Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP)
Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum
Dit artikel bevat taken voor workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP).
Microsoft Security Copilot
Security Copilot biedt ondersteuning voor GDAP-toegang tot het zelfstandige platform en bepaalde ingesloten ervaringen.
Ondersteunde Microsoft Entra-rollen
Security Copilot heeft zijn eigen niet-Entra-rollen die u moet configureren. De aanbevolen rollen voor het aanvragen van GDAP-toegang zijn beveiligingsoperator of beveiligingslezer, hoewel andere rollen worden ondersteund. De klant moet een extra stap uitvoeren om de aangevraagde GDAP-rol toe te wijzen aan de juiste Security Copilot-rol. Zie Rollen toewijzen voor Security Copilotvoor meer informatie.
GDAP in Security Copilot biedt toegang tot de zelfstandige portal. Voor elke invoegtoepassing zijn extra autorisatievereisten vereist die GDAP mogelijk niet ondersteunen. Zie Security Copilot-invoegtoepassingen die GDAP-ondersteunen voor meer informatie.
Ingesloten ervaringen voegen mogelijkheden van Security Copilot toe aan andere workloads. Als deze workloads GDAP ondersteunen zoals Microsoft Defender XDR, ondersteunen de ingesloten mogelijkheden van Security Copilot GDAP. Purview heeft bijvoorbeeld een ingebedde Security Copilot-ervaring en wordt ook aangegeven als een workload die GDAP ondersteunt. Security Copilot in Purview ondersteunt dus GDAP.
Zie ook Ingesloten ervaringen van Security Copilot voor meer informatie.
Microsoft Entra ID
Alle Microsoft Entra-taken worden ondersteund, met uitzondering van de volgende mogelijkheden:
| Gebied | Functies | Probleem |
|---|---|---|
| Groepsbeheer | Maken van Microsoft 365-groep, beheer van dynamische lidmaatschapsregels | Niet ondersteund |
| Apparaten | Beheer van instellingen voor Enterprise State Roaming | |
| Toepassingen | Toestemming geven voor een bedrijfstoepassing inline met aanmelding, beheer van bedrijfstoepassing 'Gebruikersinstellingen' | |
| Externe identiteiten | Beheer van externe identiteitsfuncties | |
| Controleren | Log Analytics, Diagnostische instellingen, Werkmappen en het tabblad Bewaking op de overzichtspagina van Microsoft Entra | |
| Overzichtspagina | Mijn feed - rollen voor aangemelde gebruiker | Kan onjuiste rolgegevens weergeven; heeft geen invloed op de werkelijke machtigingen |
| Gebruikersinstellingen | Beheerpagina 'Gebruikersfuncties' | Niet toegankelijk voor bepaalde rollen |
Bekende problemen:
- Aan partners die via GDAP Microsoft Entra-rollen Beveiligingslezer of Globale lezer krijgen, krijgen zij de foutmelding 'Geen toegang' bij toegang tot Entra-rollen en -beheeraccounts op een klanttenant waarvoor PIM is ingeschakeld. Werkt met de rol Globale beheerder.
- Microsoft Entra Connect Health biedt geen ondersteuning voor GDAP.
Exchange-beheercentrum
Voor het Exchange-beheercentrum ondersteunt GDAP de volgende taken.
