GDAP 질문과 대답

파트너 조직에서 관리 에이전트 역할을 가진 사용자는 GDAP 관계 요청만들 수 있습니다.

예. GDAP 관계 요청은 90일 후에 만료됩니다.

아니요. 보안상의 이유로 고객과의 영구 GDAP 관계는 불가능합니다. GDAP 관계의 최대 기간은 2년입니다. 자동 확장사용 설정하여 종료되거나 자동 확장이 사용 안 함설정될 때까지 관리자 관계를 6개월까지 연장할 수 있습니다.

아니요. GDAP 관계는 기업계약을 통해 구매한 구독을 지원하지 않습니다.

예. GDAP 관계는 종료되거나 자동 확장이 사용 안 함으로 설정될 때까지 6개월까지 자동 연장될 수 있습니다.

• 고객과의 GDAP 관계가 만료되면 GDAP 관계 다시 요청합니다.
• GDAP 관계 분석 사용하여 GDAP 관계 만료 날짜를 추적하고 갱신을 준비할 수 있습니다.

GDAP 관계를 확장하거나 갱신하려면 파트너 또는 고객이 자동 확장사용설정해야 합니다. GDAP 자동 확장 및 API관리에 대해 자세히 알아봅니다.

예. GDAP가 활성 상태이면 확장할 수 있습니다.

자동 확장이 Enabled로 설정된 상태에서 365일 동안 GDAP가 생성되었다고 가정해 보겠습니다. 365일에 종료 날짜가 180일로 효과적으로 업데이트됩니다.

예. 활성 GDAP를 자동으로 확장할 수 있습니다.

아니요. 기존 활성 GDAP에 대해 자동 확장을 Enabled로 설정하는 데 고객 동의가 필요하지 않습니다.

아니요. 보안 그룹에 할당된 세분화된 권한은 계속 as-is.

아니요. 전역 관리자 역할로 관리자 관계를 자동으로 확장할 수는 없습니다.

만료되는 세분화된 관계 페이지는 전역 관리자 및 관리자 에이전트 역할이 있는 파트너 사용자에게만 제공됩니다. 이 페이지는 여러 타임라인에서 만료되는 GDAP를 필터링하는 데 도움이 되며 하나 이상의 GDAP에 대해 자동 확장(사용/사용 안 함)을 업데이트하는 데 도움이 됩니다.

아니요. GDAP 관계가 만료되는 경우 고객의 기존 구독은 변경되지 않습니다.

Microsoft Entra 다단계 인증 문제 해결 참조하고 Microsoft Entra 다단계 인증을 사용하여 휴대폰을 분실하거나 전화 번호 변경 클라우드 서비스에 로그인할 수 없습니다.

파트너는 첫 번째 GDAP를 만들 때 권한 있는 인증 관리자 Microsoft Entra 역할을 요청해야 합니다.

• 이 역할을 사용하면 파트너가 관리자 또는 비지정 사용자에 대한 암호 및 인증 방법을 재설정할 수 있습니다. 권한 있는 인증 관리자 역할은 Microsoft Led Tool에서 설정한 역할의 일부이며 고객 만들기 흐름(9월 예정)에서 기본 GDAP와 함께 사용할 수 있도록 계획되어 있습니다.
• 파트너는 고객 관리자가 암호재설정하기 시도할 수 있습니다.
• 예방 조치로 파트너는 고객을 위해 SSPR(셀프 서비스 암호 재설정)을 설정해야 합니다. 자세한 내용은 사용자가 자신의 암호를재설정하도록 허용을 참조하세요.

• 파트너 조직 내에서 관리 에이전트 역할이 있는 사람은 종료 알림을 받습니다.
• 고객 조직 내에서 전역 관리자 역할이 있는 사람은 종료 알림을 받습니다.

예. 파트너는 고객이 파트너 센터 활동 로그에서 GDAP를 제거할 때를 확인할 수 있습니다.

아니요. GDAP는 보다 세분화되고 시간 제한적인 방식으로 고객의 서비스를 관리하려는 파트너를 위한 선택적 기능입니다. GDAP 관계를 만들려는 고객을 선택할 수 있습니다.

대답은 고객을 관리하는 방법에 따라 달라집니다.

• 파트너 사용자가 모든 고객을 관리할 수 있도록 하려면 모든 파트너 사용자를 하나의 보안 그룹에 배치하고 한 그룹이 모든 고객을 관리할 수 있습니다.
• 다양한 파트너 사용자가 다양한 고객을 관리하도록 하려면 고객 격리를 위해 해당 파트너 사용자를 별도의 보안 그룹에 할당합니다.

