다음을 통해 공유


GDAP(세분화된 위임된 관리자 권한)에서 지원하는 워크로드

적절한 역할: 파트너 센터에 관심이 있는 모든 사용자

이 문서에서는 GDAP(세분화된 위임된 관리자 권한)에서 지원하는 워크로드에 대한 작업을 나열합니다.

지원하는 작업은 다음과 같습니다.

Microsoft Entra ID

다음 기능을 제외한 모든 Microsoft Entra 작업이 지원됩니다.

영역 기능 문제
그룹 관리 Microsoft 365 그룹 만들기, 동적 멤버 자격 규칙 관리 지원되지 않음
장치 엔터프라이즈 상태 로밍에 대한 설정 관리
애플리케이션 로그인을 사용하여 엔터프라이즈 애플리케이션 인라인에 동의, 엔터프라이즈 애플리케이션 관리 '사용자 설정'
외부 ID 외부 ID 기능 관리
모니터링 Microsoft Entra 개요 페이지의 로그 분석, 진단 설정, 통합 문서 및 '모니터링' 탭
개요 페이지 내 피드 - 로그인한 사용자에 대한 역할 잘못된 역할 정보를 표시할 수 있습니다. 실제 사용 권한에 영향을 주지 않음
사용자 설정 '사용자 기능' 관리 페이지 특정 역할에 액세스할 수 없음

알려진 문제:

  • GDAP를 통해 Entra 역할 보안 읽기 권한자 또는 전역 읽기 권한이 부여된 파트너는 PIM을 사용하도록 설정된 고객 테넌트에서 Entra 역할 및 관리자에 액세스하려고 할 때 "액세스 권한 없음" 오류가 발생합니다. 전역 관리자 역할과 함께 작동합니다.

Exchange 관리 센터

Exchange 관리 센터의 경우 GDAP에서 지원되는 작업은 다음과 같습니다.

리소스 종류 리소스 하위 유형 현재 지원됨 문제
받는 사람 관리 사서함 공유 사서함 만들기, 사서함 업데이트, 공유/사용자 사서함으로 변환, 공유 사서함 삭제, 메일 흐름 설정 관리, 사서함 정책 관리, 사서함 위임 관리, 전자 메일 주소 관리, 자동 회신 관리, 추가 작업 관리, 연락처 정보 편집, 그룹 관리 다른 사용자의 사서함 열기
리소스 리소스 만들기/추가 [장비/방], 리소스 삭제, GAL 설정에서 숨기기 관리, 예약 대리인 설정 관리, 리소스 대리자 설정 관리
연락처 연락처 만들기/추가 [메일 사용자/메일 연락처], 연락처 삭제, 조직 설정 편집
메일 흐름 메시지 추적 메시지 추적 시작, 기본/사용자 지정/자동 저장/다운로드 가능한 쿼리 확인, 규칙 경고, 경고 정책
원격 도메인 원격 도메인 추가, 원격 도메인 삭제, 메시지 보고 편집, 회신 유형
허용되는 도메인 허용 도메인 관리
커넥터 커넥터 추가, 제한 관리, 보낸 전자 메일 ID, 커넥터 삭제
Roles 관리자 역할 역할 그룹 추가, 기본 제공 역할 그룹이 아닌 역할 그룹 삭제, 기본 제공 역할 그룹이 아닌 역할 그룹 편집, 역할 그룹 복사
마이그레이션 마이그레이션 마이그레이션 일괄 처리 추가, Google 작업 영역 마이그레이션 시도, 마이그레이션 일괄 처리 승인, 마이그레이션 일괄 처리 세부 정보 보기, 마이그레이션 일괄 처리 삭제
Microsoft 365 관리 센터 링크 Microsoft 365 관리 센터로 이동하는 링크
기타 피드백 위젯 제공, 중앙 위젯 지원
대시보드 보고서

지원되는 RBAC 역할에 는 다음이 포함됩니다.

