GDAP:n määrittäminen Microsoft 365 Lighthouse

Hajautetut delegoidut järjestelmänvalvojan oikeudet (GDAP) ovat edellytys sille, että asiakasvuokralaiset otetaan täysin käyttöön Majakassa. Voit määrittää kaikki asiakkaasi GDAP:n avulla Microsoft 365 Lighthouse kautta. Määrittämällä GDAP:n hallitsemiasi asiakasvuokraajia varten autat pitämään asiakkaasi suojattuina ja samalla varmistat, että kumppaniorganisaatiosi käyttäjillä on tarvittavat käyttöoikeudet heidän työnsä tekemiseen.

Käy läpi, miten voit määrittää GDAP:n kumppaniorganisaatiossasi, suorittamalla vuorovaikutteisen Secure Microsoft 365 Lighthouse -oppaan.

Jos kohtaat ongelmia GDAP-asennuksen aikana ja tarvitset ohjeita, katso virhesanomien ja ongelmien vianmääritys kohdassa Microsoft 365 Lighthouse: GDAP-asennus ja -hallinta.

Alkuvalmistelut

• Sinulla on oltava tietyt roolit Microsoft Entra ID ja/tai kumppanikeskuksessa Delegoitujen käyttöoikeuksien roolivaatimukset -taulukon mukaisesti.

• Majakassa hallinnoimasi asiakkaat on määritettävä kumppanikeskuksessa joko jälleenmyyjäsuhteella tai olemassa olevalla GDAP-yhteydellä.

GDAP:n määrittäminen

1. Valitse Majakan vasemmassa siirtymisruudussa Aloitus.

2. Valitse Määritä GDAP-kortti ja valitse Määritä GDAP.

3. Valitse Delegoitu käyttö -sivulla GDAP-mallit -välilehti ja valitse sitten Luo malli.

4. Kirjoita Luo malli -ruutuun mallin nimi ja valinnainen kuvaus.

5. Tukiroolit-kohdassa Lighthousessa on viisi oletustukiroolia: Account Manager, Service Desk Agent, Specialist, Escalation Engineer ja Administrator. Toimi seuraavasti kullekin tukiroolille, jota haluat käyttää:

   1. Avaa Muokkaa tukiroolia -ruutu valitsemalla Muokkaa.

   2. Päivitä tarvittaessa tukiroolin nimi ja kuvaus, jotta ne vastaavat kumppaniorganisaation tukirooleja.

   3. Valitse Entra-roolit-kohdasta Microsoft Entra roolit, joita tukirooli edellyttää roolin työtoiminnon perusteella. Käytettävissä ovat seuraavat vaihtoehdot:

      • Käytä Microsoftin suosittelemia Microsoft Entra rooleja.
      • Määritä suodattimen arvoksi Kaikki ja valitse haluamasi Microsoft Entra roolit.

      Lisätietoja on artikkelissa Microsoft Entra valmiita rooleja.

   4. Valitse Tallenna.

6. Avaa Valitse tai luo käyttöoikeusryhmä -ruutu valitsemalla kullekin tukiroolille Lisää tai luo käyttöoikeusryhmä -kuvake tukiroolin vieressä. Jos et halua käyttää tiettyä tukiroolia, älä määritä sille käyttöoikeusryhmiä.

   Huomautus

   Jokainen GDAP-malli edellyttää, että määrität vähintään yhden käyttöoikeusryhmän tukirooliin.

7. Tee jokin seuraavista toimista:

   • Jos haluat käyttää aiemmin luotua käyttöoikeusryhmää, valitse Käytä aiemmin luotua käyttöoikeusryhmää, valitse luettelosta vähintään yksi käyttöoikeusryhmä ja valitse sitten Tallenna.

   • Jos haluat luoda uuden käyttöoikeusryhmän, valitse Luo uusi käyttöoikeusryhmä ja toimi sitten seuraavasti:

     1. Kirjoita uuden käyttöoikeusryhmän nimi ja valinnainen kuvaus.

     2. Jos käytettävissä, valitse Luo juuri ajoissa -käyttöoikeuskäytäntö tälle käyttöoikeusryhmälle ja määritä sitten käyttäjän kelpoisuuden vanhentuminen, JIT-käytön kesto ja JIT-hyväksyjän käyttöoikeusryhmä.

        Huomautus

        Jotta voit luoda just-in-time -käyttöoikeuskäytännön uudelle käyttöoikeusryhmälle, sinulla on oltava Microsoft Entra ID P2 -käyttöoikeus. Jos et pysty valitsemaan valintaruutua JIT-käyttöoikeuskäytännön luomiseksi, varmista, että sinulla on Microsoft Entra ID P2 -käyttöoikeus.

     3. Lisää käyttäjiä käyttöoikeusryhmään ja valitse sitten Tallenna.

        Huomautus

        JIT-agentin käyttöoikeusryhmään kuuluvat käyttäjät eivät saa automaattisesti pääsyä GDAP-rooleihin Microsoft Entra ID. Näiden käyttäjien on ensin pyydettävä käyttöoikeuksia Oma käyttöoikeus -portaalista , ja JIT-hyväksyjän käyttöoikeusryhmän jäsenen on tarkistettava JIT-käyttöoikeuspyyntö.