| Brontype | Resourcesubtype | Momenteel ondersteund | Probleem |
|---|---|---|---|
| Beheer van geadresseerden | Postvakken | Gedeeld postvak maken, Postvak bijwerken, converteren naar gedeeld/gebruikerspostvak, Gedeeld postvak verwijderen, Instellingen voor e-mailstroom beheren, Postvakbeleid beheren, Postvakdelegering beheren, E-mailadressen beheren, Automatische antwoorden beheren, Meer acties beheren, Contactgegevens bewerken, Groepsbeheer | Het postvak van een andere gebruiker openen |
| Resources | Een resource maken/toevoegen [Apparatuur/ruimte], een resource verwijderen, Verbergen van gal-instelling beheren, Instellingen voor het beheren van gedelegeerden van reserveringen, instellingen voor resourcedelegen beheren | ||
| Contactpersonen | Een contactpersoon maken/toevoegen [e-mailgebruiker/e-mailcontactpersoon], een contactpersoon verwijderen, organisatie-instellingen bewerken | ||
| E-mailstroom | Berichttracering | Een berichttracering starten, standaard/aangepaste/automatisch opgeslagen/downloadbare query's controleren, regels | Waarschuwing, waarschuwingsbeleid |
| Externe domeinen | Een extern domein toevoegen, een extern domein verwijderen, berichtrapportage bewerken, antwoordtypen | ||
| Geaccepteerde domeinen | Geaccepteerde domeinen beheren | ||
| Connectors | Een connector toevoegen, Beperkingen beheren, Verzonden e-mailidentiteit, Connector verwijderen | ||
| Rollen | Beheerdersrollen | Rolgroepen toevoegen, rolgroepen verwijderen die geen ingebouwde rolgroepen zijn, rollengroepen bewerken die geen ingebouwde rolgroepen zijn, rolgroep kopiëren | |
| Migratie | Migratie | Migratiebatch toevoegen, Google Workspace-migratie proberen, migratiebatch goedkeuren, details van de migratiebatch weergeven, migratiebatch verwijderen | |
| koppeling Microsoft 365-beheercentrum | Koppeling om naar Microsoft 365-beheer Center te gaan | ||
| Diversen | Feedbackwidget geven, centrale widget ondersteunen | ||
| Dashboard | Rapporten |
Ondersteunde RBAC-rollen zijn onder andere:
- Exchange-beheerder
- Globale beheerder
- Helpdeskbeheerder
- Algemene lezer
- Beveiligingsbeheer
- Beheerder van Exchange-ontvangers
Microsoft 365-beheercentrum
Belangrijk
Enkele belangrijke functies van de Microsoft 365-beheercentrum kunnen worden beïnvloed door service-incidenten en doorlopende ontwikkelwerkzaamheden. U kunt actieve Microsoft 365-beheercentrum problemen bekijken via de Microsoft-beheerportal.
We zijn verheugd om de release van de Microsoft 365-beheercentrum-ondersteuning voor GDAP aan te kondigen. Met deze preview-versie kunt u zich aanmelden bij het beheercentrum met alle Microsoft Entra-rollen die worden ondersteund door zakelijke klanten behalve Directory Readers.
Deze release heeft beperkte mogelijkheden en helpt u bij het gebruik van de volgende gebieden van het Microsoft 365-beheercentrum:
- Gebruikers (inclusief het toewijzen van licenties)
- Factureringslicenties>
- Health>Service Health
- Ondersteuningsticket voor central>maken
Notitie
Vanaf 23 september 2024 hebt u vanaf 23 september 2024 geen toegang meer tot het menu Factureringsaankopen > of factureringsrekeningen > & betalingen per beheerder namens (AOBO) tot pagina's in Microsoft 365-beheercentrum
Bekende problemen:
- Kan geen rapporten van sitegebruiksproduct exporteren.
- Kan geen toegang krijgen tot geïntegreerde apps in het linkernavigatievenster.
Microsoft Purview
Voor Microsoft Purview ondersteunt GDAP de volgende taken.
