Guía de roles de GDAP
Roles apropiados: agente administrador
En este artículo se proporcionan instrucciones sobre qué rol integrado de Microsoft Entra con privilegios mínimos puede usar para cada funcionalidad de privilegios de administrador delegado (GDAP) pormenorizados. Por ejemplo, enviar solicitudes de soporte técnico en nombre de un cliente requiere el rol de administrador de soporte técnico del servicio, que es el rol integrado de Microsoft Entra con privilegios mínimos en el inquilino del cliente.
Solicitudes de soporte técnico
Los revendedores indirectos no pueden crear solicitudes de soporte técnico para Azure. En su lugar, deben trabajar con sus proveedores indirectos.
| Para crear una solicitud de soporte técnico para: | Los asociados de factura directa y los proveedores indirectos deben tener el siguiente rol con privilegios mínimos: |
|---|---|
| Microsoft 365 en el Centro de administración de Microsoft 365 | Asignación de roles de GDAP a un rol que tiene permisos de Microsoft.office365.supportTickets/allEntities/allTasks, como Administrador de soporte técnico del servicio |
| Dynamics 365 en el Centro de administración de Power Platform | Asignación de roles de GDAP a un rol que tiene permisos de Microsoft.office365.supportTickets/allEntities/allTasks, como Administrador de soporte técnico del servicio |
| Recurso de suscripción de Azure en Azure Portal | Requisito previo: para crear solicitudes en nombre de clientes usando su suscripción de Azure, los socios deben tener una relación de revendedor con el cliente, como se explica en autorización regional de CSP. Para más información, consulte los pasos para configurar Azure GDAP. Cualquier asignación de GDAP a un rol de Microsoft Entra, como Lectores de directorios, - Y - Asignación de roles de control de acceso basado en rol (RBAC) de Azure a un rol con permisos de Microsoft.Support/supportTickets/write, como Colaborador de solicitud de soporte técnico |
| Microsoft Entra ID en Azure Portal | Alternativa 1: si un cliente no tiene Microsoft Entra ID P1 o P2 Requisito previo: para crear solicitudes en nombre de los clientes que usan la suscripción de Azure de un cliente, los partners deben tener una relación de revendedor con el cliente según la autorización regional de CSP. Para más información, consulte Pasos para configurar Azure GDAP. Cualquier asignación de GDAP a un rol de Microsoft Entra, como Lectores de directorios, - Y - Asignación de roles de Azure RBAC a un rol con permisos de Microsoft.Support/supportTickets/write, como Colaborador de solicitud de soporte técnico Alternativa 2: si el cliente tiene Microsoft Entra ID P1 o P2 cualquier asignación de GDAP a un rol de Microsoft Entra que tenga permisos: microsoft.azure.supportTickets/allEntities/allTasks, como Administrador de soporte técnico del servicio |
Roles de GDAP por tipos de asociados
Los siguientes roles son por tipos de asociados.
Proveedores indirectos
Se recomiendan los siguientes roles para que los proveedores indirectos realicen transacciones y administren:
- Creación de nuevos clientes corporativos
- Configuración de la relación de revendedor
- Compra
- Administración de suscripciones
- Actualizaciones
- Conversiones
- Creación de usuarios del cliente y asignación de licencias
- Solicitudes de servicio al cliente (solicitudes de creación en nombre del cliente)
| Rol | Descripción |
|---|---|
| Roles de lector: | |
| Lectores de directorio | Puede leer información básica del directorio. Se usa habitualmente para conceder acceso de lectura de directorio a aplicaciones e invitados |
| Escritores de directorios | Puede leer y escribir información básica del directorio. Para conceder acceso a las aplicaciones, no pensadas para los usuarios. |
| Lector global | Puede leer todo lo que un administrador global puede, pero no puede actualizar nada |
| administración de usuarios y administración de licencias: | |
| administrador de usuarios | Puede administrar todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados. |
| administrador de licencias | Puede administrar licencias de productos en usuarios y grupos |
| Administrador de soporte de servicio | Puede leer la información de estado del servicio y administrar solicitudes de soporte técnico. |
| Servicio de asistencia: | |
| administrador de la mesa de ayuda | Puede restablecer contraseñas para administradores que no son administradores y administradores del departamento de soporte técnico |
Asociados de factura directa, revendedores indirectos y asesores
Se recomiendan los siguientes roles para revendedores indirectos, asesores y asociados de factura directa que también desempeñan el papel de los MSP. Todos se clasifican como proveedores de servicios administrados especializados (MSP) que administran completamente el entorno del cliente como departamento de TI subcontratado. Esta sección incluye los roles categorizados requeridos para tareas y funciones.
