Condividi tramite


Carichi di lavoro supportati da privilegi di amministratore delegati granulari

Ruoli appropriati: tutti gli utenti interessati al Centro per i partner

Questo articolo elenca le attività per i carichi di lavoro supportati da privilegi di amministratore delegati granulari (GDAP).

Microsoft Security Copilot

Security Copilot supporta l'accesso GDAP alla piattaforma autonoma e ad alcune esperienze integrate.

Ruoli di Microsoft Entra

Security Copilot ha i propri ruoli non Entra, che devi configurare. I ruoli consigliati da richiedere per l'accesso a GDAP sono Operatore di sicurezza o Lettore di sicurezza, anche se altri ruoli sono supportati. Il cliente deve eseguire un passaggio aggiuntivo per assegnare il ruolo GDAP richiesto al ruolo Copilot di sicurezza appropriato. Per altre informazioni, vedere Assegnare ruoli a Security Copilot.

GDAP in Security Copilot consente di accedere al portale autonomo. Ogni plug-in richiede requisiti di autorizzazione aggiuntivi che potrebbero non supportare GDAP. Per altre informazioni, vedere plugin Security Copilot che supportano GDAP.

Le esperienze incorporate aggiungono funzionalità di Security Copilot ad altri carichi di lavoro. Se tali carichi di lavoro supportano GDAP come Microsoft Defender XDR, le funzionalità incorporate di Security Copilot supportano GDAP. Purview, ad esempio, ha un'esperienza integrata con Security Copilot ed è elencato anche come carico di lavoro che supporta GDAP. Quindi, Security Copilot in Purview supporta GDAP.

Per altre informazioni, vedere anche esperienze incorporate di Security Copilot.

Attività di Microsoft Entra ID

Tutte le attività di Microsoft Entra sono supportate, eccetto le seguenti funzionalità:

Area Funzionalità Problema
Gestione dei gruppi Creazione di un gruppo di Microsoft 365, Amministrazione delle regole di appartenenza dinamica Non supportato
Dispositivi Amministrazione delle impostazioni per Enterprise State Roaming
Applicazioni Consenso a un'applicazione aziendale in linea con l'accesso, Gestione dell'applicazione aziendale 'Impostazioni utente'
Identità esterne Amministrazione delle funzionalità di identità esterne
Monitoraggio Log Analytics, impostazioni di diagnostica, cartelle di lavoro e scheda "Monitoraggio" nella pagina di panoramica di Microsoft Entra
Pagina di panoramica Il mio feed - ruoli per l'utente connesso Potrebbe visualizzare informazioni sui ruoli non corrette; non influisce sulle autorizzazioni effettive
Impostazioni utente Pagina di gestione "Funzionalità utente" Non accessibile a determinati ruoli

Problemi noti:

  • I partner a cui è stato concesso il ruolo di Security Reader o Global Reader di Microsoft Entra tramite GDAP riscontrano un errore "Nessun accesso" quando tentano di accedere ai ruoli e agli amministratori di Microsoft Entra in un tenant del cliente con PIM abilitato. Funziona con il ruolo di amministratore globale.
  • Microsoft Entra Connect Health non supporta GDAP.

Attività dell'interfaccia di amministrazione di Exchange

Per l'interfaccia di amministrazione di Exchange, GDAP supporta le attività seguenti.

