Wskazówki dotyczące roli GDAP
odpowiednie role: Agent administracyjny
Ten artykuł zawiera wskazówki dotyczące wbudowanej roli Microsoft Entra o najniższym poziomie uprawnień, które można użyć dla każdej możliwości szczegółowego delegowanego uprawnienia administratora (GDAP). Na przykład, aby przesłać żądania wsparcia technicznego w imieniu klienta, wymagane jest posiadanie roli "Service support administrator", która jest najmniej uprzywilejowaną wbudowaną rolą Microsoft Entra w dzierżawie klienta.
Żądania pomocy technicznej
Odsprzedawcy pośredni nie mogą tworzyć żądań pomocy technicznej dla platformy Azure. Zamiast tego muszą współpracować ze swoimi dostawcami pośrednimi.
| Aby utworzyć wniosek o pomoc techniczną dla: | Partnerzy rozliczani bezpośrednio i dostawcy pośredni muszą mieć następującą najmniej uprzywilejowaną rolę: |
|---|---|
| Microsoft 365 w centrum administracyjnym Microsoft 365 | Przypisanie roli GDAP dla roli posiadającej uprawnienia Microsoft.office365.supportTickets/allEntities/allTasks, takie jak administratora wsparcia technicznego usługi |
| Dynamics 365 w Centrum administracyjnym platformy Power Platform | Przypisanie roli GDAP do roli, która ma Microsoft.office365.supportTickets/allEntities/allTasks uprawnienia, takie jak administrator pomocy technicznej usługi |
| zasób subskrypcji Azure w portalu Azure |
Wymagania wstępne: Aby utworzyć żądania w imieniu klientów przy użyciu subskrypcji Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem zgodnie z opisem w regionalnej autoryzacji CSP. Aby uzyskać więcej informacji, zobacz Steps to setup Azure GDAP.
dowolne przypisanie GDAP do roli Microsoft Entra, takiej jak czytelnicy Directory, - AND - Przypisanie roli kontroli dostępu na podstawie ról (RBAC) platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write, takimi jak współautor żądania pomocy technicznej |
| Microsoft Entra ID w Azure portal | pl-PL: Alternatywa 1: Jeśli klient nie ma Microsoft Entra ID P1 lub P2 Wymagania wstępne: Aby tworzyć żądania w imieniu klientów za pomocą subskrypcji Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem zgodnie z regionalną autoryzacją CSP. Aby uzyskać więcej informacji, zobacz Steps to setup Azure GDAP. każde przypisanie GDAP do roli Microsoft Entra, na przykład roli czytelnika katalogu, - AND - Przypisanie roli RBAC platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write, takich jak Współautor zgłoszeń do pomocy technicznej Alternatywa 2: Jeśli klient ma Microsoft Entra ID P1 lub P2 Dowolne przypisanie GDAP do roli Microsoft Entra, która ma: microsoft.azure.supportTickets/allEntities/allTasks uprawnienia, takie jak Administrator wsparcia usługi |
Role GDAP według typów partnerów
Następujące role są według typów partnerów.
Dostawcy pośredni
Zaleca się następujące role dla dostawców pośrednich do zawierania transakcji i zarządzania nimi:
- Tworzenie nowego dzierżawcy klienta
- Konfiguracja relacji odsprzedawcy
- Kupno
- Zarządzanie subskrypcjami
- Aktualizacje
- Konwersje
- Tworzenie użytkownika klienta i przypisywanie licencji
- Żądania obsługi klienta (tworzenie żądań w imieniu klienta)
| roli | Opis |
|---|---|
| role czytelnika : | |
| Czytniki katalogów | Może odczytywać podstawowe informacje o katalogu. Często używane do nadawania dostępu do odczytu katalogu aplikacjom i użytkownikom zewnętrznym |
| Pisarze katalogów | Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników. |
| Czytelnik globalny | Może odczytać wszystko, co może administrator globalny, ale nie może zaktualizować niczego |
| zarządzanie użytkownikami i zarządzanie licencjami: | |
| administrator użytkownika | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów |
| Administrator licencji | Może zarządzać licencjami produktów dla użytkowników i grup |
| administratora pomocy technicznej usługi | Może odczytywać informacje o kondycji usługi i zarządzać żądaniami pomocy technicznej |
| Biuro pomocy technicznej: | |
| administrator pomocy technicznej | Może resetować hasła dla administratorów niebędących administratorami i administratorami pomocy technicznej |
Partnerzy rozliczani bezpośrednio, odsprzedawcy pośredni i doradcy
Zalecamy następujące role dla odsprzedawców pośrednich, doradców i partnerów prowadzących rozliczenia bezpośrednie, którzy również odgrywają rolę MSP. Wszyscy są sklasyfikowani jako wyspecjalizowani dostawcy usług zarządzanych (MSP), którzy całkowicie przejmują zarządzanie środowiskiem klienta, działając jako zewnętrzny dział IT. Ta sekcja to role podzielone na kategorie wymagane przez zadania i funkcje.
