Úlohy podporované podrobnými delegovanými oprávněními správce (GDAP)
Příslušné role: Všichni uživatelé, kteří se zajímají o Partnerské centrum
Tento článek obsahuje seznam úkolů pro úlohy podporované podrobnými delegovanými oprávněními správce (GDAP).
Microsoft Security Copilot
Security Copilot podporuje přístup GDAP k samostatné platformě a určitým vloženým prostředím.
Podporované role Microsoft Entra
Security Copilot má vlastní role, které nejsou součástí Entra a které potřebujete nakonfigurovat. Doporučené role pro vyžádání přístupu GDAP jsou operátor zabezpečení nebo čtenář zabezpečení, i když se podporují i jiné role. Zákazník musí provést další krok pro přiřazení požadované role GDAP k příslušné roli Security Copilot. Další informace naleznete v tématu Přiřazení rolí pro Security Copilot.
GDAP v objektu Security Copilot poskytuje přístup k samostatnému portálu. Každý modul plug-in vyžaduje dodatečné požadavky na autorizaci, které nemusí podporovat GDAP. Další informace najdete v tématu moduly plug-in Security Copilot, které podporují GDAP.
Integrované funkce přidávají schopnosti Security Copilotu do jiných pracovních zátěží. Pokud tyto úlohy podporují GDAP, jako Microsoft Defender XDR, pak vložené funkce Security Copilot podporují GDAP. Purview má například zabudovanou funkcionalitu Security Copilot a je také uvedeno jako úloha, která podporuje GDAP. Funkce Security Copilot v Purview tedy podporuje GDAP.
Další informace najdete v tématu prostředí embedded security Copilot také.
Microsoft Entra ID
Všechny úlohy Microsoft Entra jsou podporovány s výjimkou následujících funkcí:
Plocha | Možnosti | Problém |
---|---|---|
Správa skupin | Vytvoření skupiny Microsoft 365, správa pravidel dynamického členství | Nepodporováno |
Zařízení | Správa nastavení služby Enterprise State Roaming | |
Aplikace | Souhlas s vloženou podnikovou aplikací s přihlášením, správou podnikové aplikace Uživatelská nastavení | |
Externí identity | Správa funkcí externí identity | |
Sledování | Log Analytics, nastavení diagnostiky, sešity a karta Monitorování na stránce přehledu Microsoft Entra | |
Stránka přehledu | Můj informační kanál – role pro přihlášeného uživatele | Může zobrazit nesprávné informace o rolích; nemá vliv na skutečná oprávnění |
Uživatelská nastavení | Stránka pro správu uživatelských funkcí | Nedostupné pro určité role |
Známé problémy:
- Partneři, kterým byly prostřednictvím GDAP uděleny role Microsoft Entra Security Reader nebo Global Reader, čelí chybě "Bez přístupu" při pokusu o přístup k rolím Entra a správcům na tenantovi zákazníka s povoleným PIM. Pracuje s rolí globálního správce.
- Microsoft Entra Connect Health nepodporuje GDAP.
Centrum pro správu Exchange
GDAP podporuje v Centru pro správu Exchange následující úlohy.
