Delen via


Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP)

Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum

Dit artikel bevat taken voor workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP).

De volgende workloads worden ondersteund:

Microsoft Entra ID

Alle Microsoft Entra-taken worden ondersteund, met uitzondering van de volgende mogelijkheden:

Gebied Functies Probleem
Groepsbeheer Maken van Microsoft 365-groep, beheer van dynamische lidmaatschapsregels Niet ondersteund
Apparaten Beheer van instellingen voor Enterprise State Roaming
Toepassingen Toestemming geven voor een bedrijfstoepassing inline met aanmelding, beheer van bedrijfstoepassing 'Gebruikersinstellingen'
Externe identiteiten Beheer van externe identiteitsfuncties
Controleren Log Analytics, Diagnostische instellingen, Werkmappen en het tabblad Bewaking op de overzichtspagina van Microsoft Entra
Overzichtspagina Mijn feed - rollen voor aangemelde gebruiker Kan onjuiste rolgegevens weergeven; heeft geen invloed op de werkelijke machtigingen
Gebruikersinstellingen Beheerpagina 'Gebruikersfuncties' Niet toegankelijk voor bepaalde rollen

Bekende problemen:

  • Partners aan wie Entra-rollen beveiligingslezer of globale lezer via GDAP worden verleend, ondervinden een fout 'Geen toegang' bij het openen van Entra-rollen en -beheerders op een klanttenant waarvoor PIM is ingeschakeld. Werkt met de rol Globale beheerder.

Exchange-beheercentrum

Voor het Exchange-beheercentrum worden de volgende taken ondersteund door GDAP.

Brontype Resourcesubtype Momenteel ondersteund Probleem
Beheer van geadresseerden Postvakken Gedeeld postvak maken, Postvak bijwerken, converteren naar gedeeld/gebruikerspostvak, Gedeeld postvak verwijderen, Instellingen voor e-mailstroom beheren, Postvakbeleid beheren, Postvakdelegering beheren, E-mailadressen beheren, Automatische antwoorden beheren, Meer acties beheren, Contactgegevens bewerken, Groepsbeheer Het postvak van een andere gebruiker openen
Resources Een resource maken/toevoegen [Apparatuur/ruimte], een resource verwijderen, Verbergen van gal-instelling beheren, Instellingen voor het beheren van gedelegeerden van reserveringen, instellingen voor resourcedelegen beheren
Contactpersonen Een contactpersoon maken/toevoegen [e-mailgebruiker/e-mailcontactpersoon], een contactpersoon verwijderen, organisatie-instellingen bewerken
E-mailstroom Berichttracering Een berichttracering starten, standaard/aangepaste/automatisch opgeslagen/downloadbare query's controleren, regels Waarschuwing, waarschuwingsbeleid
Externe domeinen Een extern domein toevoegen, een extern domein verwijderen, berichtrapportage bewerken, antwoordtypen
Geaccepteerde domeinen Geaccepteerde domeinen beheren
Connectors Een connector toevoegen, Beperkingen beheren, Verzonden e-mailidentiteit, Connector verwijderen
Rollen Beheerdersrollen Rolgroepen toevoegen, rolgroepen verwijderen die geen ingebouwde rolgroepen zijn, rollengroepen bewerken die geen ingebouwde rolgroepen zijn, rolgroep kopiëren
Migratie Migratie Migratiebatch toevoegen, Google Workspace-migratie proberen, migratiebatch goedkeuren, details van de migratiebatch weergeven, migratiebatch verwijderen
koppeling Microsoft 365-beheercentrum Koppeling om naar Microsoft 365-beheer Center te gaan
Diversen Feedbackwidget geven, centrale widget ondersteunen
Dashboard Rapporten

Ondersteunde RBAC-rollen zijn onder andere:

  • Exchange-beheerder
  • Globale beheerder
  • Helpdeskbeheerder
  • Algemene lezer
  • Beveiligingsbeheer
  • Beheerder van Exchange-ontvangers

Microsoft 365-beheercentrum

Belangrijk

Enkele belangrijke functies van de Microsoft 365-beheercentrum kunnen worden beïnvloed door service-incidenten en doorlopende ontwikkelwerkzaamheden. U kunt actieve Microsoft 365-beheercentrum problemen bekijken via de Microsoft-beheerportal.