예. 간접 재판매인(및 간접 공급자 및 직접 청구 파트너)은 파트너 센터에서 GDAP 관계 요청을 만들 수 있습니다.

GDAP 설정의 일부로 파트너 사용자와 함께 파트너 테넌트에서 만든 보안 그룹이 선택되어 있는지 확인합니다. 또한 원하는 Microsoft Entra 역할이 보안 그룹에 할당되었는지 확인합니다. microsoft Entra 역할 할당참조하세요.

이제 고객은 파트너가 차단되지 않고 GDAP로 전환할 수 있도록 조건부 액세스 정책에서 CSP를 제외할 수 있습니다.

• 사용자 포함 - 이 사용자 목록에는 일반적으로 조직이 조건부 액세스 정책에서 대상으로 하는 모든 사용자가 포함됩니다.
• 조건부 액세스 정책을 만들 때 포함할 수 있는 옵션은 다음과 같습니다.
• 사용자 및 그룹 선택
• 게스트 또는 외부 사용자(미리 보기)
• 이 선택 항목은 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 이러한 유형의 사용자가 포함된 특정 테넌트에 대상으로 지정하는 데 사용할 수 있는 몇 가지 선택 항목을 제공합니다. 선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 옵션을 선택할 수 있습니다.
• 서비스 공급자 사용자(예: CSP(클라우드 솔루션 공급자))
• 선택한 사용자 유형에 대해 하나 이상의 테넌트 또는 모든 테넌트 지정을 지정할 수 있습니다.
• 외부 파트너 액세스 - 외부 사용자를 대상으로 하는 조건부 액세스 정책이 서비스 공급자 액세스를 방해할 수 있습니다(예: 세분화된 위임된 관리자 권한). 자세한 내용은 GDAP(세분화된 위임된 관리자 권한)소개를 참조하세요. 서비스 공급자 테넌트 대상 정책의 경우 게스트 또는 외부 사용자 선택 옵션에서 사용할 수 있는 Service 공급자 사용자 외부 사용자 유형을 사용합니다.
• 사용자 제외 - 조직에서 사용자 또는 그룹을 포함하거나 제외하는 경우 제외 작업이 정책의 포함 작업을 재정의하므로 사용자 또는 그룹이 정책에서 제외됩니다.
• 조건부 액세스 정책을 만들 때 제외할 수 있는 옵션은 다음과 같습니다.
• 게스트 또는 외부 사용자
• 이 선택 항목은 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 이러한 유형의 사용자가 포함된 특정 테넌트에 대상으로 지정하는 데 사용할 수 있는 몇 가지 선택 항목을 제공합니다. 선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 선택을 수행할 수 있습니다.
• 서비스 공급자 사용자(예: CSP(클라우드 솔루션 공급자)
• 선택한 사용자 유형에 대해 하나 이상의 테넌트 또는 모든 테넌트 지정을 지정할 수 있습니다. 자세한 내용은 다음을 참조하세요.
• Graph API 환경: 새 외부 사용자 유형 정보가 포함된 베타 API
• 조건부 액세스 정책
• 조건부 액세스 외부 사용자

예. 지원 플랜에 관계없이 파트너 사용자가 고객에 대한 지원 티켓을 만들 수 있는 최소 권한 역할은 서비스 지원 관리자입니다.

아니요. 파트너는 현재 승인 보류 중인 상태에서 GDAP를 종료할 수 없습니다. 고객이 아무런 조치를 취하지 않으면 90일 후에 만료됩니다.

GDAP 관계가 종료되거나 만료된 후 365일(정리) 후에만 동일한 이름을 다시 사용하여 새 GDAP 관계를 만들 수 있습니다.

예. 파트너는 고객 지역당 새 파트너 테넌트를 만들지 않고도 여러 지역에서 고객을 관리할 수 있습니다. GDAP(관리자 관계)에서 제공하는 고객 관리 역할에만 적용됩니다. 트랜잭션 역할 및 기능은 여전히 권한 있는 지역제한됩니다.

아니요. 서비스 공급자는 다중 테넌트 조직의 일부가 될 수 없으며 상호 배타적입니다.

