Udostępnij za pośrednictwem

Konfigurowanie protokołu GDAP w Microsoft 365 Lighthouse

  • Artykuł

Szczegółowe delegowane uprawnienia administracyjne (GDAP) są warunkiem wstępnym pełnego dołączania dzierżaw klientów do usługi Lighthouse. Możesz skonfigurować wszystkich klientów przy użyciu protokołu GDAP za pośrednictwem Microsoft 365 Lighthouse. Konfigurując protokół GDAP dla dzierżaw klientów, które zarządzasz, pomagasz zapewnić klientom bezpieczeństwo przy jednoczesnym zapewnieniu użytkownikom w organizacji partnerskiej uprawnień niezbędnych do wykonywania ich pracy.

Aby zapoznać się ze sposobem konfigurowania protokołu GDAP w organizacji partnerskiej, zapoznaj się z interaktywnym przewodnikiem secure Microsoft 365 Lighthouse.

Jeśli podczas konfigurowania protokołu GDAP wystąpią jakiekolwiek problemy i potrzebujesz wskazówek, zobacz Rozwiązywanie problemów z komunikatami o błędach i problemami w Microsoft 365 Lighthouse: konfiguracja protokołu GDAP i zarządzanie nimi.

Przed rozpoczęciem

  • Musisz mieć określone role w Tożsamość Microsoft Entra i/lub Centrum partnerskim, zgodnie z opisem w tabeli Wymagania dotyczące roli dostępu delegowanego.

  • Klienci, którymi zarządzasz w aplikacji Lighthouse, muszą być skonfigurowani w Centrum partnerskim z relacją odsprzedawcy lub istniejącą relacją GDAP.

Konfigurowanie protokołu GDAP

  1. W okienku nawigacji po lewej stronie w aplikacji Lighthouse wybierz pozycję Strona główna.

  2. Na karcie Konfigurowanie protokołu GDAP wybierz pozycję Skonfiguruj protokół GDAP.

  3. Na stronie Dostęp delegowany wybierz kartę Szablony GDAP , a następnie wybierz pozycję Utwórz szablon.

  4. W okienku Tworzenie szablonu wprowadź nazwę szablonu i opcjonalny opis.

  5. W obszarze Role pomocy technicznej usługa Lighthouse obejmuje pięć domyślnych ról pomocy technicznej: Menedżera konta, agenta usługi Service Desk, specjalistę, inżyniera eskalacji i administratora. Dla każdej roli pomocy technicznej, która ma być używana, wykonaj następujące czynności:

    1. Wybierz pozycję Edytuj , aby otworzyć okienko Edytowanie roli pomocy technicznej .

    2. Zaktualizuj nazwę i opis roli pomocy technicznej w razie potrzeby, aby dopasować je do ról pomocy technicznej w organizacji partnerskiej.

    3. W obszarze Role Entra wybierz role Microsoft Entra wymagane przez rolę pomocy technicznej w oparciu o funkcję zadania roli. Dostępne są następujące opcje:

      • Użyj ról Microsoft Entra zalecanych przez firmę Microsoft.
      • Ustaw filtr na Wszystkie i wybierz preferowane role Microsoft Entra.

      Aby dowiedzieć się więcej, zobacz Microsoft Entra role wbudowane.

    4. Wybierz Zapisz.

  6. Dla każdej roli pomocy technicznej, która ma być używana, wybierz ikonę Dodaj lub utwórz grupę zabezpieczeń obok roli pomocy technicznej, aby otworzyć okienko Wybierz lub utwórz grupę zabezpieczeń . Jeśli nie chcesz używać określonej roli pomocy technicznej, nie przypisuj do niej żadnych grup zabezpieczeń.

    Uwaga

    Każdy szablon GDAP wymaga przypisania co najmniej jednej grupy zabezpieczeń do roli pomocy technicznej.

  7. Wykonaj jeden z następujących kroków:

    • Aby użyć istniejącej grupy zabezpieczeń, wybierz pozycję Użyj istniejącej grupy zabezpieczeń, wybierz co najmniej jedną grupę zabezpieczeń z listy, a następnie wybierz pozycję Zapisz.

    • Aby utworzyć nową grupę zabezpieczeń, wybierz pozycję Utwórz nową grupę zabezpieczeń, a następnie wykonaj następujące czynności:

      1. Wprowadź nazwę i opcjonalny opis nowej grupy zabezpieczeń.

      2. Jeśli to możliwe, wybierz pozycję Utwórz zasady dostępu just in time (JIT) dla tej grupy zabezpieczeń, a następnie zdefiniuj wygaśnięcie uprawnień użytkownika, czas trwania dostępu JIT i grupę zabezpieczeń osoby zatwierdzającą JIT.

        Uwaga

        Aby utworzyć zasady dostępu just in time (JIT) dla nowej grupy zabezpieczeń, musisz mieć licencję Tożsamość Microsoft Entra P2. Jeśli nie możesz zaznaczyć pola wyboru, aby utworzyć zasady dostępu JIT, sprawdź, czy masz licencję Tożsamość Microsoft Entra P2.

      3. Dodaj użytkowników do grupy zabezpieczeń, a następnie wybierz pozycję Zapisz.

        Uwaga

        Użytkownicy należący do grupy zabezpieczeń agenta JIT nie otrzymują automatycznie dostępu do ról GDAP w Tożsamość Microsoft Entra. Ci użytkownicy muszą najpierw zażądać dostępu z portalu Mój dostęp , a członek grupy zabezpieczeń osoby zatwierdzającą JIT musi przejrzeć żądanie dostępu JIT.

