Visão geral das permissões no Microsoft 365 Lighthouse

O acesso delegado aos locatários do cliente é necessário para que os MSPs (Provedores de Serviços Gerenciados) usem Microsoft 365 Lighthouse. Os GDAP (Privilégios de Administrador Delegado Granular) fornecem aos MSPs um alto nível de controle e flexibilidade, fornecendo acesso ao cliente por meio de funções internas Azure Active Directory (Azure AD). Atribuir as funções menos privilegiadas por tarefa por meio do GDAP aos técnicos do MSP reduz o risco de segurança para MSPs e clientes. Para obter mais informações sobre funções menos privilegiadas por tarefa, consulte Funções com privilégios mínimos – Partner Center e funções com privilégios mínimos por tarefa no Azure Active Directory. Para obter mais informações sobre como configurar uma relação GDAP com um locatário do cliente, consulte Obter permissões granulares de administrador para gerenciar o serviço de um cliente – Partner Center.

É recomendável atribuir funções a grupos de técnicos do MSP com base nas tarefas que cada grupo precisa executar em nome do cliente. Por exemplo, os técnicos do Service Desk podem precisar apenas ler dados de locatário do cliente ou redefinir senhas de usuário. Por outro lado, os engenheiros de escalonamento podem precisar executar ações mais corretivas para atualizar as configurações de segurança do locatário do cliente. É uma prática recomendada atribuir a função menos permissiva necessária para concluir uma tarefa para que os dados do cliente e do parceiro sejam mantidos seguros. É recomendável usar Privileged Identity Management (PIM) para habilitar o acesso com escopo de tempo à função de Administrador Global, se necessário. Conceder acesso global a muitos usuários é um risco de segurança e é recomendável limitá-lo o máximo possível. Para obter mais informações sobre como habilitar o PIM, consulte Configurar Azure AD PIM.

As tabelas na próxima seção descrevem quais funções GDAP concedem permissão para ler dados do cliente e tomar medidas em locatários do cliente no Lighthouse. Consulte Permissões no locatário do parceiro neste artigo para obter funções adicionais necessárias para gerenciar entidades do Lighthouse (por exemplo, marcas e solicitações de serviço do Lighthouse).

A tabela a seguir lista as funções GDAP recomendadas para algumas camadas de serviço MSP de exemplo.

Gerentes de Conta Técnicos do Service Desk Administradores do sistema Engenheiros de escalonamento
Funções GDAP recomendadas
  • Administrador da Assistência Técnica
  • Leitor de Segurança
    +
  • Administrador da Assistência Técnica
  • Leitor Global
    +
  • Administrador do usuário
    +
  • Administrador de Autenticação
  • Leitor Global
    +
  • Administrador do usuário
    +
  • Intune administrador
    +
  • Administrador de Segurança

A tabela a seguir lista as ações que as camadas de serviço MSP de exemplo podem executar nas diferentes páginas do Lighthouse, conforme determinado por suas funções GDAP atribuídas (que são indicadas na tabela anterior).

Página do Lighthouse Ações permitidas dos Gerentes de Conta Ações permitidas pelos técnicos do Service Desk Ações permitidas dos Administradores do Sistema Ações permitidas dos engenheiros de escalonamento
Home
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
Locatários
  • Exibir lista de locatários
  • Atualizar contatos do cliente e site
  • Exibir planos de implantação
  • Exibir lista de locatários
  • Atualizar contatos do cliente e site
  • Exibir planos de implantação
  • Exibir lista de locatários
  • Atualizar contatos do cliente e site
  • Exibir planos de implantação
  • Exibir o Microsoft 365 de serviços
  • Exibir lista de locatários
  • Atualizar contatos do cliente e site
  • Exibir planos de implantação
  • Exibir o Microsoft 365 de serviços
Usuários
  • Exibir dados de nível de locatário (não específicos do usuário)
  • Pesquisar contas de usuário entre locatários
  • Redefinir senha para não administradores*
  • Exibir todos os dados específicos do usuário
  • Pesquisar contas de usuário entre locatários
  • Redefinir senha para não administradores*
  • Exibir todos os dados específicos do usuário
  • Pesquisar contas de usuário entre locatários
  • Redefinir senha para não administradores*
  • Bloquear entrada
  • Exibir todos os dados específicos do usuário
  • Pesquisar contas de usuário entre locatários
  • Redefinir senha para não administradores*
  • Bloquear entrada
  • Confirmar usuários comprometidos
  • Ignorar o risco para os usuários
Dispositivos
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
  • Sincronizar dispositivo
  • Reiniciar dispositivo
  • Coletar diagnósticos
Gerenciamento de ameaças
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
  • Executar verificação completa
  • Executar verificação rápida
  • Atualizar a proteção antivírus
  • Reinicie o dispositivo
Linhas de Base
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
Windows 365
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
  • Exibir todos os dados
Integridade do serviço**       N/A       N/A       N/A       N/A
Logs de auditoria**       N/A       N/A       N/A       N/A

