Sdílet prostřednictvím


Úlohy podporované podrobnými delegovanými oprávněními správce (GDAP)

Příslušné role: Všichni uživatelé, kteří se zajímají o Partnerské centrum

Tento článek obsahuje seznam úkolů pro úlohy podporované podrobnými delegovanými oprávněními správce (GDAP).

Microsoft Security Copilot

Security Copilot podporuje přístup GDAP k samostatné platformě a určitým vloženým prostředím.

Podporované role Microsoft Entra

Security Copilot má vlastní role, které nejsou součástí Entra a které potřebujete nakonfigurovat. Doporučené role pro vyžádání přístupu GDAP jsou operátor zabezpečení nebo čtenář zabezpečení, i když se podporují i jiné role. Zákazník musí provést další krok pro přiřazení požadované role GDAP k příslušné roli Security Copilot. Další informace naleznete v tématu Přiřazení rolí pro Security Copilot.

GDAP v objektu Security Copilot poskytuje přístup k samostatnému portálu. Každý modul plug-in vyžaduje dodatečné požadavky na autorizaci, které nemusí podporovat GDAP. Další informace najdete v tématu moduly plug-in Security Copilot, které podporují GDAP.

Integrované funkce přidávají schopnosti Security Copilotu do jiných pracovních zátěží. Pokud tyto úlohy podporují GDAP, jako Microsoft Defender XDR, pak vložené funkce Security Copilot podporují GDAP. Purview má například zabudovanou funkcionalitu Security Copilot a je také uvedeno jako úloha, která podporuje GDAP. Funkce Security Copilot v Purview tedy podporuje GDAP.

Další informace najdete v tématu prostředí embedded security Copilot také.

Microsoft Entra ID

Všechny úlohy Microsoft Entra jsou podporovány s výjimkou následujících funkcí:

Plocha Možnosti Problém
Správa skupin Vytvoření skupiny Microsoft 365, správa pravidel dynamického členství Nepodporováno
Zařízení Správa nastavení služby Enterprise State Roaming
Aplikace Souhlas s vloženou podnikovou aplikací s přihlášením, správou podnikové aplikace Uživatelská nastavení
Externí identity Správa funkcí externí identity
Sledování Log Analytics, nastavení diagnostiky, sešity a karta Monitorování na stránce přehledu Microsoft Entra
Stránka přehledu Můj informační kanál – role pro přihlášeného uživatele Může zobrazit nesprávné informace o rolích; nemá vliv na skutečná oprávnění
Uživatelská nastavení Stránka pro správu uživatelských funkcí Nedostupné pro určité role

Známé problémy:

  • Partneři, kterým byly prostřednictvím GDAP uděleny role Microsoft Entra Security Reader nebo Global Reader, čelí chybě "Bez přístupu" při pokusu o přístup k rolím Entra a správcům na tenantovi zákazníka s povoleným PIM. Pracuje s rolí globálního správce.
  • Microsoft Entra Connect Health nepodporuje GDAP.

Centrum pro správu Exchange

GDAP podporuje v Centru pro správu Exchange následující úlohy.