We zijn verheugd om de release van de Microsoft 365-beheercentrum-ondersteuning voor GDAP aan te kondigen. Met deze preview-versie kunt u zich aanmelden bij het beheercentrum met alle Microsoft Entra-rollen die worden ondersteund door zakelijke klanten , behalve Directory Readers.

Deze release heeft beperkte mogelijkheden en biedt u de mogelijkheid om de volgende gebieden van de Microsoft 365-beheercentrum te gebruiken:

  • Gebruikers (inclusief het toewijzen van licenties)
  • Factureringslicenties>
  • Health>Service Health
  • Ondersteuningsticket voor central>maken

Notitie

Vanaf 23 september 2024 hebt u vanaf 23 september 2024 geen toegang meer tot het menu Factureringsaankopen > of factureringsrekeningen > & betalingen per beheerder namens (AOBO) tot pagina's in Microsoft 365-beheercentrum

Bekende problemen:

  • Kan geen productrapporten voor sitegebruik exporteren.
  • Kan geen geïntegreerde apps openen in het linkernavigatievenster.

Microsoft Purview

Voor Microsoft Purview worden de volgende taken ondersteund door GDAP.

Oplossing Momenteel ondersteund Probleem
Audit Microsoft 365-controleoplossingen
- Eenvoudige/geavanceerde controle instellen
- Auditlogboek doorzoeken
- PowerShell gebruiken om het auditlogboek te doorzoeken
- Auditlogboek exporteren/configureren/weergeven
- Controle in- en uitschakelen
- Bewaarbeleid voor auditlogboeken beheren
- Veelvoorkomende problemen/gecompromitteerde accounts onderzoeken
- Auditlogboek exporteren/configureren/weergeven
Compliance Manager Compliance Manager
- Evaluaties bouwen en beheren
- Evaluatiesjablonen maken/uitbreiden/wijzigen
- Acties voor verbetering toewijzen en voltooien
- Gebruikersmachtigingen instellen
MIP Microsoft Purview Informatiebeveiliging
Meer informatie over gegevensclassificatie
Meer informatie over het voorkomen van gegevensverlies
Gegevensclassificatie:
- Typen gevoelige informatie maken en beheren
- Exacte gegevensovereenkomst maken en beheren
- Controleren wat er gebeurt met gelabelde inhoud met Behulp van Activity Explorer
Information Protection:
- Vertrouwelijkheidslabels en labelbeleid maken en publiceren
- Labels definiëren die moeten worden toegepast op bestanden en e-mailberichten
- Labels definiëren die moeten worden toegepast op sites en groepen
- Labels definiëren die moeten worden toegepast op geschematiseerde gegevensassets
- Automatisch een label toepassen op inhoud met behulp van automatisch labelen aan de clientzijde en automatisch labelen op de server en geschematiseerde gegevensassets
- Toegang tot gelabelde inhoud beperken met behulp van versleuteling
- Privacy en externe gebruikerstoegang en extern delen en voorwaardelijke toegang configureren voor labels die zijn toegepast op sites en groepen
- Labelbeleid instellen op standaard, verplicht, downgradebesturingselementen en toepassen op bestanden en e-mailberichten, groepen en sites en Power BI-inhoud
DLP:
- Een DLP-beleid maken, testen en afstemmen
- Waarschuwingen en incidentbeheer uitvoeren
- Gebeurtenissen weergeven die overeenkomen met DLP-regels in Activiteitenverkenner
- DLP-instellingen voor eindpunten configureren
- Gelabelde inhoud weergeven in Content Explorer
- Trainbare classificaties maken en beheren
- Labelondersteuning voor groepen en sites
Levenscyclusbeheer van Microsoft Purview-gegevens Meer informatie over Microsoft Purview-levenscyclusbeheer in Microsoft 365
- Statisch en adaptief bewaarbeleid maken en beheren
- Retentielabels maken
- Beleid voor retentielabels maken
- Adaptieve bereiken maken en beheren
-Archivering
- PST-bestanden importeren
Microsoft Purview Records Management Microsoft Purview-recordbeheer
- Inhoud labelen als record
- Inhoud labelen als een regelgevingsrecord
- Statisch en adaptief retentielabelbeleid maken en beheren
- Adaptieve bereiken maken en beheren
- Retentielabels migreren en uw retentievereisten beheren met een bestandsplan
- Instellingen voor retentie en verwijdering configureren met retentielabels
- Inhoud behouden wanneer een gebeurtenis plaatsvindt met retentie op basis van gebeurtenissen
- Verwijderingsbeheer

