Condividi tramite

Ottenere privilegi di amministrazione delegata da un cliente

  • Articolo

ruoli appropriati: agente di amministrazione | Agente di vendita

Per gestire il servizio o la sottoscrizione di un cliente per suo conto, il cliente deve concedere all'utente GDAP (Granular Delegated Admin Privileges) per tale servizio. Per ottenere le autorizzazioni di amministratore da un cliente, invita un cliente a stabilire una relazione di amministrazione (GDAP) con te. Dopo che il cliente approva la richiesta, è necessario concedere autorizzazioni granulari ai gruppi di sicurezza. Accedi al portale di amministrazione del servizio e gestisci il servizio per conto loro.

Fornire e gestire il servizio per il cliente

Dopo aver accettato la richiesta, il cliente verrà visualizzato nella pagina Clienti nel Centro per i partner. È possibile effettuare il provisioning e gestire il servizio per il cliente da questa posizione.

Per gestire l'account, i servizi, gli utenti e le licenze del cliente, seguire questa procedura:

  1. Accedi a Partner Center e seleziona Clienti.
  2. Selezionare Amministrare, quindi espandere il record del cliente selezionando la freccia giù accanto al nome.
  3. Selezionare il portale di amministrazione per il servizio che si vuole gestire.

Importante

I clienti possono riassegnare o rimuovere le autorizzazioni di amministratore nel portale di amministrazione di un servizio. È necessario tenere presente (e informare i clienti) che quando un cliente rimuove le autorizzazioni di amministratore, non è possibile aprire una richiesta di servizio a Microsoft per loro conto fino a quando non si ripristina la relazione.

Sottoscrizioni di Azure e gestione delle risorse

Ogni sottoscrizione di Azure ha un proprio set di ruoli di gestione delle risorse. Prima che un partner Cloud Solution Provider (CSP) possa gestire la sottoscrizione di Azure di un cliente, a tale partner deve essere assegnato uno o più ruoli nella sottoscrizione di Azure. Specificamente:

  1. Quando il partner CSP effettua il provisioning di una nuova sottoscrizione di Azure per il cliente, al gruppo Agenti di amministrazione nel tenant partner CSP viene assegnato automaticamente il ruolo Proprietario nella sottoscrizione. In base a questa assegnazione di ruolo, i membri del gruppo possono accedere e gestire le risorse nella sottoscrizione.
  2. Quando un cliente rimuove i privilegi di amministrazione delegati da un partner tramite il portale di Office 365, il partner può comunque gestire la sottoscrizione di Azure del cliente, purché il partner sia ancora assegnato a uno o più ruoli nella sottoscrizione. Per impedire al partner di gestire la sottoscrizione di Azure, il cliente deve rimuovere l'assegnazione di ruolo.

I clienti possono trovare i partner con privilegi di amministratore delegato

Per scoprire quali partner dispongono di privilegi di amministratore per il tenant dall'interno del portale di amministrazione di Office 365, i clienti possono seguire questa procedura:

  1. Accedere al portale di amministrazione di Office 365 come amministratore globale.
  2. Seleziona Impostazioni>Relazioni partner.
  3. Nella pagina Relazioni partner è possibile visualizzare l'elenco dei propri partner con cui collaborano e dei partner a cui sono stati concessi privilegi di amministrazione delegata al tenant della loro organizzazione.

I clienti possono gestire i privilegi di amministratore delegato di un partner

I clienti possono gestire i diritti e le autorizzazioni per gli account di Office 365 nella pagina relazioni partner nell'interfaccia di amministrazione di Microsoft Office 365. In questa pagina i clienti possono:

  1. Visualizzare i partner con cui hanno una relazione e con quali partner hanno privilegi di amministratore delegati
  2. Rimuovere i privilegi di amministrazione delegata di un partner dal tenant

Il tuo cliente potrebbe decidere di rimuovere i privilegi di amministratore delegato dal tenant, ma mantenere la relazione con te per lo scopo di rinnovo della sottoscrizione e della licenza.

Per rimuovere i privilegi di amministrazione delegata da un partner, i clienti possono seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 .
  2. Seleziona la riga del partner da rimuovere.
  3. Selezionare Rimuovi ruoli.
  4. Quando viene richiesto di confermare, selezionare .

Importante

I clienti non riescono a trovare i partner a cui viene assegnato un ruolo Microsoft Entra usando l'interfaccia di amministrazione di Microsoft Entra/PowerShell/Graph. È invece consigliabile usare la pagina Relazioni partner nel portale di amministrazione di Office 365 per determinare se un privilegio di amministrazione delegata è stato assegnato a un partner.

Privilegi di amministratore delegato in Microsoft Entra ID

Nel tenant di Microsoft Entra del partner sono presenti due gruppi di sicurezza usati per l'amministrazione delegata: agenti di amministrazione e agenti helpdesk.

Quando un cliente concede un privilegio di amministrazione delegata a un partner:

  1. Il gruppo Admin Agent viene assegnato al ruolo di amministratore globale nel tenant del cliente di Microsoft Entra.
  2. Il gruppo Helpdesk Agent è assegnato al ruolo di amministratore helpdesk nel tenant Microsoft Entra del cliente.

In base ai ruoli della directory assegnati, i membri di entrambi i gruppi possono accedere al tenant di Microsoft Entra del cliente e ai servizi di Office 365 usando le credenziali del partner e amministrare per conto del cliente.

Se il cliente rimuove i privilegi di amministratore delegato, le assegnazioni di ruolo di Microsoft Entra vengono rimosse e non sarà possibile gestire il tenant di Microsoft Entra del cliente.

Windows Autopilot

Dal Centro per i partner, i partner CSP possono gestire i profili autopilot per i clienti senza privilegi di amministratore delegati in queste circostanze:

  • Se un cliente rimuove i privilegi di amministrazione delegata ma mantiene una relazione di rivenditore con te, puoi continuare a gestire i profili Autopilot per loro.
  • È possibile gestire i dispositivi dei clienti aggiunti dall'utente o da un altro partner.
  • Non è possibile gestire i dispositivi aggiunti dal cliente tramite Microsoft Store per le aziende, Microsoft Store per la formazione o il portale di Microsoft Intune.

Per altre informazioni su Autopilot, vedere Semplificare la configurazione del dispositivo con Windows Autopilot.

Importante

L'esperienza di gestione di Autopilot corrente nel Centro per i partner potrebbe continuare a cambiare. Al momento della pubblicazione di questo articolo, vengono considerate le modifiche seguenti: