Delen via


Richtlijnen voor GDAP-rollen

Juiste rollen: Beheerdersagent

Dit artikel bevat richtlijnen voor welke ingebouwde Microsoft Entra-rol met minimale bevoegdheden u kunt gebruiken voor elke gedetailleerde mogelijkheid voor gedelegeerde beheerdersbevoegdheden (GDAP). Als u bijvoorbeeld ondersteuningsaanvragen wilt indienen namens een klant, is de rol serviceondersteuningsbeheerder vereist, wat de minst geprivilegieerde ingebouwde rol van Microsoft Entra is voor de tenant van uw klant.

Ondersteuningsaanvragen

Indirecte resellers kunnen geen ondersteuningsaanvragen maken voor Azure. In plaats daarvan moeten ze met hun indirecte providers werken.

Een ondersteuningsaanvraag maken voor: Partners en indirecte providers voor directe facturering moeten de volgende rol met minimale bevoegdheden hebben:
Microsoft 365 in het Microsoft 365-beheercentrum GDAP-roltoewijzing aan een rol met Microsoft.office365.supportTickets/allEntities/allTasks machtigingen, zoals Serviceondersteuningsbeheerder
Dynamics 365 in het Power Platform-beheercentrum GDAP-roltoewijzing aan een rol met Microsoft.office365.supportTickets/allEntities/allTasks machtigingen, zoals Service-ondersteuningsbeheerder
Azure-abonnementsresource in Azure Portal Vereiste: als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie met de klant hebben, zoals wordt uitgelegd in regionale autorisatie van CSP. Zie Stappen voor het instellen van Azure GDAP-voor meer informatie.

Elke GDAP-toewijzing aan een Microsoft Entra-rol, zoals Directory-lezers,

- AND -

RBAC-roltoewijzing (op rollen gebaseerd toegangsbeheer) van Azure aan een rol met Microsoft.Support/supportTickets/write machtigingen, zoals Inzender voor ondersteuningsaanvragen
Microsoft Entra ID in de Azure portal Alternatief 1: Als een klant niet beschikt over Microsoft Entra ID P1 of P2

Vereisten: als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie hebben met de klant per regionale CSP-autorisatie. Zie Stappen voor het instellen van Azure GDAP-voor meer informatie.

Een GDAP-toewijzing aan een Microsoft Entra-rol, zoals Directory-lezers,

- AND -

Azure RBAC-roltoewijzing aan een rol met Microsoft.Support/supportTickets/write machtigingen, zoals Inzender voor ondersteuningsaanvragen

Alternatief 2: Als de klant Microsoft Entra ID P1 of P2 heeft Elke GDAP-toewijzing aan een Microsoft Entra-rol met: microsoft.azure.supportTickets/allEntities/allTasks machtigingen, zoals Service-ondersteuningsbeheerder

GDAP-rollen op partnertypen

De volgende rollen zijn per partnertype.

Indirecte aanbieders

De volgende rollen worden aanbevolen voor indirecte providers om transacties uit te voeren en te beheren:

  • Nieuwe klanttenant maken
  • Resellerrelatie instellen
  • Kopen
  • Abonnementsbeheer
  • Verbeteringen
  • Conversies
  • Het maken en toewijzen van licenties aan de klant
  • Klantenserviceaanvragen (aanvragen die namens de klant worden gemaakt)
rol Beschrijving
Lezerrollen:
Directory-lezers Kan basis mapinformatie lezen. Veelgebruikt voor het verlenen van leestoegang tot toepassingen en gasten in mappen
Registerscriptschrijvers Kan basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers.
wereldwijde lezer Kan alles lezen wat een globale beheerder wel kan, maar kan niets bijwerken
gebruikersbeheer en licentiebeheer:
gebruikersbeheerder Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders
licentiebeheerder Kan productlicenties beheren voor gebruikers en groepen
Service-ondersteuningsbeheerder Kan servicestatusinformatie lezen en ondersteuningsaanvragen beheren
Help Desk:
helpdeskbeheerder Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders

Partners voor directe facturering, indirecte resellers en adviseurs

We raden de volgende rollen aan voor indirecte resellers, adviseurs en directe factureringspartners die ook de rol van MSP's spelen. Ze worden allemaal gecategoriseerd als gespecialiseerde beheerde serviceproviders (MSP's) die de omgeving van de klant volledig beheren als uitbesteed IT-afdeling. Deze sectie is de gecategoriseerde rollen die vereist zijn voor taken en functies.

