Översikt över behörigheter i Microsoft 365 Lighthouse

Delegerad åtkomst till kundklientorganisationer krävs för att hanterade tjänstleverantörer (MSP) ska kunna använda Microsoft 365 Lighthouse. Detaljerade delegerade administratörsprivilegier (GDAP) ger MSP:er en hög nivå av kontroll och flexibilitet genom att ge kundåtkomst via Azure Active Directory (Azure AD) inbyggda roller. Genom att tilldela de minst privilegierade rollerna per uppgift via GDAP till MSP-tekniker minskar säkerhetsrisken för både MSP:er och kunder. Mer information om minst privilegierade roller efter uppgift finns i Minst privilegierade roller – Partnercenter och Minst privilegierade roller efter aktivitet i Azure Active Directory. Mer information om hur du konfigurerar en GDAP-relation med en kundklient finns i Hämta detaljerade administratörsbehörigheter för att hantera en kunds tjänst – Partnercenter.

Vi rekommenderar att du tilldelar roller till grupper av MSP-tekniker baserat på de uppgifter som varje grupp behöver utföra för kundens räkning. Service desk-tekniker kan till exempel bara behöva läsa kundklientdata eller återställa användarlösenord. Eskaleringstekniker kan däremot behöva vidta fler korrigerande åtgärder för att uppdatera kundklientens säkerhetsinställningar. Det är bästa praxis att tilldela den minst tillåtande roll som krävs för att slutföra en uppgift så att kund- och partnerdata hålls säkra. Vi rekommenderar att du använder Privileged Identity Management (PIM) för att aktivera tidsbegränsad åtkomst till rollen Global administratör om det behövs. Att ge för många användare global åtkomst är en säkerhetsrisk, och vi rekommenderar att du begränsar den så mycket som möjligt. Mer information om hur du aktiverar PIM finns i Konfigurera Azure AD PIM.

Tabellerna i nästa avsnitt beskriver vilka GDAP-roller som beviljar behörighet att läsa kunddata och vidta åtgärder för kundklientorganisationer i Lighthouse. Se Behörigheter i partnerklientorganisationen i den här artikeln för ytterligare roller som krävs för att hantera Lighthouse-entiteter (till exempel taggar och Lighthouse-tjänstbegäranden).

Anteckning

GDAP är för närvarande i teknisk förhandsversion (allmänt tillgänglig förhandsversion) så att partner kan tilldela detaljerade behörigheter innan GDAP är allmänt tillgängligt. Kontrollera kända problem om du har problem med att komma åt eller utföra en åtgärd i Lighthouse.

I följande tabell visas de rekommenderade GDAP-rollerna för några exempel på MSP-tjänstnivåer.

Kontoansvariga Service desk-tekniker Systemadministratörer Eskaleringstekniker
Rekommenderade GDAP-roller
  • Supportadministratör
  • Säkerhetsläsare
    +
  • Supportadministratör
  • Global läsare
    +
  • Användaradministratör
    +
  • Autentiseringsadministratör
  • Global läsare
    +
  • Användaradministratör
    +
  • Intune administratör
    +
  • Säkerhetsadministratör

I följande tabell visas de åtgärder som MSP-tjänstnivåerna i exemplet kan utföra på de olika Lighthouse-sidorna baserat på deras tilldelade GDAP-roller (som anges i föregående tabell).

Lighthouse-sida Tillåtna åtgärder för kontoansvariga Service Desk-tekniker tillåtna åtgärder Tillåtna åtgärder för systemadministratörer Eskaleringstekniker tillåtna åtgärder
home
  • Visa alla data
  • Visa alla data
  • Visa alla data
  • Visa alla data
Klientorganisationer
  • Visa klientorganisationslista
  • Uppdatera kundkontakter och webbplats
  • Visa distributionsplaner
  • Visa klientorganisationslista
  • Uppdatera kundkontakter och webbplats
  • Visa distributionsplaner
  • Visa klientorganisationslista
  • Uppdatera kundkontakter och webbplats
  • Visa distributionsplaner
  • Visa användning av Microsoft 365-tjänster
  • Visa klientorganisationslista
  • Uppdatera kundkontakter och webbplats
  • Visa distributionsplaner
  • Visa användning av Microsoft 365-tjänster
Användare
  • Visa klientnivådata (icke-användarspecifika)
  • Söka efter användarkonton mellan klientorganisationer
  • Återställa lösenord för icke-administratörer*
  • Visa alla användarspecifika data
  • Söka efter användarkonton mellan klientorganisationer
  • Återställa lösenord för icke-administratörer*
  • Visa alla användarspecifika data
  • Söka efter användarkonton mellan klientorganisationer
  • Återställa lösenord för icke-administratörer*
  • Blockera inloggning
  • Visa alla användarspecifika data
  • Söka efter användarkonton mellan klientorganisationer
  • Återställa lösenord för icke-administratörer*
  • Blockera inloggning
  • Bekräfta komprometterade användare
  • Stäng risken för användare
Enheter
  • Visa alla data
  • Visa alla data
  • Visa alla data
  • Visa alla data
  • Synkronisera enhet
  • Starta om enheten
  • Samla in diagnostik
Hothantering
  • Visa alla data
  • Visa alla data
  • Visa alla data
  • Visa alla data
  • Kör fullständig genomsökning
  • Köra snabbgenomsökning
  • Uppdatera antivirusskydd
  • Starta om enheten
Originalplaner
  • Visa alla data
  • Visa alla data
  • Visa alla data
  • Visa alla data
Windows 365
  • Visa alla data
  • Visa alla data
  • Visa alla data
  • Visa alla data
Tjänststatus**       Ej tillämpligt       Ej tillämpligt       Ej tillämpligt       Ej tillämpligt
Granskningsloggar**       Ej tillämpligt       Ej tillämpligt       Ej tillämpligt       Ej tillämpligt