  • Exchange 관리자
  • 전역 관리자
  • 기술 지원팀 관리자
  • 전역 판독기
  • 보안 관리자
  • Exchange 수신자 관리자

Microsoft 365 관리 센터

Important

Microsoft 365 관리 센터 일부 주요 기능은 서비스 인시던트 및 지속적인 개발 작업의 영향을 받을 수 있습니다. Microsoft 관리 포털에서 활성 Microsoft 365 관리 센터 문제를 볼 수 있습니다.

GDAP에 대한 Microsoft 365 관리 센터 지원 릴리스를 발표하게 되어 기쁩니다. 이 미리 보기 릴리스에서는 디렉터리 읽기 프로그램을 제외한 엔터프라이즈 고객이 지원하는 모든 Microsoft Entra 역할을 사용하여 관리 센터에 로그인할 수 있습니다.

이 릴리스에는 제한된 기능이 있으며 Microsoft 365 관리 센터 다음 영역을 사용할 수 있습니다.

  • 사용자 (라이선스 할당 포함)
  • >청구 라이선스
  • 상태>서비스 상태
  • 지원 중앙>만들기 지원 티켓

참고 항목

2024년 9월 23일부터 더 이상 AOBO(Behalf Of) 관리자당 청구 > 구매 메뉴 또는 청구 > 청구서 및 결제에 액세스할 수 없습니다Microsoft 365 관리 센터

알려진 문제:

  • 사이트 사용량 제품 보고서를 내보낼 수 없습니다.
  • 왼쪽 탐색에서 통합 앱을 확인할 수 없습니다.

Microsoft Purview

Microsoft Purview의 경우 GDAP에서 다음 작업을 지원합니다.

솔루션 현재 지원됨 문제
감사 Microsoft 365 감사 솔루션
- 기본/고급 감사 설정
- 감사 로그 검색
- PowerShell을 사용하여 감사 로그 검색
- 감사 로그 내보내기/구성/보기
- 감사 켜기 및 끄기
- 감사 로그 보존 정책 관리
- 일반적인 문제/손상된 계정 조사
- 감사 로그 내보내기/구성/보기
준수 관리자 준수 관리자
- 평가 빌드 및 관리
- 평가 템플릿 만들기/확장/수정
- 개선 작업 할당 및 완료
- 사용자 권한 설정
MIP Microsoft Purview Information Protection
데이터 분류에 대해 알아보기
데이터 손실 방지에 대해 알아보기
데이터 분류:
- 중요한 정보 유형 만들기 및 관리
- 정확한 데이터 일치 만들기 및 관리
- 활동 탐색기를 사용하여 레이블이 지정된 콘텐츠로 수행되는 작업 모니터링
Information Protection:
- 민감도 레이블 및 레이블 정책 만들기 및 게시
- 파일 및 전자 메일에 적용할 레이블 정의
- 사이트 및 그룹에 적용할 레이블 정의
- 스키마화된 데이터 자산에 적용할 레이블 정의
- 클라이언트 쪽 자동 레이블 지정 및 서버 쪽 자동 레이블 지정 및 스키마화된 데이터 자산을 사용하여 콘텐츠에 레이블 자동 적용
- 암호화를 사용하여 레이블이 지정된 콘텐츠에 대한 액세스 제한
- 사이트 및 그룹에 적용되는 레이블에 대한 개인 정보 및 외부 사용자 액세스 및 외부 공유 및 조건부 액세스 구성
- 기본, 필수, 다운그레이드 컨트롤을 포함하도록 레이블 정책을 설정하고 파일 및 전자 메일, 그룹 및 사이트 및 Power BI 콘텐츠에 적용
DLP:
- DLP 정책 만들기, 테스트 및 조정
- 경고 및 인시던트 관리 수행
- 활동 탐색기에서 DLP 규칙 일치 이벤트 보기
- 엔드포인트 DLP 설정 구성
- 콘텐츠 탐색기에서 레이블이 지정된 콘텐츠 보기
- 학습 가능한 분류자 만들기 및 관리
- 그룹 및 사이트 레이블 지원
Microsoft Purview 데이터 수명 주기 관리 Microsoft 365의 Microsoft Purview 데이터 수명 주기 관리 대해 알아보기
- 정적 및 적응형 보존 정책 만들기 및 관리
- 보존 레이블 만들기
- 보존 레이블 정책 만들기
- 적응형 범위 만들기 및 관리
-보관
- PST 파일 가져오기
Microsoft Purview 레코드 관리 Microsoft Purview 레코드 관리
- 콘텐츠에 레코드로 레이블 지정
- 콘텐츠에 규정 레코드로 레이블 지정
- 정적 및 적응형 보존 레이블 정책 만들기 및 관리
- 적응형 범위 만들기 및 관리
- 파일 계획을 사용하여 보존 레이블 마이그레이션 및 보존 요구 사항 관리
- 보존 레이블을 사용하여 보존 및 삭제 설정 구성
- 이벤트 기반 보존을 사용하여 이벤트가 발생할 때 콘텐츠 보존
- 처리 관리