Typ prostředku Podtyp prostředku Aktuálně podporovaná Problém
Správa příjemců Poštovní schránky Vytvoření sdílené poštovní schránky, aktualizace poštovní schránky, převod na sdílenou/uživatelskou poštovní schránku, odstranění sdílené poštovní schránky, správa nastavení toku pošty, správa zásad poštovní schránky, správa delegování poštovní schránky, správa e-mailových adres, správa automatických odpovědí, správa dalších akcí, úprava kontaktních informací, správa skupin Otevření poštovní schránky jiného uživatele
Zdroje informací Vytvoření nebo přidání zdroje [vybavení/místnost], odstranění zdroje, správa skrytí v nastavení globálního adresáře, správa nastavení delegátů rezervací, nastavení Spravovat delegáty zdrojů
Kontakty Vytvoření nebo přidání kontaktu [e-mailový uživatel/poštovní kontakt], odstranění kontaktu, úprava nastavení organizace
Tok pošty Trasování zpráv Spuštění trasování zpráv, kontrola výchozího/vlastního/automatického ukládání/dotazů ke stažení, pravidel Upozornění, zásady upozornění
Vzdálené domény Přidání vzdálené domény, odstranění vzdálené domény, úprava vytváření sestav zpráv, typy odpovědí
Akceptované domény Správa akceptovaných domén
Konektory Přidání konektoru, správa omezení, odeslaná e-mailová identita, odstranění konektoru
Role Role správce Přidání skupiny rolí, odstranění skupin rolí, které nejsou předdefinované skupiny rolí, úprava skupin rolí, které nejsou předdefinované skupiny rolí, kopírování skupiny rolí
Migrace Migrace Přidání dávky migrace, vyzkoušení migrace Google Workspace, schválení dávky migrace, zobrazení podrobností dávky migrace, odstranění dávky migrace
odkaz Centrum pro správu Microsoftu 365 Odkaz na přechod na centrum Správa Microsoftu 365
Různé Poskytnutí widgetu pro zpětnou vazbu, podpora – Centrální widget
Řídicí panel Sestavy

Mezi podporované role RBAC patří:

  • Správce Exchange
  • Globální správce
  • Správce helpdesku
  • Globální čtenář
  • Správce zabezpečení
  • Správce příjemce Exchange

Centrum pro správu Microsoft 365

Důležité

Na některé klíčové funkce Centrum pro správu Microsoftu 365 můžou mít vliv incidenty služeb a probíhající vývojová práce. Aktivní Centrum pro správu Microsoftu 365 problémy můžete zobrazit na portálu pro správu Microsoftu.

S radostí oznamujeme vydání podpory Centrum pro správu Microsoftu 365 GDAP. V této verzi Preview se můžete přihlásit do centra pro správu se všemi rolemi Microsoft Entra podporovanými podnikovými zákazníky s výjimkou Directory Readers.

Tato verze má omezené možnosti a pomáhá používat následující oblasti Centra pro správu Microsoftu 365:

  • Uživatelé (včetně přiřazování licencí)
  • Fakturační>licence
  • Health>Service Health
  • Podpora – Centrální>vytvoření lístku podpory

Poznámka:

Od 23. září 2024 už nemáte přístup ke >>stránkám v Centrum pro správu Microsoftu 365

Známé problémy:

  • Nelze exportovat sestavy o využívání produktů na webu.
  • Nelze získat přístup k integrovaným aplikacím v levém navigačním panelu.

Microsoft Purview

GDAP pro Microsoft Purview podporuje následující úlohy.

