Condividi tramite


Indicazioni sui ruoli GDAP

ruoli appropriati: agente di amministrazione

Questo articolo fornisce indicazioni su quale ruolo predefinito di Microsoft Entra con privilegi minimi è possibile usare per ogni funzionalità granulare di privilegi di amministratore delegato (GDAP). Ad esempio, per inviare richieste di supporto per conto di un cliente, è necessario il ruolo di amministratore del supporto del servizio , ovvero il ruolo predefinito Microsoft Entra con privilegi minimi nel tenant del cliente.

Richieste di supporto

I rivenditori indiretti non possono creare richieste di supporto per Azure. Devono invece collaborare con i provider indiretti.

Per creare una richiesta di supporto per: I partner con fatturazione diretta e i provider indiretti devono avere il seguente ruolo con privilegi minimi:
Microsoft 365 nell'interfaccia di amministrazione di Microsoft 365 Assegnazione di ruolo GDAP a un ruolo con autorizzazioni di Microsoft.office365.supportTickets/allEntities/allTasks, ad esempio amministratore del supporto del servizio
Dynamics 365 nell'interfaccia di amministrazione di Power Platform Assegnazione di ruolo GDAP a un ruolo con autorizzazioni di Microsoft.office365.supportTickets/allEntities/allTasks, ad esempio amministratore del supporto ai servizi
risorsa di sottoscrizione di Azure nel portale di Azure Prerequisito: Per creare richieste per conto dei clienti utilizzando la sottoscrizione Azure del cliente, i partner devono avere un rapporto di rivenditore con il cliente, come illustrato in Autorizzazione regionale CSP. Per altre informazioni, vedere Passaggi per configurareGDAP di Azure.

qualsiasi assegnazione GDAP a un ruolo Microsoft Entra, ad esempio i lettori di Directory,

- AND -

Assegnazione di ruoli del controllo degli accessi basato sui ruoli di Azure a un ruolo con autorizzazioni di Microsoft.Support/supportTickets/write, ad esempio collaboratore alla richiesta di supporto
ID di Microsoft Entra nel portale di Azure Alternativa 1: se un cliente non ha Microsoft Entra ID P1 o P2

Prerequisito: per creare richieste per conto dei clienti utilizzando una sottoscrizione di Azure del cliente, i partner devono avere una relazione di rivenditore con il cliente per l'autorizzazione regionale CSP . Per altre informazioni, vedere Passaggi per configurareGDAP di Azure.

qualsiasi assegnazione GDAP a un ruolo Microsoft Entra, ad esempio lettori di directory ,

- AND -

Assegnazione di ruolo RBAC di Azure a un ruolo con autorizzazioni di Microsoft.Support/supportTickets/write, come ad esempio collaboratore alla richiesta di supporto

Alternativa 2: se un cliente ha un ID Microsoft Entra P1 o P2 qualsiasi assegnazione GDAP a un ruolo Microsoft Entra con: microsoft.azure.supportTickets/allEntities/allTasks autorizzazioni, come ad esempio amministratore del supporto del servizio

Ruoli GDAP per tipi di partner

I ruoli seguenti sono in base ai tipi di partner.

Provider indiretti

I ruoli seguenti sono consigliati per i provider indiretti per eseguire transazioni e gestire:

  • Creazione di un nuovo tenant cliente
  • Configurazione delle relazioni tra rivenditori
  • Acquista
  • Gestione delle sottoscrizioni
  • Aggiornamenti
  • Conversioni
  • Creazione e assegnazione di licenze utente del cliente
  • Richieste di assistenza clienti (richieste di creazione per conto del cliente)
ruolo Descrizione
Ruoli Lettore :
lettori di directory Può leggere le informazioni di base sulla directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest
scrittori di directory Può leggere e scrivere informazioni di base sulla directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti.
lettore globale Può leggere tutto ciò che un amministratore globale può, ma non può aggiornare nulla
Gestione utenti e gestione delle licenze:
amministratore di utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati
amministratore licenze Può gestire le licenze di prodotto per utenti e gruppi
amministratore del supporto del servizio Può leggere le informazioni sull'integrità dei servizi e gestire le richieste di supporto
servizio di assistenza:
Amministratore del Help Desk Può reimpostare le password per amministratori non amministratori e amministratori help desk

Partner con fatturazione diretta, rivenditori indiretti e consulenti

Si raccomanda l'uso dei seguenti ruoli per rivenditori indiretti, consulenti, e partner a fatturazione diretta che svolgono anche la funzione di MSP (provider di servizi gestiti). Sono tutti classificati come provider di servizi gestiti specializzati (MSP) che gestiscono completamente l'ambiente del cliente come reparto IT esternalizzato. Questa sezione descrive i ruoli classificati richiesti dalle attività e dalle funzioni.

