Richtlijnen voor GDAP-rollen
Juiste rollen: Beheerdersagent
Dit artikel bevat richtlijnen voor welke ingebouwde Microsoft Entra-rol met minimale bevoegdheden u kunt gebruiken voor elke gedetailleerde mogelijkheid voor gedelegeerde beheerdersbevoegdheden (GDAP). Als u bijvoorbeeld ondersteuningsaanvragen wilt indienen namens een klant, is de rol serviceondersteuningsbeheerder vereist, wat de minst geprivilegieerde ingebouwde rol van Microsoft Entra is voor de tenant van uw klant.
Ondersteuningsaanvragen
Indirecte resellers kunnen geen ondersteuningsaanvragen maken voor Azure. In plaats daarvan moeten ze met hun indirecte providers werken.
| Een ondersteuningsaanvraag maken voor: | Partners en indirecte providers voor directe facturering moeten de volgende rol met minimale bevoegdheden hebben: |
|---|---|
| Microsoft 365 in het Microsoft 365-beheercentrum | GDAP-roltoewijzing aan een rol met Microsoft.office365.supportTickets/allEntities/allTasks machtigingen, zoals Serviceondersteuningsbeheerder |
| Dynamics 365 in het Power Platform-beheercentrum | GDAP-roltoewijzing aan een rol met Microsoft.office365.supportTickets/allEntities/allTasks machtigingen, zoals Service-ondersteuningsbeheerder |
| Azure-abonnementsresource in Azure Portal |
Vereiste: als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie met de klant hebben, zoals wordt uitgelegd in regionale autorisatie van CSP. Zie Stappen voor het instellen van Azure GDAP-voor meer informatie.
Elke GDAP-toewijzing aan een Microsoft Entra-rol, zoals Directory-lezers, - AND - RBAC-roltoewijzing (op rollen gebaseerd toegangsbeheer) van Azure aan een rol met Microsoft.Support/supportTickets/write machtigingen, zoals Inzender voor ondersteuningsaanvragen |
| Microsoft Entra ID in de Azure portal |
Alternatief 1: Als een klant niet beschikt over Microsoft Entra ID P1 of P2 Vereisten: als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie hebben met de klant per regionale CSP-autorisatie. Zie Stappen voor het instellen van Azure GDAP-voor meer informatie. Een GDAP-toewijzing aan een Microsoft Entra-rol, zoals Directory-lezers, - AND - Azure RBAC-roltoewijzing aan een rol met Microsoft.Support/supportTickets/write machtigingen, zoals Inzender voor ondersteuningsaanvragen Alternatief 2: Als de klant Microsoft Entra ID P1 of P2 heeft Elke GDAP-toewijzing aan een Microsoft Entra-rol met: microsoft.azure.supportTickets/allEntities/allTasks machtigingen, zoals Service-ondersteuningsbeheerder |
GDAP-rollen op partnertypen
De volgende rollen zijn per partnertype.
Indirecte aanbieders
De volgende rollen worden aanbevolen voor indirecte providers om transacties uit te voeren en te beheren:
- Nieuwe klanttenant maken
- Resellerrelatie instellen
- Kopen
- Abonnementsbeheer
- Verbeteringen
- Conversies
- Het maken en toewijzen van licenties aan de klant
- Klantenserviceaanvragen (aanvragen die namens de klant worden gemaakt)
| rol | Beschrijving |
|---|---|
| Lezerrollen: | |
| Directory-lezers | Kan basis mapinformatie lezen. Veelgebruikt voor het verlenen van leestoegang tot toepassingen en gasten in mappen |
| Registerscriptschrijvers | Kan basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. |
| wereldwijde lezer | Kan alles lezen wat een globale beheerder wel kan, maar kan niets bijwerken |
| gebruikersbeheer en licentiebeheer: | |
| gebruikersbeheerder | Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders |
| licentiebeheerder | Kan productlicenties beheren voor gebruikers en groepen |
| Service-ondersteuningsbeheerder | Kan servicestatusinformatie lezen en ondersteuningsaanvragen beheren |
| Help Desk: | |
| helpdeskbeheerder | Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders |
Partners voor directe facturering, indirecte resellers en adviseurs
We raden de volgende rollen aan voor indirecte resellers, adviseurs en directe factureringspartners die ook de rol van MSP's spelen. Ze worden allemaal gecategoriseerd als gespecialiseerde beheerde serviceproviders (MSP's) die de omgeving van de klant volledig beheren als uitbesteed IT-afdeling. Deze sectie is de gecategoriseerde rollen die vereist zijn voor taken en functies.
