Configurer GDAP dans Microsoft 365 Lighthouse
Les privilèges d’administration délégués granulaires (GDAP) sont un prérequis pour que les locataires clients soient entièrement intégrés à Lighthouse. Vous pouvez configurer tous vos clients avec GDAP via Microsoft 365 Lighthouse. En configurant GDAP pour les locataires clients que vous gérez, vous contribuez à assurer la sécurité de vos clients tout en veillant à ce que les utilisateurs de votre partenaire organization disposent des autorisations nécessaires pour effectuer leur travail.
Pour découvrir comment configurer GDAP dans votre organization partenaire, suivez le guide interactif Secure Microsoft 365 Lighthouse.
Si vous rencontrez des problèmes lors de l’installation de GDAP et que vous avez besoin d’aide, consultez Résoudre les messages d’erreur et les problèmes dans Microsoft 365 Lighthouse : configuration et gestion GDAP.
Avant de commencer
Vous devez détenir des rôles spécifiques dans Microsoft Entra ID et/ou l’Espace partenaires, comme indiqué dans le tableau Conditions requises pour les rôles d’accès délégué.
Les clients que vous gérez dans Lighthouse doivent être configurés dans l’Espace partenaires avec une relation de revendeur ou une relation GDAP existante.
Regarder : Configurer GDAP
Regardez les autres vidéos Microsoft 365 Lighthouse sur notre chaîne YouTube.
Configurer GDAP
Dans le volet de navigation gauche de Lighthouse, sélectionnez Accueil.
Dans la carte Configurer GDAP, sélectionnez Configurer GDAP.
Dans la page Accès délégué , sélectionnez l’onglet Modèles GDAP , puis créer un modèle.
Dans le volet Créer un modèle , entrez un nom pour le modèle et une description facultative.
Sous Rôles de support, Lighthouse inclut cinq rôles de support par défaut : gestionnaire de compte, agent de service, spécialiste, ingénieur d’escalade et administrateur. Pour chaque rôle de support que vous souhaitez utiliser, procédez comme suit :
Sélectionnez Modifier pour ouvrir le volet Modifier le rôle de prise en charge .
Mettez à jour le nom et la description du rôle de support, si nécessaire, pour l’aligner sur les rôles de support dans votre organization partenaire.
Sous Rôles Entra, sélectionnez les rôles Microsoft Entra dont le rôle de support a besoin en fonction de la fonction de travail du rôle. Les options suivantes sont disponibles :
- Utilisez les rôles Microsoft Entra recommandés par Microsoft.
- Définissez le filtre sur Tout et sélectionnez vos rôles Microsoft Entra préférés.
Pour en savoir plus, consultez Microsoft Entra rôles intégrés.
Sélectionnez Enregistrer.
Pour chaque rôle de support que vous souhaitez utiliser, sélectionnez l’icône Ajouter ou créer un groupe de sécurité en regard du rôle de support pour ouvrir le volet Sélectionner ou créer un groupe de sécurité . Si vous ne souhaitez pas utiliser un rôle de support particulier, ne lui attribuez aucun groupe de sécurité.
Remarque
Pour chaque modèle GDAP, vous devez affecter au moins un groupe de sécurité à un rôle de support.
Effectuez l’une des opérations suivantes :
Pour utiliser un groupe de sécurité existant, sélectionnez Utiliser un groupe de sécurité existant, choisissez un ou plusieurs groupes de sécurité dans la liste, puis sélectionnez Enregistrer.
Pour créer un groupe de sécurité, sélectionnez Créer un groupe de sécurité, puis procédez comme suit :
Entrez un nom et une description facultative pour le nouveau groupe de sécurité.
Le cas échéant, sélectionnez Créer une stratégie d’accès juste-à-temps (JIT) pour ce groupe de sécurité, puis définissez l’expiration de l’éligibilité de l’utilisateur, la durée d’accès JIT et le groupe de sécurité de l’approbateur JIT.
Remarque
Pour créer une stratégie d’accès juste-à-temps (JIT) pour un nouveau groupe de sécurité, vous devez disposer d’une licence Microsoft Entra ID P2. Si vous ne parvenez pas à cocher la case pour créer une stratégie d’accès JIT, vérifiez que vous disposez d’une licence Microsoft Entra ID P2.
Ajoutez des utilisateurs au groupe de sécurité, puis sélectionnez Enregistrer.
Remarque
Les utilisateurs qui font partie d’un groupe de sécurité d’agent JIT ne reçoivent pas automatiquement l’accès aux rôles GDAP dans Microsoft Entra ID. Ces utilisateurs doivent d’abord demander l’accès à partir du portail Mon accès et un membre du groupe de sécurité de l’approbateur JIT doit examiner la demande d’accès JIT.