Typ prostředku | Podtyp prostředku | Aktuálně podporovaná | Problém |
---|---|---|---|
Správa příjemců | Poštovní schránky | Vytvoření sdílené poštovní schránky, aktualizace poštovní schránky, převod na sdílenou/uživatelskou poštovní schránku, odstranění sdílené poštovní schránky, správa nastavení toku pošty, správa zásad poštovní schránky, správa delegování poštovní schránky, správa e-mailových adres, správa automatických odpovědí, správa dalších akcí, úprava kontaktních informací, správa skupin | Otevření poštovní schránky jiného uživatele |
Zdroje informací | Vytvoření nebo přidání zdroje [vybavení/místnost], odstranění zdroje, správa skrytí v nastavení globálního adresáře, správa nastavení delegátů rezervací, nastavení Spravovat delegáty zdrojů | ||
Kontakty | Vytvoření nebo přidání kontaktu [e-mailový uživatel/poštovní kontakt], odstranění kontaktu, úprava nastavení organizace | ||
Tok pošty | Trasování zpráv | Spuštění trasování zpráv, kontrola výchozího/vlastního/automatického ukládání/dotazů ke stažení, pravidel | Upozornění, zásady upozornění |
Vzdálené domény | Přidání vzdálené domény, odstranění vzdálené domény, úprava vytváření sestav zpráv, typy odpovědí | ||
Akceptované domény | Správa akceptovaných domén | ||
Konektory | Přidání konektoru, správa omezení, odeslaná e-mailová identita, odstranění konektoru | ||
Role | Role správce | Přidání skupiny rolí, odstranění skupin rolí, které nejsou předdefinované skupiny rolí, úprava skupin rolí, které nejsou předdefinované skupiny rolí, kopírování skupiny rolí | |
Migrace | Migrace | Přidání dávky migrace, vyzkoušení migrace Google Workspace, schválení dávky migrace, zobrazení podrobností dávky migrace, odstranění dávky migrace | |
odkaz Centrum pro správu Microsoftu 365 | Odkaz na přechod na centrum Správa Microsoftu 365 | ||
Různé | Poskytnutí widgetu pro zpětnou vazbu, podpora – Centrální widget | ||
Řídicí panel | Sestavy |
Mezi podporované role RBAC patří:
- Správce Exchange
- Globální správce
- Správce helpdesku
- Globální čtenář
- Správce zabezpečení
- Správce příjemce Exchange
Centrum pro správu Microsoft 365
Důležité
Na některé klíčové funkce Centrum pro správu Microsoftu 365 můžou mít vliv incidenty služeb a probíhající vývojová práce. Aktivní Centrum pro správu Microsoftu 365 problémy můžete zobrazit na portálu pro správu Microsoftu.
S radostí oznamujeme vydání podpory Centrum pro správu Microsoftu 365 GDAP. V této verzi Preview se můžete přihlásit do centra pro správu se všemi rolemi Microsoft Entra podporovanými podnikovými zákazníky s výjimkou Directory Readers.
Tato verze má omezené možnosti a pomáhá používat následující oblasti Centra pro správu Microsoftu 365:
- Uživatelé (včetně přiřazování licencí)
- Fakturační>licence
- Health>Service Health
- Podpora – Centrální>vytvoření lístku podpory
Poznámka:
Od 23. září 2024 už nemáte přístup ke >>stránkám v Centrum pro správu Microsoftu 365
Známé problémy:
- Nelze exportovat sestavy o využívání produktů na webu.
- Nelze získat přístup k integrovaným aplikacím v levém navigačním panelu.
Microsoft Purview
GDAP pro Microsoft Purview podporuje následující úlohy.
Řešení | Aktuálně podporovaná | Problém |
---|---|---|
Audit |
Řešení auditování Microsoftu 365 – Nastavení základního nebo pokročilého auditu – Prohledávání protokolu auditování – Použití PowerShellu k prohledávání protokolu auditu – Export/ konfigurace/ zobrazení protokolu auditu - Zapnutí a vypnutí auditování – Správa zásad uchovávání protokolů auditu – Zkoumání běžných problémů nebo ohrožených účtů – Export/ konfigurace/ zobrazení protokolu auditu |
|
Správce dodržování předpisů |
Správce dodržování předpisů – Sestavování a správa posouzení – Vytvoření, rozšíření nebo úprava šablon posouzení - Přiřazení a dokončení akcí zlepšování – Nastavení uživatelských oprávnění |