| Oplossing | Momenteel ondersteund | Probleem |
|---|---|---|
| Audit |
Microsoft 365-controleoplossingen - Eenvoudige/geavanceerde controle instellen - Auditlogboek doorzoeken - PowerShell gebruiken om het auditlogboek te doorzoeken - Auditlogboek exporteren/configureren/weergeven - Controle in- en uitschakelen - Bewaarbeleid voor auditlogboeken beheren - Veelvoorkomende problemen/gecompromitteerde accounts onderzoeken - Auditlogboek exporteren/configureren/weergeven |
|
| Compliance Manager |
Compliance Manager - Evaluaties bouwen en beheren - Evaluatiesjablonen maken/uitbreiden/wijzigen - Acties voor verbetering toewijzen en voltooien - Gebruikersmachtigingen instellen |
|
| MIP |
Microsoft Purview Informatiebeveiliging Meer informatie over gegevensclassificatie Meer informatie over het voorkomen van gegevensverlies Gegevensclassificatie: - Typen gevoelige informatie maken en beheren - Exacte gegevensovereenkomst maken en beheren - Controleren wat er gebeurt met gelabelde inhoud met Behulp van Activity Explorer Information Protection: - Vertrouwelijkheidslabels en labelbeleid maken en publiceren - Labels definiëren die moeten worden toegepast op bestanden en e-mailberichten - Labels definiëren die moeten worden toegepast op sites en groepen - Labels definiëren die moeten worden toegepast op geschematiseerde gegevensassets - Automatisch een label toepassen op inhoud met behulp van automatisch labelen aan de clientzijde, automatisch labelen aan de serverzijde en geschematiseerde data-assets. - Toegang tot gelabelde inhoud beperken met behulp van versleuteling - Privacy en externe gebruikerstoegang en extern delen en voorwaardelijke toegang configureren voor labels die zijn toegepast op sites en groepen - Labelbeleid instellen om standaard-, verplichte en downgrade-regels op te nemen en deze toepassen op bestanden, e-mailberichten, groepen en sites, en Power BI-inhoud. DLP: - Een DLP-beleid maken, testen en afstemmen - Waarschuwingen en incidentbeheer uitvoeren - Gebeurtenissen weergeven die overeenkomen met DLP-regels in Activiteitenverkenner - DLP-instellingen voor eindpunten configureren |
- Gelabelde inhoud weergeven in Content Explorer - Trainbare classificaties maken en beheren - Labelondersteuning voor groepen en sites |
| Levenscyclusbeheer van Microsoft Purview-gegevens |
Meer informatie over Microsoft Purview-levenscyclusbeheer in Microsoft 365 - Statisch en adaptief bewaarbeleid maken en beheren - Retentielabels maken - Beleid voor retentielabels maken - Adaptieve bereiken maken en beheren |
-Archivering - PST-bestanden importeren |
| Microsoft Purview Records Management |
Microsoft Purview-recordbeheer - Inhoud labelen als record - Inhoud labelen als een regelgevingsrecord - Statisch en adaptief retentielabelbeleid maken en beheren - Adaptieve bereiken maken en beheren - Retentielabels migreren en uw retentievereisten beheren met een bestandsplan - Instellingen voor retentie en verwijdering configureren met retentielabels - Inhoud behouden wanneer een gebeurtenis plaatsvindt met retentie op basis van gebeurtenissen |
- Verwijderingsbeheer |
Microsoft 365 Lighthouse
Microsoft 365 Lighthouse is een beheerportal waarmee beheerde serviceproviders (MSP's) apparaten, gegevens en gebruikers op schaal kunnen beveiligen en beheren voor kleine en middelgrote zakelijke klanten.
GDAP-rollen verlenen dezelfde klanttoegang in Lighthouse als wanneer deze GDAP-rollen worden gebruikt om afzonderlijk toegang te krijgen tot de beheerportals van klanten. Lighthouse biedt een multitenant-weergave voor gebruikers, apparaten en gegevens op basis van het niveau van gedelegeerde machtigingen van gebruikers. Zie de Lighthouse-documentatie voor een overzicht van alle multitenant-beheerfunctionaliteit van Lighthouse.
MSP's kunnen Lighthouse nu gebruiken om GDAP in te stellen voor elke klanttenant. Lighthouse biedt rolaanbeveling op basis van verschillende MSP-taakfuncties voor een MSP en Lighthouse GDAP-sjablonen stellen partners in staat om eenvoudig instellingen op te slaan en opnieuw toe te passen die de toegang van klanten met minimale bevoegdheden mogelijk maken. Zie de wizard Lighthouse GDAP-installatie voor meer informatie en om een demo weer te geven.
