Pokyny k roli GDAP
Příslušné role: Agent pro správu
Tento článek obsahuje pokyny, které privilegované předdefinované role Microsoft Entra je možné použít pro každou podrobnou delegovanou oprávnění správce (GDAP). Pokud například chcete odeslat žádosti o podporu jménem zákazníka, musíte mít roli správce podpory služeb, což je nejméně privilegovaná role Microsoft Entra integrovaná v tenantovi zákazníka.
Vytváření žádostí o podporu
Nepřímí prodejci nemůžou vytvářet žádosti o podporu pro Azure. Místo toho musí pracovat se svými nepřímými poskytovateli.
| Vytvoření žádosti o podporu pro: | Partneři s přímým vyúčtováním a nepřímí poskytovatelé musí mít následující nejméně privilegovanou roli: |
|---|---|
| Microsoft 365 v Centrum pro správu Microsoftu 365 | Přiřazení role GDAP k roli, která má oprávnění Microsoft.office365.supportTickets/allEntities/allTasks , například správce podpory služeb |
| Dynamics 365 v Centru pro správu Power Platform | Přiřazení role GDAP k roli, která má oprávnění Microsoft.office365.supportTickets/allEntities/allTasks , například správce podpory služeb |
| Prostředek předplatného Azure na webu Azure Portal | Předpoklad: Pokud chcete vytvořit žádosti jménem zákazníků, kteří používají předplatné Azure zákazníka, musí partneři mít s zákazníkem vztah prodejce, jak je vysvětleno v regionální autorizaci CSP. Další informace najdete v tématu Postup nastavení azure GDAP. Jakékoli přiřazení GDAP k roli Microsoft Entra, jako jsou čtenáři adresáře, -A- Přiřazení role řízení přístupu na základě role (RBAC) Azure k roli s oprávněními Microsoft.Support/supportTickets/write , jako je přispěvatel žádostí o podporu |
| ID Microsoft Entra na webu Azure Portal | Alternativní 1: Pokud zákazník nemá požadavek Microsoft Entra ID P1 nebo P2 : Pokud chcete vytvořit žádosti jménem zákazníků používajících předplatné Azure zákazníka, musí mít partneři vztah prodejce se zákazníkem na regionální autorizaci CSP. Další informace najdete v tématu Postup nastavení azure GDAP. Jakékoli přiřazení GDAP k roli Microsoft Entra, jako jsou čtenáři adresáře, -A- Přiřazení role Azure RBAC k roli s oprávněními Microsoft.Support/supportTickets/write, jako je přispěvatel žádostí o podporu, alternativa 2: Pokud má zákazník Microsoft Entra ID P1 nebo P2 Jakékoli přiřazení GDAP k roli Microsoft Entra, která má: microsoft.azure.supportTickets/allEntities/allTasks oprávnění, například správce podpory služeb |
Role GDAP podle typů partnerů
Nepřímí poskytovatelé
Pro nepřímé poskytovatele pro transakce a správu se doporučují následující role:
- Vytvoření nového tenanta zákazníka
- Nastavení vztahu prodejce
- Nákup
- Správa předplatného
- Upgrady
- Převody
- Vytvoření uživatele zákazníka a přiřazení licence
- Žádosti o služby zákazníkům (žádosti o vytvoření jménem zákazníka)
| Role | Popis |
|---|---|
| Role čtenáře: | |
| Čtenáři adresářů | Může číst základní informace o adresáři. Běžně se používá k udělení přístupu ke čtení adresáře aplikacím a hostům. |
| Zapisovače adresářů | Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. |
| Globální čtenář | Může číst všechno, co může globální správce, ale nemůže nic aktualizovat. |
| Správa uživatelů a správa licencí: | |
| Správce uživatelů | Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. |
| Správce licencí | Může spravovat licence produktů pro uživatele a skupiny. |
| Správce podpory služeb | Může číst informace o stavu služby a spravovat žádosti o podporu. |
| Help Desk: | |
| Správce helpdesku | Může resetovat hesla pro správce, kteří nejsou správci a správci helpdesku. |
Partneři s přímým vyúčtováním, nepřímí prodejci a poradci
Následující role se doporučují pro nepřímé prodejce, poradce a partnery s přímým vyúčtováním, kteří hrají také roli poskytovatelů služeb pro správu služeb. Všechny jsou kategorizovány jako specializovaní poskytovatelé spravovaných služeb (MSP), kteří kompletně spravují prostředí zákazníka jako externí ODDĚLENÍ IT. Tato část je rozdělená do kategorií rolí vyžadovaných úlohami a funkcemi.