|
MIP |
Microsoft Purview Information Protection Informace o klasifikaci dat Informace o ochraně před únikem informací Klasifikace dat: - Vytváření a správa typů citlivých informací – Vytvoření a správa přesné shody dat – Monitorování toho, co se dělá s označeným obsahem, pomocí Průzkumníka aktivit Information Protection: - Vytváření a publikování popisků citlivosti a zásad popisků – Definování popisků, které se mají použít u souborů a e-mailů - Definování popisků, které se mají použít na weby a skupiny – Definujte popisky, které se použijí na schematizované datové prostředky. – Automaticky přiřadit štítek k obsahu pomocí automatického označování na straně klienta a serveru a strukturovaných datových prostředků – Omezení přístupu k obsahu označenému popiskem pomocí šifrování – Konfigurace ochrany osobních údajů a externího přístupu uživatelů a externího sdílení a podmíněného přístupu pro popisky použité u webů a skupin – Nastavte zásady popisků tak, aby zahrnovaly výchozí, povinné a ovládací prvky pro snížení úrovně a použily na soubory, e-maily, skupiny, weby a obsah Power BI. DLP: – Vytvoření, testování a ladění zásad ochrany před únikem informací – Provádění výstrah a správy incidentů – Zobrazení událostí shody pravidel ochrany před únikem informací v Průzkumníku aktivit – Konfigurace nastavení ochrany před únikem informací o koncovém bodu |
– Zobrazení obsahu označeného popiskem v Průzkumníku obsahu – Vytváření a správa trénovatelných klasifikátorů - Podpora popisků skupin a webů |
Microsoft Purview – správa životního cyklu dat |
Další informace o Správa životního cyklu dat Microsoft Purview v Microsoftu 365 – Vytváření a správa zásad statického a adaptivního uchovávání informací – Vytvoření popisků uchovávání informací – Vytvoření zásad popisku uchovávání informací – Vytváření a správa adaptivních oborů |
-Archivace – Import souborů PST |
Microsoft Purview – správa záznamů |
Správa záznamů Microsoft Purview – Označení obsahu jako záznamu – Označení obsahu jako regulačního záznamu – Vytváření a správa zásad statického a adaptivního uchovávání informací – Vytváření a správa adaptivních oborů – Migrace popisků uchovávání informací a správa požadavků na uchovávání pomocí plánu souborů – Konfigurace nastavení uchovávání a odstranění pomocí popisků uchovávání informací – Zachování obsahu, když dojde k události s uchováváním na základě událostí |
- Správa dispozice |
Informace o podporovaných rolích Microsoft Entra na portálu microsoftu 365 pro dodržování předpisů najdete v tématu Oprávnění v Microsoft Purview.
Microsoft 365 Lighthouse
Microsoft 365 Lighthouse je portál pro správu, který pomáhá poskytovatelům spravovaných služeb zabezpečit a spravovat zařízení, data a uživatele ve velkém měřítku pro malé a střední firmy.
Role GDAP udělují stejnému zákaznickému přístupu v Lighthouse, jako když se tyto role GDAP používají pro přístup k portálům pro správu zákazníků jednotlivě. Lighthouse poskytuje víceklientní zobrazení napříč uživateli, zařízeními a daty na základě úrovně delegovaných oprávnění uživatelů. Přehled všech funkcí správy multiklientů Lighthouse najdete v dokumentaci ke službě Lighthouse.
Poskytovatelé cloudových služeb teď můžou pomocí Lighthouse nastavit GDAP pro libovolného tenanta zákazníka. Lighthouse poskytuje doporučení rolí na základě různých funkcí úloh MSP pro MSP a šablony Lighthouse GDAP umožňují partnerům snadno ukládat a znovu používat nastavení, která umožňují přístup nejméně privilegovaných zákazníků. Další informace a zobrazení ukázky najdete v průvodci nastavením aplikace Lighthouse GDAP.
GDAP pro Microsoft 365 Lighthouse podporuje následující úlohy. Další informace o oprávněních potřebných pro přístup ke službě Microsoft 365 Lighthouse najdete v tématu Přehled oprávnění v Microsoftu 365 Lighthouse.
