Udostępnij za pośrednictwem


Wskazówki dotyczące roli GDAP

odpowiednie role: Agent administracyjny

Ten artykuł zawiera wskazówki dotyczące wbudowanej roli Microsoft Entra o najniższym poziomie uprawnień, które można użyć dla każdej możliwości szczegółowego delegowanego uprawnienia administratora (GDAP). Na przykład, aby przesłać żądania wsparcia technicznego w imieniu klienta, wymagane jest posiadanie roli "Service support administrator", która jest najmniej uprzywilejowaną wbudowaną rolą Microsoft Entra w dzierżawie klienta.

Żądania pomocy technicznej

Odsprzedawcy pośredni nie mogą tworzyć żądań pomocy technicznej dla platformy Azure. Zamiast tego muszą współpracować ze swoimi dostawcami pośrednimi.

Aby utworzyć wniosek o pomoc techniczną dla: Partnerzy rozliczani bezpośrednio i dostawcy pośredni muszą mieć następującą najmniej uprzywilejowaną rolę:
Microsoft 365 w centrum administracyjnym Microsoft 365 Przypisanie roli GDAP dla roli posiadającej uprawnienia Microsoft.office365.supportTickets/allEntities/allTasks, takie jak administratora wsparcia technicznego usługi
Dynamics 365 w Centrum administracyjnym platformy Power Platform Przypisanie roli GDAP do roli, która ma Microsoft.office365.supportTickets/allEntities/allTasks uprawnienia, takie jak administrator pomocy technicznej usługi
zasób subskrypcji Azure w portalu Azure Wymagania wstępne: Aby utworzyć żądania w imieniu klientów przy użyciu subskrypcji Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem zgodnie z opisem w regionalnej autoryzacji CSP. Aby uzyskać więcej informacji, zobacz Steps to setup Azure GDAP.

dowolne przypisanie GDAP do roli Microsoft Entra, takiej jak czytelnicy Directory,

- AND -

Przypisanie roli kontroli dostępu na podstawie ról (RBAC) platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write, takimi jak współautor żądania pomocy technicznej
Microsoft Entra ID w Azure portal pl-PL: Alternatywa 1: Jeśli klient nie ma Microsoft Entra ID P1 lub P2

Wymagania wstępne: Aby tworzyć żądania w imieniu klientów za pomocą subskrypcji Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem zgodnie z regionalną autoryzacją CSP. Aby uzyskać więcej informacji, zobacz Steps to setup Azure GDAP.

każde przypisanie GDAP do roli Microsoft Entra, na przykład roli czytelnika katalogu,

- AND -

Przypisanie roli RBAC platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write, takich jak Współautor zgłoszeń do pomocy technicznej

Alternatywa 2: Jeśli klient ma Microsoft Entra ID P1 lub P2 Dowolne przypisanie GDAP do roli Microsoft Entra, która ma: microsoft.azure.supportTickets/allEntities/allTasks uprawnienia, takie jak Administrator wsparcia usługi

Role GDAP według typów partnerów

Następujące role są według typów partnerów.

Dostawcy pośredni

Zaleca się następujące role dla dostawców pośrednich do zawierania transakcji i zarządzania nimi:

  • Tworzenie nowego dzierżawcy klienta
  • Konfiguracja relacji odsprzedawcy
  • Kupno
  • Zarządzanie subskrypcjami
  • Aktualizacje
  • Konwersje
  • Tworzenie użytkownika klienta i przypisywanie licencji
  • Żądania obsługi klienta (tworzenie żądań w imieniu klienta)
roli Opis
role czytelnika :
Czytniki katalogów Może odczytywać podstawowe informacje o katalogu. Często używane do nadawania dostępu do odczytu katalogu aplikacjom i użytkownikom zewnętrznym
Pisarze katalogów Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników.
Czytelnik globalny Może odczytać wszystko, co może administrator globalny, ale nie może zaktualizować niczego
zarządzanie użytkownikami i zarządzanie licencjami:
administrator użytkownika Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów
Administrator licencji Może zarządzać licencjami produktów dla użytkowników i grup
administratora pomocy technicznej usługi Może odczytywać informacje o kondycji usługi i zarządzać żądaniami pomocy technicznej
Biuro pomocy technicznej:
administrator pomocy technicznej Może resetować hasła dla administratorów niebędących administratorami i administratorami pomocy technicznej

Partnerzy rozliczani bezpośrednio, odsprzedawcy pośredni i doradcy

Zalecamy następujące role dla odsprzedawców pośrednich, doradców i partnerów prowadzących rozliczenia bezpośrednie, którzy również odgrywają rolę MSP. Wszyscy są sklasyfikowani jako wyspecjalizowani dostawcy usług zarządzanych (MSP), którzy całkowicie przejmują zarządzanie środowiskiem klienta, działając jako zewnętrzny dział IT. Ta sekcja to role podzielone na kategorie wymagane przez zadania i funkcje.