Microsoft 365 규정 준수 포털에서 지원되는 Microsoft Entra 역할에 대해 알아보려면 Microsoft Purview의 사용 권한을 참조 하세요.


Microsoft 365 Lighthouse

Microsoft 365 Lighthouse 는 중소기업 고객을 위해 디바이스, 데이터 및 사용자를 대규모로 보호하고 관리하는 데 도움이 되는 관리 포털입니다.

GDAP 역할은 이러한 GDAP 역할을 사용하여 고객의 관리 포털에 개별적으로 액세스하는 경우와 동일한 고객 액세스 권한을 Lighthouse에 부여합니다. Lighthouse는 사용자의 위임된 권한 수준에 따라 사용자, 디바이스 및 데이터에 대한 다중 테넌트 보기를 제공합니다. 모든 Lighthouse 다중 테넌트 관리 기능에 대한 개요는 Lighthouse 설명서를 참조 하세요.

이제 MSP는 Lighthouse를 사용하여 모든 고객 테넌트에 대해 GDAP를 설정할 수 있습니다. Lighthouse는 MSP에 대한 다양한 MSP 작업 기능을 기반으로 역할 권장 사항을 제공하며, Lighthouse GDAP 템플릿을 사용하면 파트너가 최소 권한의 고객 액세스를 가능하게 하는 설정을 쉽게 저장하고 다시 적용할 수 있습니다. 자세한 내용 및 데모를 보려면 Lighthouse GDAP 설치 마법사참조하세요.

Microsoft 365 Lighthouse의 경우 GDAP에서 지원되는 작업은 다음과 같습니다. Microsoft 365 Lighthouse에 액세스하는 데 필요한 권한에 대한 자세한 내용은 Microsoft 365 Lighthouse의 사용 권한 개요를 참조 하세요.

리소스 현재 지원됨
포함
테넌트 포함
사용자 포함
장치 포함
위협 관리 포함
기준 포함
Windows 365 포함
서비스 상태 포함
감사 로그 포함
온보딩 고객은 GDAP 및 간접 재판매인 관계 또는 온보딩할 DAP 관계가 있어야 합니다.

지원되는 Azure RBAC(Azure 역할 기반 액세스 제어) 역할에 는 다음이 포함됩니다.

  • 인증 관리자
  • 준수 관리자
  • 조건부 액세스 관리자
  • 클라우드 디바이스 관리자
  • 전역 관리자
  • 전역 판독기
  • 기술 지원팀 관리자
  • Intune 관리자
  • 암호 관리자
  • 권한 있는 인증 관리자
  • 보안 관리자
  • 보안 운영자
  • 보안 Reader
  • 서비스 지원 관리자
  • 사용자 관리자

Windows 365

Windows 365의 경우 GDAP에서 지원되는 작업은 다음과 같습니다.