Tareas de un técnico de nivel 1 en servicios administrados
| Rol | Tarea | Función |
|---|---|---|
| Administrador de soporte técnico del servicio | Envíe solicitudes de soporte técnico en nombre del cliente. | El departamento de soporte técnico crea y administra las solicitudes de soporte técnico. |
| Lector de seguridad | Vea las directivas relacionadas con la seguridad en los servicios de Microsoft 365. | El departamento de soporte técnico recopila información sobre el entorno del cliente para solucionar problemas o actualizar las directivas del portal de seguridad y cumplimiento, como las directivas de prevención de pérdida de datos. |
| Administrador de Intune | Puede administrar todos los aspectos del producto de Intune. | El Centro de Ayuda gestiona la inscripción y la solución de problemas de los dispositivos de los clientes. |
| Administrador de SharePoint | Puede administrar todos los aspectos del servicio de SharePoint. | El departamento de soporte técnico administra los permisos del sitio de SharePoint. |
| Especialista en soporte técnico de comunicaciones de Teams | Puede administrar el servicio Microsoft Teams. | El departamento de soporte técnico soluciona problemas de calidad de llamadas. |
| Administrador del departamento de soporte técnico | Puede restablecer las contraseñas de los usuarios que no son administradores y estos administradores: Lectores de directorio, Invitador de invitados, Administrador del centro de ayuda, Lector del Centro de Mensajes, Administrador de contraseñas, Lector de informes. | El departamento de soporte técnico restablece las contraseñas. |
| Administrador de análisis de escritorio | Puede acceder a los servicios y herramientas de administración de escritorio y administrarlos. | El departamento de soporte técnico puede administrar el servicio de análisis de escritorio mediante la visualización del inventario de activos y la lectura de las propiedades estándar de las directivas de autorización. |
| Administrador de autenticación | Tiene acceso para ver, establecer y restablecer la información del método de autenticación para cualquier usuario que no sea administrador. | El departamento de soporte técnico puede acceder a la información del método de autenticación para ver, establecer y restablecer la información del método de autenticación para cualquier usuario que no sea administrador (por ejemplo, MFA y acceso condicional). |
| Administrador de Exchange | Los usuarios con este rol tienen permisos globales en Microsoft Exchange Online cuando el servicio está presente. También tiene la capacidad de crear y administrar todos los grupos de Microsoft 365, administrar solicitudes de soporte técnico y supervisar el estado del servicio; puede enviar OBO y administrar bandejas de entrada. | El departamento de soporte técnico administra buzones compartidos, ayuda a resolver problemas de cuota de buzones y crea y administra reglas de transporte. |
| Administrador de licencias | Puede asignar, quitar y actualizar asignaciones de licencias. | Durante la solución de problemas, el departamento de soporte técnico evalúa y corrige si hay un problema de licencia con la solicitud de soporte técnico. |
| Administrador de usuarios | Puede administrar todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados; puede bloquear el inicio de sesión del usuario. | El departamento de soporte técnico administra todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados y el bloqueo del acceso de un antiguo empleado del cliente a los servicios de Microsoft 365. |
| Administrador de grupos | Los miembros de este rol pueden crear o administrar grupos, crear o administrar la configuración de grupos, como las directivas de nomenclatura y expiración, y ver los informes de actividad y auditoría de grupos. | El departamento de soporte técnico agrega propietarios a grupos y agrega miembros a grupos. |
| Lector de directorios | Los usuarios de este rol pueden leer información básica del directorio. | El departamento de soporte técnico puede leer información básica del directorio como parte de la solución de problemas. |