Prostředek | Aktuálně podporovaná |
---|---|
Domů | Včetně |
Tenanti | Včetně |
Uživatelé | Včetně |
Zařízení | Včetně |
Řízení rizik | Včetně |
Směrných plánů | Včetně |
Windows 365 | Včetně |
Stav služeb | Včetně |
Protokoly auditu | Včetně |
Onboarding | Zákazníci musí mít buď vztah GDAP, nepřímý prodejce, nebo relaci DAP, která se má připojit. |
Mezi podporované role řízení přístupu na základě role v Azure (Azure RBAC) patří:
- Správce ověřování
- Správce dodržování předpisů
- Správce podmíněného přístupu
- Správce cloudových zařízení
- Globální správce
- Globální čtenář
- Správce helpdesku
- Správce Intune
- Správce hesel
- Správce privilegovaného ověřování
- Správce zabezpečení
- Operátor zabezpečení
- Čtenář zabezpečení
- Správce podpory služeb
- Správce uživatelů
Windows 365
GDAP pro Windows 365 podporuje následující úlohy.
Prostředek | Aktuálně podporovaná |
---|---|
Cloud PC | List Cloud PC, Get Cloud PC, Reprovision Cloud PC, End grace period, Reprovision Cloud PC remote action, Bulk reprovision Cloud PC remote action, Resize Cloud PC remote action, Get Cloud PC remote action |
Image cloudového zařízení PC | Výpis imagí zařízení, získání image zařízení, vytvoření image zařízení, odstranění image zařízení, získání zdrojové image, opětovné načtení image zařízení |
Místní síťové připojení ke cloudovým počítačům | Výpis místního připojení, získání místního připojení, vytvoření místního připojení, aktualizace místního připojení, odstranění místního připojení, spuštění kontrol stavu, aktualizace hesla k doméně AD |
Zásady zřizování cloudových počítačů | Seznam zásad zřizování, Získání zásad zřizování, Vytvoření zásad zřizování, Zásady zřizování aktualizací, Odstranění zásad zřizování, Přiřazení zásad zřizování |
Událost auditu cloudových počítačů | Výpis událostí auditu, získání událostí auditu, získání typů aktivit auditu |
Nastavení uživatele cloudových počítačů | Zobrazit uživatelská nastavení, Získat uživatelské nastavení, Vytvořit uživatelské nastavení, Aktualizovat uživatelské nastavení, Odstranit uživatelské nastavení, Přiřadit |
Podporovaná oblast cloudových počítačů | Seznam podporovaných oblastí |
Plány služeb Cloud PC | Výpis plánů služeb |
Mezi podporované role Azure RBAC patří:
- Globální správce
- Správce Intune
- Správce zabezpečení
- Operátor zabezpečení
- Čtenář zabezpečení
- Globální čtenář
- (Při ověřování) Správce Windows 365
Nepodporované prostředky pro verzi Preview:
- –
Centrum pro správu Teams
V Centru správy Teams GDAP podporuje následující úkoly.
Prostředek | Aktuálně podporovaná |
---|---|
Uživatelé | Přiřazení zásad, nastavení hlasu, odchozí hovory, nastavení vyzvednutí skupinového hovoru, nastavení delegování hovorů, telefonní čísla, nastavení konference |
Teams | Zásady Teams, zásady aktualizace |
Zařízení | IP telefony, Teams Rooms, Pruhy pro spolupráci, Teams displeje, panel Teams |
Umístění | Popisky sestav, adresy tísňového volání, topologie sítě, sítě a umístění |
Schůzky | Konferenční mosty, zásady schůzek, nastavení schůzek, zásady živých událostí, nastavení živých událostí |
Zásady zasílání zpráv | Zásady zasílání zpráv |
Hlasový hovor | Zásady tísňového volání, Plány vytáčení, Plány hlasového směrování, Fronty hovorů, Automatické telefonické služby, Zásady park volání, Zásady volání, Zásady ID volajícího, Telefonní čísla, Přímé směrování |
Analýzy a sestavy | Sestavy využití |
Nastavení pro celou organizaci | Externí přístup, Přístup hostů, Nastavení Teams, Upgrade Teams, Svátky, Účty prostředků |
Plánování | Plánovač sítě |
Modul PowerShellu pro Teams | Všechny rutiny PowerShellu z modulu PowerShellu v Teams (dostupné v modulu Teams PowerShell – verze 3.2.0 Preview) |
Mezi podporované role RBAC patří:
- Správce Teams
- Globální správce
- Správce komunikace Teams
- Technik podpory komunikace v Teams
- Specialista na podporu komunikace v Teams
- Správce zařízení Teams
- Globální čtenář
Nepodporované prostředky pro přístup GDAP zahrnují následující:
- Správa Teams
- Týmové šablony
- Aplikace Teams
- Balíčky zásad
- Teams Advisor
- Řídicí panel kvality hovorů
Microsoft Defender XDR
XDR v programu Microsoft Defender je sjednocená sada před porušením zabezpečení podniku. Nativně koordinuje detekci, prevenci, vyšetřování a reakci napříč koncovými body, identity, e-maily a aplikace, aby poskytovala integrovanou ochranu před sofistikovanými útoky.