Voor Microsoft 365 Lighthouse ondersteunt GDAP de volgende taken. Zie Overzicht van machtigingen in Microsoft 365 Lighthouse voor meer informatie over machtigingen die vereist zijn voor toegang tot Microsoft 365 Lighthouse.
| Bron | Momenteel ondersteund |
|---|---|
| Startpagina | is inbegrepen |
| Tenants | is inbegrepen |
| Gebruikers | is inbegrepen |
| Apparaten | is inbegrepen |
| Beveiligingsbeheer | is inbegrepen |
| Basislijnen | is inbegrepen |
| Windows 365 | is inbegrepen |
| Status van service | is inbegrepen |
| Auditlogboeken | is inbegrepen |
| Onboarding | Klanten moeten een GDAP- en indirecte resellerrelatie hebben, of een DAP-relatie om onboarding uit te voeren. |
Ondersteunde rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) zijn onder andere:
- Verificatiebeheerder
- Nalevingsbeheerder
- Beheerder voor voorwaardelijke toegang
- Cloudapparaatbeheerder
- Globale beheerder
- Algemene lezer
- Helpdeskbeheerder
- Intune-beheerder
- Wachtwoordbeheerder
- Bevoorrechte verificatiebeheerder
- Beveiligingsbeheer
- Beveiligingsoperator
- Beveiligingslezer
- Serviceondersteuningsbeheerder
- Gebruikersbeheerder
Windows 365
Voor Windows 365 ondersteunt GDAP de volgende taken.
| Bron | Momenteel ondersteund |
|---|---|
| Cloud-pc | Lijst met cloud-pc's, Get Cloud PC, Reprovision Cloud PC, End grace period, Reprovision Cloud PC remote action, Bulk reprovision Cloud PC remote action, Resize Cloud PC remote action, Get Cloud PC remote action results |
| Afbeelding van cloud-pc-apparaat | Apparaatinstallatiekopieën weergeven, Apparaatinstallatiekopieën ophalen, Apparaatinstallatiekopieën maken, Apparaatinstallatiekopieën verwijderen, Broninstallatiekopieën ophalen, Apparaatinstallatiekopieën opnieuw laden |
| On-premises netwerkverbinding voor cloud-pc's | On-premises verbinding weergeven, on-premises verbinding ophalen, on-premises verbinding maken, on-premises verbinding bijwerken, on-premises verbinding verwijderen, statuscontroles uitvoeren, WACHTWOORD van AD-domein bijwerken |
| Inrichtingsbeleid voor cloud-pc's | Inrichtingsbeleid weergeven, Inrichtingsbeleid ophalen, Inrichtingsbeleid maken, Inrichtingsbeleid bijwerken, Inrichtingsbeleid verwijderen, Inrichtingsbeleid toewijzen |
| Auditgebeurtenis voor cloud-pc's | Controlegebeurtenissen weergeven, Auditgebeurtenis ophalen, Controleactiviteitstypen ophalen |
| Gebruikersinstelling voor cloud-pc's | Gebruikersinstellingen weergeven, Gebruikersinstelling ophalen, Gebruikersinstelling maken, Gebruikersinstelling bijwerken, Gebruikersinstelling verwijderen, Toewijzen |
| Ondersteunde regio voor cloud-pc's | Ondersteunde regio's vermelden |
| Cloud PC-serviceabonnementen | Serviceplannen vermelden |
Ondersteunde Azure RBAC-rollen zijn onder andere:
- Globale beheerder
- Intune-beheerder
- Beveiligingsbeheer
- Beveiligingsoperator
- Beveiligingslezer
- Algemene lezer
- (Bij verificatie) Windows 365-beheerder
Niet-ondersteunde resources voor preview:
- N.v.t.
Teams-beheercentrum
Voor het Teams-beheercentrum ondersteunt GDAP de volgende taken.