Tipo di risorsa Sottotipo risorsa Attualmente supportato Problema
Gestione destinatari Cassette postali Creare una cassetta postale condivisa, aggiornare la cassetta postale, convertirla in cassetta postale condivisa/utente, eliminare una cassetta postale condivisa, gestire le impostazioni del flusso di posta elettronica, gestire i criteri delle cassette postali, gestire gli indirizzi di posta elettronica, gestire le risposte automatiche, gestire altre azioni, modificare le informazioni di contatto, la gestione dei gruppi Aprire la cassetta postale di un altro utente
Risorse Creare/aggiungere una risorsa [Attrezzature/Sala], Eliminare una risorsa, Gestire l'impostazione Nascondi dall'elenco indirizzi globale, Gestire le impostazioni dei delegati di prenotazione, Gestire le impostazioni dei delegati delle risorse
Contatti Creare/aggiungere un contatto [Contatto di posta elettronica/utente], eliminare un contatto, modificare le impostazioni dell'organizzazione
Flusso di posta Tracciatura del Messaggio Avvia una traccia dei messaggi, controlla le query predefinite/personalizzate/autosalvate/scaricabili, regole Avviso, politiche degli avvisi
Domini remoti Aggiungere un dominio remoto, eliminare un dominio remoto, modificare la segnalazione dei messaggi, i tipi di risposta
Domini accettati Gestire i domini accettati
Connettori Aggiungere un connettore, gestire le restrizioni, l'identità di posta elettronica inviata, eliminare il connettore
Ruoli Ruoli di amministratore Aggiungi gruppo di ruoli, Elimina gruppi di ruoli che non sono gruppi di ruoli predefiniti, Modifica gruppi di ruoli che non sono gruppi di ruoli predefiniti, Copia gruppo di ruoli
Migrazione Migrazione Aggiungere Batch di migrazione, provare la migrazione di Google Workspace, approvare il batch di migrazione, visualizzare i dettagli del batch di migrazione, eliminare batch di migrazione
collegamento al centro di amministrazione di Microsoft 365 Collegamento per passare al Centro Amministrazione Microsoft 365
Varie Widget Commenti e suggerimenti, Supporto widget centrale
Dashboard Rapporti

I ruoli RBAC supportati includono quanto segue:

  • Amministratore di Exchange
  • Amministratore globale
  • Amministratore del supporto tecnico
  • Lettore globale
  • Amministratore della sicurezza
  • Amministratore dei destinatari di Exchange

Interfaccia di amministrazione di Microsoft 365

Importante

Gli eventi imprevisti del servizio e il lavoro di sviluppo in corso influiscono su alcune funzionalità chiave dell'interfaccia di amministrazione di Microsoft 365. È possibile visualizzare i problemi di interfaccia di amministrazione di Microsoft 365 attivi nel portale di amministrazione Microsoft.

Siamo lieti di annunciare il rilascio del supporto interfaccia di amministrazione di Microsoft 365 per GDAP. Con questa versione di anteprima, è possibile accedere all'interfaccia di amministrazione con tutti i ruoli di Microsoft Entra supportati dai clienti aziendali ad eccezione dei lettori di directory .

Questa versione include funzionalità limitate e consente di usare le aree seguenti dell'interfaccia di amministrazione di Microsoft 365:

  • Utenti (incluso l'assegnazione di licenze)
  • Licenze di fatturazione>
  • Salute>Salute del servizio
  • Support Central>Creazione di un ticket di supporto

Nota

A partire dal 23 settembre 2024, non è più possibile accedere al menu Fatturazione > Acquisti o al menu Fatturazione > Fatture & Pagamenti per Amministratore per conto di (AOBO) alle pagine nel Centro di amministrazione di Microsoft 365

Problemi noti:

  • Non è possibile esportare i report del prodotto sull'utilizzo del sito.
  • Non è possibile accedere alle app integrate nella barra di navigazione a sinistra.

Attività di Microsoft Purview

Per Microsoft Purview, GDAP supporta le attività seguenti.