Zie Machtigingen in microsoft Purview voor meer informatie over ondersteunde Microsoft Entra-rollen in de Microsoft 365-complianceportal


Microsoft 365 Lighthouse

Microsoft 365 Lighthouse is een beheerportal waarmee beheerde serviceproviders (MSP's) apparaten, gegevens en gebruikers op schaal kunnen beveiligen en beheren voor kleine en middelgrote zakelijke klanten.

GDAP-rollen verlenen dezelfde klanttoegang in Lighthouse als wanneer deze GDAP-rollen worden gebruikt om afzonderlijk toegang te krijgen tot de beheerportals van klanten. Lighthouse biedt een multitenant-weergave voor gebruikers, apparaten en gegevens op basis van het niveau van gedelegeerde machtigingen van gebruikers. Zie de Lighthouse-documentatie voor een overzicht van alle multitenant-beheerfunctionaliteit van Lighthouse.

MSP's kunnen Lighthouse nu gebruiken om GDAP in te stellen voor elke klanttenant. Lighthouse biedt rolaanbeveling op basis van verschillende MSP-taakfuncties voor een MSP en Lighthouse GDAP-sjablonen stellen partners in staat om eenvoudig instellingen op te slaan en opnieuw toe te passen die de toegang van klanten met minimale bevoegdheden mogelijk maken. Zie de wizard Lighthouse GDAP-installatie voor meer informatie en om een demo weer te geven.

Voor Microsoft 365 Lighthouse worden de volgende taken ondersteund door GDAP. Zie Overzicht van machtigingen in Microsoft 365 Lighthouse voor meer informatie over machtigingen die vereist zijn voor toegang tot Microsoft 365 Lighthouse.

Bron Momenteel ondersteund
Startpagina is inbegrepen
Tenants is inbegrepen
Gebruikers is inbegrepen
Apparaten is inbegrepen
Beveiligingsbeheer is inbegrepen
Basislijnen is inbegrepen
Windows 365 is inbegrepen
Status van service is inbegrepen
Auditlogboeken is inbegrepen
Onboarding Klanten moeten een GDAP- en indirecte resellerrelatie hebben, of een DAP-relatie om onboarding uit te voeren.

Ondersteunde rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) zijn onder andere:

  • Verificatiebeheerder
  • Nalevingsbeheerder
  • Beheerder voor voorwaardelijke toegang
  • Cloudapparaatbeheerder
  • Globale beheerder
  • Algemene lezer
  • Helpdeskbeheerder
  • Intune-beheerder
  • Wachtwoordbeheerder
  • Bevoorrechte verificatiebeheerder
  • Beveiligingsbeheer
  • Beveiligingsoperator
  • Beveiligingslezer
  • Serviceondersteuningsbeheerder
  • Gebruikersbeheerder

Windows 365

Voor Windows 365 worden de volgende taken ondersteund door GDAP.