1. 보안 그룹대한 권한을 부여하는 방법을 포함하여 GDAP가 제대로 설정되었는지 확인합니다.
2. 세분화된 보안 그룹 권한 올바른지 확인합니다.
3. 도움말은 보안 부조종사 FAQ 참조하세요.

API 및 GDAP에 대한 자세한 내용은파트너 센터 개발자 설명서를 참조하세요.

예. 파트너는 프로덕션에 베타 GDAP API를 사용하고 나중에 사용할 수 있게 되면 API v.1로 전환하는 것이 좋습니다. "프로덕션 애플리케이션에서 이러한 API를 사용하는 것은 지원되지 않습니다"라는 경고가 있지만, 일반적인 지침은 Graph의 모든 베타 API에 대한 것이며 베타 GDAP Graph API에는 적용되지 않습니다.

예. 파트너가 이 프로세스를 확장할 수 있도록 API를 사용하여 GDAP 관계를 만들 수 있습니다. 그러나 파트너 센터에서는 여러 GDAP 관계를 만들 수 없습니다. API 및 GDAP에 대한 자세한 내용은 파트너 센터 개발자 설명서참조하세요.

API는 한 번에 하나의 보안 그룹에 대해 작동하지만 파트너 센터에서 여러 보안 그룹을 여러 역할에 매핑할 수 있습니다.

각 리소스에 대해 개별적으로 호출합니다. 단일 POST 요청을 만들 때는 하나의 리소스와 해당 범위만 전달합니다. 예를 들어 https://graph.windows.net/Directory.AccessAsUser.All 및 https://graph.microsoft.com/Organization.Read.All모두에 대한 권한을 요청하려면 각각 하나씩 두 개의 서로 다른 요청을 만듭니다.

제공된 링크를 사용하여 리소스 이름을 검색합니다. 로그인 보고서에서 자사 Microsoft 애플리케이션 확인 - Active Directory. 예를 들어 graph.microsoft.com 리소스 ID 00000003-0000-0000-c00000000000000을 찾으려면

이 오류는 일반적으로 쿼리 필터에서 잘못된 식별자를 사용할 때 발생합니다. 이 문제를 해결하려면 리소스 이름이 아닌 올바른 리소스 IDenterpriseApplicationId 속성을 사용하고 있는지 확인합니다.

• enterpriseApplicationId잘못된 요청 graph.microsoft.com 같은 리소스 이름을 사용하지 마세요.
• enterpriseApplicationId대한 요청 수정하려면 리소스 ID(예: 00000003-0000-0000-c000-00000000000000)를 사용합니다.

예를 들어 graph.microsoft.com 리소스의 앞부분에서 "프로필" 범위만 동의했습니다. 이제 profile 및 user.read도 추가해야 합니다. 이전에 동의한 애플리케이션에 새 범위를 추가하려면 다음을 수행합니다.

1. DELETE 메서드를 사용하여 고객의 테넌트에서 기존 애플리케이션 동의를 취소합니다.
2. POST 메서드를 사용하여 추가 범위로 새 애플리케이션 동의를 만듭니다.

쉼표 뒤에 공백을 사용하여 필요한 범위를 연결합니다. 예: "scope": "profile, User.Read"

1. 요청 본문의 'displayName' 및 'applicationId' 속성이 정확하고 고객 테넌트에 동의하려는 애플리케이션과 일치하는지 확인합니다.
2. 동일한 애플리케이션을 사용하여 고객 테넌트에 동의하려는 액세스 토큰을 생성해야 합니다. 예를 들어 애플리케이션 ID가 "12341234-1234-12341234"인 경우 액세스 토큰의 "appId" 클레임도 "12341234-1234-12341234"여야 합니다.
3. 다음 조건 중 하나가 충족되는지 확인합니다.

• 활성 DAP(위임된 관리자 권한)가 있고 사용자는 파트너 테넌트에서 관리 에이전트 보안 그룹의 구성원이기도 합니다.
• 다음 세 가지 GDAP 역할 중 하나 이상을 사용하는 고객 테넌트와 GDAP(세분화된 위임 관리자 권한) 관계가 있으며 액세스 할당을 완료했습니다.
  • 전역 관리자, 애플리케이션 관리자 또는 클라우드 애플리케이션 관리자 역할입니다.
  • 파트너 사용자는 액세스 할당에 지정된 보안 그룹의 구성원입니다.