*Consulte permissões de redefinição de senha para uma tabela que lista quais funções são necessárias para redefinir senhas para administradores de locatários do cliente.

**Diferentes funções e permissões são necessárias para exibir Integridade do serviço logs de auditoria. Para obter mais informações, consulte Permissões no locatário do parceiro.

Observação

Se você receber uma mensagem no Lighthouse informando que não tem permissão para exibir ou editar informações, receberá uma função que não tem as permissões apropriadas para executar a ação. Você precisará entrar em contato com um administrador em seu locatário parceiro que possa atribuir a função apropriada para a ação que você está tentando executar.

Privilégios de administrador delegado (DAP) no Lighthouse

O GDAP eventualmente substituirá o DAP como o método principal para configurar o acesso delegado para locatários do cliente. No entanto, se o GDAP não tiver sido configurado, os técnicos do MSP ainda poderão acessar o Lighthouse usando as funções do Agente de Assistência Técnica ou do Agente Administrativo concedidas por meio do DAP. Para clientes em que o GDAP e o DAP coexistem, as funções concedidas aos técnicos do MSP por meio do GDAP têm precedência. Para obter mais informações sobre a substituição de GDAP ou DAP, consulte perguntas frequentes do GDAP ou os comunicados do Partner Center para datas e linhas do tempo.

Para clientes com DAP e sem GDAP, a função de Agente Administrador concede permissões para exibir todos os dados de locatário e executar qualquer ação no Lighthouse (veja abaixo outras ações que também exigem uma função no locatário do parceiro).

A função agente de assistência técnica concede permissões para exibir todos os dados de locatário e executar ações limitadas no Lighthouse, como redefinir senhas de usuário, bloquear entradas de usuário e atualizar informações de contato do cliente e sites.

Considerando as permissões amplas concedidas a usuários parceiros com funções DAP, recomendamos a adoção do GDAP assim que possível.

Permissões no locatário do parceiro

Para determinadas ações no Lighthouse, são necessárias atribuições de função no locatário do parceiro. A tabela a seguir lista as funções de locatário do parceiro e suas permissões associadas.

Funções de locatário do parceiro Permissões
Administrador global do locatário do parceiro
  • Inscreva-se no Lighthouse no Centro de administração do Microsoft 365.
  • Aceite aditamentos de contrato de parceiro durante a experiência de primeira execução.
  • Ativar e inativar um locatário.
  • Criar, atualizar e excluir marcas.
  • Atribuir e remover marcas de um locatário do cliente.
  • Examinar logs de auditoria
Membro do locatário do parceiro com pelo menos Azure AD função atribuída com o seguinte conjunto de propriedades:
microsoft.office365.supportTickets/allEntities/allTasks
(Para obter uma lista completa de Azure AD funções, consulte Azure AD funções internas.)
Crie solicitações de serviço do Lighthouse.
Membro do locatário do parceiro que atende aos dois requisitos a seguir:
  • Tem pelo menos uma Azure AD função atribuída com o seguinte conjunto de propriedades:
    microsoft.office365.serviceHealth/allEntities/allTasks
    (Para obter uma lista completa de Azure AD funções, consulte Azure AD funções internas.)
  • Tem pelo menos uma função delegada da DAP atribuída (Agente de Administração ou Agente de Assistência Técnica)
Exibir informações de integridade do serviço.

Requisitos para Microsoft 365 Lighthouse (artigo)
Perguntas frequentes sobre privilégios de administração delegada (DAP) (artigo)
Exibir suas Azure Active Directory funções no Microsoft 365 Lighthouse (artigo)
Atribuir funções e permissões a usuários (artigo)
Visão geral Microsoft 365 Lighthouse (artigo)
Inscreva-se para Microsoft 365 Lighthouse (artigo)
Microsoft 365 Lighthouse perguntas frequentes (artigo)