Taken van een laag-1-technicus in beheerde services
| rol | taak | functie |
|---|---|---|
| Serviceondersteuningsbeheerder | Verzend ondersteuningsaanvragen namens de klant. | Helpdesk maakt en beheert ondersteuningsaanvragen. |
| Beveiligingslezer | Beveiligingsbeleid voor Microsoft 365-services weergeven. | Helpdesk verzamelt detectie op de tenant van de klant om beveiligings- en nalevingsbeleidsregels op te lossen of bij te werken, zoals beleid voor preventie van gegevensverlies. |
| Intune-beheerder | Kan alle aspecten van het Intune-product beheren. | Helpdesk verwerkt de inschrijving en probleemoplossing van het klantapparaat. |
| SharePoint-beheerder | Kan alle aspecten van de SharePoint-service beheren. | Helpdesk beheert machtigingen voor SharePoint-sites. |
| Ondersteuningsspecialist voor Teams-communicatie | Kan de Microsoft Teams-service beheren. | Helpdesk lost problemen met gesprekskwaliteit op. |
| Helpdeskbeheerder | U kunt wachtwoorden voor niet-beheerders en deze beheerders opnieuw instellen: Directory Lezers, Gast Uitnodiger, Helpdeskbeheerder, Berichtencentrumlezer, Wachtwoordbeheerder, Rapportenlezer. | Helpdesk stelt wachtwoorden opnieuw in. |
| Desktop Analytics-beheerder | Kan bureaubladbeheerhulpprogramma's en -services openen en beheren. | Helpdesk kan de desktop analytics-service beheren door inventaris van assets weer te geven en standaardeigenschappen van autorisatiebeleid te lezen. |
| Verificatiebeheerder | Heeft toegang tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn en deze kunnen weergeven, instellen en opnieuw instellen. | Helpdesk kan toegang krijgen tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn (bijvoorbeeld MFA en voorwaardelijke toegang) bekijken, instellen en opnieuw instellen. |
| Exchange-beheerder | Gebruikers met deze rol hebben globale machtigingen in Microsoft Exchange Online wanneer de service aanwezig is. Heeft ook de mogelijkheid om alle Microsoft 365-groepen te maken en te beheren, ondersteuningsaanvragen te beheren en de servicestatus te bewaken; kan OBO verzenden en Postvakken in beheren. | Helpdesk beheert gedeelde postvakken, helpt bij het oplossen van problemen met postvakquota en maakt en beheert transportregels. |
| Licentiebeheerder | Kan licentietoewijzingen toewijzen, verwijderen en bijwerken. | Tijdens het oplossen van problemen beoordeelt en herstelt helpdesk of er een licentieprobleem is met de ondersteuningsaanvraag. |
| Gebruikersbeheerder | Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders; kan gebruikersaanmelding blokkeren. | Helpdesk beheert alle aspecten van gebruikers en groepen, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders en het blokkeren van de toegang van een voormalige klantmedewerker tot Microsoft 365-services. |
| Groepsbeheerder | Leden van deze rol kunnen groepen maken/beheren, instellingen voor groepen maken/beheren, zoals naamgevings- en verloopbeleidsregels, en groepsactiviteiten en controlerapporten bekijken. | Helpdesk voegt eigenaren toe aan groepen en voegt leden toe aan groepen. |
| Directorylezer | Gebruikers in deze rol kunnen basisdirectory-informatie lezen. | Helpdesk kan basismapgegevens lezen als onderdeel van het oplossen van problemen. |
| Berichtencentrumlezer | Kan alleen berichten en updates voor hun organisatie lezen in het Office 365-berichtencentrum. | Helpdesk leest berichtencentrum voor om ondersteuningsproblemen op te lossen. |
| Printerbeheer | Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing beheren, inclusief de instellingen van de Universal Print Connector. Ze kunnen toestemming geven voor alle gedelegeerde aanvragen voor afdrukmachtigingen. Printerbeheerders hebben ook toegang tot het afdrukken van rapporten. | Helpdesk beheert printerconfiguraties en lost printerproblemen op. |
| Gastuitnodiger | Gebruikers in deze rol kunnen uitnodigingen voor gastgebruikers van Microsoft Entra B2B beheren. | Help Desk kan gastgebruikers uitnodigen onafhankelijk van de Leden kunnen gasten uitnodigen instelling. |
Rol met minimale bevoegdheden per taak
In de volgende tabel worden taken weergegeven binnen elke GDAP-functie, samen met de minst bevoegde rol die is vereist om elke taak uit te voeren.