리소스 현재 지원됨
클라우드 PC 클라우드 PC 나열, 클라우드 PC 가져오기, 클라우드 PC 다시 프로비전, 유예 기간 종료, 클라우드 PC 원격 작업 다시 프로비전, 클라우드 PC 원격 작업 대량 다시 프로비전, 클라우드 PC 원격 작업 크기 조정, 클라우드 PC 원격 작업 결과 가져오기
클라우드 PC 디바이스 이미지 디바이스 이미지 나열, 디바이스 이미지 가져오기, 디바이스 이미지 만들기, 디바이스 이미지 삭제, 원본 이미지 가져오기, 디바이스 이미지 다시 업로드
클라우드 PC 온-프레미스 네트워크 연결 온-프레미스 연결 나열, 온-프레미스 연결 가져오기, 온-프레미스 연결 만들기, 온-프레미스 연결 업데이트, 온-프레미스 연결 삭제, 상태 검사 실행, AD 도메인 암호 업데이트
클라우드 PC 프로비저닝 정책 프로비저닝 정책 나열, 프로비저닝 정책 가져오기, 프로비저닝 정책 만들기, 프로비저닝 정책 업데이트, 프로비저닝 정책 삭제, 프로비저닝 정책 할당
클라우드 PC 감사 이벤트 감사 이벤트 나열, 감사 이벤트 가져오기, 감사 활동 유형 가져오기
클라우드 PC 사용자 설정 사용자 설정 나열, 사용자 설정 가져오기, 사용자 설정 만들기, 사용자 설정 업데이트, 사용자 설정 삭제, 할당
클라우드 PC 지원 지역 지원되는 지역 나열
클라우드 PC 서비스 계획 서비스 계획 나열

지원되는 Azure RBAC 역할에 는 다음이 포함됩니다.

  • 전역 관리자
  • Intune 관리자
  • 보안 관리자
  • 보안 운영자
  • 보안 읽기 권한자
  • 전역 판독기
  • (확인 중) Windows 365 관리자

미리 보기용 지원되지 않는 리소스:

  • 해당 없음

Teams 관리 센터

Teams 관리 센터의 경우 GDAP에서 지원되는 작업은 다음과 같습니다.

리소스 현재 지원됨
사용자 정책 할당, 음성 설정, 아웃바운드 통화, 그룹 통화 픽업 설정, 통화 위임 설정, 전화 번호, 회의 설정
Teams Teams 정책, 업데이트 정책
장치 IP 휴대폰, Teams 룸, 공동 작업 모음, Teams 표시, Teams 패널
위치 레이블, 긴급 주소, 네트워크 토폴로지, 네트워크 및 위치 보고
미팅 회의 브리지, 모임 정책, 모임 설정, 라이브 이벤트 정책, 라이브 이벤트 설정
메시징 정책 메시징 정책
음성 긴급 정책, 전화 걸기 플랜, 음성 라우팅 플랜, 통화 큐, 자동 전화 교환, 통화 대기 정책, 통화 정책, 발신자 ID 정책, 전화 번호, 직접 라우팅
분석 및 보고서 사용 보고서
조직 전체 설정 외부 액세스, 게스트 액세스, Teams 설정, Teams 업그레이드, 휴일, 리소스 계정
계획 네트워크 플래너
Teams PowerShell 모듈 Teams PowerShell 모듈의 모든 PowerShell cmdlet(Teams PowerShell 모듈에서 사용 가능 - 3.2.0 미리 보기 버전)

지원되는 RBAC 역할에 는 다음이 포함됩니다.

  • Teams 관리자
  • 전역 관리자
  • Teams 통신 관리자
  • Teams 통신 지원 엔지니어
  • Teams 통신 지원 전문가
  • Teams 디바이스 관리자
  • 전역 판독기

GDAP 액세스를 위해 지원되지 않는 리소스에는 다음이 포함됩니다.

  • Teams 관리
  • 팀 템플릿
  • Teams 앱
  • 정책 패키지
  • Teams Advisor
  • 통화 품질 대시보드

Microsoft Defender XDR

Microsoft Defender XDR은 위반 전후 통합 엔터프라이즈 방어 제품군입니다. 기본적으로 엔드포인트, ID, 이메일 및 애플리케이션에서 검색, 예방, 조사 및 응답을 조정하여 정교한 공격에 대한 통합된 보호를 제공합니다.