Taken van een laag-1-technicus in beheerde services

rol taak functie
Serviceondersteuningsbeheerder Verzend ondersteuningsaanvragen namens de klant. Helpdesk maakt en beheert ondersteuningsaanvragen.
Beveiligingslezer Beveiligingsbeleid voor Microsoft 365-services weergeven. Helpdesk verzamelt detectie op de tenant van de klant om beveiligings- en nalevingsbeleidsregels op te lossen of bij te werken, zoals beleid voor preventie van gegevensverlies.
Intune-beheerder Kan alle aspecten van het Intune-product beheren. Helpdesk verwerkt de inschrijving en probleemoplossing van het klantapparaat.
SharePoint-beheerder Kan alle aspecten van de SharePoint-service beheren. Helpdesk beheert machtigingen voor SharePoint-sites.
Ondersteuningsspecialist voor Teams-communicatie Kan de Microsoft Teams-service beheren. Helpdesk lost problemen met gesprekskwaliteit op.
Helpdeskbeheerder U kunt wachtwoorden voor niet-beheerders en deze beheerders opnieuw instellen: Directory Lezers, Gast Uitnodiger, Helpdeskbeheerder, Berichtencentrumlezer, Wachtwoordbeheerder, Rapportenlezer. Helpdesk stelt wachtwoorden opnieuw in.
Desktop Analytics-beheerder Kan bureaubladbeheerhulpprogramma's en -services openen en beheren. Helpdesk kan de desktop analytics-service beheren door inventaris van assets weer te geven en standaardeigenschappen van autorisatiebeleid te lezen.
Verificatiebeheerder Heeft toegang tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn en deze kunnen weergeven, instellen en opnieuw instellen. Helpdesk kan toegang krijgen tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn (bijvoorbeeld MFA en voorwaardelijke toegang) bekijken, instellen en opnieuw instellen.
Exchange-beheerder Gebruikers met deze rol hebben globale machtigingen in Microsoft Exchange Online wanneer de service aanwezig is. Heeft ook de mogelijkheid om alle Microsoft 365-groepen te maken en te beheren, ondersteuningsaanvragen te beheren en de servicestatus te bewaken; kan OBO verzenden en Postvakken in beheren. Helpdesk beheert gedeelde postvakken, helpt bij het oplossen van problemen met postvakquota en maakt en beheert transportregels.
Licentiebeheerder Kan licentietoewijzingen toewijzen, verwijderen en bijwerken. Tijdens het oplossen van problemen beoordeelt en herstelt helpdesk of er een licentieprobleem is met de ondersteuningsaanvraag.
Gebruikersbeheerder Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders; kan gebruikersaanmelding blokkeren. Helpdesk beheert alle aspecten van gebruikers en groepen, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders en het blokkeren van de toegang van een voormalige klantmedewerker tot Microsoft 365-services.
Groepsbeheerder Leden van deze rol kunnen groepen maken/beheren, instellingen voor groepen maken/beheren, zoals naamgevings- en verloopbeleidsregels, en groepsactiviteiten en controlerapporten bekijken. Helpdesk voegt eigenaren toe aan groepen en voegt leden toe aan groepen.
Directorylezer Gebruikers in deze rol kunnen basisdirectory-informatie lezen. Helpdesk kan basismapgegevens lezen als onderdeel van het oplossen van problemen.
Berichtencentrumlezer Kan alleen berichten en updates voor hun organisatie lezen in het Office 365-berichtencentrum. Helpdesk leest berichtencentrum voor om ondersteuningsproblemen op te lossen.
Printerbeheer Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing beheren, inclusief de instellingen van de Universal Print Connector. Ze kunnen toestemming geven voor alle gedelegeerde aanvragen voor afdrukmachtigingen. Printerbeheerders hebben ook toegang tot het afdrukken van rapporten. Helpdesk beheert printerconfiguraties en lost printerproblemen op.
Gastuitnodiger Gebruikers in deze rol kunnen uitnodigingen voor gastgebruikers van Microsoft Entra B2B beheren. Help Desk kan gastgebruikers uitnodigen onafhankelijk van de Leden kunnen gasten uitnodigen instelling.

Rol met minimale bevoegdheden per taak

In de volgende tabel worden taken weergegeven binnen elke GDAP-functie, samen met de minst bevoegde rol die is vereist om elke taak uit te voeren.