| Bron | Momenteel ondersteund |
|---|---|
| Gebruikers | Beleid toewijzen, spraakinstellingen, uitgaande oproepen, instellingen voor het ophalen van groepsgesprekken, instellingen voor oproepdelegering, telefoonnummers, instellingen voor vergaderen |
| Teams | Teams-beleid, Updatebeleid |
| Apparaten | IP-telefoons, Teams-ruimten, samenwerkingsbalken, Teams-schermen, Teams-paneel s |
| Locaties | Rapportagelabels, adressen voor noodgevallen, netwerktopologie, netwerken en locaties |
| Vergaderingen | Vergaderingsbruggen, vergaderbeleid, vergaderingsinstellingen, beleid voor livegebeurtenissen, instellingen voor livegebeurtenissen |
| Beleid voor berichten | Beleid voor berichten |
| Spraak | Noodbeleid, kiesplannen, spraakrouteringsplannen, oproepwachtrijen, Auto Attendants, Beleid voor oproeppark, Oproepbeleid, Beleid voor nummerweergave, Telefoonnummers, Directe routering |
| Analyse en rapporten | Gebruiksrapporten |
| Instellingen voor de hele organisatie | Externe toegang, Gasttoegang, Teams-instellingen, Teams-upgrade, Feestdagen, Resourceaccounts |
| Planning | Netwerkplanner |
| Teams PowerShell-module | Alle PowerShell-cmdlets uit de Teams PowerShell-module (beschikbaar via de Teams PowerShell-module - versie 3.2.0 Preview) |
Ondersteunde RBAC-rollen zijn onder andere:
- Teams-beheerder
- Globale beheerder
- Teams-communicatiebeheerder
- Ondersteuningstechnicus voor Teams-communicatie
- Ondersteuningsspecialist voor Teams-communicatie
- Teams-apparaatbeheerder
- Algemene lezer
Niet-ondersteunde resources voor GDAP-toegang zijn onder andere:
- Teams beheren
- Teamsjablonen
- Teams-apps
- Beleidspakketten
- Teams-adviseur
- Dashboard Gesprekskwaliteit
Microsoft Defender XDR
Microsoft Defender XDR is een geïntegreerde enterprise defense suite die vooraf en na inbreuk wordt geschonden. Het coördineert systeemeigen detectie, preventie, onderzoek en reactie op eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.
De Microsoft Defender-portal is ook de thuisbasis van andere producten in de Microsoft 365-beveiligingsstack, zoals Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365.
Documentatie over alle mogelijkheden en beveiligingsproducten is beschikbaar in de Microsoft Defender-portal:
Microsoft Defender voor Eindpunt:
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Eindpunt P1-mogelijkheden
- Microsoft Defender voor Bedrijven
Microsoft Defender voor Office 365:
- Exchange Online Protection (EOP)
- Microsoft Defender voor Office 365 abonnement 1
- Microsoft Defender voor Office 365 abonnement 2
App-beheer:
Hieronder vindt u mogelijkheden die beschikbaar zijn voor tenants die toegang hebben tot de Microsoft Defender-portal met behulp van een GDAP-token.
| Brontype | Momenteel ondersteund |
|---|---|
| Microsoft Defender XDR-functies | Alle Microsoft Defender XDR-functies (zoals vermeld in de eerder gekoppelde documentatie): Incidenten, Geavanceerde opsporing, Actiecentrum, Bedreigingsanalyse, Verbinding van de volgende beveiligingsworkloads in Microsoft Defender XDR: Microsoft Defender voor Eindpunt, Microsoft Defender voor Identiteit, Microsoft Defender voor Cloud Apps |
| Microsoft Defender voor Eindpunt functies | Alle functies van Microsoft Defender voor Endpoint die worden vermeld in de eerder gekoppelde documentatie, bekijk de details per P1- of SMB-SKU in de tabel. |
| Microsoft Defender for Office 365 | Alle functies van Microsoft Defender voor Office 365 die worden vermeld in de eerder gekoppelde documentatie. Zie de details van elke licentie in deze tabel: Office 365 Security, inclusief Microsoft Defender voor Office 365 en Exchange Online Protection |
| App-governance | Verificatie werkt voor GDAP-token (App+User-token), autorisatiebeleid werkt volgens de gebruikersrollen zoals voorheen |
Ondersteunde Microsoft Entra-rollen in de Microsoft Defender-portal:
Documentatie over ondersteunde rollen in de Microsoft Defender-portal
Notitie
Niet alle rollen zijn van toepassing op alle beveiligingsproducten. Raadpleeg de productdocumentatie voor informatie over welke rollen worden ondersteund in een specifiek product.