• 고객별 액세스 분할(권장 모범 사례)을 사용하여 Azure를 관리하려면 보안 그룹(예: Azure Manager)을 만들고 관리 에이전트중첩합니다.
• 고객의 소유자로 Azure 구독에 액세스하려면 Microsoft Entra 기본 제공 역할(예: 디렉터리 읽기 권한자, 최소 권한 있는 역할)를 Azure Manager 보안 그룹에 할당할 수 있습니다. Azure GDAP를 설정하는 단계는 GDAP(세분화된 위임된 관리자 권한)지원하는 워크로드를 참조하세요.

예. Microsoft Entra에서 최소 권한의 역할을 할당하여 사용자의 관리자 권한을 제한하는 방법에 대한 자세한 내용은 Microsoft Entra작업별 최소 권한 역할 참조하세요.

Service 지원 관리자 역할을 할당하는 것이 좋습니다. 자세한 내용은 Microsoft Entra작업별 최소 권한 역할 참조하세요.

• 파트너 센터 API와 UI에서 사용할 수 있는 Microsoft Entra 역할 간의 격차를 줄이기 위해 2024년 7월 파트너 센터 UI에서 9개의 역할 목록을 사용할 수 있습니다.
• 공동 작업 중:
  • Microsoft Edge 관리자
  • 가상 방문 관리자
  • Viva 목표 관리자
  • Viva Pulse 관리자
  • Yammer 관리자
• ID 아래:
  • 권한 관리 관리자
  • 수명 주기 워크플로 관리자
• 기타:
  • 조직 브랜딩 관리자
  • 조직 메시지 승인자

아니요. 파트너 사용자가 고객에 대한 지원 티켓을 만들 수 있는 최소 권한 역할은 Service 지원 관리자. 따라서 고객에 대한 지원 티켓을 만들려면 파트너 사용자가 보안 그룹에 있고 해당 역할을 가진 해당 고객에게 할당되어야 합니다.

모든 역할에 대한 자세한 내용은 microsoft Entra 기본 제공 역할참조하세요. 워크로드에 대한 자세한 내용은 GDAP(세분화된 위임된 관리자 권한)지원하는 워크로드를 참조하세요.

Microsoft 365 관리 센터에는 많은 역할이 사용됩니다. 자세한 내용은 일반적으로 사용되는 Microsoft 365 관리 센터 역할참조하세요.

예. 보안 그룹을 만들고, 승인된 역할을 할당한 다음, 해당 보안 그룹에 파트너 테넌트 사용자를 할당합니다.

고객의 구독에 대한 읽기 전용 액세스는 Global reader, Directory reader및 파트너 계층 2에서 역할을 지원합니다.

관리 에이전트 역할에서 파트너 에이전트를 제거하고 GDAP 보안 그룹에만 추가하는 것이 좋습니다. 이렇게 하면 서비스(예: 서비스 관리 및 로그 서비스 요청)를 관리할 수 있지만 구독을 구매하고 관리할 수는 없습니다(수량 변경, 취소, 변경 예약 등).

관계에 할당된 보안 그룹은 해당 고객에 대한 액세스 권한을 잃게 됩니다. 고객이 DAP 관계를 종료하는 경우에도 마찬가지입니다.

예. 고객과 GDAP 관계를 제거해도 고객과 파트너의 재판매인 관계가 종료되지는 않습니다. 파트너는 여전히 고객을 위한 제품을 구매하고 Azure 예산 및 기타 관련 활동을 관리할 수 있습니다.

아니요. GDAP 관계의 모든 역할은 만료와 동일한 시간을 가지게 하며, 관계가 생성될 때 선택한 기간입니다.

아니요. 신규 및 기존 고객의 주문을 이행하기 위해 GDAP가 필요하지 않습니다. 파트너 센터에서 고객 주문을 이행하기 위해 동일한 프로세스를 계속 사용할 수 있습니다.

GDAP 관계는 고객별 관계입니다. 고객당 여러 관계를 가질 수 있습니다. 각 GDAP 관계는 서로 다른 역할을 가질 수 있으며 CSP 테넌트 내에서 서로 다른 Microsoft Entra 그룹을 사용할 수 있습니다. 파트너 센터에서 역할 할당은 고객-GDAP 관계 수준에서 작동합니다. 다중 사용자 역할 할당을 원하는 경우 API를 사용하여 자동화할 수 있습니다.

