Indicazioni sui ruoli GDAP
ruoli appropriati: agente di amministrazione
Questo articolo fornisce indicazioni su quale ruolo predefinito di Microsoft Entra con privilegi minimi è possibile usare per ogni funzionalità granulare di privilegi di amministratore delegato (GDAP). Ad esempio, per inviare richieste di supporto per conto di un cliente, è necessario il ruolo di amministratore del supporto del servizio , ovvero il ruolo predefinito Microsoft Entra con privilegi minimi nel tenant del cliente.
Richieste di supporto
I rivenditori indiretti non possono creare richieste di supporto per Azure. Devono invece collaborare con i provider indiretti.
| Per creare una richiesta di supporto per: | I partner con fatturazione diretta e i provider indiretti devono avere il seguente ruolo con privilegi minimi: |
|---|---|
| Microsoft 365 nell'interfaccia di amministrazione di Microsoft 365 | Assegnazione di ruolo GDAP a un ruolo con autorizzazioni di Microsoft.office365.supportTickets/allEntities/allTasks, ad esempio amministratore del supporto del servizio |
| Dynamics 365 nell'interfaccia di amministrazione di Power Platform | Assegnazione di ruolo GDAP a un ruolo con autorizzazioni di Microsoft.office365.supportTickets/allEntities/allTasks, ad esempio amministratore del supporto ai servizi |
| risorsa di sottoscrizione di Azure nel portale di Azure |
Prerequisito: Per creare richieste per conto dei clienti utilizzando la sottoscrizione Azure del cliente, i partner devono avere un rapporto di rivenditore con il cliente, come illustrato in Autorizzazione regionale CSP. Per altre informazioni, vedere Passaggi per configurareGDAP di Azure.
qualsiasi assegnazione GDAP a un ruolo Microsoft Entra, ad esempio i lettori di Directory, - AND - Assegnazione di ruoli del controllo degli accessi basato sui ruoli di Azure a un ruolo con autorizzazioni di Microsoft.Support/supportTickets/write, ad esempio collaboratore alla richiesta di supporto |
| ID di Microsoft Entra nel portale di Azure |
Alternativa 1: se un cliente non ha Microsoft Entra ID P1 o P2 Prerequisito: per creare richieste per conto dei clienti utilizzando una sottoscrizione di Azure del cliente, i partner devono avere una relazione di rivenditore con il cliente per l'autorizzazione regionale CSP . Per altre informazioni, vedere Passaggi per configurareGDAP di Azure. qualsiasi assegnazione GDAP a un ruolo Microsoft Entra, ad esempio lettori di directory , - AND - Assegnazione di ruolo RBAC di Azure a un ruolo con autorizzazioni di Microsoft.Support/supportTickets/write, come ad esempio collaboratore alla richiesta di supporto Alternativa 2: se un cliente ha un ID Microsoft Entra P1 o P2 qualsiasi assegnazione GDAP a un ruolo Microsoft Entra con: microsoft.azure.supportTickets/allEntities/allTasks autorizzazioni, come ad esempio amministratore del supporto del servizio |
Ruoli GDAP per tipi di partner
I ruoli seguenti sono in base ai tipi di partner.