GDAP-mogelijkheid Taak Rol met minimale bevoegdheden
Ondersteuning Ondersteuningsticket indienen Service-ondersteuningsbeheerder
gebruikers Gebruiker toevoegen aan directoryrol beheerder van bevoorrechte rollen
Gebruiker toevoegen aan groep gebruikersbeheerder
Licentie toewijzen licentiebeheerder
Gastgebruiker maken gastnodiger
Uitnodiging voor gastgebruikers opnieuw instellen gebruikersbeheerder
Gebruiker maken gebruikersbeheerder
Gebruiker verwijderen gebruikersbeheerder
Vernieuwingstokens van beperkte beheerder ongeldig maken gebruikersbeheerder
Vernieuwings-tokens van niet-beheerders ongeldig maken wachtwoordbeheerder
Vernieuwingstokens van geprivilegieerde beheerder ongeldig maken bevoegde verificatiebeheerder
Basisconfiguratie lezen standaardgebruikersrol
Wachtwoord opnieuw instellen voor beperkte beheerder gebruikersbeheerder
Wachtwoord opnieuw instellen voor niet-beheerders wachtwoordbeheerder
Wachtwoord opnieuw instellen voor bevoegde beheerder bevoegde verificatiebeheerder
Licentie intrekken licentiebeheerder
Alle eigenschappen bijwerken behalve user principal name gebruikersbeheerder
Principal-naam van gebruiker bijwerken voor beperkte beheerder gebruikersbeheerder
Principal-naam van gebruiker bijwerken voor bevoegde beheerder globale beheerder
Gebruikersinstellingen bijwerken globale beheerder
Verificatiemethoden bijwerken verificatiebeheerder
Groepen Licentie toewijzen gebruikersbeheerder
Groep maken Groepsbeheerder
Toegangsbeoordeling van een groep of app maken, bijwerken of verwijderen gebruikersbeheerder
Verlooptijd van groepen beheren gebruikersbeheerder
Groepsinstellingen beheren Groepsbeheerder
Alle configuratie lezen (met uitzondering van verborgen lidmaatschap) Maplezers
Verborgen lidmaatschap lezen Groepslid
Groepslidmaatschappen met verborgen lidmaatschap lezen helpdeskbeheerder
Licentie intrekken licentiebeheerder
Groepslidmaatschap bijwerken groepseigenaar
Groepseigenaren bijwerken groepseigenaar
Groepseigenschappen bijwerken groepseigenaar
Groep verwijderen Groepsbeheerder
Licenties Licentie toewijzen licentiebeheerder
Alle configuratie lezen Directory-lezers
Licentie intrekking licentiebeheerder

Rollen op complexiteit

Rol Eenvoudig Gemiddeld Complex
toepassingsbeheerder x
toepassingsontwikkelaars x
aanvalspayloadauteur x
-beheerder voor aanvalssimulatie x
verificatiebeheerder x
Lokale beheerder van Microsoft Entra-verbonden apparaat x
Azure DevOps-beheerder x
Azure Information Protection-beheerder x
factureringsbeheerder x
cloudtoepassingsbeheerder x x
cloudapparaatbeheerder x
compliancebeheerder x
administrator voor voorwaardelijke toegang x
Desktop Analytics-beheerder x
Telefoonlijstlezers x x x
Directory-synchronisatieaccounts x
domeinnaambeheerder x
Dynamics 365-beheerder x x
Exchange-beheerder x x
Exchange-ontvangerbeheerder x
beheerder van externe id-provider x
globale lezer x x x
Groepsbeheerder x
gastuitnodiger x
helpdeskbeheerder x x x
Hybride beheerder identificeren x
Insights-beheerder x
Intune-beheerder x x
licentiebeheerder x x x
Privacyreader van het berichtencentrum x
lezer van berichtencentrum x
netwerkbeheerder x
Office-toepassingenbeheerder x
wachtwoordbeheerder x
Power BI-beheerder x x
Power Platform-beheerder x x
printerbeheerder x
printertechnicus x
bevoegde verificatiebeheerder x
beheerder van bevoorrechte rollen x
rapportlezer x x
beheerder zoeken x
Zoekeditor x
beveiligingsbeheerder x x
Beveiligingslezer x x
Service-ondersteuningsbeheerder x x x
SharePoint-beheerder x x
Skype voor Bedrijven-beheerder x
Teams-beheerder x x
Teams-communicatiebeheerder x
teams-ondersteuningstechnicus voor communicatie x
Teams-communicatieondersteuningsspecialisten x
Teams-apparatenbeheerder x
gebruikersbeheerder x x x
Windows 365-beheerder x x