Soluzione Attualmente supportato Problema
Controllo Soluzioni di controllo di Microsoft 365
- Configurare il controllo di base/avanzato
- Log di controllo della ricerca
- Uso di PowerShell per la ricerca nel log di controllo
- Esportare/configurare/visualizzare il log di controllo
- Attivare e disattivare il controllo
- Gestire i criteri di conservazione dei log di controllo
- Analizzare i problemi comuni o gli account compromessi
- Esportare/configurare/visualizzare il log di controllo
Responsabile della Conformità Compliance Manager
- Creare e gestire valutazioni
- Creare/estendere/modificare modelli di valutazione
- Assegnare e completare azioni di miglioramento
- Impostare le autorizzazioni utente
MIP Microsoft Purview Information Protection
Informazioni sulla classificazione dei dati
Conoscere la prevenzione della perdita di dati
Classificazione dei dati:
- Creare e gestire tipi di informazioni riservate
- Creare e gestire la corrispondenza esatta dei dati
- Monitorare le operazioni eseguite con il contenuto etichettato usando Esplora attività
Information Protection:
- Creare e pubblicare etichette di riservatezza e criteri di etichetta
- Definire le etichette da applicare ai file e ai messaggi di posta elettronica
- Definire le etichette da applicare a siti e gruppi
- Definire le etichette da applicare agli asset di dati schematizzati
- Applicare automaticamente un'etichetta al contenuto usando l'autoeletichettatura lato client, l'autoeletichettatura lato server e gli asset di dati schematizzati.
- Limitare l'accesso al contenuto etichettato usando la crittografia
- Configurare la privacy e l'accesso utente esterno e la condivisione esterna e l'accesso condizionale per le etichette applicate a siti e gruppi
- Impostare i criteri di etichetta per includere i controlli predefiniti, obbligatori e di downgrade, e applicarli a file, messaggi di posta elettronica, gruppi, siti e contenuti di Power BI
DLP (Prevenzione della perdita dei dati):
- Creare, testare e ottimizzare un criterio DLP
- Eseguire avvisi e gestione degli eventi imprevisti
- Visualizzare gli eventi di corrispondenza delle regole DLP in Esplora attività
- Configurare le impostazioni di prevenzione della perdita dei dati degli endpoint
- Visualizzare il contenuto etichettato in Esplora contenuto
- Creare e gestire classificatori sottoponibili a training
- Supporto per le etichette dei gruppi e dei siti
Gestione del ciclo di vita dei dati di Microsoft Purview Informazioni sulla gestione del ciclo di vita dei dati di Microsoft Purview in Microsoft 365
- Creare e gestire criteri di conservazione statici e adattivi
- Creare etichette di conservazione
- Creare criteri di etichetta di conservazione
- Creare e gestire ambiti adattivi
-Archiviazione
- Importare file PST
Gestione dei record di Microsoft Purview Microsoft Purview Gestione dei record
- Etichettare il contenuto come record
- Etichettare il contenuto come record normativo
- Creare e gestire criteri di etichetta di conservazione statici e adattivi
- Creare e gestire ambiti adattivi
- Eseguire la migrazione delle etichette di conservazione e gestire i requisiti di conservazione con il piano file
- Configurare le impostazioni di conservazione ed eliminazione con le etichette di conservazione
- Conservare il contenuto al verificarsi di un evento con una conservazione basata su eventi
- Gestione dell'eliminazione

Per informazioni sui ruoli supportati di Microsoft Entra nel portale di Microsoft Purview, vedere Autorizzazioni di in Microsoft Purview


Attività di Microsoft 365 Lighthouse

Microsoft 365 Lighthouse è un portale di amministrazione che consente ai provider di servizi gestiti di proteggere e gestire dispositivi, dati e utenti su larga scala per i clienti aziendali di piccole e medie dimensioni.

I ruoli GDAP concedono lo stesso accesso dei clienti a Lighthouse quando questi ruoli GDAP vengono usati per accedere singolarmente ai portali di amministrazione dei clienti. Lighthouse offre una visualizzazione multi-tenant tra utenti, dispositivi e dati in base al livello di autorizzazioni delegate degli utenti. Per una panoramica di tutte le funzionalità di gestione multitenant di Lighthouse, consultare la documentazione di Lighthouse.

Ora i provider di servizi cloud possono usare Lighthouse per configurare GDAP per qualsiasi tenant del cliente. Lighthouse fornisce raccomandazioni sui ruoli basate su diverse funzioni di processo MSP per un MSP e i modelli GDAP lighthouse consentono ai partner di salvare e riapplicare facilmente le impostazioni che consentono l'accesso con privilegi minimi ai clienti. Per altre informazioni e per visualizzare una demo, vedere la configurazione guidata di Lighthouse GDAP.

Per Microsoft 365 Lighthouse, GDAP supporta le attività seguenti. Per altre informazioni sulle autorizzazioni necessarie per accedere a Microsoft 365 Lighthouse, vedere Panoramica delle autorizzazioni in Microsoft 365 Lighthouse.

Conto risorse Attualmente supportato
Pagina Iniziale incluso
Affittuari incluso
Utenti incluso
Dispositivi incluso
Gestione delle minacce incluso
Basi di riferimento incluso
Windows 365 incluso
Integrità dei servizi incluso
Registri di controllo incluso
Inserimento Per eseguire l'onboarding, i clienti devono avere una relazione GDAP e di rivenditore indiretto o una relazione DAP.