Portál Microsoft Defenderu je také domovem dalších produktů v zásobníku zabezpečení Microsoftu 365, jako je Microsoft Defender for Endpoint a Microsoft Defender pro Office 365.
Dokumentace ke všem funkcím a produktům zabezpečení je k dispozici na portálu Microsoft Defenderu:
Microsoft Defender for Endpoint:
- Microsoft Defender for Endpoint
- Možnosti Microsoft Defenderu for Endpoint P1
- Microsoft Defender pro firmy
Microsoft Defender pro Office 365:
- Exchange Online Protection (EOP)
- Microsoft Defender pro Office 365 - plán 1
- Microsoft Defender pro Office 365 Plán 2
Zásady správného řízení aplikací:
Následující možnosti jsou k dispozici pro tenanty, kteří přistupují k portálu Microsoft Defenderu pomocí tokenu GDAP.
Typ prostředku | Aktuálně podporovaná |
---|---|
Funkce XDR v programu Microsoft Defender | Všechny funkce XDR v programu Microsoft Defender (jak je uvedeno v předchozí propojené dokumentaci): Incidenty, Rozšířené proaktivní vyhledávání, Centrum akcí, Analýza hrozeb, Připojení následujících úloh zabezpečení do XDR v programu Microsoft Defender: Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps |
Funkce Microsoft Defenderu pro koncové body | Všechny funkce Microsoft Defender for Endpoint uvedené v dříve propojené dokumentaci jsou podrobně popsány pro varianty P1 / SMB v tabulce . |
Microsoft Defender for Office 365 | Všechny funkce Microsoft Defenderu pro Office 365 uvedené v dříve propojené dokumentaci. Podrobnosti o jednotlivých licencích najdete v této tabulce: Zabezpečení Office 365 včetně Microsoft Defender pro Office 365 a Exchange Online Protection |
Řízení aplikací | Ověřování funguje pro token GDAP (App+User token), zásady autorizace fungují podle rolí uživatelů jako předtím. |
Podporované role Microsoft Entra na portálu Microsoft Defender:
Dokumentace k podporovaným rolím na portálu Microsoft Defender
Poznámka:
Ne všechny role platí pro všechny produkty zabezpečení. Informace o tom, které role jsou podporovány v konkrétním produktu, najdete v dokumentaci k produktu.
Podporované funkce MDE na portálu Microsoft Defender na SKU
Možnosti koncového bodu na skladovou položku | Microsoft Defender for Business | Microsoft Defender for Endpoint Plan 1 | Microsoft Defender for Endpoint Plan 2 |
---|---|---|---|
Centralizovaná správa | X | X | X |
Zjednodušená konfigurace klienta | X | ||
Správa hrozeb a ohrožení zabezpečení | X | X | |
Snížení prostoru pro útoky | X | X | X |
Ochrana další generace | X | X | X |
Detekce a odezva koncového bodu | X | X | |
Automatizované šetření a reakce | X | X | |
Proaktivní vyhledávání hrozeb a uchovávání dat za šest měsíců | X | ||
Analýza hrozeb | X | X | |
Podpora pro různé platformy pro Windows, MacOS, iOS a Android | X | X | X |
Odborníci na hrozby Microsoftu | X | ||
Partnerské rozhraní API | X | X | X |
Microsoft 365 Lighthouse pro zobrazení incidentů zabezpečení napříč zákazníky | X |
Power BI
V případě úlohy Power BI podporuje GDAP následující úlohy.
