de locatário de parceiro a funções de privilégio mais alto com escopo de tempo maior usando o PIM:

  1. Crie um grupo atribuível a funções, conforme descrito no artigo Criar um grupo para atribuir funções no Azure Active Directory.

  2. Vá para Azure AD – Todos os Grupos e adicione o novo grupo como membro de um grupo de segurança para funções de alto privilégio (por exemplo, grupo de segurança agentes de administração para DAP ou um grupo de segurança semelhante para funções GDAP).

  3. Configure o acesso privilegiado ao novo grupo, conforme descrito no artigo Atribuir proprietários e membros qualificados para grupos de acesso privilegiado.

Para saber mais sobre o PIM, confira O que é Privileged Identity Management?

Configurar o acesso condicional baseado Azure AD risco

Os MSPs podem usar o Acesso Condicional baseado em risco para garantir que seus membros da equipe provem sua identidade usando a MFA e alterando sua senha quando detectado como um usuário arriscado (com credenciais vazadas ou por inteligência Azure AD ameaça). Os usuários também devem entrar de um local familiar ou de um dispositivo registrado quando detectado como uma entrada arriscada. Outros comportamentos arriscados incluem entrar de um endereço IP mal-intencionado ou anônimo ou de um local de viagem atípico ou impossível, usar um token anômalo, usar uma senha de uma pulverização de senha ou exibir outro comportamento incomum de entrada. Dependendo do nível de risco de um usuário, os MSPs também podem optar por bloquear o acesso ao entrar. Para saber mais sobre riscos, consulte O que é risco?

Observação

O Acesso Condicional requer uma Azure AD Premium P2 no locatário do parceiro. Para configurar o acesso condicional, consulte Configurando Azure Active Directory acesso condicional.

Permissões de redefinição de senha (artigo)
Visão geral das permissões Microsoft 365 Lighthouse (artigo)
Exibir suas Azure Active Directory funções no Microsoft 365 Lighthouse (artigo)
Requisitos para Microsoft 365 Lighthouse (artigo)
Visão geral Microsoft 365 Lighthouse (artigo)
Inscreva-se Microsoft 365 Lighthouse (artigo)
Microsoft 365 Lighthouse perguntas frequentes (artigo)