Bron Momenteel ondersteund
Cloud-pc Lijst met cloud-pc's, Get Cloud PC, Reprovision Cloud PC, End grace period, Reprovision Cloud PC remote action, Bulk reprovision Cloud PC remote action, Resize Cloud PC remote action, Get Cloud PC remote action results
Afbeelding van cloud-pc-apparaat Apparaatinstallatiekopieën weergeven, Apparaatinstallatiekopieën ophalen, Apparaatinstallatiekopieën maken, Apparaatinstallatiekopieën verwijderen, Broninstallatiekopieën ophalen, Apparaatinstallatiekopieën opnieuw laden
On-premises netwerkverbinding voor cloud-pc's On-premises verbinding weergeven, on-premises verbinding ophalen, on-premises verbinding maken, on-premises verbinding bijwerken, on-premises verbinding verwijderen, statuscontroles uitvoeren, WACHTWOORD van AD-domein bijwerken
Inrichtingsbeleid voor cloud-pc's Inrichtingsbeleid weergeven, Inrichtingsbeleid ophalen, Inrichtingsbeleid maken, Inrichtingsbeleid bijwerken, Inrichtingsbeleid verwijderen, Inrichtingsbeleid toewijzen
Auditgebeurtenis voor cloud-pc's Controlegebeurtenissen weergeven, Auditgebeurtenis ophalen, Controleactiviteitstypen ophalen
Gebruikersinstelling voor cloud-pc's Gebruikersinstellingen weergeven, Gebruikersinstelling ophalen, Gebruikersinstelling maken, Gebruikersinstelling bijwerken, Gebruikersinstelling verwijderen, Toewijzen
Ondersteunde regio voor cloud-pc's Ondersteunde regio's vermelden
Cloud PC-serviceabonnementen Serviceplannen vermelden

Ondersteunde Azure RBAC-rollen zijn onder andere:

  • Hoofdbeheerder
  • Intune-beheerder
  • Beveiligingsbeheer
  • Beveiligingsoperator
  • Beveiligingslezer
  • Algemene lezer
  • (Bij verificatie) Windows 365-beheerder

Niet-ondersteunde resources voor preview:

  • N.v.t.

Teams-beheercentrum

Voor het Teams-beheercentrum worden de volgende taken ondersteund door GDAP.

Bron Momenteel ondersteund
Gebruikers Beleid toewijzen, spraakinstellingen, uitgaande oproepen, instellingen voor het ophalen van groepsgesprekken, instellingen voor oproepdelegering, telefoonnummers, instellingen voor vergaderen
Teams Teams-beleid, Updatebeleid
Apparaten IP-telefoons, Teams-ruimten, samenwerkingsbalken, Teams-schermen, Teams-paneel s
Locaties Rapportagelabels, adressen voor noodgevallen, netwerktopologie, netwerken en locaties
Vergaderingen Vergaderingsbruggen, vergaderbeleid, vergaderingsinstellingen, beleid voor livegebeurtenissen, instellingen voor livegebeurtenissen
Beleid voor berichten Beleid voor berichten
Spraak Noodbeleid, kiesplannen, spraakrouteringsplannen, oproepwachtrijen, Auto Attendants, Beleid voor oproeppark, Oproepbeleid, Beleid voor nummerweergave, Telefoonnummers, Directe routering
Analyse en rapporten Gebruiksrapporten
Instellingen voor de hele organisatie Externe toegang, Gasttoegang, Teams-instellingen, Teams-upgrade, Feestdagen, Resourceaccounts
Planning Netwerkplanner
Teams PowerShell-module Alle PowerShell-cmdlets uit de Teams PowerShell-module (beschikbaar via de Teams PowerShell-module - versie 3.2.0 Preview)

Ondersteunde RBAC-rollen zijn onder andere:

  • Teams-beheerder
  • Globale beheerder
  • Teams-communicatiebeheerder
  • Ondersteuningstechnicus voor Teams-communicatie
  • Ondersteuningsspecialist voor Teams-communicatie
  • Teams-apparaatbeheerder
  • Algemene lezer

Niet-ondersteunde resources voor GDAP-toegang zijn onder andere:

  • Teams beheren
  • Teamsjablonen
  • Teams-apps
  • Beleidspakketten
  • Teams-adviseur
  • Dashboard Gesprekskwaliteit

Microsoft Defender XDR

Microsoft Defender XDR is een geïntegreerde enterprise defense suite die vooraf en na inbreuk wordt geschonden. Het coördineert systeemeigen detectie, preventie, onderzoek en reactie op eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.