Typ prostředku | Aktuálně podporovaná |
---|---|
Úlohy správce | – Všechny položky nabídky v části Portál pro správu s výjimkou připojení Azure |
Podporované role Microsoft Entra v oboru:
- Správce prostředků infrastruktury
- Globální správce
Vlastnosti Power BI mimo rozsah:
- Ne všechny úkoly bez administrátorských práv je zaručeno, že budou fungovat.
- Připojení Azure na portálu pro správu
SharePoint
U SharePointu podporuje GDAP následující úlohy.
Typ prostředku | Aktuálně podporovaná |
---|---|
Domovská stránka | Karty se vykreslují, ale data se nemusí vykreslit |
Správa webů – aktivní weby | Vytvořit weby: Týmový web, Komunikační web, Přiřadit/změnit vlastníka webu, Přiřadit popisek citlivosti k webu (pokud je nakonfigurován v Microsoft Entra ID) během vytváření webu, Změnit popisek citlivosti webu, Přiřadit nastavení ochrany osobních údajů k webu (pokud není předdefinováno popiskem citlivosti), Přidat/Odebrat členy webu, Upravit nastavení externího sdílení webu, Upravit název webu, Upravit adresu URL webu, Zobrazení aktivity webu, úprava limitu úložiště, odstranění webu, změna předdefinovaných zobrazení webů, export seznamu webů do souboru CSV, uložení vlastních zobrazení webů, přidružení webu k centru, registrace webu jako centra |
Správa webů – aktivní weby | Vytváření dalších webů: Centrum dokumentů, podnikové wiki, portál publikování, Centrum obsahu |
Správa webů – Odstraněné weby | Obnovit web, trvale odstranit web (s výjimkou týmových webů připojených ke skupině Microsoftu 365) |
Zásady – sdílení | Nastavení zásad externího sdílení pro SharePoint a OneDrive pro firmy, změna nastavení dalšího externího sdílení, nastavení zásad pro odkazy na soubory a složky, změna dalších nastavení pro sdílení |
Řízení přístupu | Nastavení/změna nespravovaných zásad zařízení, nastavení/změna zásad časové osy nečinných relací, nastavení/změna zásad síťového umístění (odděleně od zásad IP adres Microsoft Entra, nastavení/změna moderních zásad ověřování, nastavení/změna přístupu k OneDrivu |
Nastavení | SharePoint – domovský web, SharePoint – Oznámení, SharePoint – Stránky, SharePoint – Vytvoření webu, SharePoint – Limity úložiště webu, OneDrive – Oznámení, OneDrive – Uchovávání, OneDrive – Limit úložiště, OneDrive – Synchronizace |
PowerShell | Pokud chcete tenanta zákazníka připojit jako správce GDAP, použijte koncový bod autorizace tenanta (s ID tenanta zákazníka) v parametru AuthenticanUrl místo výchozího společného koncového bodu.Například Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize . |
Mezi role v oboru patří:
- Správce SharePointu
- Globální správce
- Globální čtenář
Vlastnosti Centra pro správu SharePointu mimo rozsah zahrnují následující:
- Všechny klasické funkce, funkce nebo šablony jsou mimo rozsah a nejsou zaručené správné fungování.
- Poznámka: U všech podporovaných rolí GDAP v Centru pro správu SharePointu nemůžou partneři upravovat soubory a oprávnění k souborům a složkám na sharepointovém webu zákazníka. Bylo to bezpečnostní riziko pro zákazníky a je nyní vyřešeno.
Aplikace Dynamics 365 a Power Platform
U aplikací Power Platform a Dynamics 365 Customer Engagement (Sales, Service) podporuje GDAP následující úlohy.
Typ prostředku | Aktuálně podporovaná |
---|---|
Úlohy správce | – Všechny položky nabídky v Centru pro správu Power Platform |
Mezi podporované role Microsoft Entra v oboru patří:
- Správce Power Platform
- Globální správce
- Správce helpdesku (pro nápovědu a podporu)
- Správce podpory služeb (pro nápovědu a podporu)
Vlastnosti mimo rozsah:
- https://make.powerapps.com nepodporuje GDAP.
