Konfigurera Microsoft 365 Lighthouse portalsäkerhet

Att skydda åtkomsten till kunddata när en hanterad tjänstleverantör (MSP) har delegerade åtkomstbehörigheter till sina klienter är en cybersäkerhetsprioritet. Microsoft 365 Lighthouse levereras med både nödvändiga och valfria funktioner som hjälper dig att konfigurera Säkerhet i Lighthouse-portalen. Du måste konfigurera specifika roller med multifaktorautentisering (MFA) aktiverat innan du kan komma åt Lighthouse. Du kan också konfigurera Microsoft Entra Privileged Identity Management (PIM) och villkorlig åtkomst.

Konfigurera multifaktorautentisering (MFA)

Som vi nämnde i blogginlägget Din Pa$$word spelar ingen roll:

"Ditt lösenord spelar ingen roll, men MFA gör det. Baserat på våra studier är ditt konto mer än 99,9 % mindre sannolikt att komprometteras om du använder MFA."

När användare använder Lighthouse för första gången uppmanas de att konfigurera MFA om deras Microsoft 365-konto inte redan har konfigurerats. Användarna kommer inte att kunna komma åt Lighthouse förrän det nödvändiga MFA-konfigurationssteget har slutförts. Mer information om autentiseringsmetoder finns i Konfigurera din Microsoft 365-inloggning för multifaktorautentisering.

Konfigurera rollbaserad åtkomstkontroll

Rollbaserad åtkomstkontroll (RBAC) ger åtkomst till resurser eller information baserat på användarroller. Åtkomst till kundklientdata och inställningar i Lighthouse är begränsad till specifika roller från CSP-programmet (Cloud Solution Provider). Om du vill konfigurera RBAC-roller i Lighthouse rekommenderar vi att du använder detaljerade delegerade administratörsprivilegier (GDAP) för att implementera detaljerade tilldelningar för användare. Delegerade administratörsprivilegier (DAP) krävs fortfarande för att klientorganisationen ska kunna registrera sig, men kunder med endast GDAP kommer snart att kunna registrera sig utan något beroende av DAP. GDAP-behörigheter har företräde när DAP och GDAP samexisterar för en kund.

Information om hur du konfigurerar en GDAP-relation finns i Hämta detaljerade administratörsbehörigheter för att hantera en kunds tjänst. Mer information om vilka roller vi rekommenderar använder Lighthouse finns i Översikt över behörigheter i Microsoft 365 Lighthouse.

MSP-tekniker kan också komma åt Lighthouse med hjälp av Admin agent- eller supportagentroller via delegerade administratörsprivilegier (DAP).

För icke-kundrelaterade klientrelaterade åtgärder i Lighthouse (till exempel registrering, kundaktivering/återaktivering, hantering av taggar, granskningsloggar) måste MSP-tekniker ha en tilldelad roll i partnerklientorganisationen. Mer information om partnerklientroller finns i Översikt över behörigheter i Microsoft 365 Lighthouse.

Konfigurera Microsoft Entra Privileged Identity Management (PIM)

MSP:er kan minimera antalet personer som har åtkomst med hög behörighet till säker information eller resurser med hjälp av PIM. PIM minskar risken för att en obehörig person får åtkomst till resurser eller behöriga användare som oavsiktligt påverkar en känslig resurs. MSP:er kan också ge användare just-in-time-roller med hög behörighet för att få åtkomst till resurser, göra breda ändringar och övervaka vad de utsedda användarna gör med sin privilegierade åtkomst.

Obs!

Användning av Microsoft Entra PIM kräver en Microsoft Entra ID P2-licens i partnerklientorganisationen.

Följande steg höjer partnerklientanvändare till tidsbegränsade högre behörighetsroller med hjälp av PIM:

  1. Skapa en rolltilldelningsbar grupp enligt beskrivningen i artikeln Skapa en grupp för att tilldela roller i Microsoft Entra-ID.

  2. Gå till Microsoft Entra ID – Alla grupper och lägg till den nya gruppen som medlem i en säkerhetsgrupp för högprivilegier (till exempel Admin agentsäkerhetsgrupp för DAP eller en liknande säkerhetsgrupp för GDAP-roller).

  3. Konfigurera privilegierad åtkomst till den nya gruppen enligt beskrivningen i artikeln Tilldela berättigade ägare och medlemmar för privilegierade åtkomstgrupper.

Mer information om PIM finns i Vad är Privileged Identity Management?

Konfigurera riskbaserad Microsoft Entra villkorlig åtkomst

MsPs kan använda riskbaserad villkorsstyrd åtkomst för att se till att personalen bevisar sin identitet med hjälp av MFA och genom att ändra sitt lösenord när de identifieras som en riskfylld användare (med läckta autentiseringsuppgifter eller per Microsoft Entra hotinformation). Användarna måste också logga in från en välbekant plats eller registrerad enhet när de identifieras som en riskfylld inloggning. Andra riskfyllda beteenden är att logga in från en skadlig eller anonym IP-adress eller från en atypisk eller omöjlig reseplats, använda en avvikande token, använda ett lösenord från en lösenordsspray eller uppvisa andra ovanliga inloggningsbeteenden. Beroende på en användares risknivå kan MSP:er också välja att blockera åtkomst vid inloggning. Mer information om risker finns i Vad är risk?

Obs!

Villkorsstyrd åtkomst kräver en Microsoft Entra ID P2-licens i partnerklientorganisationen. Information om hur du konfigurerar villkorlig åtkomst finns i Konfigurera Microsoft Entra villkorlig åtkomst.

Behörigheter för lösenordsåterställning (artikel)
Översikt över behörigheter i Microsoft 365 Lighthouse (artikel)
Visa dina Microsoft Entra roller i Microsoft 365 Lighthouse (artikel)
Krav för Microsoft 365 Lighthouse (artikel)
Översikt över Microsoft 365 Lighthouse (artikel)
Registrera dig för Microsoft 365 Lighthouse (artikel)
vanliga frågor och svar om Microsoft 365 Lighthouse (artikel)