Konfigurera Microsoft 365 Lighthouse portalsäkerhet
Anteckning
Funktionerna som beskrivs i den här artikeln finns i förhandsversionen, kan komma att ändras och är bara tillgängliga för partners som uppfyller kraven. Om din organisation inte har Microsoft 365 Lighthouse kan du gå till Registrera dig för Microsoft 365 Lighthouse.
Att skydda åtkomsten till kunddata när en leverantör av hanterad tjänst (MSP) har delegerade åtkomstbehörigheter till sina klienter är en cybersäkerhetsprioritet. Microsoft 365 Lighthouse levereras med både obligatoriska och valfria funktioner som hjälper dig att konfigurera fyrportalens säkerhet.
Konfigurera multifaktorautentisering (MFA)
Som vi nämnde i blogginlägget Gör$$word spelar det ingen roll:
"Ditt lösenord spelar ingen roll, men MFA gör det. Baserat på våra studier är ditt konto mer än 99,9 % mindre troligt att bli komprometterat om du använder MFA."
När användare öppnar Lighthouse för första gången uppmanas de att konfigurera MFA om deras Microsoft 365 inte redan har det konfigurerat. Användarna kan inte komma åt Lighthouse förrän det obligatoriska MFA-konfigurationssteget har slutförts. Mer information om autentiseringsmetoder finns i Konfigurera din inloggning Microsoft 365 för multifaktorautentisering.
Konfigurera roller för hantering av kundklienter
Åtkomst till data och inställningar för kundens klientorganisation i Lighthouse begränsas till rollerna administratörsagent och supportrepresentant i programmet leverantör av molnlösningar (CSP).
Du kan kontrollera vilka användare i partnerklientorganisationen som har rollerna Administratörsagent och Supportrepresentant genom att granska medlemskapen i säkerhetsgrupper på sidan Azure AD – Alla grupper. Mer information om hur du tilldelar programroller och andra behörigheter till användare finns i Tilldela roller och behörigheter till användare. Om du som MSP inte redan har behörighet som delegerad åtkomst till kundens klientorganisation, kan du läsa mer om hur du får dem i artikeln Skaffa behörigheter för att hantera en kunds tjänst eller prenumeration.
I följande tabell visas de olika fyrsidorna och de behörigheter som krävs för att visa och agera på kundens klientorganisationsdata och inställningar för rollerna Administratörsagent och Supportrepresentant.
| Fyrsida | Behörigheter för administratörsagenter | Behörigheter för supportagent |
|---|---|---|
| home |
|
|
| Klientorganisationer |
|
|
| Användare |
|
|
| Enheter |
|
|
| Hot |
|
|
| Baslinjer |
|
|
| Tjänstens hälsa |
|
|
Anteckning
För att kunna vidta åtgärder som är markerade med * i tabellen måste användarna för närvarande också ha Azure AD-rollen i partnerklientorganisationen med följande egenskapsuppsättning: microsoft.office365.serviceHealth/allEntities/allTasks. En lista över Azure AD-roller finns i Azure AD-inbyggda roller.
Med de breda behörigheter som hör till rollen administratörsagent föreslår vi att principen om minst privilegierad åtkomst vid utse en partnerklientanvändare som administratörsagent kontra supportagent. Ett sätt är att tilldela rollen Supportrepresentant till de användare som krävs i partnerklientorganisationen. Då kan de visa kunddata och inställningar men inte göra breda ändringar. Vid behov kan du sedan, med hjälp av de funktioner för godkännande av åtkomst i realtid som Azure AD Privileged Identity Management (PIM) ger användarna en tidsbefattning av rollen Administratörsagent.
Konfigurera Azure AD Privileged Identity Management (PIM)
MsP:er kan minimera antalet personer som har åtkomst till säker information eller resurser med hjälp av Azure AD Privileged Identity Management (PIM). PIM minskar risken för att en illvillig person får tillgång till resurser eller behöriga användare oavsiktligt påverkar en känslig resurs. MSP:er kan också bevilja användare endast i tid behörighet till resurser och övervaka vad de angivna användarna gör med sin behörighet.
Anteckning
För användning av Azure AD PIM krävs Azure AD Premium P2 licens i partnerklientorganisationen.
Följande steg utökar partnerklientorganisationens användare till tidsbaserade administratörsagentroller med hjälp av Azure AD PIM:
Skapa en grupp som kan tilldelas roll enligt beskrivningen i artikeln Skapa en grupp för tilldelning av roller i Azure Active Directory.
Gå till Azure AD – Alla grupper och lägg till den nya gruppen som medlem i gruppen Administratörsagenter.
Konfigurera behörighet för den nya gruppen enligt beskrivningen i artikeln Tilldela kvalificerade ägare och medlemmar för grupper med behörighet.
Mer information finns i Vad är Privileged Identity Management?
Andra roller och behörigheter
I följande tabell visas partnerklientroller och tillhörande behörigheter.
| Partnerklientorganisationsroller | Behörigheter inom partnerklientorganisationen |
|---|---|
| Global administratör för partnerklientorganisationen |
|
| Administratör för partnerklientorganisationen med minst en Azure AD-roll tilldelad med följande egenskapsuppsättning: microsoft.office365.supportTickets/allEntities/allTasks (En lista över Azure AD-roller finns i Azure AD-inbyggda roller.) |
|
Relaterat innehåll
Översikt över Microsoft 365 Lighthouse (artikel)
Registrera dig för Microsoft 365 Lighthouse (artikel)
Microsoft 365 Lighthouse vanliga frågor och svar (artikel)