Zadania technika warstwy 1 w usługach zarządzanych
| roli | zadanie zadanie | funkcji |
|---|---|---|
| Administrator pomocy technicznej usługi | Prześlij żądania pomocy technicznej w imieniu klienta. | Dział pomocy technicznej tworzy żądania pomocy technicznej i zarządza nimi. |
| Czytelnik zabezpieczeń | Wyświetlanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365. | Dział pomocy technicznej gromadzi dane dotyczące dzierżawy klienta, aby rozwiązywać problemy lub aktualizować zasady portalu zabezpieczeń i zgodności, takie jak zasady ochrony przed utratą danych. |
| Administrator usługi Intune | Może zarządzać wszystkimi aspektami produktu Intune. | Dział pomocy technicznej obsługuje rejestrację urządzeń klientów i rozwiązywanie problemów. |
| Administrator programu SharePoint | Może zarządzać wszystkimi aspektami usługi SharePoint. | Dział pomocy technicznej zarządza uprawnieniami witryny programu SharePoint. |
| Specjalista ds. komunikacji w Teams | Może zarządzać usługą Microsoft Teams. | Dział pomocy technicznej rozwiązuje problemy z jakością połączeń. |
| Administrator pomocy technicznej | Może resetować hasła dla osób, które nie są administratorami, i tych adminów: Czytelnik katalogu, Osoba zapraszająca gości, Administrator help desku, Czytelnik Centrum wiadomości, Administrator haseł, Czytelnik raportów. | Dział pomocy technicznej resetuje hasła. |
| Administrator usługi Desktop Analytics | Może uzyskiwać dostęp do narzędzi i usług zarządzania pulpitami oraz zarządzać nimi. | Dział pomocy technicznej może zarządzać usługą analizy pulpitu, wyświetlając spis zasobów i odczytując standardowe właściwości zasad autoryzacji. |
| Administrator uwierzytelniania | Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem. | Dział pomocy technicznej może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem (na przykład uwierzytelniania wieloskładnikowego i dostępu warunkowego). |
| Administrator programu Exchange | Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna. Ponadto umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie żądaniami pomocy technicznej i monitorowanie kondycji usługi; może wysyłać skrzynki odbiorcze OBO i zarządzać nimi. | Dział pomocy technicznej zarządza udostępnionymi skrzynkami pocztowymi, pomaga rozwiązywać problemy z limitami przydziału skrzynek pocztowych oraz tworzy reguły transportu i zarządza nimi. |
| Administrator licencji | Może przypisywać, usuwać i aktualizować przypisania licencji. | Podczas rozwiązywania problemów dział pomocy technicznej ocenia i koryguje, czy występuje problem z licencjonowaniem w zgłoszeniu o pomoc techniczną. |
| Administrator użytkowników | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów; może zablokować logowanie użytkownika. | Dział pomocy technicznej zarządza wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów i blokowaniem dostępu byłego pracownika klienta do usług Platformy Microsoft 365. |
| Administrator grup | Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć i zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania oraz wyświetlać raporty dotyczące działań i inspekcji grup. | Dział pomocy technicznej dodaje właścicieli do grup i dodaje członków do grup. |
| Czytnik katalogów | Użytkownicy tej roli mogą odczytywać podstawowe informacje o katalogu. | Dział pomocy technicznej może odczytywać podstawowe informacje o katalogu w ramach rozwiązywania problemów. |
| Czytnik centrum wiadomości | Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w Centrum wiadomości usługi Office 365. | Dział pomocy technicznej odczytuje wiadomości w Centrum wiadomości, aby rozwiązać problemy związane z pomocą techniczną. |
| Administracja drukarką | Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia łącznika universal print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administratorzy drukarek mają również dostęp do drukowania raportów. | Dział pomocy technicznej zarządza konfiguracjami drukarek i rozwiązuje problemy z drukarką. |
| Osoba zapraszająca gościa | Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkowników-gości firmy Microsoft Entra B2B. | Dział pomocy technicznej może zapraszać gości niezależnie od ustawienia dotyczącym możliwości zapraszania gości przez członków. |
Rola o najniższych uprawnieniach według zadania
W poniższej tabeli przedstawiono zadania w ramach każdej funkcji GDAP wraz z najmniej uprzywilejowaną rolą wymaganą do wykonania każdego zadania.