De Microsoft Defender-portal is ook de thuisbasis van andere producten in de Microsoft 365-beveiligingsstack, zoals Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365.

Documentatie over alle mogelijkheden en beveiligingsproducten is beschikbaar in de Microsoft Defender-portal:

Microsoft Defender voor Eindpunt:

Microsoft Defender voor Office 365:

App-beheer:

Hieronder vindt u mogelijkheden die beschikbaar zijn voor tenants die toegang hebben tot de Microsoft Defender-portal met behulp van een GDAP-token.

Brontype Momenteel ondersteund
Microsoft Defender XDR-functies Alle Microsoft Defender XDR-functies (zoals vermeld in de bovenstaande documentatie): Incidenten, Geavanceerde opsporing, Actiecentrum, Bedreigingsanalyse, Verbinding van de volgende beveiligingsworkloads in Microsoft Defender XDR: Microsoft Defender voor Eindpunt, Microsoft Defender for Identity, Microsoft Defender voor Cloud-apps
Microsoft Defender voor Eindpunt functies Alle Microsoft Defender voor Eindpunt functies die in de bovenstaande documentatie worden vermeld, zie de details per P1/SMB-SKU in de onderstaande tabel.
Microsoft Defender for Office 365 Alle Microsoft Defender voor Office 365 functies die in de bovenstaande documentatie worden vermeld. Zie de details van elke licentie in deze tabel: Office 365 Security, inclusief Microsoft Defender voor Office 365 en Exchange Online Protection
App-governance Verificatie werkt voor GDAP-token (App+User-token), autorisatiebeleid werkt volgens de gebruikersrollen zoals voorheen

Ondersteunde Microsoft Entra-rollen in de Microsoft Defender-portal:

Documentatie over ondersteunde rollen in de Microsoft Defender-portal

Notitie

Niet alle rollen zijn van toepassing op alle beveiligingsproducten. Raadpleeg de productdocumentatie voor informatie over welke rollen worden ondersteund in een specifiek product.


Ondersteunde MDE-functies in de Microsoft Defender-portal per SKU

Eindpuntmogelijkheden per SKU Microsoft Defender voor Bedrijven Microsoft Defender voor Eindpunt abonnement 1 Microsoft Defender voor Eindpunt abonnement 2
Gecentraliseerd beheer X X X
Vereenvoudigde clientconfiguratie X
Bedreigings- en beveiligingsmanagement X X
Kwetsbaarheid voor aanvallen verminderen X X X
Next-gen-beveiliging X X X
Eindpuntdetectie en -respons X X
Geautomatiseerd onderzoek en antwoord X X
Opsporing van bedreigingen en gegevensretentie van zes maanden X
Bedreigingsanalyse X X
Platformoverschrijdende ondersteuning voor Windows, MacOS, iOS en Android X X X
Microsoft Threat Experts X
Partner-API's X X X
Microsoft 365 Lighthouse voor het weergeven van beveiligingsincidenten voor klanten X

Power BI

Voor de Power BI-workload worden de volgende taken ondersteund door GDAP.

Brontype Momenteel ondersteund
Beheerderstaken - Alle menu-items onder 'Beheerportal' behalve 'Azure-verbindingen'

Ondersteunde Microsoft Entra-rollen binnen het bereik:

  • Infrastructuurbeheerder
  • Globale beheerder

Power BI-eigenschappen vallen buiten het bereik:

  • Niet alle niet-beheerderstaken werken gegarandeerd
  • 'Azure-verbindingen' onder de beheerportal

SharePoint

Voor SharePoint worden de volgende taken ondersteund door GDAP.

