Erteilen präziser Berechtigungen für Sicherheitsgruppen
Geeignete Rollen: Administrator-Agent
Sie können den Sicherheitsgruppen vom Kunden genehmigte, Microsoft Entra-Rollen zuweisen.
Sie können diesen Sicherheitsgruppen dann präzise delegierte Administratorrechte (GDAP) erteilen.
Voraussetzungen
Partner sollten zuerst die Sicherheitsgruppe einrichten.
- Melden Sie sich beim Azure-Portal an.
- Erstellen Sie die neue Sicherheitsgruppe.
- Fügen Sie der Sicherheitsgruppe einen Benutzer hinzu.
0 oder keine Zugriffszuweisungen darstellen
Ein gelbes Warnsymbol wird neben einer Administratorbeziehung angezeigt, wenn keine Zugriffszuweisungen zugeordnet sind.
Erteilen Sie Berechtigungen für Sicherheitsgruppen
Führen Sie die folgenden Schritte aus, um Sicherheitsgruppen Berechtigungen zu erteilen:
Melden Sie sich bei Partner Center an, und wählen Sie Kunden aus.
Wählen Sie den Kunden aus, den Sie verwalten möchten, und wählen Sie dann Administratorbeziehungen und dann die gewünschte Administratorbeziehung aus.
Wählen Sie unter "Sicherheitsgruppen" die Option "Sicherheitsgruppen hinzufügen" aus.
Wählen Sie im Bereich Sicherheitsgruppen die Sicherheitsgruppen aus, die Sie Berechtigungen erteilen möchten.
Wählen Sie "Weiter" aus, in dem der Seitenbereich "Microsoft Entra-Rollen auswählen" angezeigt wird.
Wählen Sie die Microsoft Entra-Rollen aus, die Sie der Sicherheitsgruppe für diese Administratorbeziehung zuweisen möchten.
Die Microsoft Entra-Rollen, die Sie den Benutzern in der Sicherheitsgruppe zuweisen, um Dienste zu verwalten.
Wählen Sie im Seitenbereich speichern aus.
Der Status würde "Ausstehend" für die hinzugefügten Sicherheitsgruppen anzeigen. Aktualisieren Sie die Seite nach 30 Sekunden.
Der Status würde "Aktiv" anzeigen.
Sie können weitere Sicherheitsgruppen und Microsoft Entra-Rollen entfernen oder hinzufügen.
Alle Benutzer, die der Sicherheitsgruppe zugewiesen sind, können jetzt Dienste auf ihrer Dienstverwaltungsseite verwalten.
Delegierte Dynamics 365-Administratoren
Delegierte Administratoren:
- Sind in der Microsoft Entra-Benutzerliste eines Kunden nicht sichtbar
- Kann nicht vom internen Administrator eines Kunden verwaltet werden
Wenn sich ein delegierter Administrator jedoch im Namen eines Kunden bei einer Dynamics 365-Umgebung anmeldet, wird er automatisch als Benutzer innerhalb der Dynamics 365-Umgebung erstellt. Dies bedeutet, dass die von einem delegierten Administrator ausgeführten Aktionen, z. B. das Posten von Dokumenten, in Dynamics 365 angemeldet und deren ID im Microsoft Entra des Partners zugeordnet sind.
Der interne Administrator kann sehen, welche Änderungen von delegiertem Administrator vorgenommen werden und für welchen Partner ein bestimmter Benutzer arbeitet, aber er kann den Namen des Benutzers oder andere Kundeninhalte nicht sehen.