| Funkcjonalność GDAP | Zadanie | Rola z najniższymi uprawnieniami |
|---|---|---|
| Wsparcie | Zgłoś zgłoszenie pomocy technicznej | administrator wsparcia technicznego usługi |
| użytkownicy | Dodawanie użytkownika do roli katalogu | administrator ról uprzywilejowanych |
| Dodawanie użytkownika do grupy | administrator użytkowników | |
| Przypisywanie licencji | administratora licencji | |
| Tworzenie użytkownika-gościa | Zapraszający gości | |
| Resetowanie zaproszenia użytkownika-gościa | administrator użytkowników | |
| Tworzenie użytkownika | administrator użytkownika | |
| Usuwanie użytkownika | administrator użytkowników | |
| Unieważnij tokeny odświeżania ograniczonego administratora | administrator użytkowników | |
| Unieważnić tokeny odświeżania użytkowników nieadministracyjnych | Administrator haseł | |
| Unieważnij tokeny odświeżania uprzywilejowanego administratora | Administrator uwierzytelniania uprzywilejowanego | |
| Przeczytaj podstawową konfigurację | domyślna rola użytkownika | |
| Resetowanie hasła dla ograniczonego administratora | administrator użytkowników | |
| Resetowanie hasła dla użytkownika niebędącego administratorem | administrator haseł | |
| Resetowanie hasła dla administratora uprzywilejowanego | Administrator uwierzytelniania uprzywilejowanego | |
| Odwoływanie licencji | administratora licencji | |
| Aktualizowanie wszystkich właściwości z wyjątkiem głównej nazwy użytkownika | Administrator użytkownika | |
| Aktualizowanie głównej nazwy użytkownika dla ograniczonego administratora | administrator użytkowników | |
| Aktualizowanie głównej nazwy użytkownika dla administratora uprzywilejowanego | administrator globalny | |
| Aktualizowanie ustawień użytkownika | administrator globalny | |
| Aktualizowanie metod uwierzytelniania | administrator uwierzytelniania | |
| grupy | Przypisywanie licencji | administrator użytkowników |
| Tworzenie grupy | administrator grup | |
| Tworzenie, aktualizowanie lub usuwanie przeglądu dostępu grupy lub aplikacji | Administrator użytkowników | |
| Zarządzanie wygaśnięciem grupy | Administrator użytkowników | |
| Zarządzanie ustawieniami grupy | administrator grup | |
| Odczytaj całą konfigurację (z wyjątkiem ukrytego członkostwa) | Czytniki katalogów | |
| Odczytaj ukryte członkostwo | Członek grupy | |
| Odczytywanie członkostwa w grupach z ukrytym członkostwem | administrator pomocy technicznej | |
| Odwoływanie licencji | administratora licencji | |
| Aktualizowanie członkostwa w grupie | właściciel grupy | |
| Zaktualizuj właścicieli grup | właściciel grupy | |
| Aktualizowanie właściwości grupy | właściciel grupy | |
| Usuń grupę | administrator grup | |
| Licencje | Przypisywanie licencji | administratora licencji |
| Przeczytaj całą konfigurację | Czytniki katalogów | |
| Odwoływanie licencji | administratora licencji |
Role według złożoności
Powiązana zawartość
- Jak zakończyć relację dla partnerów
- Jak zakończyć relację dla klientów
- Wygasanie powiadomień
- dzienniki aktywności