Configurare GDAP in Microsoft 365 Lighthouse

I privilegi amministrativi delegati granulari (GDAP) sono un prerequisito per l'onboarding completo dei tenant dei clienti in Lighthouse. È possibile configurare tutti i clienti con GDAP tramite Microsoft 365 Lighthouse. Configurando GDAP per i tenant dei clienti gestiti, è possibile proteggere i clienti garantendo al tempo stesso agli utenti dell'organizzazione partner le autorizzazioni necessarie per svolgere il proprio lavoro.

Per informazioni su come configurare GDAP nell'organizzazione partner, completare la guida interattiva Secure Microsoft 365 Lighthouse.

Se si verificano problemi durante l'installazione di GDAP e sono necessarie indicazioni, vedere Risolvere i problemi e i messaggi di errore in Microsoft 365 Lighthouse: configurazione e gestione GDAP.

Prima di iniziare

• È necessario mantenere ruoli specifici in Microsoft Entra ID e/o nel Centro per i partner, come illustrato nella tabella Requisiti del ruolo di accesso delegato.

• I clienti gestiti in Lighthouse devono essere configurati nel Centro per i partner con una relazione di rivenditore o una relazione GDAP esistente.

Configurare GDAP

1. Nel riquadro di spostamento sinistro in Lighthouse selezionare Home.

2. Nella scheda Configura GDAP selezionare Configura GDAP.

3. Nella pagina Accesso delegato selezionare la scheda Modelli GDAP e quindi selezionare Crea un modello.

4. Nel riquadro Crea un modello immettere un nome per il modello e una descrizione facoltativa.

5. In Ruoli di supporto Lighthouse include cinque ruoli di supporto predefiniti: Account Manager, Service Desk Agent, Specialist, Escalation engineer e Administrator. Per ogni ruolo di supporto che si vuole usare, eseguire le operazioni seguenti:

   1. Selezionare Modifica per aprire il riquadro Modifica ruolo di supporto .

   2. Aggiornare il nome e la descrizione del ruolo di supporto, in base alle esigenze, per allinearsi ai ruoli di supporto nell'organizzazione partner.

   3. In Ruoli entra selezionare il Microsoft Entra ruoli richiesti dal ruolo di supporto in base alla funzione del processo del ruolo. Sono disponibili le seguenti opzioni:

      • Usare i ruoli Microsoft Entra consigliati da Microsoft.
      • Impostare il filtro su Tutto e selezionare i ruoli di Microsoft Entra preferiti.

      Per altre informazioni, vedere Microsoft Entra ruoli predefiniti.

   4. Selezionare Salva.

6. Per ogni ruolo di supporto che si vuole usare, selezionare l'icona Aggiungi o crea un gruppo di sicurezza accanto al ruolo di supporto per aprire il riquadro Selezionare o creare un gruppo di sicurezza . Se non si vuole usare un ruolo di supporto specifico, non assegnarvi alcun gruppo di sicurezza.

   Nota

   Ogni modello GDAP richiede di assegnare almeno un gruppo di sicurezza a un ruolo di supporto.

7. Eseguire una delle operazioni seguenti:

   • Per usare un gruppo di sicurezza esistente, selezionare Usa un gruppo di sicurezza esistente, scegliere uno o più gruppi di sicurezza dall'elenco e quindi selezionare Salva.

   • Per creare un nuovo gruppo di sicurezza, selezionare Crea un nuovo gruppo di sicurezza e quindi eseguire le operazioni seguenti:

     1. Immettere un nome e una descrizione facoltativa per il nuovo gruppo di sicurezza.

     2. Se applicabile, selezionare Crea un criterio di accesso JIT (Just-In-Time) per questo gruppo di sicurezza e quindi definire la scadenza dell'idoneità utente, la durata dell'accesso JIT e il gruppo di sicurezza del responsabile approvazione JIT.

        Nota

        Per creare criteri di accesso JIT (Just-In-Time) per un nuovo gruppo di sicurezza, è necessario disporre di una licenza Microsoft Entra ID P2. Se non è possibile selezionare la casella di controllo per creare un criterio di accesso JIT, verificare di disporre di una licenza P2 Microsoft Entra ID.

     3. Aggiungere utenti al gruppo di sicurezza e quindi selezionare Salva.

        Nota

        Agli utenti che fanno parte di un gruppo di sicurezza agente JIT non viene concesso automaticamente l'accesso ai ruoli GDAP in Microsoft Entra ID. Questi utenti devono prima richiedere l'accesso dal portale di accesso personale e un membro del gruppo di sicurezza del responsabile approvazione JIT deve esaminare la richiesta di accesso JIT.