Provider indiretti
I ruoli seguenti sono consigliati per i provider indiretti per eseguire transazioni e gestire:
- Creazione di un nuovo tenant cliente
- Configurazione delle relazioni tra rivenditori
- Acquista
- Gestione delle sottoscrizioni
- Aggiornamenti
- Conversioni
- Creazione e assegnazione di licenze utente del cliente
- Richieste di assistenza clienti (richieste di creazione per conto del cliente)
| ruolo | Descrizione |
|---|---|
| Ruoli Lettore : | |
| lettori di directory | Può leggere le informazioni di base sulla directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest |
| scrittori di directory | Può leggere e scrivere informazioni di base sulla directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti. |
| lettore globale | Può leggere tutto ciò che un amministratore globale può, ma non può aggiornare nulla |
| Gestione utenti e gestione delle licenze: | |
| amministratore di utenti | Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati |
| amministratore licenze | Può gestire le licenze di prodotto per utenti e gruppi |
| amministratore del supporto del servizio | Può leggere le informazioni sull'integrità dei servizi e gestire le richieste di supporto |
| servizio di assistenza: | |
| Amministratore del Help Desk | Può reimpostare le password per amministratori non amministratori e amministratori help desk |
Partner con fatturazione diretta, rivenditori indiretti e consulenti
Si raccomanda l'uso dei seguenti ruoli per rivenditori indiretti, consulenti, e partner a fatturazione diretta che svolgono anche la funzione di MSP (provider di servizi gestiti). Sono tutti classificati come provider di servizi gestiti specializzati (MSP) che gestiscono completamente l'ambiente del cliente come reparto IT esternalizzato. Questa sezione descrive i ruoli classificati richiesti dalle attività e dalle funzioni.
Attività di un tecnico di livello 1 nei servizi gestiti
| ruolo | attività | funzione |
|---|---|---|
| Amministratore del supporto del servizio | Inviare richieste di supporto per conto del cliente. | Help Desk crea e gestisce le richieste di supporto. |
| Lettore di sicurezza | Visualizzare i criteri correlati alla sicurezza nei servizi di Microsoft 365. | Il supporto tecnico esegue la raccolta delle informazioni sul tenant del cliente per risolvere problemi o aggiornare le politiche del portale di sicurezza e conformità, ad esempio le politiche di prevenzione della perdita di dati. |
| Amministratore di Intune | Può gestire tutti gli aspetti del prodotto Intune. | Help Desk gestisce la registrazione e la risoluzione dei problemi dei dispositivi dei clienti. |
| Amministratore di SharePoint | Può gestire tutti gli aspetti del servizio SharePoint. | Help Desk gestisce le autorizzazioni del sito di SharePoint. |
| Specialista del supporto delle comunicazioni di Teams | Può gestire il servizio Microsoft Teams. | L'help desk risolve i problemi di qualità delle chiamate. |
| Amministratore assistenza tecnica | Può reimpostare le password per i non-amministratori e i seguenti amministratori: Lettore directory, Invitante ospite, Amministratore dell'help desk, Lettore del Centro messaggi, Amministratore password, e Lettore report. | Help Desk reimposta le password. |
| Amministratore di Desktop Analytics | Può accedere e gestire strumenti e servizi di gestione desktop. | L'help desk può gestire il servizio Desktop Analytics visualizzando l'inventario degli asset e leggendo le proprietà standard dei criteri di autorizzazione. |
| Amministratore dell'autenticazione | Ha accesso a visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore. | Help Desk può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente non amministratore, ad esempio MFA e accesso condizionale. |
| Amministratore di Exchange | Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft Exchange Online quando il servizio è presente. Ha anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire le richieste di supporto e monitorare l'integrità dei servizi; può inviare OBO e gestire le caselle di posta in arrivo. | Help Desk gestisce le cassette postali condivise, consente di risolvere i problemi di quota delle cassette postali e di creare e gestire le regole di trasporto. |
| Amministratore licenze | Può assegnare, rimuovere e aggiornare le assegnazioni di licenze. | Durante la risoluzione dei problemi, l'help desk valuta e corregge se si verifica un problema di licenza con la richiesta di supporto. |
| Amministratore utenti | Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati; può bloccare l'accesso dell'utente. | Help Desk gestisce tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati e il blocco dell'accesso di un ex dipendente del cliente ai servizi di Microsoft 365. |
| Amministratore dei gruppi | I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi. | Help Desk aggiunge proprietari ai gruppi e aggiunge membri ai gruppi. |
| Lettore di directory | Gli utenti di questo ruolo possono leggere le informazioni di base sulla directory. | Help Desk può leggere le informazioni di base sulla directory come parte della risoluzione dei problemi. |
| Lettore del centro messaggi | Può leggere solo messaggi e aggiornamenti per l'organizzazione nel Centro messaggi di Office 365. | Help Desk legge il Centro messaggi per risolvere i problemi di supporto. |
| Amministrazione delle stampanti | Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni di Universal Print Connector. Possono fornire il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori della stampante hanno anche accesso ai report di stampa. | Help Desk gestisce le configurazioni della stampante e risolve i problemi relativi alla stampante. |
| Invitante ospite | Gli utenti in questo ruolo possono gestire gli inviti degli utenti guest di Microsoft Entra B2B. | Help Desk può invitare utenti guest indipendenti dall'impostazione Membri possono invitare utenti guest impostazione. |
Ruolo con privilegi minimi per attività
Nella tabella seguente vengono visualizzate le attività all'interno di ogni funzionalità GDAP, insieme al ruolo con privilegi minimi necessari per eseguire ogni attività.