Řešení Aktuálně podporovaná Problém
Audit Řešení auditování Microsoftu 365
– Nastavení základního nebo pokročilého auditu
– Prohledávání protokolu auditování
– Použití PowerShellu k prohledávání protokolu auditu
– Export/ konfigurace/ zobrazení protokolu auditu
- Zapnutí a vypnutí auditování
– Správa zásad uchovávání protokolů auditu
– Zkoumání běžných problémů nebo ohrožených účtů
– Export/ konfigurace/ zobrazení protokolu auditu
Správce dodržování předpisů Správce dodržování předpisů
– Sestavování a správa posouzení
– Vytvoření, rozšíření nebo úprava šablon posouzení
- Přiřazení a dokončení akcí zlepšování
– Nastavení uživatelských oprávnění
MIP Microsoft Purview Information Protection
Informace o klasifikaci dat
Informace o ochraně před únikem informací
Klasifikace dat:
- Vytváření a správa typů citlivých informací
– Vytvoření a správa přesné shody dat
– Monitorování toho, co se dělá s označeným obsahem, pomocí Průzkumníka aktivit
Information Protection:
- Vytváření a publikování popisků citlivosti a zásad popisků
– Definování popisků, které se mají použít u souborů a e-mailů
- Definování popisků, které se mají použít na weby a skupiny
– Definujte popisky, které se použijí na schematizované datové prostředky.
– Automaticky přiřadit štítek k obsahu pomocí automatického označování na straně klienta a serveru a strukturovaných datových prostředků
– Omezení přístupu k obsahu označenému popiskem pomocí šifrování
– Konfigurace ochrany osobních údajů a externího přístupu uživatelů a externího sdílení a podmíněného přístupu pro popisky použité u webů a skupin
– Nastavte zásady popisků tak, aby zahrnovaly výchozí, povinné a ovládací prvky pro snížení úrovně a použily na soubory, e-maily, skupiny, weby a obsah Power BI.
DLP:
– Vytvoření, testování a ladění zásad ochrany před únikem informací
– Provádění výstrah a správy incidentů
– Zobrazení událostí shody pravidel ochrany před únikem informací v Průzkumníku aktivit
– Konfigurace nastavení ochrany před únikem informací o koncovém bodu
– Zobrazení obsahu označeného popiskem v Průzkumníku obsahu
– Vytváření a správa trénovatelných klasifikátorů
- Podpora popisků skupin a webů
Microsoft Purview – správa životního cyklu dat Další informace o Správa životního cyklu dat Microsoft Purview v Microsoftu 365
– Vytváření a správa zásad statického a adaptivního uchovávání informací
– Vytvoření popisků uchovávání informací
– Vytvoření zásad popisku uchovávání informací
– Vytváření a správa adaptivních oborů
-Archivace
– Import souborů PST
Microsoft Purview – správa záznamů Správa záznamů Microsoft Purview
– Označení obsahu jako záznamu
– Označení obsahu jako regulačního záznamu
– Vytváření a správa zásad statického a adaptivního uchovávání informací
– Vytváření a správa adaptivních oborů
– Migrace popisků uchovávání informací a správa požadavků na uchovávání pomocí plánu souborů
– Konfigurace nastavení uchovávání a odstranění pomocí popisků uchovávání informací
– Zachování obsahu, když dojde k události s uchováváním na základě událostí
- Správa dispozice

Informace o podporovaných rolích Microsoft Entra na portálu microsoftu 365 pro dodržování předpisů najdete v tématu Oprávnění v Microsoft Purview.


Microsoft 365 Lighthouse

Microsoft 365 Lighthouse je portál pro správu, který pomáhá poskytovatelům spravovaných služeb zabezpečit a spravovat zařízení, data a uživatele ve velkém měřítku pro malé a střední firmy.

Role GDAP udělují stejnému zákaznickému přístupu v Lighthouse, jako když se tyto role GDAP používají pro přístup k portálům pro správu zákazníků jednotlivě. Lighthouse poskytuje víceklientní zobrazení napříč uživateli, zařízeními a daty na základě úrovně delegovaných oprávnění uživatelů. Přehled všech funkcí správy multiklientů Lighthouse najdete v dokumentaci ke službě Lighthouse.

Poskytovatelé cloudových služeb teď můžou pomocí Lighthouse nastavit GDAP pro libovolného tenanta zákazníka. Lighthouse poskytuje doporučení rolí na základě různých funkcí úloh MSP pro MSP a šablony Lighthouse GDAP umožňují partnerům snadno ukládat a znovu používat nastavení, která umožňují přístup nejméně privilegovaných zákazníků. Další informace a zobrazení ukázky najdete v průvodci nastavením aplikace Lighthouse GDAP.

GDAP pro Microsoft 365 Lighthouse podporuje následující úlohy. Další informace o oprávněních potřebných pro přístup ke službě Microsoft 365 Lighthouse najdete v tématu Přehled oprávnění v Microsoftu 365 Lighthouse.

Prostředek Aktuálně podporovaná
Domů Včetně
Tenanti Včetně
Uživatelé Včetně
Zařízení Včetně
Řízení rizik Včetně
Směrných plánů Včetně
Windows 365 Včetně
Stav služeb Včetně
Protokoly auditu Včetně
Onboarding Zákazníci musí mít buď vztah GDAP, nepřímý prodejce, nebo relaci DAP, která se má připojit.