| Lector del centro de mensajes | Puede leer mensajes y actualizaciones de su organización solo en el Centro de mensajes de Office 365. | El departamento de soporte técnico lee el Centro de mensajes para solucionar problemas de soporte técnico. |
| Administración de impresoras | Los usuarios con este rol pueden registrar impresoras y administrar todos los aspectos de todas las configuraciones de impresora en la solución de impresión universal de Microsoft, incluida la configuración del conector de impresión universal. Pueden dar su consentimiento a todas las solicitudes de permisos de impresión delegados. Los administradores de impresoras también tienen acceso a los informes de impresión. | El departamento de soporte técnico administraría las configuraciones de impresora y solucionaría problemas de impresora. |
| Invitador de huéspedes | Los usuarios de este rol pueden administrar invitaciones de usuario invitado de Microsoft Entra B2B. | El departamento de soporte técnico puede invitar a usuarios independientemente del valor Los miembros pueden invitar. |
Rol con privilegios mínimos por tarea
En la tabla siguiente se muestran las tareas dentro de cada funcionalidad de GDAP, junto con el rol con privilegios mínimos necesarios para realizar cada tarea.
| Funcionalidad de GDAP | Tarea | Rol con privilegios mínimos |
|---|---|---|
| Soporte técnico | Enviar incidencia de soporte técnico | Administrador de soporte de servicios |
| Usuarios | Agregar usuario al rol de directorio | Administrador de roles con privilegios |
| Agregar usuario al grupo | Administrador de usuarios | |
| Asignar licencia | administrador de licencias | |
| Creación de un usuario invitado | Invitador de usuarios invitados | |
| Restablecer la invitación de usuario invitado | administrador de usuarios | |
| Creación de un usuario | administrador de usuarios | |
| Eliminar usuario | administrador de usuarios | |
| Invalidar los tokens de actualización del administrador limitado | administrador de usuarios | |
| Invalidar tokens de actualización de usuarios no administradores | Administrador de contraseñas | |
| Invalidar los tokens de actualización del administrador con privilegios | administrador de autenticación con privilegios | |
| Leer la configuración básica | rol de usuario predeterminado | |
| Restablecimiento de contraseña para administradores limitados | administrador de usuarios | |
| Restablecer contraseña para nonadmin | Administrador de contraseñas | |
| Restablecimiento de contraseña para el administrador con privilegios | administrador de autenticación privilegiado | |
| Revocar licencia | administrador de licencias | |
| Actualizar todas las propiedades excepto el nombre principal de usuario | administrador de usuarios | |
| Actualización del nombre principal de usuario para un administrador limitado | administrador de usuarios | |
| Actualización del nombre principal de usuario para el administrador con privilegios | administrador global | |
| Actualización de la configuración del usuario | Administrador global | |
| Actualizar métodos de autenticación | Administrador de autenticación | |
| Grupos | Asignar licencia | Administrador de usuarios |
| Crear grupo | Administrador de grupos | |
| Creación, actualización o eliminación de la revisión de acceso de un grupo o aplicación | administrador de usuarios | |
| Administrar la expiración del grupo | administrador de usuarios | |
| Administrar la configuración del grupo | administrador de grupos | |
| Leer toda la configuración (excepto la membresía oculta) | Lectores de directorio | |
| Leer pertenencia oculta | Miembro del grupo | |
| Leer la membresía de grupos con membresía oculta | administrador del departamento de soporte técnico | |
| Revocar licencia | administrador de licencias | |
| Actualizar la pertenencia a grupos | Propietario del grupo | |
| Actualizar propietarios de grupos | Propietario del grupo | |
| Actualizar las propiedades del grupo | Propietario del grupo | |
| Eliminar grupo | Administrador de grupos | |
| Licencias | Asignar licencia | administrador de licencias |
| Leer toda la configuración | lectores de directorio | |
| Revocar licencia | administrador de licencias |