Dynamics 365 Business Central
GDAP pro Dynamics 365 Business Central podporuje následující úlohy.
Typ prostředku | Aktuálně podporovaná |
---|---|
Úlohy správce | Všechny úkoly* |
*
Některé úlohy vyžadují oprávnění přiřazená uživateli správce v prostředí Dynamics 365 Business Central. Projděte si dostupnou dokumentaci.
Mezi podporované role Microsoft Entra v oboru patří:
- Správce Dynamics 365
- Globální správce
- Správce helpdesku
Vlastnosti mimo rozsah:
- Nic
Dynamics Lifecycle Services
GDAP podporuje pro služby Dynamics Lifecycle Services následující úlohy.
Typ prostředku | Aktuálně podporovaná |
---|---|
Úlohy správce | Všechny úkoly |
Mezi podporované role Microsoft Entra v oboru patří:
- Správce Dynamics 365
- Globální správce
Vlastnosti mimo rozsah:
- Nic
Intune (Endpoint Manager)
Podporované role Microsoft Entra v oboru:
- Správce Intune
- Globální správce
- Globální čtenář
- Čtenář sestav
- Čtenář zabezpečení
- Správce dodržování předpisů
- Správce zabezpečení
Pokud chcete zkontrolovat úroveň přístupu pro výše uvedené role, přečtěte si dokumentaci k Intune RBAC.
Podpora Intune nezahrnuje použití GDAP při registraci serverů pro Microsoft Tunnel ani při konfiguraci nebo instalaci jakéhokoli konektoru pro Intune. Mezi příklady konektorů Intune patří Konektor Intune pro Active Directory, konektor ochrany před mobilními hrozbami a konektor Microsoft Defender for Endpoint.
Známý problém: Partneři, kteří přistupují k zásadám v aplikacích Office, vidí zprávu "Couldn't retrieve data for 'OfficeSettingsContainer.'" K nahlášení tohoto problému Microsoftu použijte identifikátor GUID."
portál Azure
Role Microsoft Entra v oboru:
- Jakákoli role Microsoft Entra, například Čtenáři adresářů (nejméně privilegovaná role) pro přístup k předplatnému Azure jako vlastník
Pokyny k rolím GDAP:
- Partner a zákazník musí mít vztah prodejce .
- Partner musí vytvořit skupinu zabezpečení (např. Správce Azure) pro správu Azure a vnořit ji do agentů pro přístup jednotlivých zákazníků podle doporučených osvědčených postupů.
- Když partner zakoupí plán Azure pro zákazníka, zřídí se předplatné Azure a skupina Agenti pro správu se přiřadí Azure RBAC jako vlastník předplatného Azure.
- Vzhledem k tomu, že je skupina zabezpečení Azure Managers členem skupiny Agenti pro správu, stanou se uživatelé, kteří jsou členy Azure Managers, vlastníkem RBAC předplatného Azure.
- Pokud chcete získat přístup k předplatnému Azure jako vlastníka zákazníka, musí být všem rolím Microsoft Entra, jako je adresářová čtenáře (nejméně privilegovaná role), přiřazena ke skupině zabezpečení Azure Manager.
Alternativní doprovodné materiály k Azure GDAP (bez použití agenta pro správu)
Požadavky:
- Partner a zákazník mají vztah prodejce .
- Partner vytvoří skupinu zabezpečení pro správu Azure a vnoří ji do skupiny HelpDeskAgents podle oddělení přístupu pro jednotlivé zákazníky, což je doporučený osvědčený postup.
- Partner si pro zákazníka koupí plán Azure. Předplatné Azure bylo zřízeno a partner přiřadil skupinu Admin Agents Azure RBAC jako vlastníka v předplatném Azure, ale pro Helpdesk Agentsnení přiřazena žádná role RBAC.
Kroky správce partnera:
Správce partnera v předplatném spustí následující skripty pomocí PowerShellu k vytvoření objektu FPO helpdesku v předplatném Azure.