Brontype Momenteel ondersteund
Startpagina Kaarten worden weergegeven, maar gegevens worden mogelijk niet weergegeven
Sitesbeheer - Actieve sites Sites maken: Teamsite, Communicatiesite, Site-eigenaar toewijzen/wijzigen, Vertrouwelijkheidslabel toewijzen aan site (indien geconfigureerd in Microsoft Entra-id) tijdens het maken van de site, Vertrouwelijkheidslabel van site wijzigen, Privacy-instellingen toewijzen aan site (indien niet vooraf gedefinieerd met een vertrouwelijkheidslabel), Leden toevoegen/verwijderen aan een site, Instellingen voor extern delen van site bewerken, Sitenaam bewerken, Site-URL bewerken, Siteactiviteit weergeven, opslaglimiet bewerken, een site verwijderen, ingebouwde weergaven van sites wijzigen, lijst met sites exporteren naar CSV-bestand, aangepaste weergaven van sites opslaan, site koppelen aan een hub, site registreren als hub
Sitesbeheer - Actieve sites Andere sites maken: Documentcentrum, Ondernemingswiki, Publicatieportal, Inhoudscentrum
Sitesbeheer - Verwijderde sites Site herstellen, site permanent verwijderen (met uitzondering van teamsites die zijn verbonden met Een Microsoft 365-groep)
Beleid - Delen Beleid voor extern delen instellen voor SharePoint en OneDrive voor Bedrijven, 'Meer instellingen voor extern delen', beleid instellen voor koppelingen naar bestanden en mappen, 'Overige instellingen' voor delen wijzigen
Toegangsbeheer Niet-beheerd apparaatbeleid instellen/wijzigen, tijdlijnbeleid voor inactieve sessies instellen/wijzigen, netwerklocatiebeleid instellen/wijzigen (gescheiden van Microsoft Entra IP-beleid, moderne verificatiebeleid instellen/wijzigen, OneDrive-toegang instellen/wijzigen
Instellingen SharePoint - Startpagina, SharePoint - Meldingen, SharePoint - Pagina's, SharePoint - Site maken, SharePoint - Opslaglimieten voor sites, OneDrive - Meldingen, OneDrive - Retentie, OneDrive - Opslaglimiet, OneDrive - Synchronisatie
Powershell Als u een klanttenant wilt verbinden als GDAP-beheerder, gebruikt u een tenant-autorisatie-eindpunt (met de tenant-id van de klant) in de AuthenticanUrl parameter in plaats van het standaardgemeenschappelijke eindpunt.
Bijvoorbeeld: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize.

Rollen binnen het bereik zijn onder andere:

  • SharePoint-beheerder
  • Globale beheerder
  • Algemene lezer

Eigenschappen van het SharePoint-beheercentrum vallen onder het volgende:

  • Alle klassieke beheerfuncties/functionaliteit/sjablonen vallen buiten het bereik en werken niet gegarandeerd correct
  • Opmerking: voor alle ondersteunde GDAP-rollen in het SharePoint-beheercentrum kunnen partners geen bestanden en machtigingen bewerken voor bestanden en mappen op de SharePoint-site van de klant. Dit was een beveiligingsrisico voor klanten en is aangepakt.

Dynamics 365 en Power Platform

Voor Power-platform- en Dynamics 365 Customer Engagement-toepassingen (Verkoop, Service) worden de volgende taken ondersteund door GDAP.

Brontype Momenteel ondersteund
Beheerderstaken - Alle menu-items in het Power Platform-beheercentrum

Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:

  • Power Platform-beheerder
  • Globale beheerder
  • Helpdeskbeheerder (voor Help en ondersteuning)
  • Serviceondersteuningsbeheerder (voor Help en ondersteuning)

Eigenschappen buiten het bereik:


Dynamics 365 Business Central

Voor Dynamics 365 Business Central worden de volgende taken ondersteund door GDAP.