I ruoli di controllo degli accessi in base al ruolo di Azure supportati includono quanto segue:

  • Amministratore dell'autenticazione
  • Amministratore di conformità
  • Amministratore dell’accesso condizionale
  • Amministratore dispositivo cloud
  • Amministratore globale
  • Lettore globale
  • Amministratore del supporto tecnico
  • Amministratore di Intune
  • Amministratore di password
  • Amministratore di Autenticazione Privilegiata
  • Amministratore della sicurezza
  • Operatore per la sicurezza
  • Lettore di Sicurezza
  • Amministratore del supporto dei servizi
  • Amministratore utenti

Attività di Windows 365

Per Windows 365, GDAP supporta le attività seguenti.

Conto risorse Attualmente supportato
Cloud PC Elenca PC cloud, Ottieni PC cloud, Ripristina PC cloud, Fine periodo di tolleranza, Ripristina PC cloud azione remota, Ripristino collettivo PC cloud azione remota, Ridimensiona PC cloud azione remota, Ottieni risultati azione remota PC cloud
Immagine del dispositivo Cloud PC Elencare le immagini del dispositivo, ottenere l'immagine del dispositivo, creare un'immagine del dispositivo, eliminare l'immagine del dispositivo, ottenere l'immagine di origine, ricaricare l'immagine del dispositivo
Connessione di rete del Cloud PC alla rete locale Elencare la connessione locale, Ottenere una connessione locale, Creare una connessione locale, Aggiornare la connessione locale, Eliminare una connessione locale, Eseguire controlli di integrità, Aggiornare la password del dominio di Active Directory
Politica di provisioning di Cloud PC Elenca i criteri di provisioning, Ottieni i criteri di provisioning, Crea criteri di provisioning, Aggiorna i criteri di provisioning, Elimina i criteri di provisioning, Assegna i criteri di provisioning
Evento di controllo di Cloud PC Elencare gli eventi di controllo, ottenere l'evento di controllo, ottenere i tipi di attività di controllo
Impostazione utente di Cloud PC Elencare le impostazioni utente, Ottenere l'impostazione utente, Crea impostazione utente, Aggiorna impostazione utente, Elimina impostazione utente, Assegna
Area supportata da Cloud PC Elenco delle aree supportate
Piani di servizio per PC cloud Elencare i piani di servizio

I ruoli di controllo degli accessi basati su ruolo di Azure supportati includono quanto segue:

  • Amministratore globale
  • Amministratore di Intune
  • Amministratore della sicurezza
  • Operatore per la sicurezza
  • Lettore di Sicurezza
  • Lettore globale
  • (In verifica) Amministratore di Windows 365

Risorse non supportate per l'anteprima:

  • N/D

Attività dell'interfaccia di amministrazione di Teams

Per l'interfaccia di amministrazione di Teams, GDAP supporta le attività seguenti.

Conto risorse Attualmente supportato
Utenti Assegnazione dei criteri, impostazioni voce, chiamate in uscita, impostazioni di ritiro delle chiamate di gruppo, impostazioni di delega delle chiamate, numeri di telefono, impostazioni di conferenza
Teams Politiche di Teams, Politiche di aggiornamento
Dispositivi Telefoni IP, Teams Rooms, barre di collaborazione, visualizzazioni di Teams, Pannello di Teams
Posizioni Etichette di report, indirizzi di emergenza, topologia di rete, reti e posizioni
Riunioni Bridge di conferenza, criteri riunione, impostazioni riunione, criteri eventi dal vivo, impostazioni eventi dal vivo
Criteri di messaggistica Criteri di messaggistica
Voce Criteri di emergenza, dial plan, piani di routing vocale, code di chiamate, operatori automatici, criteri di parcheggio di chiamata, criteri di chiamata, criteri ID chiamante, numeri di telefono, instradamento diretto
Analisi e rapporti Report sull'utilizzo
Impostazioni a livello di organizzazione Accesso esterno, Accesso ospite, Impostazioni di Teams, Aggiornamento di Teams, Festività, Account delle risorse
Pianificazione Pianificatore di Rete
Modulo di PowerShell di Teams Tutti i cmdlet di PowerShell del modulo PowerShell di Teams (disponibili dal modulo PowerShell di Teams - versione di anteprima 3.2.0)