Attività di un tecnico di livello 1 nei servizi gestiti

ruolo attività funzione
Amministratore del supporto del servizio Inviare richieste di supporto per conto del cliente. Help Desk crea e gestisce le richieste di supporto.
Lettore di sicurezza Visualizzare i criteri correlati alla sicurezza nei servizi di Microsoft 365. Il supporto tecnico esegue la raccolta delle informazioni sul tenant del cliente per risolvere problemi o aggiornare le politiche del portale di sicurezza e conformità, ad esempio le politiche di prevenzione della perdita di dati.
Amministratore di Intune Può gestire tutti gli aspetti del prodotto Intune. Help Desk gestisce la registrazione e la risoluzione dei problemi dei dispositivi dei clienti.
Amministratore di SharePoint Può gestire tutti gli aspetti del servizio SharePoint. Help Desk gestisce le autorizzazioni del sito di SharePoint.
Specialista del supporto delle comunicazioni di Teams Può gestire il servizio Microsoft Teams. L'help desk risolve i problemi di qualità delle chiamate.
Amministratore assistenza tecnica Può reimpostare le password per i non-amministratori e i seguenti amministratori: Lettore directory, Invitante ospite, Amministratore dell'help desk, Lettore del Centro messaggi, Amministratore password, e Lettore report. Help Desk reimposta le password.
Amministratore di Desktop Analytics Può accedere e gestire strumenti e servizi di gestione desktop. L'help desk può gestire il servizio Desktop Analytics visualizzando l'inventario degli asset e leggendo le proprietà standard dei criteri di autorizzazione.
Amministratore dell'autenticazione Ha accesso a visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore. Help Desk può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente non amministratore, ad esempio MFA e accesso condizionale.
Amministratore di Exchange Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft Exchange Online quando il servizio è presente. Ha anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire le richieste di supporto e monitorare l'integrità dei servizi; può inviare OBO e gestire le caselle di posta in arrivo. Help Desk gestisce le cassette postali condivise, consente di risolvere i problemi di quota delle cassette postali e di creare e gestire le regole di trasporto.
Amministratore licenze Può assegnare, rimuovere e aggiornare le assegnazioni di licenze. Durante la risoluzione dei problemi, l'help desk valuta e corregge se si verifica un problema di licenza con la richiesta di supporto.
Amministratore utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati; può bloccare l'accesso dell'utente. Help Desk gestisce tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati e il blocco dell'accesso di un ex dipendente del cliente ai servizi di Microsoft 365.
Amministratore dei gruppi I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi. Help Desk aggiunge proprietari ai gruppi e aggiunge membri ai gruppi.
Lettore di directory Gli utenti di questo ruolo possono leggere le informazioni di base sulla directory. Help Desk può leggere le informazioni di base sulla directory come parte della risoluzione dei problemi.
Lettore del centro messaggi Può leggere solo messaggi e aggiornamenti per l'organizzazione nel Centro messaggi di Office 365. Help Desk legge il Centro messaggi per risolvere i problemi di supporto.
Amministrazione delle stampanti Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni di Universal Print Connector. Possono fornire il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori della stampante hanno anche accesso ai report di stampa. Help Desk gestisce le configurazioni della stampante e risolve i problemi relativi alla stampante.
Invitante ospite Gli utenti in questo ruolo possono gestire gli inviti degli utenti guest di Microsoft Entra B2B. Help Desk può invitare utenti guest indipendenti dall'impostazione Membri possono invitare utenti guest impostazione.

Ruolo con privilegi minimi per attività

Nella tabella seguente vengono visualizzate le attività all'interno di ogni funzionalità GDAP, insieme al ruolo con privilegi minimi necessari per eseguire ogni attività.