Typické úlohy technika vrstvy 1 ve spravovaných službách
| Role | Úkol | Funkce |
|---|---|---|
| Správce podpory služeb | Odešlete žádosti o podporu jménem zákazníka. | Help Desk vytváří a spravuje žádosti o podporu. |
| Čtenář zabezpečení | Zobrazení zásad souvisejících se zabezpečením napříč službami Microsoftu 365 | Help Desk shromažďuje zjišťování v tenantovi zákazníka za účelem řešení potíží nebo aktualizace zásad portálu zabezpečení a dodržování předpisů, jako jsou zásady ochrany před únikem informací. |
| Správce Intune | Může spravovat všechny aspekty produktu Intune. | Help Desk zpracovává registraci zařízení zákazníka a řešení potíží. |
| Správce SharePointu | Může spravovat všechny aspekty služby SharePoint. | Help Desk spravuje oprávnění sharepointového webu. |
| Specialista na podporu komunikace v Teams | Může spravovat službu Microsoft Teams. | HelpDesk řeší problémy s kvalitou hovorů. |
| Správce helpdesku | Může resetovat hesla pro uživatele, kteří nejsou správci a tito správci: Čtenáři helpdesku hostujícího zvoucího pracovníka správce Centra zpráv čtenáře hesel čtenáře. | Help Desk resetuje hesla. |
| Správce Desktop Analytics | Může přistupovat k nástrojům a službám pro správu plochy a spravovat je. | Help Desk může spravovat službu Desktop Analytics zobrazením inventáře prostředků a čtením standardních vlastností zásad autorizace. |
| Správce ověřování | Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro všechny uživatele bez oprávnění správce. | HelpDesk má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro všechny uživatele bez oprávnění správce (například vícefaktorové ověřování a podmíněný přístup). |
| Správce Exchange | Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Exchange Online, když je služba přítomna. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat žádosti o podporu a monitorovat stav služby; může odesílat OBO a spravovat doručené pošty. | Help Desk spravuje sdílené poštovní schránky, pomáhá řešit problémy s kvótami poštovních schránek a vytváří a spravuje pravidla přenosu. |
| Správce licencí | Může přiřazovat, odebírat a aktualizovat přiřazení licencí. | Během řešení potíží helpdesk posoudí a opraví, jestli došlo k problému s licencováním žádosti o podporu. |
| Správce uživatelů | Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce; může blokovat přihlášení uživatele. | Help Desk spravuje všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce a blokování přístupu bývalého zaměstnance zákazníka ke službám Microsoftu 365. |
| Správce skupin | Členové této role můžou vytvářet nebo spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat skupiny aktivity a sestavy auditu. | Help Desk přidá vlastníky do skupin a přidá členy do skupin. |
| Čtenář adresářů | Uživatelé v této roli mohou číst základní informace o adresáři. | Help Desk může číst základní informace o adresáři v rámci řešení potíží. |
| Čtenář centra zpráv | Může číst zprávy a aktualizace pro svou organizaci jenom v Centru zpráv Office 365. | Help Desk čte Centrum zpráv, které řeší problémy s podporou. |
| Správa tiskáren | Uživatelé s touto rolí mohou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskáren v řešení Microsoft Universal Print, včetně nastavení konektoru pro univerzální tisk. Můžou souhlasit se všemi delegovanými žádostmi o oprávnění k tisku. Správci tiskárny mají také přístup k tisk sestavám. | HelpDesk by spravoval konfigurace tiskáren a vyřešoval problémy s tiskárnou. |
| Odesílatel pozvánky hostů | Uživatelé v této roli mohou spravovat pozvánky uživatelů typu host microsoft Entra B2B. | Help Desk může pozvat uživatele typu host nezávisle na nastavení Členové . |
Nejméně privilegovaná role podle úlohy
Následující tabulka zobrazuje úlohy v rámci jednotlivých funkcí GDAP spolu s nejméně privilegovanou rolí potřebnou k provedení jednotlivých úloh.
| Funkce GDAP | Úloha | Nejméně privilegovaná role |
|---|---|---|
| Podpora | Odeslat lístek podpory | Správce podpory služeb |
| Uživatelé | Přidání uživatele do role adresáře | Správce privilegovaných rolí |
| Přidání uživatele do skupiny | Správce uživatelů | |
| Přiřazení licence | Správce licencí | |
| Vytvoření uživatele typu host | Pozvaný host | |
| Resetování pozvánky uživatele typu host | Správce uživatelů | |
| Vytvořit uživatele | Správce uživatelů | |
| Odstranění uživatele | Správce uživatelů | |
| Zneplatnění obnovovacích tokenů omezeného správce | Správce uživatelů | |
| Zneplatnění obnovovacích tokenů bez oprávnění správce | Správce hesel | |
| Zneplatnění obnovovacích tokenů privilegovaného správce | Správce privilegovaného ověřování | |
| Čtení základní konfigurace | Výchozí role uživatele | |
| Resetování hesla pro omezeného správce | Správce uživatelů | |
| Resetování hesla pro uživatele bez oprávnění správce | Správce hesel | |
| Resetování hesla pro privilegovaného správce | Správce privilegovaného ověřování | |
| Odvolání licence | Správce licencí | |
| Aktualizace všech vlastností kromě hlavního názvu uživatele | Správce uživatelů | |
| Aktualizace hlavního názvu uživatele pro omezeného správce | Správce uživatelů | |
| Aktualizace hlavního názvu uživatele pro privilegovaného správce | Globální správce | |
| Aktualizace uživatelských nastavení | Globální správce | |
| Aktualizace metod ověřování | Správce ověřování | |
| Skupiny | Přiřazení licence | Správce uživatelů |
| Vytvořit skupinu | Správce skupin | |
| Vytvoření, aktualizace nebo odstranění kontroly přístupu skupiny nebo aplikace | Správce uživatelů | |
| Správa vypršení platnosti skupiny | Správce uživatelů | |
| Správa nastavení skupin | Správce skupin | |
| Čtení všech konfigurací (s výjimkou skrytého členství) | Čtenáři adresářů | |
| Čtení skrytého členství | Člen skupiny | |
| Čtení členství ve skupinách se skrytým členstvím | Správce helpdesku | |
| Odvolání licence | Správce licencí | |
| Aktualizace členství ve skupině | Vlastník skupiny | |
| Aktualizace vlastníků skupin | Vlastník skupiny | |
| Aktualizace vlastností skupiny | Vlastník skupiny | |
| Odstranění skupiny | Správce skupin | |
| Licence | Přiřazení licence | Správce licencí |
| Čtení veškeré konfigurace | Čtenáři adresářů | |
| Odvolání licence | Správce licencí |