I ruoli RBAC supportati includono quanto segue:

  • Amministratore di Teams
  • Amministratore globale
  • Amministratore delle comunicazioni di Teams
  • Ingegnere di Supporto alle Comunicazioni di Teams
  • Lo specialista del supporto alle comunicazioni di Teams
  • Amministratore del dispositivo di Teams
  • Lettore globale

Le risorse non supportate per l'accesso GDAP includono quanto segue:

  • Gestire Squadre
  • Modelli di team
  • App di Teams
  • Pacchetti di politiche
  • Consulente di Teams
  • Dashboard della Qualità della Chiamata
  • Operator Connect

Microsoft Defender XDR

Microsoft Defender XDR è una suite unificata di difesa aziendale antecedente e successiva alla violazione. Coordina in modo nativo il rilevamento, la prevenzione, l'indagine e la risposta tra endpoint, identità, posta elettronica e applicazioni per garantire una protezione integrata da attacchi sofisticati.

Il portale di Microsoft Defender è anche la casa di altri prodotti nello stack di sicurezza di Microsoft 365, ad esempio Microsoft Defender per endpoint e Microsoft Defender per Office 365.

La documentazione di tutte le funzionalità e i prodotti per la sicurezza è disponibile nel portale di Microsoft Defender:

Microsoft Defender per endpoint:

Microsoft Defender per Office 365:

Governance delle app:

Di seguito sono riportate le funzionalità disponibili per i tenant che accedono al portale di Microsoft Defender usando un token GDAP.

Tipo di risorsa Attualmente supportato
Funzionalità di Microsoft Defender XDR Tutte le funzionalità di Microsoft Defender XDR (elencate nella documentazione precedentemente collegata): Eventi imprevisti, Ricerca avanzata, Centro notifiche, Analisi delle minacce, Connessione dei carichi di lavoro di sicurezza seguenti in Microsoft Defender XDR: Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per cloud Apps
Le funzionalità di Microsoft Defender per Endpoint Tutte le funzionalità di Microsoft Defender per Endpoint elencate nella documentazione collegata in precedenza: vedere i dettagli per SKU P1/SMB nella tabella .
Microsoft Defender per Office 365 Tutte le funzionalità di Microsoft Defender per Office 365 elencate nella documentazione precedentemente collegata. Vedere i dettagli per ogni licenza in questa tabella: Sicurezza di Office 365, tra cui Microsoft Defender per Office 365 ed Exchange Online Protection
Governance delle app L'autenticazione funziona per il token GDAP (token app+utente), i criteri di autorizzazione funzionano in base ai ruoli utente come prima

Ruoli di Microsoft Entra supportati nel portale di Microsoft Defender:

Documentazione dei ruoli supportati nel portale di Microsoft Defender

Nota

Non tutti i ruoli sono applicabili a tutti i prodotti di sicurezza. Per informazioni sui ruoli supportati in un prodotto specifico, vedere la documentazione del prodotto.


Funzionalità di MDE nel portale di Microsoft Defender per SKU

Funzionalità degli endpoint per SKU Microsoft Defender for Business Microsoft Defender per Endpoint Piano 1 Microsoft Defender per Endpoint Piano 2
Gestione centralizzata X X X
Configurazione client semplificata X
Gestione di minacce e vulnerabilità X X
Riduzione della superficie di attacco X X X
Protezione di nuova generazione X X X
Rilevamento e risposta degli endpoint X X
Indagine e reazione automatizzate X X
Ricerca delle minacce e conservazione dei dati di sei mesi X
Analisi delle minacce X X
Supporto multipiattaforma per Windows, MacOS, iOS e Android X X X
Esperti di minacce Microsoft X
API dei partner X X X
Microsoft 365 Lighthouse per la visualizzazione degli eventi imprevisti di sicurezza tra i clienti X

Attività di Power BI

Per il carico di lavoro di Power BI, GDAP supporta le attività seguenti.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore - Tutte le voci di menu in "Portale di amministrazione" ad eccezione di "Connessioni di Azure"

Ruoli di Microsoft Entra supportati in questo contesto:

  • Amministratore di Fabric
  • Amministratore globale

Proprietà di Power BI fuori ambito:

  • Non tutte le attività non amministrative sono garantite di funzionare
  • "Connessioni di Azure" nel portale di amministrazione

Attività di SharePoint

Per SharePoint, GDAP supporta le attività seguenti.