Funzionalità GDAP Compito Ruolo con privilegi minimi
supporto Inviare un ticket di supporto amministratore del supporto del servizio
utenti Aggiungi l'utente al ruolo di directory amministratore del ruolo con privilegi
Aggiungere un utente al gruppo Amministratore degli utenti
Assegnare una licenza amministratore licenze
Creare un utente ospite mittente dell'invito ospite
Reimpostare l'invito dell'utente ospite amministratore di sistema
Creare un utente Amministratore utenti
Eliminare l'utente amministratore degli utenti
Invalidare i token di aggiornamento dell'amministratore limitato Amministratore degli utenti
Invalidare i token di aggiornamento degli utenti non amministratori amministratore di password
Invalidare i token di aggiornamento dell'amministratore con privilegi amministratore dell'autenticazione con privilegi
Leggere la configurazione di base ruolo utente predefinito
Reimpostare la password per un amministratore limitato amministratore degli utenti
Reimposta la password per utente non amministratore l'amministratore delle password
Reimpostare la password per l'amministratore con privilegi amministratore dell'autenticazione con privilegi
Revocare la licenza amministratore licenze
Aggiornare tutte le proprietà ad eccezione del nome principale utente amministratore degli utenti
Aggiornare il nome principale utente per un amministratore limitato amministratore degli utenti
Aggiornare il nome principale utente per l'amministratore privilegiato amministratore globale
Aggiornare le impostazioni utente amministratore globale
Aggiornare i metodi di autenticazione amministratore dell'autenticazione
Gruppi Assegnare una licenza Amministratore di utenti
Creare un gruppo amministratore dei gruppi
Creare, aggiornare o eliminare la verifica di accesso di un gruppo o di un'app amministratore degli utenti
Gestire la scadenza del gruppo amministratore degli utenti
Gestire le impostazioni del gruppo amministratore dei gruppi
Lettura di tutte le configurazioni (ad eccezione dell'appartenenza nascosta) lettori di directory
Leggere appartenenza nascosta Membro del gruppo
Lettura dell'appartenenza ai gruppi con appartenenza nascosta Amministratore Help Desk
Revocare la licenza amministratore licenze
Aggiornare l'appartenenza al gruppo proprietario del gruppo
Aggiornare i proprietari dei gruppi proprietario del gruppo
Aggiornare le proprietà del gruppo proprietario del gruppo
Elimina gruppo amministratore gruppi
licenze Assegnare una licenza amministratore licenze
Leggere tutte le configurazioni lettori di directory
Revocare la licenza amministratore licenze

Ruoli per complessità

Ruolo Semplice Medio Complesso
amministratore dell'applicazione x
sviluppatore di applicazioni x
autore del payload degli attacchi x
amministratore della simulazione di attacchi x
amministratore dell'autenticazione x
Amministratore locale del dispositivo unito a Microsoft Entra x
amministratore di Azure DevOps x
amministratore di Azure Information Protection x
amministratore della fatturazione x
amministratore di applicazioni cloud x x
amministratore di dispositivi cloud x
amministratore conformità x
amministratore dell'accesso condizionale x
amministratore di Desktop Analytics x
lettori di directory x x x
account di sincronizzazione della directory x
amministratore dei nomi di dominio x
amministratore di Dynamics 365 x x
amministratore di Exchange x x
Amministratore dei destinatari di Exchange x
amministratore del fornitore di identità esterno x
lettore globale x x x
amministratore di gruppi x
mittente dell'invito ospite x
amministratore helpdesk x x x
Amministratore di identificazione ibrida x
amministratore di Insights x
amministratore di Intune x x
amministratore licenze x x x
Centro messaggi Lettore per la privacy x
lettore di Centro messaggi di x
amministratore di rete x
amministratore delle app di Office x
amministratore delle password x
amministratore di Power BI x x
amministratore di Power Platform x x
amministratore stampante x
tecnico stampante x
amministratore dell'autenticazione con privilegi x
amministratore del ruolo con privilegi x
Il lettore dei report x x
amministratore di ricerca x
editor di ricerca x
amministratore della sicurezza x x
lettore di sicurezza x x
amministratore del supporto del servizio x x x
amministratore di SharePoint x x
amministratore di Skype for Business x
amministratore di Teams x x
amministratore delle comunicazioni di Teams x
il tecnico del supporto delle comunicazioni di Teams x
specialista di supporto alle comunicazioni di Teams x
amministratore dei dispositivi Teams x
amministratore degli utenti x x x
amministratore di Windows 365 x x