*Se Behörigheter för lösenordsåterställning för en tabell som visar vilka roller som krävs för att återställa lösenord för kundens klientadministratörer.

**Olika roller och behörigheter krävs för att visa Tjänststatus- och granskningsloggar. Mer information finns i Behörigheter i partnerklientorganisationen.

Anteckning

Om du får ett meddelande i Lighthouse om att du inte har behörighet att visa eller redigera information tilldelas du en roll som inte har rätt behörighet för att utföra åtgärden. Du måste kontakta en administratör i din partnerklientorganisation som kan tilldela dig rätt roll för den åtgärd som du försöker utföra.

Delegerade administratörsprivilegier (DAP) i Lighthouse

GDAP ersätter så småningom DAP som den primära metoden för att konfigurera delegerad åtkomst för kundklientorganisationer. Men om GDAP inte har konfigurerats kan MSP-tekniker fortfarande komma åt Lighthouse med hjälp av rollerna Supportrepresentant eller Administratörsagent som beviljats via DAP. För kunder där GDAP och DAP samexisterar har roller som beviljats MSP-tekniker via GDAP företräde. Mer information om GDAP- eller DAP-utfasning finns i Vanliga frågor och svar om GDAP eller Partnercenter-meddelanden för datum och tidslinjer.

För kunder med DAP och utan GDAP ger administratörsagentrollen behörighet att visa alla klientdata och vidta åtgärder i Lighthouse (se nedan för andra åtgärder som också kräver en roll i partnerklientorganisationen).

Rollen Supportagent ger behörighet att visa alla klientdata och vidta begränsade åtgärder i Lighthouse, till exempel återställa användarlösenord, blockera användarinloggningar och uppdatera kundkontaktinformation och webbplatser.

Med tanke på de breda behörigheter som beviljas partneranvändare med DAP-roller rekommenderar vi att du antar GDAP så snart som möjligt.

Behörigheter i partnerklientorganisationen

För vissa åtgärder i Lighthouse krävs rolltilldelningar i partnerklientorganisationen. I följande tabell visas partnerklientroller och deras associerade behörigheter.

Partnerklientroller Behörigheter
Global administratör för partnerklientorganisation
  • Registrera dig för Lighthouse i Administrationscenter för Microsoft 365.
  • Godkänn partneravtalsändringar under den första körningen.
  • Aktivera och inaktivera en klientorganisation.
  • Skapa, uppdatera och ta bort taggar.
  • Tilldela och ta bort taggar från en kundklientorganisation.
  • Granska granskningsloggar
Partnerklientmedlem med minst en Azure AD roll tilldelad med följande egenskapsuppsättning:
microsoft.office365.supportTickets/allEntities/allTasks
(En fullständig lista över Azure AD roller finns i Azure AD inbyggda roller.)
Skapa Lighthouse-tjänstbegäranden.
Partnerklientmedlem som uppfyller båda följande krav:
  • Har minst en Azure AD roll tilldelad med följande egenskapsuppsättning:
    microsoft.office365.serviceHealth/allEntities/allTasks
    (En fullständig lista över Azure AD roller finns i Azure AD inbyggda roller.)
  • Har minst en tilldelad DAP-delegerad roll (administratörsagent eller supportagent)
Visa hälsoinformation för tjänsten.

Krav för Microsoft 365 Lighthouse (artikel)
Vanliga frågor och svar om delegerade administrationsprivilegier (DAP) (artikel)
Visa dina Azure Active Directory roller i Microsoft 365 Lighthouse (artikel)
Tilldela roller och behörigheter till användare (artikel)
Översikt över Microsoft 365 Lighthouse (artikel)
Registrera dig för Microsoft 365 Lighthouse (artikel)
vanliga frågor och svar om Microsoft 365 Lighthouse (artikel)