Microsoft Defender 포털은 microsoft 365 보안 스택의 다른 제품(예: 엔드포인트용 Microsoft Defender 및 Office 365용 Microsoft Defender)의 본고장이기도 합니다.

모든 기능 및 보안 제품에 대한 설명서는 Microsoft Defender 포털에서 사용할 수 있습니다.

엔드포인트용 Microsoft Defender:

Office 365용 Microsoft Defender:

앱 거버넌스:

다음은 GDAP 토큰을 사용하여 Microsoft Defender 포털에 액세스하는 테넌트에 사용할 수 있는 기능입니다.

리소스 종류 현재 지원됨
Microsoft Defender XDR 기능 모든 Microsoft Defender XDR 기능(위 설명서에 나열된 대로): 인시던트, 고급 헌팅, 알림 센터, 위협 분석, Microsoft Defender XDR에 다음 보안 워크로드 연결: 엔드포인트용 Microsoft Defender, Id용 Microsoft Defender, 클라우드용 Microsoft Defender 앱
엔드포인트용 Microsoft Defender 기능 위의 설명서에 나열된 모든 엔드포인트용 Microsoft Defender 기능은 아래 표P1/SMB SKU별 세부 정보를 참조하세요.
Office 365용 Microsoft Defender 위의 설명서에 나열된 모든 Office 365용 Microsoft Defender 기능입니다. 이 표의 각 라이선스별 세부 정보: Office 365용 Microsoft Defender 및 Exchange Online Protection을 포함한 Office 365 보안
앱 거버넌스 인증은 GDAP 토큰(앱+사용자 토큰)에 대해 작동하며 권한 부여 정책은 이전과 같은 사용자 역할에 따라 작동합니다.

Microsoft Defender 포털에서 지원되는 Microsoft Entra 역할:

Microsoft Defender 포털에서 지원되는 역할 설명서

참고 항목

모든 역할이 모든 보안 제품에 적용되는 것은 아닙니다. 특정 제품에서 지원되는 역할에 대한 자세한 내용은 제품 설명서를 참조하세요.


SKU당 Microsoft Defender 포털에서 지원되는 MDE 기능

SKU당 엔드포인트 기능 비즈니스용 Microsoft Defender 엔드포인트용 Microsoft Defender 플랜 1 엔드포인트용 Microsoft Defender P2
중앙 집중식 관리 X X X
간소화된 클라이언트 구성 X
위협 및 취약성 관리 X X
공격 표면 감소 X X X
차세대 보호 X X X
엔드포인트 검색 및 응답 X X
자동화된 조사 및 응답 X X
위협 헌팅 및 6개월 데이터 보존 X
위협 분석 X X
Windows, MacOS, iOS 및 Android에 대한 플랫폼 간 지원 X X X
Microsoft 위협 전문가 X
파트너 API X X X
고객 간 보안 인시던트 보기용 Microsoft 365 Lighthouse X

Power BI

Power BI 워크로드의 경우 GDAP에서 지원되는 작업은 다음과 같습니다.

리소스 종류 현재 지원됨
관리자 작업 - "Azure 연결"을 제외한 "관리 포털" 아래의 모든 메뉴 항목

범위에서 지원되는 Microsoft Entra 역할:

  • 패브릭 관리자
  • 전역 관리자

범위를 벗어난 Power BI 속성:

  • 관리자가 아닌 모든 작업이 작동하도록 보장되는 것은 아닙니다.
  • 관리 포털의 "Azure 연결"

SharePoint

SharePoint의 경우 GDAP에서 지원되는 작업은 다음과 같습니다.