Tipo di risorsa Attualmente supportato
Home page Le schede vengono visualizzate, ma i dati potrebbero non comparire
Gestione siti - Siti attivi Creare siti: Sito del team, Sito di comunicazione, Assegnare/modificare il proprietario del sito, Assegnare un'etichetta di riservatezza al sito (se configurata in MICROSOFT Entra ID) durante la creazione del sito, Modificare l'etichetta di riservatezza del sito, Assegnare le impostazioni di privacy al sito (se non predefinite con un'etichetta di riservatezza), Aggiungere/Rimuovere membri a un sito, Modificare le impostazioni di condivisione esterna del sito, Modificare il nome del sito, Modificare l'URL del sito, Visualizzare l'attività del sito, Modificare il limite di archiviazione, Eliminare un sito, Modificare le visualizzazioni predefinite dei siti, Esportare l'elenco di siti in un file CSV, Salvare visualizzazioni personalizzate dei siti, Associare il sito a un hub, Registrare un sito come hub
Gestione siti - Siti attivi Creare altri siti: Centro documenti, Wiki aziendale, Portale di pubblicazione, Centro contenuti
Gestione siti : siti eliminati Ripristinare il sito, eliminare definitivamente il sito (ad eccezione dei siti del team connessi al gruppo di Microsoft 365)
Politiche - Condivisione Impostare criteri di condivisione esterna per SharePoint e OneDrive, Modificare "Altre impostazioni di condivisione esterna", Impostare i criteri per i collegamenti file e cartelle, Modificare "Altre impostazioni" per la condivisione
Controllo di accesso Impostare/modificare i criteri dei dispositivi non gestiti, Impostare/modificare i criteri della sequenza temporale delle sessioni inattive, Impostare/modificare i criteri dei percorsi di rete (separati dai criteri IP di Microsoft Entra, Impostare/modificare i criteri di autenticazione moderni, Impostare/modificare l'accesso a OneDrive)
Impostazione SharePoint - Sito home, SharePoint - Notifiche, SharePoint - Pagine, SharePoint - Creazione del sito, SharePoint - Limiti di archiviazione del sito, OneDrive - Notifiche, OneDrive - Conservazione, OneDrive - Limite di archiviazione, OneDrive - Sincronizzazione
PowerShell Per connettere un tenant del cliente come amministratore GDAP, usare un endpoint di autorizzazione tenant (con l'ID tenant del cliente) nel parametro AuthenticanUrl anziché l'endpoint comune predefinito.
Ad esempio: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize.

I ruoli nell'ambito includono quanto segue:

  • Amministratore di SharePoint
  • Amministratore globale
  • Lettore globale

Le proprietà del Centro Amministrazione di SharePoint che sono fuori dall'ambito di applicazione includono le seguenti:

  • Tutte le funzionalità/funzionalità/modelli di amministrazione classica non rientrano nell'ambito e non sono garantite il corretto funzionamento
  • Nota: per qualsiasi ruolo GDAP supportato dall'interfaccia di amministrazione di SharePoint, i partner non possono modificare file e autorizzazioni per file e cartelle nel sito di SharePoint del cliente. È stato un rischio per la sicurezza per i clienti e ora è stato affrontato.

Attività di Dynamics 365 e Power Platform

Per le applicazioni Power Platform e Dynamics 365 customer engagement (Sales, Service), GDAP supporta le attività seguenti.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore - Tutte le voci di menu nell'interfaccia di amministrazione di Power Platform

I ruoli Microsoft Entra supportati nell'ambito includono quanto segue:

  • Amministratore di Power Platform
  • Amministratore globale
  • Amministratore dell'helpdesk (per Help e supporto tecnico)
  • Amministratore del supporto tecnico del servizio (per Guida e supporto)

Proprietà fuori ambito:


Attività di Dynamics 365 Business Central

Per Dynamics 365 Business Central, GDAP supporta le attività seguenti.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore Tutte le attività*

* Alcune attività richiedono autorizzazioni assegnate all'utente amministratore all'interno dell'ambiente Dynamics 365 Business Central. Fare riferimento alla documentazione disponibile.