Mezi podporované role řízení přístupu na základě role v Azure (Azure RBAC) patří:

  • Správce ověřování
  • Správce dodržování předpisů
  • Správce podmíněného přístupu
  • Správce cloudových zařízení
  • Globální správce
  • Globální čtenář
  • Správce helpdesku
  • Správce Intune
  • Správce hesel
  • Správce privilegovaného ověřování
  • Správce zabezpečení
  • Operátor zabezpečení
  • Čtenář zabezpečení
  • Správce podpory služeb
  • Správce uživatelů

Windows 365

GDAP pro Windows 365 podporuje následující úlohy.

Prostředek Aktuálně podporovaná
Cloud PC List Cloud PC, Get Cloud PC, Reprovision Cloud PC, End grace period, Reprovision Cloud PC remote action, Bulk reprovision Cloud PC remote action, Resize Cloud PC remote action, Get Cloud PC remote action
Image cloudového zařízení PC Výpis imagí zařízení, získání image zařízení, vytvoření image zařízení, odstranění image zařízení, získání zdrojové image, opětovné načtení image zařízení
Místní síťové připojení ke cloudovým počítačům Výpis místního připojení, získání místního připojení, vytvoření místního připojení, aktualizace místního připojení, odstranění místního připojení, spuštění kontrol stavu, aktualizace hesla k doméně AD
Zásady zřizování cloudových počítačů Seznam zásad zřizování, Získání zásad zřizování, Vytvoření zásad zřizování, Zásady zřizování aktualizací, Odstranění zásad zřizování, Přiřazení zásad zřizování
Událost auditu cloudových počítačů Výpis událostí auditu, získání událostí auditu, získání typů aktivit auditu
Nastavení uživatele cloudových počítačů Zobrazit uživatelská nastavení, Získat uživatelské nastavení, Vytvořit uživatelské nastavení, Aktualizovat uživatelské nastavení, Odstranit uživatelské nastavení, Přiřadit
Podporovaná oblast cloudových počítačů Seznam podporovaných oblastí
Plány služeb Cloud PC Výpis plánů služeb

Mezi podporované role Azure RBAC patří:

  • Globální správce
  • Správce Intune
  • Správce zabezpečení
  • Operátor zabezpečení
  • Čtenář zabezpečení
  • Globální čtenář
  • (Při ověřování) Správce Windows 365

Nepodporované prostředky pro verzi Preview:


Centrum pro správu Teams

V Centru správy Teams GDAP podporuje následující úkoly.

Prostředek Aktuálně podporovaná
Uživatelé Přiřazení zásad, nastavení hlasu, odchozí hovory, nastavení vyzvednutí skupinového hovoru, nastavení delegování hovorů, telefonní čísla, nastavení konference
Teams Zásady Teams, zásady aktualizace
Zařízení IP telefony, Teams Rooms, Pruhy pro spolupráci, Teams displeje, panel Teams
Umístění Popisky sestav, adresy tísňového volání, topologie sítě, sítě a umístění
Schůzky Konferenční mosty, zásady schůzek, nastavení schůzek, zásady živých událostí, nastavení živých událostí
Zásady zasílání zpráv Zásady zasílání zpráv
Hlasový hovor Zásady tísňového volání, Plány vytáčení, Plány hlasového směrování, Fronty hovorů, Automatické telefonické služby, Zásady park volání, Zásady volání, Zásady ID volajícího, Telefonní čísla, Přímé směrování
Analýzy a sestavy Sestavy využití
Nastavení pro celou organizaci Externí přístup, Přístup hostů, Nastavení Teams, Upgrade Teams, Svátky, Účty prostředků
Plánování Plánovač sítě
Modul PowerShellu pro Teams Všechny rutiny PowerShellu z modulu PowerShellu v Teams (dostupné v modulu Teams PowerShell – verze 3.2.0 Preview)

Mezi podporované role RBAC patří:

  • Správce Teams
  • Globální správce
  • Správce komunikace Teams
  • Technik podpory komunikace v Teams
  • Specialista na podporu komunikace v Teams
  • Správce zařízení Teams
  • Globální čtenář