리소스 종류 현재 지원됨
홈 페이지 카드가 렌더링되지만 데이터가 렌더링되지 않을 수 있습니다.
사이트 관리 – 활성 사이트 사이트 만들기: 사이트 만들기 중 팀 사이트, 커뮤니케이션 사이트, 사이트 소유자 할당/변경, 사이트에 민감도 레이블 할당(Microsoft Entra ID로 구성된 경우), 사이트의 민감도 레이블 변경, 사이트에 개인 정보 설정 할당(민감도 레이블로 미리 정의되지 않은 경우), 사이트에 구성원 추가/제거, 사이트 외부 공유 설정 편집, 사이트 이름 편집, 사이트 URL 편집 사이트 활동 보기, 저장소 제한 편집, 사이트 삭제, 사이트의 기본 제공 보기 변경, 사이트 목록을 CSV 파일로 내보내기, 사이트의 사용자 지정 보기 저장, 허브와 사이트 연결, 사이트를 허브로 등록
사이트 관리 – 활성 사이트 다른 사이트 만들기: 문서 센터, Enterprise Wiki, 게시 포털, 콘텐츠 센터
사이트 관리 – 삭제된 사이트 사이트 복원, 영구 삭제 사이트(Microsoft 365 그룹 연결 팀 사이트 제외)
정책 – 공유 SharePoint 및 비즈니스용 OneDrive 대한 외부 공유 정책 설정, "추가 외부 공유 설정" 변경, 파일 및 폴더 링크에 대한 정책 설정, 공유를 위한 "기타 설정" 변경
Access Control 관리되지 않는 디바이스 정책 설정/변경, 유휴 세션 타임라인 정책 설정/변경, 네트워크 위치 정책 설정/변경(Microsoft Entra IP 정책, 최신 인증 정책 설정/변경, OneDrive 액세스 설정/변경
설정 SharePoint - 홈 사이트, SharePoint - 알림, SharePoint - 페이지, SharePoint - 사이트 만들기, SharePoint - 사이트 저장소 제한, OneDrive - 알림, OneDrive - 보존, OneDrive - 스토리지 제한, OneDrive - 동기화
PowerShell 고객 테넌트를 GDAP 관리자로 연결하려면 기본 공통 엔드포인트 대신 매개 변수에 AuthenticanUrl 테넌트 권한 부여 엔드포인트(고객의 테넌트 ID 포함)를 사용합니다.
예들 들어 Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize입니다.

범위 의 역할에는 다음이 포함됩니다.

  • SharePoint 관리자
  • 전역 관리자
  • 전역 판독기

범위를 벗어난 SharePoint 관리 센터 속성은 다음과 같습니다.

  • 모든 클래식 관리자 기능/기능/템플릿이 범위를 벗어났으며 올바르게 작동하도록 보장되지 않습니다.
  • 참고: SharePoint 관리 센터에서 지원되는 GDAP 역할의 경우 파트너는 고객 SharePoint 사이트의 파일 및 폴더에 대한 파일 및 권한을 편집할 수 없습니다. 이는 고객에게 보안 위험이며 해결되었습니다.

Dynamics 365 and Power Platform

Power Platform 및 Dynamics 365 고객 참여 애플리케이션(Sales, Service)의 경우 GDAP에서 다음 작업을 지원합니다.

리소스 종류 현재 지원됨
관리자 작업 - Power Platform 관리 센터의 모든 메뉴 항목

범위 에서 지원되는 Microsoft Entra 역할은 다음과 같습니다.

  • Power Platform 관리자
  • 전역 관리자
  • 기술 지원팀 관리자(도움말 + 지원)
  • 서비스 지원 관리자(도움말 + 지원)

범위를 벗어난 속성:


Dynamics 365 Business Central

Dynamics 365 Business Central의 경우 GDAP에서 다음 작업을 지원합니다.

리소스 종류 현재 지원됨
관리자 작업 모든 작업*

* 일부 작업에는 Dynamics 365 Business Central 환경 내에서 관리자 사용자에게 할당된 권한이 필요합니다. 사용 가능한 설명서를 참조하세요.

범위 에서 지원되는 Microsoft Entra 역할은 다음과 같습니다.