Brontype Momenteel ondersteund
Beheerderstaken Alle taken*

* Voor sommige taken zijn machtigingen vereist die zijn toegewezen aan de beheerder in de Dynamics 365 Business Central-omgeving. Raadpleeg de beschikbare documentatie.

Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:

  • Dynamics 365-beheerder
  • Globale beheerder
  • Helpdeskbeheerder

Eigenschappen buiten het bereik:

  • Geen

Dynamics Lifecycle Services

Voor Dynamics Lifecycle Services worden de volgende taken ondersteund door GDAP.

Brontype Momenteel ondersteund
Beheerderstaken Alle taken

Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:

  • Dynamics 365-beheerder
  • Globale beheerder

Eigenschappen buiten het bereik:

  • Geen

Intune (Endpoint Manager)

Ondersteunde Microsoft Entra-rollen binnen het bereik:

  • Intune-beheerder
  • Globale beheerder
  • Algemene lezer
  • Rapportenlezer
  • Beveiligingslezer
  • Nalevingsbeheerder
  • Beveiligingsbeheer

Raadpleeg de Intune RBAC-documentatie om het toegangsniveau voor de bovenstaande rollen te controleren.

Ondersteuning voor Intune omvat geen gebruik van GDAP bij het inschrijven van servers voor Microsoft Tunnel of voor het configureren of installeren van een van de connectors voor Intune. Voorbeelden van Intune-connectors zijn, maar zijn niet beperkt tot de Intune-connector voor Active Directory, Mobile Threat Defense-connector en de Microsoft Defender voor Eindpunt-connector.

Bekend probleem: partners die toegang hebben tot beleid in Office-apps, worden weergegeven: 'Kan geen gegevens ophalen voor OfficeSettingsContainer'. Gebruik guid om dit probleem aan Microsoft te melden.'


Azure Portal

Diagram van de relatie tussen partner en klant met behulp van GDAP.

Microsoft Entra-rollen binnen het bereik:

  • Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar

Richtlijnen voor GDAP-rollen:

  • Partner en klant moeten een resellerrelatie hebben
  • De partner moet een beveiligingsgroep (bijvoorbeeld Azure-managers) maken voor het beheren van Azure en deze nesten onder Beheerdersagents voor partitionering per klant, zoals aanbevolen best practice.
  • Wanneer partner een Azure-abonnement koopt voor de klant, wordt het Azure-abonnement ingericht en wordt de groep Beheerdersagenten toegewezen aan Azure RBAC als eigenaar van het Azure-abonnement
  • Omdat de beveiligingsgroep van Azure Managers lid is van de groep Beheerdersagenten, worden gebruikers die lid zijn van Azure Managers de eigenaar van het Azure-abonnement RBAC
  • Als u toegang wilt krijgen tot het Azure-abonnement als eigenaar voor de klant, moet elke Microsoft Entra-rol, zoals Directory Readers (minst bevoorrechte rol) worden toegewezen aan de Beveiligingsgroep van Azure Managers

Alternatieve Azure GDAP-richtlijnen (zonder beheerdersagent te gebruiken)

Vereisten:

  • Partner en klant hebben een resellerrelatie .
  • Partner heeft een beveiligingsgroep gemaakt voor het beheren van Azure en genest in de HelpDeskAgents-groep per klanttoegangspartitionering, zoals een aanbevolen best practice is.
  • De partner heeft een Azure-abonnement voor de klant aangeschaft, het Azure-abonnement wordt ingericht en de partner heeft de groep Beheerdersagenten Azure RBAC toegewezen als eigenaar van het Azure-abonnement, maar er is geen RBAC-roltoewijzing gemaakt voor helpdeskagenten.

Stappen voor partnerbeheerders:

De partnerbeheerder in het abonnement voert de volgende scripts uit met behulp van PowerShell om helpdesk-FPO te maken in het Azure-abonnement.