GDAP 게스트 관리자는 내 보안 정보자체 보안 정보를 관리할 수 없습니다. 대신 보안 정보 등록, 업데이트 또는 삭제를 위해 게스트인 테넌트 관리자의 지원이 필요합니다. 조직은 신뢰할 수 있는 CSP 테넌트에서 MFA를 신뢰하도록 테넌트 간 액세스 정책을 구성할 수 있습니다. 그렇지 않으면 GDAP 게스트 관리자는 테넌트 관리자(SMS 또는 음성)가 등록할 수 있는 메서드로만 제한됩니다. 자세한 내용은 테넌트 간 액세스 정책참조하세요.

제로 트러스트의 Guid 원칙에 맞춥니다. 최소 권한 액세스사용:

• GDAP에서 지원하는 세분화된 GDAP(위임된 관리자 권한) 지원되는 작업 작업 작업별 최소 권한 역할을 사용하는 것이 좋습니다.
• 나열된 알려진 문제를 해결해야 하는 경우 고객과 협력하여 시간 제한 전역 관리자 역할을 요청합니다.
• 전역 관리자 역할을 가능한 모든 Microsoft Entra 역할로 바꾸는 권장하지는 .

예. 전환 기간 동안 DAP 및 GDAP는 Microsoft 365, Dynamics 365및 Azure 워크로드를 DAP 권한보다 GDAP 권한이 우선적으로 적용됩니다.

DAP 및 GDAP는 전환 기간 동안 공존합니다. 그러나 결국 GDAP는 DAP를 대체하여 파트너와 고객에게 보다 안전한 솔루션을 제공할 수 있도록 합니다. 연속성을 보장하기 위해 가능한 한 빨리 고객을 GDAP로 전환하는 것이 좋습니다.

DAP와 GDAP가 공존하는 동안 기존 DAP 관계 흐름은 변경되지 않습니다.

DAP는 현재 새 고객 테넌트를 만들 때 부여됩니다. 2023년 9월 25일에 Microsoft는 더 이상 새 고객 만들기를 위해 DAP를 부여하지 않고 대신 특정 역할로 기본 GDAP를 부여합니다. 기본 역할은 다음 표와 같이 파트너 유형에 따라 다릅니다.

파트너는 파트너 테넌트의 GDAP 보안 그룹에서 PIM(Privileged Identity Management) 구현하여 JIT(Just-In-Time)의 높은 권한 사용자 액세스를 승격하여 액세스가 자동으로 제거된 암호 관리자와 같은 높은 권한 역할을 부여할 수 있습니다. 2023년 1월 모든 권한 있는 액세스 그룹(PIM for Groups 기능의 이전 이름)은 역할 할당 가능 그룹에 있어야 했습니다. 이 제한은 이제제거됩니다. 이 변경을 감안할 때 PIM테넌트 500개 이상의 그룹 사용하도록 설정할 수 있지만 최대 500개의 그룹만 역할 할당이 가능합니다. 요약:

• 파트너는 PIM에서 역할 할당 가능 및 역할이 할당할 수 없는 그룹을 모두 사용할 수 있습니다. 이 옵션은 PIM에서 /tenant를500개의 그룹에 대한 제한을 효과적으로 제거할 있습니다.
• 최신 업데이트를 사용하면 PIM 메뉴 또는 그룹 메뉴에서 PIM에 그룹 온보딩하는 두 가지 방법이 있습니다. 선택한 방식에 관계없이 순 결과는 동일합니다.
  • PIM 메뉴를 통해 역할 할당 가능/비 역할 할당 가능 그룹을 온보딩하는 기능은 이미 제공됩니다.
  • 그룹 메뉴를 통해 역할 할당 가능/비 역할 할당 가능 그룹을 온보딩하는 기능은 이미 제공됩니다.
• 자세한 내용은 그룹에 대한 PIM(Privileged Identity Management)(미리 보기) - Microsoft Entra참조하세요.

GDAP는 일반적으로 모든 Microsoft 상용 클라우드 서비스(Microsoft 365, Dynamics 365, Microsoft Azure및 microsoft Power Platform 워크로드 )에 대한 지원으로 제공됩니다. DAP 및 GDAP가 공존하는 방법 및 GDAP가 우선하는 방법에 대한 자세한 내용은 이 FAQ에서 DAP 및 GDAP가 공존하는 동안 GDAP 권한이 DAP 권한보다 우선하는 검색하세요. 질문.

API를 사용하여 이 작업을 수행할 수 있습니다.

