Обзор разрешений в Microsoft 365 Lighthouse
РазрешенияМи Microsoft 365 Lighthouse в основном управляют следующие:
- Управление доступом на основе ролей (RBAC) Lighthouse в клиенте партнера
- Детализированные делегированные права администратора (GDAP) в клиенте клиента
Чтобы использовать Lighthouse, необходимо сочетание ролей, назначенных через RBAC и GDAP.
Разрешения глобального администратора в клиенте партнера
Пользователи клиента партнера, которым назначена роль глобального администратора в Идентификаторе Microsoft Entra, могут выполнять следующие действия.
- Зарегистрируйтесь в Lighthouse в Центре администрирования Microsoft 365.
- Активация и неактивный клиент.
- Создание, обновление и удаление тегов.
- Назначение тегов клиенту клиента и удаление тегов.
- Просмотрите журналы аудита.
- Создание, изменение и просмотр правил генерации оповещений.
Управление разрешениями RBAC Lighthouse в клиенте партнера
Разрешения Lighthouse в клиенте партнера управляются путем назначения ролей RBAC. Каждая роль имеет набор разрешений, определяющих, какие пользователи данных могут получать доступ и изменять в клиенте партнера.
Роли RBAC управляются на странице разрешений Lighthouse в Lighthouse. Чтобы получить доступ к странице разрешений Lighthouse и управлять разрешениями, необходимо быть глобальным администратором в идентификаторе Microsoft Entra. Дополнительные сведения см. в статье Управление разрешениями Lighthouse RBAC в Microsoft 365 Lighthouse.
В настоящее время существует только одна роль Lighthouse RBAC: Lighthouse Account Manager. В следующей таблице описана роль диспетчера учетных записей Lighthouse.
| Роль RBAC Lighthouse | Описание |
|---|---|
| Менеджер по работе с клиентами Lighthouse | Предоставляет полный доступ к страницам и данным помощника по продажам во всем клиенте партнера. Менеджеры по учетным записям Lighthouse могут экспортировать данные помощника по продажам. |
Роли и возможности RBAC Lighthouse
В следующей таблице описаны действия, которые менеджеры по учетным записям Lighthouse могут выполнять в Lighthouse.
| Область | Действия | Менеджер по работе с клиентами Lighthouse |
|---|---|---|
| Tenants | Просмотр страницы "Клиенты" | ✓ |
| Управление тегами | ||
| Активация и активация клиента | ||
| Просмотр делегированного состояния | ✓ | |
| Просмотр назначения базовых показателей | ||
| Просмотр состояния развертывания | ✓ | |
| Просмотр и изменение контактной информации клиента и веб-сайта | ✓ | |
| Базовые показатели | Просмотр базовых показателей (по умолчанию, пользовательский) | |
| Создание, изменение и назначение базовых показателей | ||
| Оповещения | Просмотр оповещений | ✓ |
| Управление оповещениями (изменение серьезности, состояния или назначения) | ||
| Создание, изменение и удаление правил генерации оповещений | ||
| Разрешения | Настройка разрешений Lighthouse и управление ими | |
| Настройка GDAP и управление ими | ||
| Просмотр сведений о состоянии GDAP | ||
| Журналы аудита | Просмотр журналов аудита | |
| Консультант по продажам | Просмотр отчетов помощника по продажам и управление данными | ✓ |
| Поддержка | Открытие запросов на обслуживание и управление ими | |
| Работоспособность служб | Мониторинг работоспособности службы |
Управление GDAP в клиенте клиента
GDAP обеспечивает высокий уровень контроля и гибкости, предоставляя доступ к клиентам клиентов через встроенные роли Microsoft Entra. Назначение наименее привилегированных ролей по задачам через GDAP техническим специалистам MSP снижает риск безопасности как для MSP, так и для клиентов.
Дополнительные сведения о настройке отношений GDAP с клиентом клиента в Lighthouse см. в разделе Получение подробных разрешений администратора для управления службой клиента — Центр партнеров.
Дополнительные сведения о ролях с наименьшими привилегиями по задачам см. в разделах Наименее привилегированные роли — Центр партнеров и Наименее привилегированные роли по задачам в Идентификаторе Microsoft Entra.
Дополнительные сведения об устаревании GDAP или делегированных привилегий администратора (DAP) см. в статье Часто задаваемые вопросы о GDAP — Центр партнеров, Часто задаваемые вопросы о делегированных правах администрирования (DAP) — Центр партнеров или поиск в объявлениях Центра партнеров по датам и срокам.
Следующие задачи в Lighthouse предъявляют определенные требования к роли Microsoft Entra:
Для создания запросов на обслуживание и управления ими пользователям Lighthouse должна быть назначена по крайней мере одна роль Microsoft Entra со следующим набором свойств: microsoft.office365.supportTickets/allEntities/allTasks.
Для мониторинга работоспособности служб пользователям Lighthouse должна быть назначена по крайней мере одна роль Microsoft Entra со следующим набором свойств: microsoft.office365.serviceHealth/allEntities/allTasks.
Полный список ролей Microsoft Entra см. в разделе Встроенные роли Microsoft Entra. Сведения о назначении ролей см. в статье Назначение ролей Microsoft Entra пользователям.
Связанные материалы
Требования к Microsoft 365 Lighthouse (статья)
Часто задаваемые вопросы о делегированных правах администрирования (DAP) (статья)
Просмотр ролей Microsoft Entra в Microsoft 365 Lighthouse (статья)
Назначение ролей и разрешений пользователям (статья)
Обзор Microsoft 365 Lighthouse (статья)
Регистрация в Microsoft 365 Lighthouse (статья)
Часто задаваемые вопросы о Microsoft 365 Lighthouse (статья)