Zadania technika warstwy 1 w usługach zarządzanych

roli zadanie zadanie funkcji
Administrator pomocy technicznej usługi Prześlij żądania pomocy technicznej w imieniu klienta. Dział pomocy technicznej tworzy żądania pomocy technicznej i zarządza nimi.
Czytelnik zabezpieczeń Wyświetlanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365. Dział pomocy technicznej gromadzi dane dotyczące dzierżawy klienta, aby rozwiązywać problemy lub aktualizować zasady portalu zabezpieczeń i zgodności, takie jak zasady ochrony przed utratą danych.
Administrator usługi Intune Może zarządzać wszystkimi aspektami produktu Intune. Dział pomocy technicznej obsługuje rejestrację urządzeń klientów i rozwiązywanie problemów.
Administrator programu SharePoint Może zarządzać wszystkimi aspektami usługi SharePoint. Dział pomocy technicznej zarządza uprawnieniami witryny programu SharePoint.
Specjalista ds. komunikacji w Teams Może zarządzać usługą Microsoft Teams. Dział pomocy technicznej rozwiązuje problemy z jakością połączeń.
Administrator pomocy technicznej Może resetować hasła dla osób, które nie są administratorami, i tych adminów: Czytelnik katalogu, Osoba zapraszająca gości, Administrator help desku, Czytelnik Centrum wiadomości, Administrator haseł, Czytelnik raportów. Dział pomocy technicznej resetuje hasła.
Administrator usługi Desktop Analytics Może uzyskiwać dostęp do narzędzi i usług zarządzania pulpitami oraz zarządzać nimi. Dział pomocy technicznej może zarządzać usługą analizy pulpitu, wyświetlając spis zasobów i odczytując standardowe właściwości zasad autoryzacji.
Administrator uwierzytelniania Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem. Dział pomocy technicznej może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem (na przykład uwierzytelniania wieloskładnikowego i dostępu warunkowego).
Administrator programu Exchange Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna. Ponadto umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie żądaniami pomocy technicznej i monitorowanie kondycji usługi; może wysyłać skrzynki odbiorcze OBO i zarządzać nimi. Dział pomocy technicznej zarządza udostępnionymi skrzynkami pocztowymi, pomaga rozwiązywać problemy z limitami przydziału skrzynek pocztowych oraz tworzy reguły transportu i zarządza nimi.
Administrator licencji Może przypisywać, usuwać i aktualizować przypisania licencji. Podczas rozwiązywania problemów dział pomocy technicznej ocenia i koryguje, czy występuje problem z licencjonowaniem w zgłoszeniu o pomoc techniczną.
Administrator użytkowników Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów; może zablokować logowanie użytkownika. Dział pomocy technicznej zarządza wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów i blokowaniem dostępu byłego pracownika klienta do usług Platformy Microsoft 365.
Administrator grup Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć i zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania oraz wyświetlać raporty dotyczące działań i inspekcji grup. Dział pomocy technicznej dodaje właścicieli do grup i dodaje członków do grup.
Czytnik katalogów Użytkownicy tej roli mogą odczytywać podstawowe informacje o katalogu. Dział pomocy technicznej może odczytywać podstawowe informacje o katalogu w ramach rozwiązywania problemów.
Czytnik centrum wiadomości Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w Centrum wiadomości usługi Office 365. Dział pomocy technicznej odczytuje wiadomości w Centrum wiadomości, aby rozwiązać problemy związane z pomocą techniczną.
Administracja drukarką Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia łącznika universal print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administratorzy drukarek mają również dostęp do drukowania raportów. Dział pomocy technicznej zarządza konfiguracjami drukarek i rozwiązuje problemy z drukarką.
Osoba zapraszająca gościa Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkowników-gości firmy Microsoft Entra B2B. Dział pomocy technicznej może zapraszać gości niezależnie od ustawienia dotyczącym możliwości zapraszania gości przez członków.

Rola o najniższych uprawnieniach według zadania

W poniższej tabeli przedstawiono zadania w ramach każdej funkcji GDAP wraz z najmniej uprzywilejowaną rolą wymaganą do wykonania każdego zadania.