Ondersteunde MDE-functies in de Microsoft Defender-portal per SKU
| Eindpuntmogelijkheden per SKU | Microsoft Defender voor Bedrijven | Microsoft Defender voor Eindpunt abonnement 1 | Microsoft Defender voor Eindpunt abonnement 2 |
|---|---|---|---|
| Gecentraliseerd beheer | X | X | X |
| Vereenvoudigde clientconfiguratie | X | ||
| Bedreigings- en beveiligingsmanagement | X | X | |
| Kwetsbaarheid voor aanvallen verminderen | X | X | X |
| Next-gen-beveiliging | X | X | X |
| Eindpuntdetectie en -respons | X | X | |
| Geautomatiseerd onderzoek en antwoord | X | X | |
| Opsporing van bedreigingen en gegevensretentie van zes maanden | X | ||
| Bedreigingsanalyse | X | X | |
| Platformoverschrijdende ondersteuning voor Windows, MacOS, iOS en Android | X | X | X |
| Microsoft Threat Experts | X | ||
| Partner-API's | X | X | X |
| Microsoft 365 Lighthouse voor het weergeven van beveiligingsincidenten voor klanten | X |
Power BI
Voor de Power BI-workload ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | - Alle menu-items onder 'Beheerportal' behalve 'Azure-verbindingen' |
Ondersteunde Microsoft Entra-rollen binnen het bereik:
- Infrastructuurbeheerder
- Globale beheerder
Power BI-eigenschappen vallen buiten het bereik:
- Niet alle niet-beheerderstaken werken gegarandeerd
- 'Azure-verbindingen' onder de beheerportal
SharePoint
Voor SharePoint ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Startpagina | Kaarten worden weergegeven, maar gegevens worden mogelijk niet weergegeven |
| Sitesbeheer - Actieve sites | Sites maken: Teamsite, Communicatiesite, Site-eigenaar toewijzen/wijzigen, Vertrouwelijkheidslabel toewijzen aan site (indien geconfigureerd in Microsoft Entra-id) tijdens het maken van de site, Vertrouwelijkheidslabel van site wijzigen, Privacy-instellingen toewijzen aan site (indien niet vooraf gedefinieerd met een vertrouwelijkheidslabel), Leden toevoegen/verwijderen aan een site, Instellingen voor extern delen van site bewerken, Sitenaam bewerken, Site-URL bewerken, Siteactiviteit weergeven, opslaglimiet bewerken, een site verwijderen, ingebouwde weergaven van sites wijzigen, lijst met sites exporteren naar CSV-bestand, aangepaste weergaven van sites opslaan, site koppelen aan een hub, site registreren als hub |
| Sitesbeheer - Actieve sites | Andere sites maken: Documentcentrum, Ondernemingswiki, Publicatieportal, Inhoudscentrum |
| Sitesbeheer - Verwijderde sites | Site herstellen, site permanent verwijderen (met uitzondering van teamsites die zijn verbonden met Een Microsoft 365-groep) |
| Beleid - Delen | Beleid voor extern delen instellen voor SharePoint en OneDrive voor Bedrijven, Meer instellingen voor extern delen wijzigen, beleidsregels instellen voor koppelingen naar bestanden en mappen, Overige instellingen wijzigen voor delen |
| Toegangsbeheer | Niet-beheerd apparaatbeleid instellen/wijzigen, tijdlijnbeleid voor inactieve sessies instellen/wijzigen, netwerklocatiebeleid instellen/wijzigen (gescheiden van Microsoft Entra IP-beleid, moderne verificatiebeleid instellen/wijzigen, OneDrive-toegang instellen/wijzigen |
| Instellingen | SharePoint - Startpagina, SharePoint - Meldingen, SharePoint - Pagina's, SharePoint - Site maken, SharePoint - Opslaglimieten voor sites, OneDrive - Meldingen, OneDrive - Retentie, OneDrive - Opslaglimiet, OneDrive - Synchronisatie |
| Powershell | Als u een klanttenant wilt verbinden als GDAP-beheerder, gebruikt u een tenantautorisatie-eindpunt (met de tenant-id van de klant) in de parameter AuthenticanUrl in plaats van het standaardgemeenschappelijke eindpunt.Bijvoorbeeld: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize. |
Rollen binnen het bereik zijn onder andere:
- SharePoint-beheerder
- Globale beheerder
- Algemene lezer
Eigenschappen van het SharePoint-beheercentrum vallen onder het volgende:
- Alle klassieke beheerfuncties/functionaliteit/sjablonen vallen buiten het bereik en werken niet gegarandeerd correct
- Opmerking: voor alle ondersteunde GDAP-rollen in het SharePoint-beheercentrum kunnen partners geen bestanden en machtigingen bewerken voor bestanden en mappen op de SharePoint-site van de klant. Het was een beveiligingsrisico voor klanten en wordt nu aangepakt.