  • Maak verbinding met de partnertenant om de object ID HelpDeskAgents-groep op te halen.

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of HelpDeskAgents group
    Get-AzADGroup -DisplayName HelpDeskAgents
    
  • Zorg ervoor dat uw klant over volgende beschikt:

    • De rol van eigenaar of beheerder van gebruikerstoegang
    • Machtigingen voor het maken van roltoewijzingen op abonnementsniveau

Stappen van de klant:

Om het proces te voltooien, moet uw klant de volgende stappen uitvoeren met behulp van PowerShell of Azure CLI.

  1. Als u PowerShell gebruikt, moet de klant de Az.Resources module bijwerken.

    Update-Module Az.Resources
    
  2. Maak verbinding met de tenant waarin het CSP-abonnement bestaat.

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. Maak verbinding met het abonnement.

    Notitie

    Dit is alleen van toepassing als de gebruiker machtigingen voor roltoewijzing heeft voor meerdere abonnementen in de tenant.

    Set-AzContext -SubscriptionID <"CSP Subscription ID">
    
    az account set --subscription <CSP Subscription ID>
    
  4. De roltoewijzing maken.

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
    

Visual Studio

Diagram met de relatie tussen de Visual Studio-managersgroep en de klant via GDAP.

Microsoft Entra-rollen binnen het bereik:

  • Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar

GDAP-rolrichtlijnen voor partners:

  • Voorwaarden:
    • Partner en klant moeten een resellerrelatie hebben
    • Partner moet Een Azure-abonnement aanschaffen voor de klant
  • De partner moet een beveiligingsgroep maken (bijvoorbeeld Visual Studio-managers) voor het aanschaffen en beheren van Visual Studio-abonnementen en deze nesten onder Beheerdersagents voor partitionering per klant, zoals aanbevolen best practice.
  • De rol GDAP voor het aanschaffen en beheren van Visual Studio is hetzelfde als Azure GDAP.
  • Visual Studio Managers Security Group moet een Microsoft Entra-rol, zoals Directory Readers (minst bevoegde rol) toegewezen krijgen voor toegang tot het Azure-abonnement als eigenaar
  • Gebruikers die deel uitmaken van De Beveiligingsgroep van Visual Studio kunnen een Visual Studio-abonnement aanschaffen op Marketplace https://marketplace.visualstudio.com (vanwege geneste leden van beheerdersagents hebben toegang tot het Azure-abonnement)
  • Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het aantal Visual Studio-abonnementen wijzigen

Schermopname van de beschikbare Visual Studio-abonnementen.

  • Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het Visual Studio-abonnement annuleren (door het aantal te wijzigen in nul)
  • Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers, kunnen abonnee toevoegen om Visual Studio-abonnementen te beheren (bijvoorbeeld door de directory van de klant bladeren en roltoewijzing van Visual Studio toevoegen als abonnee)

Visual Studio-eigenschappen vallen buiten het bereik:

  • Geen

DAP AOBO-koppelingen Reden waarom deze ontbreekt op de pagina GDAP-servicebeheer
Microsoft 365 Planner
https://portal.office.com/
Dit is een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat.
Zwaaien
https://portal.office.com/
Dit is een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat.
Windows 10
https://portal.office.com/
Dit is een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat.
Cloud App Security
https://portal.cloudappsecurity.com/
Microsoft Defender voor Cloud-apps worden buiten gebruik gesteld. Deze portal wordt samengevoegd met Microsoft Defender XDR, die GDAP ondersteunt.
Azure IoT Central
https://apps.azureiotcentral.com/
Momenteel niet ondersteund. Buiten het bereik voor GDAP.
Windows Defender Advanced Threat Protection
https://securitycenter.windows.com
Windows Defender Advanced Threat Protection wordt buiten gebruik gesteld. Partners wordt aangeraden over te stappen op Microsoft Defender XDR, die GDAP ondersteunt.