Funkcjonalność GDAP Zadanie Rola z najniższymi uprawnieniami
Wsparcie Zgłoś zgłoszenie pomocy technicznej administrator wsparcia technicznego usługi
użytkownicy Dodawanie użytkownika do roli katalogu administrator ról uprzywilejowanych
Dodawanie użytkownika do grupy administrator użytkowników
Przypisywanie licencji administratora licencji
Tworzenie użytkownika-gościa Zapraszający gości
Resetowanie zaproszenia użytkownika-gościa administrator użytkowników
Tworzenie użytkownika administrator użytkownika
Usuwanie użytkownika administrator użytkowników
Unieważnij tokeny odświeżania ograniczonego administratora administrator użytkowników
Unieważnić tokeny odświeżania użytkowników nieadministracyjnych Administrator haseł
Unieważnij tokeny odświeżania uprzywilejowanego administratora Administrator uwierzytelniania uprzywilejowanego
Przeczytaj podstawową konfigurację domyślna rola użytkownika
Resetowanie hasła dla ograniczonego administratora administrator użytkowników
Resetowanie hasła dla użytkownika niebędącego administratorem administrator haseł
Resetowanie hasła dla administratora uprzywilejowanego Administrator uwierzytelniania uprzywilejowanego
Odwoływanie licencji administratora licencji
Aktualizowanie wszystkich właściwości z wyjątkiem głównej nazwy użytkownika Administrator użytkownika
Aktualizowanie głównej nazwy użytkownika dla ograniczonego administratora administrator użytkowników
Aktualizowanie głównej nazwy użytkownika dla administratora uprzywilejowanego administrator globalny
Aktualizowanie ustawień użytkownika administrator globalny
Aktualizowanie metod uwierzytelniania administrator uwierzytelniania
grupy Przypisywanie licencji administrator użytkowników
Tworzenie grupy administrator grup
Tworzenie, aktualizowanie lub usuwanie przeglądu dostępu grupy lub aplikacji Administrator użytkowników
Zarządzanie wygaśnięciem grupy Administrator użytkowników
Zarządzanie ustawieniami grupy administrator grup
Odczytaj całą konfigurację (z wyjątkiem ukrytego członkostwa) Czytniki katalogów
Odczytaj ukryte członkostwo Członek grupy
Odczytywanie członkostwa w grupach z ukrytym członkostwem administrator pomocy technicznej
Odwoływanie licencji administratora licencji
Aktualizowanie członkostwa w grupie właściciel grupy
Zaktualizuj właścicieli grup właściciel grupy
Aktualizowanie właściwości grupy właściciel grupy
Usuń grupę administrator grup
Licencje Przypisywanie licencji administratora licencji
Przeczytaj całą konfigurację Czytniki katalogów
Odwoływanie licencji administratora licencji

Role według złożoności

Rola Prosty Średni Kompleks
administrator aplikacji x
Deweloper aplikacji x
Autor ładunku ataku x
administrator symulacji ataków x
Administrator uwierzytelniania x
Lokalne urządzenie dołączone do Microsoft Entra — administrator x
administratora usługi Azure DevOps x
administrator ochrony informacji Azure x
administratora rozliczeń x
administrator aplikacji w chmurze x x
administrator urządzeń w chmurze x
administrator zgodności x
administrator dostępu warunkowego x
Administrator analiz na komputerach stacjonarnych x
Czytniki katalogów x x x
konta synchronizacji katalogów x
Administrator nazw domen x
administrator usługi Dynamics 365 x x
administrator programu Exchange x x
administrator adresata programu Exchange x
administrator zewnętrznego dostawcy tożsamości x
czytelnik globalny x x x
administrator grup x
Zapraszacz gości x
administrator pomocy technicznej x x x
administrator hybrydowej identyfikacji x
administratora usługi Insights x
administrator usługi Intune x x
administratora licencji x x x
Centrum wiadomości Czytelnik prywatności x
Centrum wiadomości czytnika x
administrator sieci x
Administrator aplikacji Office x
Administrator haseł x
administratora usługi Power BI x x
administratora platformy Power Platform x x
administrator drukarki x
Technik drukarek x
administratora uwierzytelniania uprzywilejowanego x
administrator roli uprzywilejowanej x
czytelnika raportów x x
administratora wyszukiwania x
edytor wyszukiwania x
administrator zabezpieczeń x x
Czytelnik zabezpieczeń x x
administrator wsparcia serwisowego x x x
administratora programu SharePoint x x
administratora programu Skype dla firm x
administrator usługi Teams x x
administrator komunikacji Teams x
inżynier pomocy technicznej ds. komunikacji usługi Teams x
specjalista ds. wsparcia komunikacji w zespole Teams x
administratora urządzeń usługi Teams x
Administrator użytkownika x x x
administratora systemu Windows 365 x x