  • Dynamics 365 관리자
  • 전역 관리자
  • 지원 센터 관리자

범위를 벗어난 속성:

  • None

Dynamics 수명 주기 서비스

Dynamics 수명 주기 서비스의 경우 GDAP에서 다음 작업을 지원합니다.

리소스 종류 현재 지원됨
관리자 작업 모든 작업

범위 에서 지원되는 Microsoft Entra 역할은 다음과 같습니다.

  • Dynamics 365 관리자
  • 전역 관리자

범위를 벗어난 속성:

  • None

Intune(Endpoint Manager)

범위에서 지원되는 Microsoft Entra 역할:

  • Intune 관리자
  • 전역 관리자
  • 전역 판독기
  • 보고서 구독자
  • 보안 판독기
  • 규정 준수 관리자
  • 보안 관리자

위의 역할에 대한 액세스 수준을 확인하려면 Intune RBAC 설명서를 참조 하세요.

Intune 지원은 Microsoft Tunnel용 서버를 등록하거나 Intune용 커넥터를 구성하거나 설치할 때 GDAP 사용을 포함하지 않습니다. Intune 커넥터의 예로는 Active Directory용 Intune 커넥터, 모바일 위협 방어 커넥터 및 엔드포인트용 Microsoft Defender 커넥터포함됩니다.

알려진 문제: Office 앱에서 정책에 액세스하는 파트너는 "'OfficeSettingsContainer'에 대한 데이터를 검색할 수 없습니다. guid를 사용하여 이 문제를 Microsoft에 보고합니다."


Azure Portal

GDAP를 사용하는 파트너와 고객 간의 관계를 보여 주는 다이어그램

범위의 Microsoft Entra 역할:

GDAP 역할 지침:

  • 파트너 및 고객에게 재판매인 관계가 있어야 합니다.
  • 파트너는 Azure를 관리하기 위한 보안 그룹(예: Azure 관리자)을 만들고 권장 모범 사례로 고객 액세스 분할당 관리 에이전트 아래에 중첩해야 합니다.
  • 파트너가 고객에 대한 Azure 플랜을 구매하면 Azure 구독이 프로비전되고 관리 에이전트 그룹에 Azure 구독의 소유자로 Azure RBAC할당됩니다.
  • Azure Manager 보안 그룹은 관리 에이전트 그룹의 구성원이므로 Azure Manager의 구성원인 사용자는 Azure 구독 RBAC 소유자가 됩니다.
  • 고객의 소유자로 Azure 구독에 액세스하려면 디렉터리 읽기 권한자(최소 권한 있는 역할)와 같은 Microsoft Entra 역할을 Azure Manager 보안 그룹에 할당해야 합니다.

대체 Azure GDAP 지침(관리 에이전트를 사용하지 않고)

필수 구성 요소:

  • 파트너와 고객은 재판매인 관계를 맺습니다.
  • 파트너는 Azure 를 관리하기 위한 보안 그룹을 만들고 권장 모범 사례로 고객 액세스 분할당 HelpDeskAgents 그룹 아래에 중첩했습니다.
  • 파트너는 고객을 위한 Azure 플랜을 구입했고, Azure 구독이 프로비전되고 파트너가 Azure 구독의 소유자로 관리 에이전트 그룹 Azure RBAC를 할당했지만 Helpdesk 에이전트에 대한 RBAC 역할 할당은 수행되지 않았습니다.

파트너 관리자 단계:

구독의 파트너 관리자는 PowerShell을 사용하여 Azure 구독에서 Helpdesk FPO를 만드는 다음 스크립트를 실행합니다.

  • 파트너 테넌트에 연결하여 HelpDeskAgents 그룹을 가져옵니다 object ID .

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of HelpDeskAgents group
    Get-AzADGroup -DisplayName HelpDeskAgents
    
  • 고객에게 다음이 있는지 확인합니다.