Nepodporované prostředky pro přístup GDAP zahrnují následující:

  • Správa Teams
  • Týmové šablony
  • Aplikace Teams
  • Balíčky zásad
  • Teams Advisor
  • Řídicí panel kvality hovorů

Microsoft Defender XDR

XDR v programu Microsoft Defender je sjednocená sada před porušením zabezpečení podniku. Nativně koordinuje detekci, prevenci, vyšetřování a reakci napříč koncovými body, identity, e-maily a aplikace, aby poskytovala integrovanou ochranu před sofistikovanými útoky.

Portál Microsoft Defenderu je také domovem dalších produktů v zásobníku zabezpečení Microsoftu 365, jako je Microsoft Defender for Endpoint a Microsoft Defender pro Office 365.

Dokumentace ke všem funkcím a produktům zabezpečení je k dispozici na portálu Microsoft Defenderu:

Microsoft Defender for Endpoint:

Microsoft Defender pro Office 365:

Zásady správného řízení aplikací:

Následující možnosti jsou k dispozici pro tenanty, kteří přistupují k portálu Microsoft Defenderu pomocí tokenu GDAP.

Typ prostředku Aktuálně podporovaná
Funkce XDR v programu Microsoft Defender Všechny funkce XDR v programu Microsoft Defender (jak je uvedeno v předchozí propojené dokumentaci): Incidenty, Rozšířené proaktivní vyhledávání, Centrum akcí, Analýza hrozeb, Připojení následujících úloh zabezpečení do XDR v programu Microsoft Defender: Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps
Funkce Microsoft Defenderu pro koncové body Všechny funkce Microsoft Defender for Endpoint uvedené v dříve propojené dokumentaci jsou podrobně popsány pro varianty P1 / SMB v tabulce .
Microsoft Defender for Office 365 Všechny funkce Microsoft Defenderu pro Office 365 uvedené v dříve propojené dokumentaci. Podrobnosti o jednotlivých licencích najdete v této tabulce: Zabezpečení Office 365 včetně Microsoft Defender pro Office 365 a Exchange Online Protection
Řízení aplikací Ověřování funguje pro token GDAP (App+User token), zásady autorizace fungují podle rolí uživatelů jako předtím.

Podporované role Microsoft Entra na portálu Microsoft Defender:

Dokumentace k podporovaným rolím na portálu Microsoft Defender

Poznámka:

Ne všechny role platí pro všechny produkty zabezpečení. Informace o tom, které role jsou podporovány v konkrétním produktu, najdete v dokumentaci k produktu.


Podporované funkce MDE na portálu Microsoft Defender na SKU

Možnosti koncového bodu na skladovou položku Microsoft Defender for Business Microsoft Defender for Endpoint Plan 1 Microsoft Defender for Endpoint Plan 2
Centralizovaná správa X X X
Zjednodušená konfigurace klienta X
Správa hrozeb a ohrožení zabezpečení X X
Snížení prostoru pro útoky X X X
Ochrana další generace X X X
Detekce a odezva koncového bodu X X
Automatizované šetření a reakce X X
Proaktivní vyhledávání hrozeb a uchovávání dat za šest měsíců X
Analýza hrozeb X X
Podpora pro různé platformy pro Windows, MacOS, iOS a Android X X X
Odborníci na hrozby Microsoftu X
Partnerské rozhraní API X X X
Microsoft 365 Lighthouse pro zobrazení incidentů zabezpečení napříč zákazníky X

Power BI

V případě úlohy Power BI podporuje GDAP následující úlohy.

Typ prostředku Aktuálně podporovaná
Úlohy správce – Všechny položky nabídky v části Portál pro správu s výjimkou připojení Azure

Podporované role Microsoft Entra v oboru:

  • Správce prostředků infrastruktury
  • Globální správce

Vlastnosti Power BI mimo rozsah:

  • Ne všechny úkoly bez administrátorských práv je zaručeno, že budou fungovat.
  • Připojení Azure na portálu pro správu

SharePoint

U SharePointu podporuje GDAP následující úlohy.