Si vous avez créé une stratégie d’accès JIT pour le groupe de sécurité, vous pouvez consulter la stratégie créée dans le tableau de bord Gouvernance des identités dans le centre d’administration Microsoft Entra.
Pour plus d’informations sur la façon dont les agents JIT peuvent demander l’accès, consultez Demander l’accès à un package d’accès dans la gestion des droits d’utilisation.
Pour plus d’informations sur la façon dont les approbateurs peuvent approuver des demandes, consultez Approuver ou refuser des demandes de rôles Microsoft Entra dans Privileged Identity Management.
Lorsque vous avez terminé de définir les rôles de support et les groupes de sécurité, sélectionnez Enregistrer dans le volet Créer un modèle pour enregistrer le modèle GDAP.
Le nouveau modèle apparaît désormais dans la liste des modèles sous l’onglet Modèles GDAP de la page Accès délégué .
Suivez les étapes 3 à 8 pour créer d’autres modèles GDAP, selon vos besoins.
Sous l’onglet Modèles GDAP de la page Accès délégué , sélectionnez les trois points (autres actions) en regard d’un modèle dans la liste, puis sélectionnez Attribuer un modèle.
Dans le volet Affecter ce modèle aux locataires , choisissez un ou plusieurs locataires clients auxquels vous souhaitez attribuer le modèle, puis sélectionnez Suivant.
Remarque
Chaque locataire client ne peut être associé qu’à un seul modèle GDAP à la fois. Si vous souhaitez affecter un nouveau modèle à un client, les relations GDAP existantes sont enregistrées et seules les nouvelles relations basées sur le nouveau modèle sont créées.
Passez en revue les détails de l’affectation, puis sélectionnez Attribuer.
L’application des affectations de modèle GDAP peut prendre une ou deux minutes. Pour actualiser les données sous l’onglet Modèles GDAP , sélectionnez Actualiser.
Suivez les étapes 10 à 12 pour affecter des modèles supplémentaires aux locataires, selon les besoins.
Obtenir l’approbation du client pour administrer ses produits
Dans le cadre du processus de configuration GDAP, un lien de demande de relation GDAP est généré pour chaque client qui n’a pas de relation GDAP existante avec votre partenaire organization. Avant de pouvoir administrer les produits pour eux, vous devez envoyer le lien à un administrateur dans le locataire client afin qu’il puisse sélectionner le lien pour approuver la relation GDAP.
Dans la page Accès délégué , sélectionnez l’onglet Relations .
Développez le locataire client dont vous avez besoin pour obtenir l’approbation.
Sélectionnez la relation GDAP qui affiche un status en attente pour ouvrir le volet d’informations de la relation.
Sélectionnez Ouvrir dans l’e-mail ou Copier l’e-mail dans le Presse-papiers, modifiez le texte si nécessaire (mais ne modifiez pas l’URL du lien qu’ils doivent sélectionner pour vous donner l’autorisation d’administration), puis envoyez l’e-mail de demande de relation GDAP à un administrateur dans le locataire du client.
Une fois que l’administrateur du locataire client a sélectionné le lien pour approuver la relation GDAP, les paramètres du modèle GDAP sont appliqués. L’affichage des modifications dans Lighthouse peut prendre jusqu’à une heure après l’approbation de la relation.
Les relations GDAP sont visibles dans l’Espace partenaires et les groupes de sécurité sont visibles dans Microsoft Entra ID.
Modifier les paramètres GDAP
Une fois que vous avez terminé la configuration GDAP, vous pouvez mettre à jour ou modifier des rôles, des groupes de sécurité ou des modèles à tout moment.
Dans le volet de navigation gauche de Lighthouse, sélectionnez Autorisations>Accès délégué.
Sous l’onglet Modèles GDAP , apportez les modifications nécessaires aux modèles GDAP ou à leurs configurations associées, puis enregistrez vos modifications.
Affectez les modèles GDAP mis à jour aux locataires clients appropriés afin que ces locataires disposent des configurations mises à jour à partir des modèles.
Contenu connexe
Vue d’ensemble des autorisations dans Microsoft 365 Lighthouse (article)
Vue d’ensemble de la page Accès délégué dans Microsoft 365 Lighthouse (article)
Résoudre les messages d’erreur et les problèmes dans Microsoft 365 Lighthouse (article)
Configurer Microsoft 365 Lighthouse sécurité du portail (article)
Présentation des privilèges d’administrateur délégué granulaires (GDAP) - Espace partenaires (article)
Microsoft Entra rôles intégrés (article)
En savoir plus sur les groupes et les droits d’accès dans Microsoft Entra ID (article)
Qu’est-ce que Microsoft Entra gestion des droits d’utilisation ? (article)