      4. Jeśli utworzono zasady dostępu JIT dla grupy zabezpieczeń, możesz przejrzeć utworzone zasady na pulpicie nawigacyjnym zarządzania tożsamościami w centrum administracyjne Microsoft Entra.

        Aby uzyskać więcej informacji na temat sposobu żądania dostępu przez agentów JIT, zobacz Żądanie dostępu do pakietu dostępu w zarządzaniu uprawnieniami.

        Aby uzyskać więcej informacji na temat sposobu zatwierdzania żądań przez osoby zatwierdzające, zobacz Zatwierdzanie lub odrzucanie żądań dotyczących ról Microsoft Entra w Privileged Identity Management.

  8. Po zakończeniu definiowania ról pomocy technicznej i grup zabezpieczeń wybierz pozycję Zapisz w okienku Tworzenie szablonu , aby zapisać szablon GDAP.

    Nowy szablon zostanie teraz wyświetlony na liście szablonów na karcie Szablony GDAP na stronie Dostęp delegowany .

  9. Wykonaj kroki od 3 do 8, aby w razie potrzeby utworzyć więcej szablonów GDAP.

  10. Na karcie Szablony GDAP na stronie Dostęp delegowany wybierz trzy kropki (więcej akcji) obok szablonu na liście, a następnie wybierz pozycję Przypisz szablon.

  11. W okienku Przypisywanie tego szablonu do dzierżaw wybierz co najmniej jedną dzierżawę klienta, do których chcesz przypisać szablon, a następnie wybierz pozycję Dalej.

    Uwaga

    Każdą dzierżawę klienta można jednocześnie skojarzyć tylko z jednym szablonem GDAP. Jeśli chcesz przypisać nowy szablon do klienta, istniejące relacje GDAP są zapisywane i tworzone są tylko nowe relacje oparte na nowym szablonie.

  12. Przejrzyj szczegóły przypisania, a następnie wybierz pozycję Przypisz.

    Zastosowanie przypisań szablonów GDAP może potrwać minutę lub dwie. Aby odświeżyć dane na karcie Szablony GDAP , wybierz pozycję Odśwież.

  13. Wykonaj kroki od 10 do 12, aby w razie potrzeby przypisać dodatkowe szablony do dzierżaw.

Uzyskaj zgodę klienta na administrowanie swoimi produktami

W ramach procesu konfiguracji protokołu GDAP dla każdego klienta, który nie ma istniejącej relacji GDAP z organizacją partnera, jest generowany link żądania relacji GDAP. Przed rozpoczęciem administrowania produktami należy wysłać link do administratora w dzierżawie klienta, aby mógł wybrać link do zatwierdzenia relacji GDAP.

  1. Na stronie Dostęp delegowany wybierz kartę Relacje .

  2. Rozwiń dzierżawę klienta, której zatwierdzenie jest wymagane.

  3. Wybierz relację GDAP, która pokazuje stan Oczekujące , aby otworzyć okienko szczegółów relacji.

  4. Wybierz pozycję Otwórz w wiadomości e-mail lub Kopiuj wiadomość e-mail do schowka, w razie potrzeby edytuj tekst (ale nie edytuj adresu URL linku, który należy wybrać, aby nadać Ci uprawnienia administracyjne), a następnie wyślij wiadomość e-mail z żądaniem relacji GDAP do administratora w dzierżawie klienta.

Gdy administrator w dzierżawie klienta wybierze link do zatwierdzenia relacji GDAP, zostaną zastosowane ustawienia szablonu GDAP. Może upłynąć do godziny po zatwierdzeniu relacji, aby zmiany pojawiły się w lighthouse.

Relacje GDAP są widoczne w Centrum partnerskim, a grupy zabezpieczeń są widoczne w Tożsamość Microsoft Entra.

Edytowanie ustawień protokołu GDAP

Po zakończeniu konfigurowania protokołu GDAP można aktualizować lub zmieniać role, grupy zabezpieczeń lub szablony w dowolnym momencie.

  1. W okienku nawigacji po lewej stronie w aplikacji Lighthouse wybierz pozycję Uprawnienia>Delegowany dostęp.

  2. Na karcie Szablony GDAP wprowadź wszelkie niezbędne zmiany w szablonach GDAP lub skojarzonych z nimi konfiguracjach, a następnie zapisz zmiany.

  3. Przypisz zaktualizowane szablony GDAP do odpowiednich dzierżaw klientów, aby te dzierżawy miały zaktualizowane konfiguracje z szablonów.

Zawartość pokrewna

Omówienie uprawnień w Microsoft 365 Lighthouse (artykuł)
Omówienie strony Dostęp delegowany w Microsoft 365 Lighthouse (artykuł)
Rozwiązywanie problemów i komunikatów o błędach w Microsoft 365 Lighthouse (artykuł)
Konfigurowanie zabezpieczeń portalu Microsoft 365 Lighthouse (artykuł)
Wprowadzenie do szczegółowych uprawnień administratora delegowanego (GDAP) — Centrum partnerskie (artykuł)
Microsoft Entra role wbudowane (artykuł)
Dowiedz się więcej o grupach i prawach dostępu w Tożsamość Microsoft Entra (artykuł)
Co to jest zarządzanie uprawnieniami Microsoft Entra? (artykuł)