Typ prostředku Aktuálně podporovaná
Domovská stránka Karty se vykreslují, ale data se nemusí vykreslit
Správa webů – aktivní weby Vytvořit weby: Týmový web, Komunikační web, Přiřadit/změnit vlastníka webu, Přiřadit popisek citlivosti k webu (pokud je nakonfigurován v Microsoft Entra ID) během vytváření webu, Změnit popisek citlivosti webu, Přiřadit nastavení ochrany osobních údajů k webu (pokud není předdefinováno popiskem citlivosti), Přidat/Odebrat členy webu, Upravit nastavení externího sdílení webu, Upravit název webu, Upravit adresu URL webu, Zobrazení aktivity webu, úprava limitu úložiště, odstranění webu, změna předdefinovaných zobrazení webů, export seznamu webů do souboru CSV, uložení vlastních zobrazení webů, přidružení webu k centru, registrace webu jako centra
Správa webů – aktivní weby Vytváření dalších webů: Centrum dokumentů, podnikové wiki, portál publikování, Centrum obsahu
Správa webů – Odstraněné weby Obnovit web, trvale odstranit web (s výjimkou týmových webů připojených ke skupině Microsoftu 365)
Zásady – sdílení Nastavení zásad externího sdílení pro SharePoint a OneDrive pro firmy, změna nastavení dalšího externího sdílení, nastavení zásad pro odkazy na soubory a složky, změna dalších nastavení pro sdílení
Řízení přístupu Nastavení/změna nespravovaných zásad zařízení, nastavení/změna zásad časové osy nečinných relací, nastavení/změna zásad síťového umístění (odděleně od zásad IP adres Microsoft Entra, nastavení/změna moderních zásad ověřování, nastavení/změna přístupu k OneDrivu
Nastavení SharePoint – domovský web, SharePoint – Oznámení, SharePoint – Stránky, SharePoint – Vytvoření webu, SharePoint – Limity úložiště webu, OneDrive – Oznámení, OneDrive – Uchovávání, OneDrive – Limit úložiště, OneDrive – Synchronizace
PowerShell Pokud chcete tenanta zákazníka připojit jako správce GDAP, použijte koncový bod autorizace tenanta (s ID tenanta zákazníka) v parametru AuthenticanUrl místo výchozího společného koncového bodu.
Například Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize.

Mezi role v oboru patří:

  • Správce SharePointu
  • Globální správce
  • Globální čtenář

Vlastnosti Centra pro správu SharePointu mimo rozsah zahrnují následující:

  • Všechny klasické funkce, funkce nebo šablony jsou mimo rozsah a nejsou zaručené správné fungování.
  • Poznámka: U všech podporovaných rolí GDAP v Centru pro správu SharePointu nemůžou partneři upravovat soubory a oprávnění k souborům a složkám na sharepointovém webu zákazníka. Bylo to bezpečnostní riziko pro zákazníky a je nyní vyřešeno.

Aplikace Dynamics 365 a Power Platform

U aplikací Power Platform a Dynamics 365 Customer Engagement (Sales, Service) podporuje GDAP následující úlohy.

Typ prostředku Aktuálně podporovaná
Úlohy správce – Všechny položky nabídky v Centru pro správu Power Platform

Mezi podporované role Microsoft Entra v oboru patří:

  • Správce Power Platform
  • Globální správce
  • Správce helpdesku (pro nápovědu a podporu)
  • Správce podpory služeb (pro nápovědu a podporu)

Vlastnosti mimo rozsah:


Dynamics 365 Business Central

GDAP pro Dynamics 365 Business Central podporuje následující úlohy.

Typ prostředku Aktuálně podporovaná
Úlohy správce Všechny úkoly*

* Některé úlohy vyžadují oprávnění přiřazená uživateli správce v prostředí Dynamics 365 Business Central. Projděte si dostupnou dokumentaci.