Dynamics 365 en Power Platform
Voor Power-platform- en Dynamics 365 Customer Engagement-toepassingen (Verkoop, Service) ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | - Alle menu-items in het Power Platform-beheercentrum |
Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:
- Power Platform-beheerder
- Globale beheerder
- Helpdeskbeheerder (voor Help en ondersteuning)
- Serviceondersteuningsbeheerder (voor Help en ondersteuning)
Eigenschappen buiten het bereik:
- https://make.powerapps.com biedt geen ondersteuning voor GDAP.
Dynamics 365 Business Central
Voor Dynamics 365 Business Central ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | Alle taken* |
* Voor sommige taken zijn machtigingen vereist die zijn toegewezen aan de beheerder in de Dynamics 365 Business Central-omgeving. Raadpleeg de beschikbare documentatie.
Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:
- Dynamics 365-beheerder
- Globale beheerder
- Helpdeskbeheerder
Eigenschappen buiten het bereik:
- Geen
Dynamics Lifecycle Services
Voor Dynamics Lifecycle Services ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | Alle taken |
Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:
- Dynamics 365-beheerder
- Globale beheerder
Eigenschappen buiten het bereik:
- Geen
Intune (Endpoint Manager)
Ondersteunde Microsoft Entra-rollen binnen het bereik:
- Intune-beheerder
- Globale beheerder
- Algemene lezer
- Rapportenlezer
- Beveiligingslezer
- Nalevingsbeheerder
- Beveiligingsbeheer
Raadpleeg de Intune RBAC-documentatie om het toegangsniveau voor de bovenstaande rollen te controleren.
Ondersteuning voor Intune omvat geen gebruik van GDAP bij het inschrijven van servers voor Microsoft Tunnel of voor het configureren of installeren van een van de connectors voor Intune. Voorbeelden van Intune-connectors zijn, maar zijn niet beperkt tot de Intune-connector voor Active Directory, Mobile Threat Defense-connector en de Microsoft Defender voor Eindpunt-connector.
Bekend probleem: Partners die toegang hebben tot beleid in Office-apps krijgen de melding: 'Kan geen gegevens ophalen voor 'OfficeSettingsContainer'. Gebruik guid om dit probleem aan Microsoft te melden.'
Azure Portal
Microsoft Entra-rollen binnen het bereik:
- Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar
Richtlijnen voor GDAP-rollen:
- Partner en klant moeten een resellerrelatie hebben
- De partner moet een beveiligingsgroep (bijvoorbeeld Azure-managers) maken voor het beheren van Azure en deze nesten onder Beheerdersagents voor partitionering per klant, zoals aanbevolen best practice.
- Wanneer partner een Azure-abonnement koopt voor de klant, wordt het Azure-abonnement ingericht en wordt de groep Beheerdersagenten toegewezen aan Azure RBAC als eigenaar van het Azure-abonnement
- Omdat de beveiligingsgroep van Azure Managers lid is van de groep Beheerdersagenten, worden gebruikers die lid zijn van Azure Managers de eigenaar van het Azure-abonnement RBAC
- Als u toegang wilt krijgen tot het Azure-abonnement als eigenaar voor de klant, moet elke Microsoft Entra-rol, zoals Directory Readers (minst bevoorrechte rol) worden toegewezen aan de Beveiligingsgroep van Azure Managers
Alternatieve Azure GDAP-richtlijnen (zonder beheerdersagent te gebruiken)
Vereisten:
- Partner en klant hebben een resellerrelatie .
- Partner maakt een beveiligingsgroep voor het beheren van Azure en nestelt deze onder de HelpDeskAgents-groep voor klantentoegangsverdeling, zoals aanbevolen als best practice.