아니요. GDAP로 전환할 때 PEC 수익은 영향을 받지 않습니다. PEC를 계속 획득할 수 있도록 전환 시 PAL에 변경 내용이 없습니다.

• 파트너의 고객에게 DAP만 있고 DAP가 제거된 경우 PEC는 손실되지 않습니다.
• 파트너의 고객에게 DAP가 있고 동시에 Microsoft 365 및 Azure용 GDAP로 이동하고 DAP가 제거되면 PEC가 손실되지 않습니다.
• 파트너의 고객에게 DAP가 있고 Microsoft 365용 GDAP로 이동하지만 Azure as-is 유지(GDAP로 이동하지 않음)하고 DAP가 제거되면 PEC는 손실되지 않지만 Azure 구독에 대한 액세스는 손실됩니다.
• RBAC 역할이 제거되면 PEC가 손실되지만 GDAP를 제거해도 RBAC는 제거되지 않습니다.

사용자가 GDAP 보안 그룹 및 DAP 관리 에이전트 그룹 모두에 속하고 고객이 DAP와 GDAP 관계를 모두 가지는 경우 GDAP 액세스가 파트너, 고객 및 워크로드 수준에서 우선적으로 적용됩니다.

예를 들어 파트너 사용자가 워크로드에 로그인하고 전역 관리자 역할에 대한 DAP와 전역 판독기 역할에 대한 GDAP가 있는 경우 파트너 사용자는 전역 판독기 권한자 권한만 가져옵니다.

GDAP 역할이 GDAP 보안 그룹(관리 에이전트 아님)에만 할당된 세 명의 고객이 있는 경우:

다음 표에서는 사용자가 다른 고객 테넌트에 로그인할 때 발생하는 상황에 대해 설명합니다.

DAP 및 GDAP는 솔루션 파트너 지정에 적합한 연결 유형이 아닙니다. ADISabling 또는 DAP에서 GDAP로의 전환은 솔루션 파트너 지정 달성에 영향을 주지 않습니다. 또한 레거시 역량 혜택 또는 솔루션 파트너 혜택의 갱신은 영향을 받지 않습니다. Solutions 파트너 지정에 적합한 다른 파트너 연결 유형을 보려면 파트너 센터 솔루션 파트너 지정참조하세요.

Azure Lighthouse와 DAP/GDAP 간의 관계에 대해 Azure 리소스에 대한 분리된 병렬 경로로 간주합니다. 끊어지는 것은 다른 쪽에 영향을 미치지 않아야 합니다.

• Azure Lighthouse 시나리오에서 파트너 테넌트의 사용자는 고객 테넌트에 로그인하지 않으며 고객 테넌트에 Microsoft Entra 권한이 없습니다. Azure RBAC 역할 할당도 파트너 테넌트에 유지됩니다.
• GDAP 시나리오에서 파트너 테넌트에서 고객 테넌트에 로그인하는 사용자가 있습니다. 관리 에이전트 그룹에 대한 Azure RBAC 역할 할당도 고객 테넌트에 있습니다. Azure Lighthouse 경로가 영향을 받지 않는 동안 GDAP 경로(사용자가 더 이상 로그인할 수 없음)를 차단할 수 있습니다. 반대로, GDAP에 영향을 주지 않고 등대 관계(프로젝션)를 끊을 수 있습니다. 자세한 내용은 Azure Lighthouse 설명서를 참조하세요.

간접 재판매인 또는 직접 청구로 CSP(클라우드 솔루션 공급자) 프로그램에 등록된 MSP(관리 서비스 공급자) 는 이제 Microsoft 365 Lighthouse를 사용하여 모든 고객 테넌트에 대해 GDAP를 설정할 수 있습니다. 파트너가 이미 GDAP로의 전환을 관리하는 몇 가지 방법이 있기 때문에 이 마법사를 통해 Lighthouse 파트너는 비즈니스 요구 사항과 관련된 역할 권장 사항을 채택할 수 있습니다. 또한 JIT(Just-In-Time) 액세스와 같은 보안 조치를 채택할 수 있습니다. 또한 MSP는 Lighthouse를 통해 GDAP 템플릿을 만들어 최소 권한의 고객 액세스를 가능하게 하는 설정을 쉽게 저장하고 다시 적용할 수 있습니다. 자세한 내용을 확인하고 데모를 보려면 Lighthouse GDAP 설치 마법사참조하세요. MSP는 Lighthouse의 모든 고객 테넌트에 대해 GDAP를 설정할 수 있습니다. Lighthouse에서 고객의 워크로드 데이터에 액세스하려면 GDAP 또는 DAP 관계가 필요합니다. GDAP 및 DAP가 고객 테넌트에 공존하는 경우 GDAP 사용 보안 그룹의 MSP 기술자에게 GDAP 권한이 우선적으로 적용됩니다. Microsoft 365 Lighthouse 요구 사항에 대한 자세한 내용은 Microsoft 365 Lighthouse대한 요구 사항을 참조하세요.