    • 소유자 또는 사용자 액세스 관리자의 역할
    • 구독 수준에서 역할 할당을 만들 수 있는 권한

고객 단계:

프로세스를 완료하려면 고객은 PowerShell 또는 Azure CLI를 사용하여 다음 단계를 수행해야 합니다.

  1. PowerShell을 사용하는 경우 고객은 모듈을 Az.Resources 업데이트해야 합니다.

    Update-Module Az.Resources
    
  2. CSP 구독이 있는 테넌트에 연결합니다.

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. 구독에 연결합니다.

    참고 항목

    사용자에게 테넌트의 여러 구독에 대한 역할 할당 권한이 있는 경우에만 적용 가능합니다.

    Set-AzContext -SubscriptionID <"CSP Subscription ID">
    
    az account set --subscription <CSP Subscription ID>
    
  4. 역할 할당을 만듭니다.

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
    

Visual Studio

GDAP를 통해 Visual Studio 관리자 그룹과 고객 간의 관계를 보여 주는 다이어그램

범위의 Microsoft Entra 역할:

파트너에 대한 GDAP 역할 지침:

  • 필수 조건:
    • 파트너 및 고객에게 재판매관계가 있어야 합니다.
    • 파트너는 고객을 위해 Azure 구독을 구매해야 합니다.
  • 파트너는 Visual Studio 구독을 구매 및 관리하기 위한 보안 그룹(예 : Visual Studio 관리자)을 만들고 권장 모범 사례로 고객 액세스 분할을 위해 관리 에이전트 아래에 중첩해야 합니다.
  • Visual Studio 를 구매하고 관리하기 위한 GDAP 역할은 Azure GDAP와 동일합니다 .
  • Visual Studio 관리자 보안 그룹은 Azure 구독에 소유자로 액세스하기 위해 디렉터리 읽기 권한자(최소 권한 있는 역할)와 같은 Microsoft Entra 역할을 할당해야 합니다.
  • Visual Studio 관리자 보안 그룹의 사용자 부분은 Marketplace https://marketplace.visualstudio.com 에서 Visual Studio 구독을 구매할 수 있습니다(관리 에이전트의 중첩 멤버로 인해 사용자는 Azure 구독에 액세스할 수 있습니다).
  • Visual Studio 관리자 보안 그룹의 일부인 사용자는 Visual Studio 구독의 수량을 변경할 수 있습니다.

사용 가능한 Visual Studio 구독을 보여 주는 스크린샷

  • Visual Studio 관리자 보안 그룹의 일부인 사용자는 수량을 0으로 변경하여 Visual Studio 구독을 취소할 수 있습니다.
  • Visual Studio 관리자 보안 그룹의 일부인 사용자는 구독자를 추가하여 Visual Studio 구독을 관리할 수 있습니다(예: 고객 디렉터리를 찾아보고 Visual Studio 역할 할당을 구독자로 추가).

Visual Studio 속성이 범위를 벗어났습니다.

  • None

DAP AOBO 링크 GDAP 서비스 관리 페이지에서 누락된 이유
Microsoft 365 Planner
https://portal.office.com/
이는 이미 존재하는 Microsoft 365 AOBO 링크의 중복입니다.
흔들리다
https://portal.office.com/
이는 이미 존재하는 Microsoft 365 AOBO 링크의 중복입니다.
Windows 10
https://portal.office.com/
이는 이미 존재하는 Microsoft 365 AOBO 링크의 중복입니다.
Cloud App Security
https://portal.cloudappsecurity.com/
클라우드용 Microsoft Defender 앱은 사용 중지됩니다. 이 포털은 GDAP를 지원하는 Microsoft Defender XDR병합됩니다.
Azure IoT Central
https://apps.azureiotcentral.com/
현재 지원되지 않습니다. GDAP의 범위를 벗어났습니다.
Windows Defender Advanced Threat Protection
https://securitycenter.windows.com
Windows Defender Advanced Threat Protection은 사용 중지됩니다. 파트너는 GDAP를 지원하는 Microsoft Defender XDR로 이동하는 것이 좋습니다.