- Partner koopt een Azure-abonnement voor de klant. Het Azure-abonnement is ingericht en de partner heeft de groep Beheerdersagenten Azure RBAC- als eigenaar op het Azure-abonnement, maar er wordt geen RBAC-roltoewijzing gemaakt voor Helpdeskagenten.
Stappen voor partnerbeheerders:
De partnerbeheerder in het abonnement voert de volgende scripts uit met behulp van PowerShell om helpdesk-FPO te maken in het Azure-abonnement.
Maak verbinding met de partnertenant om de
object IDHelpDeskAgents-groep op te halen.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgentsZorg ervoor dat uw klant over volgende beschikt:
- De rol van eigenaar of beheerder van gebruikerstoegang
- Machtigingen voor het maken van roltoewijzingen op abonnementsniveau
Stappen van de klant:
Om het proces te voltooien, moet uw klant de volgende stappen uitvoeren met behulp van PowerShell of Azure CLI.
Als u PowerShell gebruikt, moet de klant de
Az.Resourcesmodule bijwerken.Update-Module Az.ResourcesMaak verbinding met de tenant waarin het CSP-abonnement bestaat.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Maak verbinding met het abonnement.
Notitie
Dit is alleen van toepassing als de gebruiker machtigingen voor roltoewijzing heeft voor meerdere abonnementen in de tenant.
Set-AzContext -SubscriptionID <"CSP Subscription ID">az account set --subscription <CSP Subscription ID>De roltoewijzing maken.
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
Microsoft Entra-rollen binnen het bereik:
- Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar
GDAP-rolrichtlijnen voor partners:
- Voorwaarden:
- Partner en klant moeten een resellerrelatie hebben
- Partner moet Een Azure-abonnement aanschaffen voor de klant
- De partner moet een beveiligingsgroep maken (bijvoorbeeld Visual Studio-managers) voor het aanschaffen en beheren van Visual Studio-abonnementen en deze nesten onder Beheerdersagents voor partitionering per klant, zoals aanbevolen best practice.
- De rol GDAP voor het aanschaffen en beheren van Visual Studio is hetzelfde als Azure GDAP.
- Visual Studio Managers Security Group moet een Microsoft Entra-rol, zoals Directory Readers (minst bevoegde rol) toegewezen krijgen voor toegang tot het Azure-abonnement als eigenaar
- Gebruikers die deel uitmaken van Visual Studio-managers Beveiligingsgroep kunnen Visual Studio-abonnement aanschaffen op Marketplacehttps://marketplace.visualstudio.com (vanwege geneste leden van beheerdersagents hebben toegang tot een Azure-abonnement)
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het aantal Visual Studio-abonnementen wijzigen
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het Visual Studio-abonnement annuleren (door het aantal te wijzigen in nul)
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers, kunnen abonnee toevoegen om Visual Studio-abonnementen te beheren (bijvoorbeeld door de directory van de klant bladeren en roltoewijzing van Visual Studio toevoegen als abonnee)
Visual Studio-eigenschappen vallen buiten het bereik:
- Geen
Waarom zie ik geen DAP AOBO-koppelingen op de pagina GDAP-servicebeheer?
| DAP AOBO-koppelingen | Reden waarom deze ontbreekt op de pagina GDAP-servicebeheer |
|---|---|
| Microsoft 365 Planner https://portal.office.com/ |
Een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Zwaaien https://portal.office.com/ |
Een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Windows 10 https://portal.office.com/ |
Een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Cloud App Security https://portal.cloudappsecurity.com/ |
Microsoft Defender voor Cloud Apps is beëindigd. Deze portal wordt samengevoegd in Microsoft Defender XDR-, die GDAP ondersteunt. |
| Azure IoT Central https://apps.azureiotcentral.com/ |
Momenteel niet ondersteund. Buiten het bereik voor GDAP. |
| Windows Defender Advanced Threat Protection https://securitycenter.windows.com |
Windows Defender Advanced Threat Protection wordt buiten gebruik gesteld. Partners wordt aangeraden over te stappen op Microsoft Defender XDR, die GDAP ondersteunt. |