I ruoli Microsoft Entra supportati nell'ambito includono quanto segue:

  • Amministratore di Dynamics 365
  • Amministratore globale
  • Amministratore del Servizio di Supporto

Proprietà fuori ambito:

  • None

Attività di Dynamics Lifecycle Services

Per Dynamics Lifecycle Services, GDAP supporta le attività seguenti.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore Tutte le attività

I ruoli Microsoft Entra supportati nel loro ambito includono quanto segue:

  • Amministratore di Dynamics 365
  • Amministratore globale

Proprietà fuori ambito:

  • None

Ruoli di Intune (Endpoint Manager)

Ruoli di Microsoft Entra supportati nell'ambito:

  • Amministratore di Intune
  • Amministratore globale
  • Lettore globale
  • Lettore di Report
  • Lettore di sicurezza
  • Amministratore di conformità
  • Amministratore della sicurezza

Per controllare il livello di accesso per i ruoli sopra, consultare la documentazione RBAC di Intune.

Il supporto per Intune non include l'uso di GDAP durante la registrazione dei server per Microsoft Tunnel o per la configurazione o l'installazione di uno dei connettori per Intune. Esempi di connettori di Intune includono, ad esempio, il connettore Intune per Active Directory, Mobile Threat Defense e il connettore Microsoft Defender per endpoint.

Problema noto: i partner che accedono ai criteri nelle app di Office visualizzano il messaggio «Non è stato possibile recuperare i dati per "OfficeSettingsContainer"». Usare guid per segnalare questo problema a Microsoft."


Portale di Azure

Diagramma che mostra la relazione tra partner e cliente che usa GDAP.

Ruoli di Microsoft Entra nel contesto di:

  • Qualsiasi ruolo di Microsoft Entra, come Directory Readers (il ruolo con privilegi minimi) per l'accesso alla sottoscrizione di Azure come proprietario

Indicazioni sui ruoli GDAP:

  • Il partner e il cliente devono avere una relazione reseller
  • Il partner deve creare un gruppo di sicurezza (ad esempio Manager di Azure) per la gestione di Azure e annidarlo in Agenti di amministrazione per il partizionamento degli accessi ai clienti come procedura consigliata.
  • Quando il partner acquista un piano Azure per il cliente, viene effettuata la sottoscrizione di Azure e al gruppo degli agenti di amministrazione viene assegnato il controllo degli accessi in base al ruolo di Azure con il ruolo di proprietario nella sottoscrizione di Azure.
  • Poiché il gruppo di sicurezza Manager Azure è membro del gruppo Agenti di amministrazione, gli utenti membri di Manager Azure diventano i proprietari RBAC della sottoscrizione di Azure.
  • Per accedere alla sottoscrizione di Azure come proprietario per il cliente, qualsiasi ruolo di Microsoft Entra, ad esempio Lettori directory (ruolo con privilegi minimi) deve essere assegnato al gruppo di sicurezza Manager di Azure

Indicazioni alternative su GDAP di Azure (senza usare l'agente di amministrazione)

Prerequisiti:

  • Il partner e il cliente hanno una relazione Reseller .
  • Il partner crea un gruppo di sicurezza per la gestione di Azure e lo annida nel gruppo HelpDeskAgents, per il partizionamento dell'accesso ai clienti, come pratica consigliata.
  • Il partner acquista un piano di Azure per il cliente. Viene effettuato il provisioning della sottoscrizione di Azure e il partner ha assegnato al gruppo Agenti di amministrazione il ruolo di Azure RBAC come proprietario nella sottoscrizione di Azure, ma non viene effettuata alcuna assegnazione di ruolo per gli Agenti Helpdesk.

Procedure per l'amministratore partner:

L'amministratore partner nella sottoscrizione esegue gli script seguenti usando PowerShell per creare FPO helpdesk nella sottoscrizione di Azure.

  • Connettersi al tenant del partner per ottenere l'oggetto object ID del gruppo HelpDeskAgents.

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of HelpDeskAgents group
    Get-AzADGroup -DisplayName HelpDeskAgents
    
  • Assicurarsi che il cliente abbia:

    • Ruolo di proprietario o amministratore accesso utenti
    • Autorizzazioni per creare assegnazioni di ruolo a livello di sottoscrizione

Passaggi del cliente:

Per completare il processo, il cliente deve eseguire la procedura seguente usando PowerShell o l'interfaccia della riga di comando di Azure.