이 시나리오에 따라야 할 올바른 순서는 다음과 같습니다.

1. Microsoft 365와 Azure둘 다 GDAP 관계를 만듭니다.
2. Microsoft 365 및 Azure모두 위해 보안 그룹에 Microsoft Entra 역할을 할당합니다.
3. DAP보다 우선하도록 GDAP를 구성합니다.
4. DAP를 제거합니다.

다음 순서로 인해 Azure 구독에 대한 액세스 손실될 수 있습니다.

1. DAP를 제거합니다. DAP를 제거하여 Azure 구독에 대한 액세스 권한이 반드시 손실되는 것은 아닙니다. 그러나 현재는 고객의 디렉터리를 찾아서 Azure RBAC 역할 할당을 수행할 수 없습니다(예: 새 고객 사용자를 구독 RBAC 기여자로 할당).
2. Microsoft 365와 Azure를 함께 GDAP 관계를 만듭니다. GDAP가 설정되는 즉시 이 단계에서 Azure 구독에 대한 액세스 권한이 손실될 수 있습니다.
3. Microsoft 365 및 Azure 모두 위해 보안 그룹에 Microsoft Entra 역할 할당

Azure GDAP 설정이 완료된 후 Azure 구독에 대한 액세스 권한을 다시 얻습니다.

소유자로 관리하는 DAP 없는 Azure 구독이 경우 해당 고객에게 Microsoft 365용 GDAP를 추가하면 Azure 구독에 대한 액세스 권한이 손실될 수 있습니다. 액세스 손실을 방지하려면 고객을 Microsoft 365 GDAP로 이동하는 동시에 고객을 Azure GDAP 이동합니다.

아니요. 일단 수락된 관계는 다시 사용할 수 없습니다.

고객과 기존 재판매인 관계가 있는 경우 Azure 구독을 관리하기 위해 GDAP 관계를 설정해야 합니다.

1. Microsoft Entra에서 보안 그룹(예: Azure Manager)을 만듭니다.
2. 디렉터리 판독기 역할과 GDAP 관계를 만듭니다.
3. 보안 그룹을 관리 에이전트 그룹의 구성원으로 만듭니다. 이러한 단계를 수행한 후에는 AOBO를 통해 고객의 Azure 구독을 관리할 수 있습니다. CLI/Powershell을 통해 구독을 관리할 수 없습니다.

예. 기존 재판매인 관계가 있는 DAP 또는 GDAP가 없더라도 Azure 플랜을 만들 수 있습니다. 그러나 해당 구독을 관리하려면 DAP 또는 GDAP가 필요합니다.

파트너가 DAP에서 GDAP로 전환할 때 회사 세부 정보를 보려면 다음이 있는지 확인해야 합니다.

• 활성 GDAP 관계입니다.
• 전역 관리자, 디렉터리 읽기 권한자, 전역 읽기 권한자 등 Microsoft Entra 역할이 할당됩니다. 보안 그룹에 세분화된 권한을 부여하는 참조하세요.

CSP가 CSP 자격 증명을 사용하여 고객의 Azure Portal(portal.azure.come)에 로그인하고 GDAP 관계가 있는 경우 CSP는 해당 사용자 이름이 "user_"이고 그 뒤에 몇 가지 숫자가 옵니다. DAP와 같이 실제 사용자 이름은 표시되지 않습니다. 그것은 의도적으로.

파트너는 명시적으로 기본 GDAP에서 보안 그룹에 세분화된 권한을 부여해야 합니다.
2023년 10월 10일부터 DAP는 재판매인 관계에서 더 이상 사용할 수 없습니다. 업데이트된 요청 재판매인 관계 링크는 파트너 센터 UI에서 사용할 수 있으며 API 계약 "/v1/customers/relationship requests" 속성 URL은 고객 테넌트 관리자에게 보낼 초대 URL을 반환합니다.