Mezi podporované role Microsoft Entra v oboru patří:

  • Správce Dynamics 365
  • Globální správce
  • Správce helpdesku

Vlastnosti mimo rozsah:

  • Nic

Dynamics Lifecycle Services

GDAP podporuje pro služby Dynamics Lifecycle Services následující úlohy.

Typ prostředku Aktuálně podporovaná
Úlohy správce Všechny úkoly

Mezi podporované role Microsoft Entra v oboru patří:

  • Správce Dynamics 365
  • Globální správce

Vlastnosti mimo rozsah:

  • Nic

Intune (Endpoint Manager)

Podporované role Microsoft Entra v oboru:

  • Správce Intune
  • Globální správce
  • Globální čtenář
  • Čtenář sestav
  • Čtenář zabezpečení
  • Správce dodržování předpisů
  • Správce zabezpečení

Pokud chcete zkontrolovat úroveň přístupu pro výše uvedené role, přečtěte si dokumentaci k Intune RBAC.

Podpora Intune nezahrnuje použití GDAP při registraci serverů pro Microsoft Tunnel ani při konfiguraci nebo instalaci jakéhokoli konektoru pro Intune. Mezi příklady konektorů Intune patří Konektor Intune pro Active Directory, konektor ochrany před mobilními hrozbami a konektor Microsoft Defender for Endpoint.

Známý problém: Partneři, kteří přistupují k zásadám v aplikacích Office, vidí zprávu "Couldn't retrieve data for 'OfficeSettingsContainer.'" K nahlášení tohoto problému Microsoftu použijte identifikátor GUID."


portál Azure

Diagram znázorňující vztah mezi partnerem a zákazníkem pomocí GDAP

Role Microsoft Entra v oboru:

  • Jakákoli role Microsoft Entra, například Čtenáři adresářů (nejméně privilegovaná role) pro přístup k předplatnému Azure jako vlastník

Pokyny k rolím GDAP:

  • Partner a zákazník musí mít vztah prodejce .
  • Partner musí vytvořit skupinu zabezpečení (např. Správce Azure) pro správu Azure a vnořit ji do agentů pro přístup jednotlivých zákazníků podle doporučených osvědčených postupů.
  • Když partner zakoupí plán Azure pro zákazníka, zřídí se předplatné Azure a skupina Agenti pro správu se přiřadí Azure RBAC jako vlastník předplatného Azure.
  • Vzhledem k tomu, že je skupina zabezpečení Azure Managers členem skupiny Agenti pro správu, stanou se uživatelé, kteří jsou členy Azure Managers, vlastníkem RBAC předplatného Azure.
  • Pokud chcete získat přístup k předplatnému Azure jako vlastníka zákazníka, musí být všem rolím Microsoft Entra, jako je adresářová čtenáře (nejméně privilegovaná role), přiřazena ke skupině zabezpečení Azure Manager.

Alternativní doprovodné materiály k Azure GDAP (bez použití agenta pro správu)

Požadavky:

  • Partner a zákazník mají vztah prodejce .
  • Partner vytvoří skupinu zabezpečení pro správu Azure a vnoří ji do skupiny HelpDeskAgents podle oddělení přístupu pro jednotlivé zákazníky, což je doporučený osvědčený postup.
  • Partner si pro zákazníka koupí plán Azure. Předplatné Azure bylo zřízeno a partner přiřadil skupinu Admin Agents Azure RBAC jako vlastníka v předplatném Azure, ale pro Helpdesk Agentsnení přiřazena žádná role RBAC.

Kroky správce partnera:

Správce partnera v předplatném spustí následující skripty pomocí PowerShellu k vytvoření objektu FPO helpdesku v předplatném Azure.

  • Připojte se k partnerskému tenantovi a získejte object ID skupinu HelpDeskAgents.

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of HelpDeskAgents group
    Get-AzADGroup -DisplayName HelpDeskAgents
    
  • Ověřte, že zákazník má:

    • Roli vlastníka nebo správce přístupu uživatelů
    • Oprávnění k vytváření přiřazení rolí na úrovni předplatného

Kroky zákazníka:

K dokončení procesu musí zákazník provést následující kroky pomocí PowerShellu nebo Azure CLI.

