Orientação de função GDAP
Funções apropriadas: Agente administrativo
Este artigo fornece diretrizes sobre qual função interna do Microsoft Entra com privilégios mínimos pode ser usada para cada recurso GDAP (privilégios de administrador delegado granular). Por exemplo, para enviar solicitações de suporte em nome de um cliente, é necessária a função de administrador de suporte de serviço, que é a função interna do Microsoft Entra com privilégios mínimos no locatário do cliente.
Criando solicitações de suporte
Os revendedores indiretos não podem criar solicitações de suporte para o Azure. Em vez disso, eles devem trabalhar com seus provedores indiretos.
| Para criar uma solicitação de suporte para: | Os parceiros de cobrança direta e os provedores indiretos devem ter a seguinte função com privilégios mínimos: |
|---|---|
| Microsoft 365 no Centro de administração do Microsoft 365 | Atribuição de função GDAP a uma função que tenha permissões Microsoft.office365.supportTickets/allEntities/allTasks , como administrador de suporte de serviço |
| Dynamics 365 no Centro de Administração do Power Platform | Atribuição de função GDAP a uma função que tenha permissões Microsoft.office365.supportTickets/allEntities/allTasks , como administrador de suporte de serviço |
| Recurso de assinatura do Azure no portal do Azure | Pré-requisito: para criar solicitações em nome de clientes usando a assinatura do Azure de um cliente, os parceiros devem ter uma relação de revendedor com o cliente, conforme explicado na autorização regional do CSP. Para obter mais informações, consulte Etapas para configurar o GDAP do Azure. Qualquer atribuição GDAP a uma função do Microsoft Entra, como leitores de diretório, -E- Atribuição de função RBAC (controle de acesso baseado em função) do Azure a uma função com permissões Microsoft.Support/supportTickets/write , como colaborador de solicitação de suporte |
| Microsoft Entra ID no portal do Azure | Alternativa 1: se um cliente não tiver a ID P1 ou P2 do Microsoft Entra Pré-requisito: para criar solicitações em nome de clientes usando a assinatura do Azure de um cliente, os parceiros devem ter uma relação de revendedor com o cliente por autorização regional do CSP. Para obter mais informações, consulte Etapas para configurar o GDAP do Azure. Qualquer atribuição GDAP a uma função do Microsoft Entra, como leitores de diretório, -E- Atribuição de função RBAC do Azure a uma função com permissões Microsoft.Support/supportTickets/write, como colaborador de solicitação de suporte Alternativa 2: se o cliente tiver a ID P1 ou P2 do Microsoft Entra Qualquer atribuição GDAP a uma função do Microsoft Entra que tenha: microsoft.azure.supportTickets/allEntities/allTasks permissões, como administrador de suporte de serviço |
Funções GDAP por tipos de parceiro
Provedores indiretos
As seguintes funções são recomendadas para provedores indiretos realizarem transações e gerenciarem:
- Criação de novo locatário do cliente
- Configuração de relacionamento de revendedor
- Compra
- Gerenciamento de assinaturas
- Atualizações
- Conversões
- Criação e atribuição de licença do usuário do cliente
- Solicitações de atendimento ao cliente (criação de solicitações em nome do cliente)
| Função | Descrição |
|---|---|
| Funções de leitor: | |
| Leitores de diretório | Pode ler informações básicas do diretório. Normalmente usado para conceder acesso de leitura de diretório a aplicativos e convidados |
| Gravadores de diretório | Pode ler e gravar informações básicas do diretório. Para conceder acesso a aplicativos, não destinado a usuários. |
| Leitor global | Pode ler tudo o que um administrador global pode, mas não pode atualizar nada |
| Gerenciamento de usuários e de licenças: | |
| Administrador do usuário | Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados |
| Administrador de licenças | Pode gerenciar licenças de produto em usuários e grupos |
| Administrador do suporte de serviços | Pode ler informações de integridade do serviço e gerenciar solicitações de suporte |
| Suporte técnico: | |
| Administrador do Suporte Técnico | Pode redefinir senhas para não administradores e administradores do Suporte Técnico |
Parceiros de cobrança direta, revendedores indiretos e consultores
As funções a seguir são recomendadas para revendedores indiretos, consultores e parceiros de cobrança direta que também desempenham a função de MSPs. Todos eles são categorizados como provedores de serviços gerenciados (MSPs) especializados que gerenciam completamente o ambiente do cliente como departamento de TI terceirizado. Esta seção é categorizada como funções exigidas por tarefas e funções.