  • Se si usa PowerShell, il cliente deve aggiornare il modulo Az.Resources.

    Update-Module Az.Resources
    
  • Connettersi al tenant in cui esiste la sottoscrizione CSP.

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  • Connettersi alla sottoscrizione.

    Nota

    Questa connessione è applicabile solo se l'utente dispone delle autorizzazioni di assegnazione di ruolo in un tenant con più sottoscrizioni.

    Set-AzContext -SubscriptionID <"CSP Subscription ID">
    
    az account set --subscription <CSP Subscription ID>
    
  • Creare l'assegnazione di ruolo.

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
    

Visual Studio

Diagramma che mostra la relazione tra il gruppo manager di Visual Studio e il cliente tramite GDAP.

Ruoli di Microsoft Entra nell'ambito:

  • Qualsiasi ruolo di Microsoft Entra, come Lettori directory (ruolo con privilegi minimi), consente l'accesso alla sottoscrizione di Azure in qualità di proprietario.

Indicazioni sui ruoli GDAP per i partner:

  • Prerequisiti:
    • Il partner e il cliente devono avere una relazione Reseller
    • Il partner deve acquistare una sottoscrizione di Azure per il cliente
  • Il partner deve creare un gruppo di sicurezza (ad esempio, Visual studio managers) per l'acquisto e la gestione delle sottoscrizioni di Visual Studio e annidarlo negli Agenti di Amministrazione per il partizionamento dell'accesso per cliente come raccomandato.
  • Il ruolo GDAP per l'acquisto e la gestione di Visual Studio è identico a quello di Azure GDAP.
  • Al gruppo di sicurezza dei manager di Visual Studio deve essere assegnato qualsiasi ruolo di Microsoft Entra, ad esempio Lettori directory (ruolo con privilegi minimi) per accedere alla sottoscrizione di Azure come proprietario
  • Gli utenti che fanno parte del Visual Studio manager gruppo di sicurezza possono acquistareun abbonamento a Visual Studio su Marketplacehttps://marketplace.visualstudio.com (grazie ai membri annidati del gruppo degli agenti amministrativi, gli utenti hanno accesso alla sottoscrizione di Azure).
  • Gli utenti che fanno parte del gruppo di sicurezza manager di Visual Studio possono modificare la quantità di sottoscrizioni di Visual Studio

Screenshot che mostra le sottoscrizioni di Visual Studio disponibili.

  • Gli utenti che fanno parte del gruppo di sicurezza manager di Visual Studio possono annullare la sottoscrizione di Visual Studio (modificando la quantità in zero)
  • Gli utenti che fanno parte del gruppo di sicurezza manager di Visual Studio possono aggiungere sottoscrittori per gestire le sottoscrizioni di Visual Studio( ad esempio, esplorare la directory dei clienti e aggiungere l'assegnazione di ruolo di Visual Studio come sottoscrittore)

Proprietà di Visual Studio fuori ambito:

  • Nessuno

La tabella seguente illustra il motivo per cui potrebbero non essere visualizzati collegamenti AOBO DAP nella pagina di gestione del servizio GDAP.

Collegamenti AOBO DAP Motivo per cui manca nella pagina Di gestione dei servizi GDAP
Microsoft 365 Planner
https://portal.office.com/
Duplicato del collegamento Microsoft 365 AOBO già esistente.
Ondeggiare
https://portal.office.com/
Duplicato del collegamento Microsoft 365 AOBO già esistente.
Windows 10
https://portal.office.com/
Duplicato del collegamento Microsoft 365 AOBO già esistente.
Cloud App Security
https://portal.cloudappsecurity.com/
Microsoft Defender for Cloud Apps è stato ritirato. Questo portale si integra in Microsoft Defender XDR, che supporta GDAP.
Azure IoT Central
https://apps.azureiotcentral.com/
Attualmente non supportato. Fuori ambito per GDAP.
Windows Defender Tecnologia Avanzata di Protezione dalle Minacce
https://securitycenter.windows.com
Windows Defender Advanced Threat Protection è stato ritirato. I partner sono invitati a passare a Microsoft Defender XDR, che supporta GDAP.