  1. Pokud používáte PowerShell, zákazník musí modul aktualizovat Az.Resources .

    Update-Module Az.Resources
    
  2. Připojte se k tenantovi, ve kterém existuje předplatné CSP.

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. Připojte se k předplatnému.

    Poznámka:

    To platí jenom v případě, že uživatel má oprávnění k přiřazení rolí pro více předplatných v tenantovi.

    Set-AzContext -SubscriptionID <"CSP Subscription ID">
    
    az account set --subscription <CSP Subscription ID>
    
  4. Vytvořte přiřazení role.

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
    

Visual Studio

Diagram znázorňující vztah mezi skupinou správců sady Visual Studio a zákazníkem prostřednictvím GDAP

Role Microsoft Entra v oboru:

  • Jakákoli role Microsoft Entra, například Čtenáři adresářů (nejméně privilegovaná role) pro přístup k předplatnému Azure jako vlastník

Pokyny k rolím GDAP pro partnery:

  • Požadavky:
    • Partner a zákazník musí mít vztah prodejce .
    • Partner musí koupit předplatné Azure pro zákazníka.
  • Partner musí vytvořit skupinu zabezpečení (například správci sady Visual Studio) pro nákup a správu předplatných sady Visual Studio a vnořit ji v rámci agentů pro správu pro dělení podle zákazníka podle doporučených osvědčených postupů.
  • Role GDAP pro nákup a správu sady Visual Studio je stejná jako role GDAP Azure.
  • Skupině zabezpečení správců sady Visual Studio musí být přiřazena libovolná role Microsoft Entra, například Čtenáři adresářů (nejméně privilegovaná role) pro přístup k předplatnému Azure jako vlastník.
  • Uživatelé, kteří jsou součástí správců sady Visual Studio skupiny zabezpečení, můžou zakoupitpředplatné sady Visual Studio na Marketplacehttps://marketplace.visualstudio.com (kvůli vnořenému členu agentů pro správu mají přístup k předplatnému Azure).
  • Uživatelé, kteří jsou součástí skupiny zabezpečení správců sady Visual Studio, mohou měnit množství předplatných sady Visual Studio.

Snímek obrazovky zobrazující dostupná předplatná sady Visual Studio

  • Uživatelé, kteří jsou součástí skupiny zabezpečení správců sady Visual Studio, můžou zrušit předplatné sady Visual Studio (změnou množství na nulu).
  • Uživatelé, kteří jsou součástí skupiny zabezpečení správců sady Visual Studio, můžou přidat odběratele pro správu předplatných sady Visual Studio (například procházet zákaznický adresář a přidat přiřazení role sady Visual Studio jako odběratel).

Vlastnosti sady Visual Studio mimo rozsah:

  • Nic

Odkazy DAP AOBO Důvod, proč na stránce správa služeb GDAP chybí
Microsoft 365 Planner
https://portal.office.com/
Duplikát odkazu Microsoft 365 AOBO, který už existuje.
Kymácet
https://portal.office.com/
Duplikát odkazu Microsoft 365 AOBO, který už existuje.
Windows 10
https://portal.office.com/
Duplikát odkazu Microsoft 365 AOBO, který už existuje.
Cloud App Security
https://portal.cloudappsecurity.com/
Microsoft Defender for Cloud Apps je ukončen. Tento portál se sloučí do Microsoft Defender XDR, který podporuje GDAP.
Azure IoT Central
https://apps.azureiotcentral.com/
V současné době se nepodporuje. Mimo rozsah GDAP.
Rozšířená ochrana před internetovými
útoky v programu Windows Defender https://securitycenter.windows.com
Rozšířená ochrana před internetovými útoky v programu Windows Defender je vyřazena. Partnerům doporučujeme přejít na XDR v programu Microsoft Defender, který podporuje GDAP.