Tarefas típicas de um técnico de nível 1 em serviços gerenciados
| Função | Tarefa | Função |
|---|---|---|
| Administrador do suporte de serviços | Envie solicitações de suporte em nome do cliente. | O Suporte Técnico cria e gerencia solicitações de suporte. |
| Leitor de segurança | Exibir políticas relacionadas à segurança em todos os serviços do Microsoft 365. | O Suporte Técnico coleta a descoberta no locatário do cliente para solucionar problemas ou atualizar políticas do portal de segurança e conformidade, como políticas de prevenção contra perda de dados. |
| Administrador do Intune | Pode gerenciar todos os aspectos do produto Intune. | O Suporte Técnico lida com o registro e a solução de problemas do dispositivo do cliente. |
| Administrador do SharePoint | Pode gerenciar todos os aspectos do serviço SharePoint. | O Suporte Técnico gerencia permissões de site do SharePoint. |
| Especialista de suporte técnico de comunicações do Team | Pode gerenciar o serviço do Microsoft Teams. | O Suporte Técnico soluciona problemas de qualidade de chamada. |
| Administrador do Suporte Técnico | Pode redefinir senhas para não administradores e estes administradores: Leitores de Diretório Convidado Convidado Convidado Administrador de Help Desk Leitor de Central de Mensagens Administrador de Senhas Leitor de Relatórios. | Senhas redefinidas do Suporte Técnico. |
| Administrador da análise de área de trabalho | Pode acessar e gerenciar ferramentas e serviços de gerenciamento de área de trabalho. | O Suporte Técnico pode gerenciar o serviço de análise de área de trabalho exibindo o inventário de ativos e lendo propriedades padrão de políticas de autorização. |
| Administrador de autenticação | Tem acesso para exibir, definir e redefinir as informações de método de autenticação de qualquer usuário não administrador. | O Suporte Técnico pode acessar para exibir, definir e redefinir informações do método de autenticação para qualquer usuário não administrador (por exemplo, MFA e acesso condicional). |
| Administrador do Exchange | Os usuários com essa função têm permissões globais no Microsoft Exchange Online quando o serviço está presente. Também tem a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar solicitações de suporte e monitorar a integridade do serviço; pode enviar OBO e gerenciar caixas de entrada. | O Suporte Técnico gerencia caixas de correio compartilhadas, ajuda a resolver problemas de cota de caixa de correio e cria e gerencia regras de transporte. |
| Administrador de licenças | Pode atribuir, remover e atualizar atribuições de licença. | Durante a solução de problemas, o Suporte Técnico avalia e corrige se há um problema de licenciamento com a solicitação de suporte. |
| Administrador do usuário | Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados; pode bloquear a entrada do usuário. | O Suporte Técnico gerencia todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados e o bloqueio do acesso de um ex-funcionário do cliente aos serviços do Microsoft 365. |
| Administrador de grupos | Os membros desta função podem criar/gerenciar grupos, criar/gerenciar configurações de grupos, como políticas de nomenclatura e expiração, bem como exibir a atividade dos grupos e os relatórios de auditoria. | O Suporte Técnico adiciona proprietários e membros a grupos. |
| Leitor de diretório | Os usuários com essa função podem ler informações básicas do diretório. | O Suporte Técnico pode ler informações básicas do diretório como parte da solução de problemas. |
| Leitor do centro de mensagens | Pode ler as mensagens e as atualizações para sua organização somente no Centro de Mensagens do Office 365. | O Suporte Técnico faz a leitura do Centro de Mensagens para solucionar problemas de suporte. |
| Administrador de impressora | Os usuários com esta função podem registrar impressoras e gerenciar todos os aspectos de todas as configurações de impressora na solução Impressão Universal da Microsoft, incluindo as configurações do conector de Impressão Universal. Eles podem consentir com todas as solicitações de permissão de impressão delegadas. Os administradores de impressora também têm acesso aos relatórios de impressão. | O Suporte Técnico gerencia as configurações da impressora e soluciona problemas de impressão. |
| Emissor do convite ao convidado | Os usuários nessa função podem gerenciar convites de usuário convidado B2B do Microsoft Entra. | O Suporte Técnico pode convidar usuários convidados independentemente da configuração de membros podem convidar os convidados. |
Função com privilégios mínimos por tarefa
A tabela a seguir exibe tarefas dentro de cada funcionalidade GDAP, juntamente com a função com privilégios mínimos necessária para executar cada tarefa.
| Funcionalidade de GDAP | Tarefa | Função com privilégios mínimos |
|---|---|---|
| Suporte | Enviar tíquete de suporte | Administrador do suporte de serviços |
| Usuários | Adicionar usuário à função do diretório | Administrador de funções com privilégios |
| Adicionar usuário ao grupo | Administrador do usuário | |
| Atribuir licença | Administrador de licenças | |
| Criar um usuário convidado | Emissor de convites independente | |
| Redefinir o convite do usuário convidado | Administrador do usuário | |
| Criar usuário | Administrador do usuário | |
| Excluir usuário | Administrador do usuário | |
| Invalidar tokens de atualização de administrador limitado | Administrador do usuário | |
| Invalidar tokens de atualização de não administrador | Administrador de senhas | |
| Invalidar tokens de atualização de administrador com privilégios | Administrador de autenticação privilegiada | |
| Ler a configuração básica | Função de usuário padrão | |
| Redefinir senha de administrador limitado | Administrador do usuário | |
| Redefinir senha de não administrador | Administrador de senhas | |
| Redefinir senha de administrador privilegiado | Administrador de autenticação privilegiada | |
| Revogar licença | Administrador de licenças | |
| Atualizar todas as propriedades, exceto nome UPN | Administrador do usuário | |
| Atualizar o nome UPN para administrador limitado | Administrador do usuário | |
| Atualizar o nome UPN para administrador com privilégios | Administrador global | |
| Atualizar configurações do usuário | Administrador global | |
| Atualizar métodos de autenticação | Administrador de autenticação | |
| Grupos | Atribuir licença | Administrador do usuário |
| Criar grupo | Administrador de grupos | |
| Criar, atualizar ou excluir a revisão de acesso de um grupo ou aplicativo | Administrador do usuário | |
| Gerenciar expiração de grupo | Administrador do usuário | |
| Gerenciar configurações de grupo | Administrador de grupos | |
| Ler todas as configurações (exceto associação oculta) | Leitores de diretório | |
| Ler associação oculta | Membro do grupo | |
| Ler membros de grupos com membros ocultos | Administrador do Suporte Técnico | |
| Revogar licença | Administrador de licenças | |
| Atualizar associação de grupo | Proprietário do grupo | |
| Atualizar proprietários do grupo | Proprietário do grupo | |
| Atualizar propriedades do grupo | Proprietário do grupo | |
| Excluir grupo | Administrador de grupos | |
| Licenças | Atribuir licença | Administrador de licenças |
| Ler todas as configurações | Leitores de diretório | |
| Revogar licença | Administrador de licenças |