Připojte se k partnerskému tenantovi a získejte
object ID
skupinu HelpDeskAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgents
Ověřte, že zákazník má:
- Roli vlastníka nebo správce přístupu uživatelů
- Oprávnění k vytváření přiřazení rolí na úrovni předplatného
Kroky zákazníka:
K dokončení procesu musí zákazník provést následující kroky pomocí PowerShellu nebo Azure CLI.
Pokud používáte PowerShell, zákazník musí modul aktualizovat
Az.Resources
.Update-Module Az.Resources
Připojte se k tenantovi, ve kterém existuje předplatné CSP.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Připojte se k předplatnému.
Poznámka:
To platí jenom v případě, že uživatel má oprávnění k přiřazení rolí pro více předplatných v tenantovi.
Set-AzContext -SubscriptionID <"CSP Subscription ID">
az account set --subscription <CSP Subscription ID>
Vytvořte přiřazení role.
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
Role Microsoft Entra v oboru:
- Jakákoli role Microsoft Entra, například Čtenáři adresářů (nejméně privilegovaná role) pro přístup k předplatnému Azure jako vlastník
Pokyny k rolím GDAP pro partnery:
- Požadavky:
- Partner a zákazník musí mít vztah prodejce .
- Partner musí koupit předplatné Azure pro zákazníka.
- Partner musí vytvořit skupinu zabezpečení (například správci sady Visual Studio) pro nákup a správu předplatných sady Visual Studio a vnořit ji v rámci agentů pro správu pro dělení podle zákazníka podle doporučených osvědčených postupů.
- Role GDAP pro nákup a správu sady Visual Studio je stejná jako role GDAP Azure.
- Skupině zabezpečení správců sady Visual Studio musí být přiřazena libovolná role Microsoft Entra, například Čtenáři adresářů (nejméně privilegovaná role) pro přístup k předplatnému Azure jako vlastník.
- Uživatelé, kteří jsou součástí správců sady Visual Studio skupiny zabezpečení, můžou zakoupitpředplatné sady Visual Studio na Marketplacehttps://marketplace.visualstudio.com (kvůli vnořenému členu agentů pro správu mají přístup k předplatnému Azure).
- Uživatelé, kteří jsou součástí skupiny zabezpečení správců sady Visual Studio, mohou měnit množství předplatných sady Visual Studio.
- Uživatelé, kteří jsou součástí skupiny zabezpečení správců sady Visual Studio, můžou zrušit předplatné sady Visual Studio (změnou množství na nulu).
- Uživatelé, kteří jsou součástí skupiny zabezpečení správců sady Visual Studio, můžou přidat odběratele pro správu předplatných sady Visual Studio (například procházet zákaznický adresář a přidat přiřazení role sady Visual Studio jako odběratel).
Vlastnosti sady Visual Studio mimo rozsah:
- Nic
Proč se na stránce správy služby GDAP nezobrazují odkazy DAP AOBO?
Odkazy DAP AOBO | Důvod, proč na stránce správa služeb GDAP chybí |
---|---|
Microsoft 365 Planner https://portal.office.com/ |
Duplikát odkazu Microsoft 365 AOBO, který už existuje. |
Kymácet https://portal.office.com/ |
Duplikát odkazu Microsoft 365 AOBO, který už existuje. |
Windows 10 https://portal.office.com/ |
Duplikát odkazu Microsoft 365 AOBO, který už existuje. |
Cloud App Security https://portal.cloudappsecurity.com/ |
Microsoft Defender for Cloud Apps je ukončen. Tento portál se sloučí do Microsoft Defender XDR, který podporuje GDAP. |
Azure IoT Central https://apps.azureiotcentral.com/ |
V současné době se nepodporuje. Mimo rozsah GDAP. |
Rozšířená ochrana před internetovými útoky v programu Windows Defender https://securitycenter.windows.com |
Rozšířená ochrana před internetovými útoky v programu Windows Defender je vyřazena. Partnerům doporučujeme přejít na XDR v programu Microsoft Defender, který podporuje GDAP. |