예, 파트너는 고객을 관리하기 위해 기본 GDAP에서 보안 그룹에 세분화된 권한을 부여할 명시적으로 부여해야 합니다.

DAP 또는 GDAP 없이만 재판매인 관계를 맺은 파트너는 고객을 만들고, 주문을 수행하고 관리하고, 소프트웨어 키를 다운로드하고, Azure RI를 관리할 수 있습니다. 고객 회사 세부 정보를 볼 수 없고, 사용자를 보거나, 사용자에게 라이선스를 할당할 수 없으며, 고객을 대신하여 티켓을 기록할 수 없으며, 제품별 관리 센터(예: Teams 관리 센터)에 액세스하고 관리할 수 없습니다.

파트너 또는 CPV가 고객 테넌트에 액세스하고 관리하려면 해당 앱의 서비스 주체가 고객 테넌트에서 동의해야 합니다. DAP가 활성화된 경우 파트너 테넌트의 관리 에이전트 SG에 앱의 서비스 주체를 추가해야 합니다. GDAP를 사용하면 파트너는 고객 테넌트에서 앱에 동의해야 합니다. 앱이 위임된 권한(앱 + 사용자)을 사용하고 활성 GDAP가 세 가지 역할(클라우드 애플리케이션 관리자, 애플리케이션 관리자, 전역 관리자) 동의 API 사용할 수 있는 경우 앱이 애플리케이션 전용 권한을 사용하는 경우 테넌트 전체 관리자 동의 URL사용하여 세 가지 역할(클라우드 애플리케이션 관리자, 애플리케이션 관리자, 전역 관리자) 중 하나를 가진 파트너 또는 고객이 수동으로 동의해야 합니다.

다음 오류가 표시되는 경우:

"현재 '새 GDAP 관계 만들기' 요청의 유효성을 검사할 수 없습니다. 이 서비스에는 익명 연결이 허용되지 않는 것이 좋습니다. 이 메시지가 오류로 수신되었다고 생각되면 요청을 다시 시도하세요. 수행할 수 있는 작업에 대해 알아보려면 선택합니다. 문제가 지속되면 지원 팀에 문의하고 메시지 코드 715-123220 및 트랜잭션 ID: guid를 참조하세요."

ID 확인 서비스가 제대로 실행되도록 Microsoft에 연결하는 방법을 변경합니다. 계정이 손상되지 않고 Microsoft가 준수해야 하는 규정을 준수하는 데 도움이 됩니다.

수행할 수 있는 작업은 다음과 같습니다.

• 브라우저 캐시를 지웁 수 있습니다.
• 브라우저에서 추적 방지를 해제하거나 예외/안전 목록에 사이트를 추가합니다.
• 사용 중인 VPN(Virtual Private Network) 프로그램 또는 서비스를 끕니다.
• VM(가상 머신)을 통하지 않고 로컬 디바이스에서 직접 연결합니다.

이전 단계를 시도한 후에도 연결할 수 없는 경우 IT 지원 센터와 상의하여 설정을 확인하여 문제의 원인을 파악하는 데 도움이 되는지 확인하는 것이 좋습니다. 경우에 따라 회사의 네트워크 설정에서 문제가 발생합니다. 예를 들어 IT 관리자는 사이트를 안전하게 나열하거나 다른 네트워크 설정을 조정하여 문제를 해결해야 합니다.

• 제한(직접 청구): 새 GDAP(관리자 관계)를 만들 수 없습니다. 기존 GDAP 및 해당 역할 할당을 업데이트할 수 있습니다.
• 일시 중단됨(직접 청구/간접 공급자/간접 재판매인): 새 GDAP를 만들 수 없습니다. 기존 GDAP 및 해당 역할 할당은 업데이트할 수 없습니다.
• 제한된(직접 청구) + 활성(간접 재판매인): 제한된 직접 청구의 경우 새 GDAP(관리자 관계)를 만들 수 없습니다. 기존 GDAP 및 해당 역할 할당을 업데이트할 수 있습니다. 활성 간접 재판매인의 경우: 새 GDAP를 만들 수 있으며 기존 GDAP 및 해당 역할 할당을 업데이트할 수 있습니다. 오프보딩된 새 GDAP를 만들 수 없는 경우 기존 GDAP 및 해당 역할 할당을 업데이트할 수 없습니다.

예. GDAP의 현재 릴리스는 모든 제품을 지원합니다. Microsoft 365, Dynamics 365, Microsoft Power Platform및 microsoft Azure.