| GDAP-mogelijkheid | Taak | Rol met minimale bevoegdheden |
|---|---|---|
| Ondersteuning | Ondersteuningsticket indienen | Service-ondersteuningsbeheerder |
| gebruikers | Gebruiker toevoegen aan directoryrol | beheerder van bevoorrechte rollen |
| Gebruiker toevoegen aan groep | gebruikersbeheerder | |
| Licentie toewijzen | licentiebeheerder | |
| Gastgebruiker maken | gastnodiger | |
| Uitnodiging voor gastgebruikers opnieuw instellen | gebruikersbeheerder | |
| Gebruiker maken | gebruikersbeheerder | |
| Gebruiker verwijderen | gebruikersbeheerder | |
| Vernieuwingstokens van beperkte beheerder ongeldig maken | gebruikersbeheerder | |
| Vernieuwings-tokens van niet-beheerders ongeldig maken | wachtwoordbeheerder | |
| Vernieuwingstokens van geprivilegieerde beheerder ongeldig maken | bevoegde verificatiebeheerder | |
| Basisconfiguratie lezen | standaardgebruikersrol | |
| Wachtwoord opnieuw instellen voor beperkte beheerder | gebruikersbeheerder | |
| Wachtwoord opnieuw instellen voor niet-beheerders | wachtwoordbeheerder | |
| Wachtwoord opnieuw instellen voor bevoegde beheerder | bevoegde verificatiebeheerder | |
| Licentie intrekken | licentiebeheerder | |
| Alle eigenschappen bijwerken behalve user principal name | gebruikersbeheerder | |
| Principal-naam van gebruiker bijwerken voor beperkte beheerder | gebruikersbeheerder | |
| Principal-naam van gebruiker bijwerken voor bevoegde beheerder | globale beheerder | |
| Gebruikersinstellingen bijwerken | globale beheerder | |
| Verificatiemethoden bijwerken | verificatiebeheerder | |
| Groepen | Licentie toewijzen | gebruikersbeheerder |
| Groep maken | Groepsbeheerder | |
| Toegangsbeoordeling van een groep of app maken, bijwerken of verwijderen | gebruikersbeheerder | |
| Verlooptijd van groepen beheren | gebruikersbeheerder | |
| Groepsinstellingen beheren | Groepsbeheerder | |
| Alle configuratie lezen (met uitzondering van verborgen lidmaatschap) | Maplezers | |
| Verborgen lidmaatschap lezen | Groepslid | |
| Groepslidmaatschappen met verborgen lidmaatschap lezen | helpdeskbeheerder | |
| Licentie intrekken | licentiebeheerder | |
| Groepslidmaatschap bijwerken | groepseigenaar | |
| Groepseigenaren bijwerken | groepseigenaar | |
| Groepseigenschappen bijwerken | groepseigenaar | |
| Groep verwijderen | Groepsbeheerder | |
| Licenties | Licentie toewijzen | licentiebeheerder |
| Alle configuratie lezen | Directory-lezers | |
| Licentie intrekking | licentiebeheerder |