     4. Se sono stati creati criteri di accesso JIT per il gruppo di sicurezza, è possibile esaminare i criteri creati nel dashboard Di governance delle identità nel Interfaccia di amministrazione di Microsoft Entra.

        Per altre informazioni su come gli agenti JIT possono richiedere l'accesso, vedere Richiedere l'accesso a un pacchetto di accesso nella gestione dei diritti.

        Per altre informazioni su come i responsabili approvazione possono approvare le richieste, vedere Approvare o negare le richieste per i ruoli Microsoft Entra in Privileged Identity Management.

8. Al termine della definizione dei ruoli di supporto e dei gruppi di sicurezza, selezionare Salva nel riquadro Crea un modello per salvare il modello GDAP.

   Il nuovo modello viene ora visualizzato nell'elenco dei modelli nella scheda Modelli GDAP della pagina Accesso delegato .

9. Seguire i passaggi da 3 a 8 per creare altri modelli GDAP, in base alle esigenze.

10. Nella scheda Modelli GDAP della pagina Accesso delegato selezionare i tre puntini (altre azioni) accanto a un modello nell'elenco e quindi selezionare Assegna modello.

11. Nel riquadro Assegna questo modello ai tenant scegliere uno o più tenant del cliente a cui assegnare il modello e quindi selezionare Avanti.

    Nota

    Ogni tenant del cliente può essere associato a un solo modello GDAP alla volta. Se si vuole assegnare un nuovo modello a un cliente, le relazioni GDAP esistenti vengono salvate e vengono create solo nuove relazioni basate sul nuovo modello.

12. Esaminare i dettagli dell'assegnazione e quindi selezionare Assegna.

    L'applicazione delle assegnazioni del modello GDAP potrebbe richiedere un minuto o due. Per aggiornare i dati nella scheda Modelli GDAP , selezionare Aggiorna.

13. Seguire i passaggi da 10 a 12 per assegnare modelli aggiuntivi ai tenant, in base alle esigenze.

Ottenere l'approvazione del cliente per amministrare i prodotti

Come parte del processo di configurazione GDAP, viene generato un collegamento alla richiesta di relazione GDAP per ogni cliente che non ha una relazione GDAP esistente con l'organizzazione partner. Prima di poter amministrare i prodotti, è necessario inviare il collegamento a un amministratore nel tenant del cliente in modo che possa selezionare il collegamento per approvare la relazione GDAP.

1. Nella pagina Accesso delegato selezionare la scheda Relazioni .

2. Espandere il tenant del cliente di cui si richiede l'approvazione.

3. Selezionare la relazione GDAP che mostra uno stato In sospeso per aprire il riquadro dei dettagli della relazione.

4. Selezionare Apri nel messaggio di posta elettronica o Copia messaggio di posta elettronica negli Appunti, modificare il testo se necessario ,ma non modificare l'URL del collegamento che devono selezionare per concedere l'autorizzazione di amministrazione, quindi inviare il messaggio di posta elettronica della richiesta di relazione GDAP a un amministratore nel tenant del cliente.

Dopo che l'amministratore nel tenant del cliente ha selezionato il collegamento per approvare la relazione GDAP, vengono applicate le impostazioni del modello GDAP. L'visualizzazione delle modifiche in Lighthouse potrebbe richiedere fino a un'ora dopo l'approvazione della relazione.

Le relazioni GDAP sono visibili nel Centro per i partner e i gruppi di sicurezza sono visibili in Microsoft Entra ID.

Modificare le impostazioni GDAP

Dopo aver completato l'installazione di GDAP, è possibile aggiornare o modificare ruoli, gruppi di sicurezza o modelli in qualsiasi momento.

1. Nel riquadro di spostamento a sinistra in Lighthouse selezionare Autorizzazioni>accesso delegato.

2. Nella scheda Modelli GDAP apportare le modifiche necessarie ai modelli GDAP o alle relative configurazioni associate, quindi salvare le modifiche.

3. Assegnare i modelli GDAP aggiornati ai tenant dei clienti appropriati in modo che tali tenant dispongano delle configurazioni aggiornate dei modelli.

Contenuto correlato

Panoramica delle autorizzazioni in Microsoft 365 Lighthouse (articolo)
Panoramica della pagina Accesso delegato in Microsoft 365 Lighthouse (articolo)
Risolvere i problemi e i messaggi di errore in Microsoft 365 Lighthouse (articolo)
Configurare la sicurezza del portale Microsoft 365 Lighthouse (articolo)
Introduzione ai privilegi di amministratore delegati granulari (GDAP) - Centro per i partner (articolo)
Microsoft Entra ruoli predefiniti (articolo)
Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID (articolo)
Che cos'è Microsoft Entra gestione dei diritti? (articolo)