     4. Jos olet luonut JIT-käyttöoikeuskäytännön käyttöoikeusryhmälle, voit tarkastella luotua käytäntöä käyttäjätietojen hallinnan koontinäytössä Microsoft Entra -hallintakeskus.

        Lisätietoja siitä, miten JIT-agentit voivat pyytää käyttöoikeutta, on kohdassa Käyttöoikeuspaketin käyttöoikeuksien hallinta.

        Lisätietoja siitä, miten hyväksyjät voivat hyväksyä pyyntöjä, on artikkelissa Microsoft Entra roolien hyväksyminen tai hylkääminen Privileged Identity Management.

8. Kun olet määrittänyt tukiroolit ja käyttöoikeusryhmät, tallenna GDAP-malli valitsemalla Tallenna Luo malli -ruudussa.

   Uusi malli näkyy nyt malliluettelossa GDAP-mallit-välilehdelläDelegoitu käyttöoikeus -sivulla.

9. Luo tarvittaessa lisää GDAP-malleja noudattamalla vaiheita 3–8.

10. Valitse Delegoitu käyttö -sivun GDAP-mallit -välilehdeltä kolme piste (lisää toimintoja) mallin vieressä luettelossa ja valitse sitten Määritä malli.

11. Valitse Määritä tämä malli vuokraajille -ruudussa vähintään yksi asiakasvuokraaja, jolle haluat määrittää mallin, ja valitse sitten Seuraava.

    Huomautus

    Jokainen asiakasvuokraaja voidaan liittää vain yhteen GDAP-malliin kerrallaan. Jos haluat määrittää asiakkaalle uuden mallin, olemassa olevat GDAP-suhteet tallennetaan ja vain uuteen malliin perustuvat uudet suhteet luodaan.

12. Tarkista tehtävän tiedot ja valitse sitten Määritä.

    GDAP-mallimääritysten käyttöön ottamiseen voi mennä minuutti tai kaksi. Päivitä GDAP-mallit-välilehden tiedot valitsemalla Päivitä.

13. Määritä vuokraajille tarvittaessa lisämalleja vaiheiden 10–12 mukaisesti.

Hanki asiakkaan hyväksyntä tuotteidensa hallintaan

Osana GDAP-määritysprosessia luodaan GDAP-suhdepyyntölinkki kullekin asiakkaalle, jolla ei ole aiemmin luotua GDAP-suhdetta kumppaniorganisaatiosi kanssa. Ennen kuin voit hallita niiden tuotteita, sinun on lähetettävä linkki asiakasvuokraajan järjestelmänvalvojalle, jotta he voivat valita linkin GDAP-suhteen hyväksymiseksi.

1. Valitse Delegoitu käyttö -sivulla Suhteet-välilehti .

2. Laajenna asiakkaan vuokraaja, jonka hyväksynnän tarvitset.

3. Avaa yhteyden tietoruutu valitsemalla GDAP-suhde, jossa näkyy Odottaa-tila .

4. Valitse joko Avaa sähköpostissa tai Kopioi sähköpostiviesti leikepöydälle, muokkaa tekstiä tarvittaessa (mutta älä muokkaa linkin URL-osoitetta, joka hänen on valittava, jotta saat hallintaoikeudet) ja lähetä sitten GDAP-yhteyspyyntösähköpostiviesti asiakasvuokraajan järjestelmänvalvojalle.

Kun asiakasvuokraajan järjestelmänvalvoja valitsee linkin GDAP-suhteen hyväksymiseksi, GDAP-malliasetukset otetaan käyttöön. Voi kestää jopa tunnin suhteen hyväksynnän jälkeen, ennen kuin muutokset näkyvät Majakassa.

GDAP-suhteet näkyvät kumppanikeskuksessa ja käyttöoikeusryhmät näkyvät Microsoft Entra ID.

Muokkaa GDAP-asetuksia

Kun olet suorittanut GDAP-määrityksen, voit päivittää tai muuttaa rooleja, käyttöoikeusryhmiä tai malleja milloin tahansa.

1. Valitse Majakan vasemmassa siirtymisruudussa Käyttöoikeudet>Delegoitu käyttöoikeus.

2. Tee GDAP-mallit-välilehdessä tarvittavat muutokset GDAP-malleihin tai niihin liittyviin määrityksiin ja tallenna sitten muutoksesi.

3. Määritä päivitetyt GDAP-mallit asianmukaisille asiakasvuokraajille, jotta näillä vuokraajilla on päivitetyt määritykset malleista.

Aiheeseen liittyvä sisältö

Microsoft 365 Lighthouse käyttöoikeuksien yleiskatsaus (artikkeli)
yleiskatsaus Microsoft 365 Lighthouse delegoidusta käyttösivusta (artikkeli)
Microsoft 365 Lighthouse virhesanomien ja ongelmien vianmääritys (artikkeli)
Microsoft 365 Lighthouse portaalin suojauksen määrittäminen (artikkeli)
Esittely hajautetuista delegoiduista järjestelmänvalvojan oikeuksista (GDAP) – Kumppanikeskus (artikkeli)
Microsoft Entra valmiita rooleja (artikkeli)
Lisätietoja ryhmistä ja käyttöoikeuksista Microsoft Entra ID (artikkeli)
Mitä oikeuksien Microsoft Entra hallinta on? (artikkeli)