| Funzionalità GDAP | Compito | Ruolo con privilegi minimi |
|---|---|---|
| supporto | Inviare un ticket di supporto | amministratore del supporto del servizio |
| utenti | Aggiungi l'utente al ruolo di directory | amministratore del ruolo con privilegi |
| Aggiungere un utente al gruppo | Amministratore degli utenti | |
| Assegnare una licenza | amministratore licenze | |
| Creare un utente ospite | mittente dell'invito ospite | |
| Reimpostare l'invito dell'utente ospite | amministratore di sistema | |
| Creare un utente | Amministratore utenti | |
| Eliminare l'utente | amministratore degli utenti | |
| Invalidare i token di aggiornamento dell'amministratore limitato | Amministratore degli utenti | |
| Invalidare i token di aggiornamento degli utenti non amministratori | amministratore di password | |
| Invalidare i token di aggiornamento dell'amministratore con privilegi | amministratore dell'autenticazione con privilegi | |
| Leggere la configurazione di base | ruolo utente predefinito | |
| Reimpostare la password per un amministratore limitato | amministratore degli utenti | |
| Reimposta la password per utente non amministratore | l'amministratore delle password | |
| Reimpostare la password per l'amministratore con privilegi | amministratore dell'autenticazione con privilegi | |
| Revocare la licenza | amministratore licenze | |
| Aggiornare tutte le proprietà ad eccezione del nome principale utente | amministratore degli utenti | |
| Aggiornare il nome principale utente per un amministratore limitato | amministratore degli utenti | |
| Aggiornare il nome principale utente per l'amministratore privilegiato | amministratore globale | |
| Aggiornare le impostazioni utente | amministratore globale | |
| Aggiornare i metodi di autenticazione | amministratore dell'autenticazione | |
| Gruppi | Assegnare una licenza | Amministratore di utenti |
| Creare un gruppo | amministratore dei gruppi | |
| Creare, aggiornare o eliminare la verifica di accesso di un gruppo o di un'app | amministratore degli utenti | |
| Gestire la scadenza del gruppo | amministratore degli utenti | |
| Gestire le impostazioni del gruppo | amministratore dei gruppi | |
| Lettura di tutte le configurazioni (ad eccezione dell'appartenenza nascosta) | lettori di directory | |
| Leggere appartenenza nascosta | Membro del gruppo | |
| Lettura dell'appartenenza ai gruppi con appartenenza nascosta | Amministratore Help Desk | |
| Revocare la licenza | amministratore licenze | |
| Aggiornare l'appartenenza al gruppo | proprietario del gruppo | |
| Aggiornare i proprietari dei gruppi | proprietario del gruppo | |
| Aggiornare le proprietà del gruppo | proprietario del gruppo | |
| Elimina gruppo | amministratore gruppi | |
| licenze | Assegnare una licenza | amministratore licenze |
| Leggere tutte le configurazioni | lettori di directory | |
| Revocare la licenza | amministratore licenze |