Orientação da função GDAP
Funções apropriadas: Agente administrativo
Este artigo fornece orientação sobre qual função interna menos privilegiada do Microsoft Entra você pode usar para cada recurso granular de privilégios de administrador delegado (GDAP). Por exemplo, enviar solicitações de suporte em nome de um cliente requer a função de administrador de suporte do Service, que é a função interna menos privilegiada do Microsoft Entra no locatário do cliente.
Pedidos de suporte
Os revendedores indiretos não podem criar solicitações de suporte para o Azure. Em vez disso, devem trabalhar com os seus fornecedores indiretos.
| Para criar uma solicitação de suporte para: | Os parceiros de faturação direta e os fornecedores indiretos devem ter o seguinte papel menos privilegiado: |
|---|---|
| Microsoft 365 no centro de administração do Microsoft 365 | Atribuição de função GDAP a uma função que tenha permissões de Microsoft.office365.supportTickets/allEntities/allTasks, como administrador de suporte de serviço |
| Dynamics 365 no Centro de Administração da Power Platform | Atribuição de função GDAP a uma função que tenha permissões de Microsoft.office365.supportTickets/allEntities/allTasks, como administrador de suporte de serviço |
| recurso de assinatura do Azure no portal do Azure |
Pré-requisito: Para criar solicitações em nome de clientes usando a assinatura do Azure de um cliente, os parceiros devem ter um relacionamento de revendedor com o cliente, conforme explicado em autorização regional do CSP. Para obter mais informações, consulte etapas para configurar o Azure GDAP.
Qualquer atribuição GDAP a uma função do Microsoft Entra, como a função de leitores de diretório , - E - Atribuição de função RBAC (controle de acesso baseado em função) do Azure a uma função com permissões Microsoft.Support/supportTickets/write, como contribuidor de solicitação de suporte |
| ID do Microsoft Entra no portal do Azure |
Alternativa 1: Se um cliente não tiver o Microsoft Entra ID P1 ou P2 Pré-requisito: Para criar pedidos em nome de clientes usando a assinatura do Azure de um cliente, os parceiros devem ter um relacionamento de revendedor com o cliente de acordo com a autorização regional do CSP . Para obter mais informações, consulte etapas para configurar o Azure GDAP. Qualquer atribuição GDAP a uma função do Microsoft Entra, como leitores de Diretório, - E - Atribuição de função RBAC do Azure a uma função com permissões Microsoft.Support/supportTickets/write, como contribuidor de solicitação de suporte Alternativa 2: Se o cliente tiver o Microsoft Entra ID P1 ou P2 Qualquer atribuição GDAP a uma função Microsoft Entra que tenha: permissões de microsoft.azure.supportTickets/allEntities/allTasks, como Administrador de suporte de serviço |
Funções GDAP por tipos de parceiros
As funções a seguir são por tipos de parceiros.
Fornecedores indiretos
As seguintes funções são recomendadas para provedores indiretos transacionarem e gerenciarem:
- Criação de novos locatários de clientes
- Configuração do relacionamento com o revendedor
- Compra
- Gestão de subscrições
- Atualizações
- Conversões
- Criação de usuário do cliente e atribuição de licença
- Solicitações de atendimento ao cliente (criação de solicitações em nome do cliente)
| Função | Descrição |
|---|---|
| Funções de leitor: | |
| Leitores de diretório | É capaz de ler informações básicas do diretório. Comumente usado para conceder acesso de leitura de diretório a aplicativos e convidados |
| Escritores de diretório | É capaz de ler e escrever informações básicas de diretório. Destina-se a conceder acesso a aplicações, não a utilizadores. |
| Leitor global | Pode ler tudo o que um administrador global pode, mas não pode atualizar nada |
| Gestão de utilizadores e gestão de licenças: | |
| Administrador de usuários | Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados |
| Administrador de licenças | Pode gerenciar licenças de produtos em usuários e grupos |
| Administrador de suporte de serviço | Pode ler informações de integridade do serviço e gerenciar solicitações de suporte |
| Balcão de Ajuda: | |
| administrador do Help Desk | Pode redefinir senhas para não-administradores e administradores de Help Desk |
Parceiros de faturação direta, revendedores indiretos e consultores
Recomendamos as seguintes funções para revendedores indiretos, consultores e parceiros de faturamento direto que também desempenham o papel de MSPs. Todos eles são categorizados como provedores de serviços gerenciados especializados (MSPs) que gerenciam completamente o ambiente do cliente como departamento de TI terceirizado. Esta secção são os papéis categorizados necessários para tarefas e funções.
Tarefas de um técnico de nível 1 em serviços gerenciados
| Função | Tarefa | Função |
|---|---|---|
| Administrador de suporte de serviço | Enviar solicitações de suporte em nome do cliente. | O Help Desk cria e gerencia solicitações de suporte. |
| Leitor de segurança | Veja as políticas relacionadas à segurança nos serviços do Microsoft 365. | O Help Desk recolhe informações sobre o locatário do cliente para investigar problemas ou atualizar as políticas do portal de segurança e conformidade, tais como políticas de prevenção de perda de dados. |
| Administrador do Intune | Pode gerenciar todos os aspetos do produto Intune. | O Help Desk lida com o registro de dispositivos do cliente e a solução de problemas. |
| Administrador do SharePoint | Pode gerenciar todos os aspetos do serviço do SharePoint. | O Help Desk gerencia as permissões do site do SharePoint. |
| Especialista em suporte de comunicação de equipas | Pode gerenciar o serviço Microsoft Teams. | O Help Desk soluciona problemas de qualidade de chamadas. |
| Administrador de Help Desk | Pode redefinir senhas para não-administradores e estes administradores: Leitores de Diretório, Convidador de Convidados, Administrador do Help Desk, Leitor do Centro de Mensagens, Administrador de Senhas, Leitor de Relatórios. | A assistência técnica redefine as palavras-passe. |
| Administrador de análises do ambiente de trabalho | Pode acessar e gerenciar ferramentas e serviços de gerenciamento de desktop. | O Help Desk pode gerenciar o serviço de análise de área de trabalho exibindo o inventário de ativos e lendo as propriedades padrão das políticas de autorização. |
| Administrador de autenticação | Tem acesso para visualizar, definir e redefinir informações de método de autenticação para qualquer usuário não administrador. | O Help Desk pode acessar para exibir, definir e redefinir informações de método de autenticação para qualquer usuário não administrador (por exemplo, MFA e acesso condicional). |
| Administrador do Exchange | Os usuários com essa função têm permissões globais no Microsoft Exchange Online quando o serviço está presente. Também tem a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar solicitações de suporte e monitorar a integridade do serviço; pode enviar OBO e gerenciar caixas de entrada. | O Help Desk gerencia caixas de correio compartilhadas, ajuda a resolver problemas de cota de caixa de correio e cria e gerencia regras de transporte. |
| Administrador de licenças | Pode atribuir, remover e atualizar atribuições de licença. | Durante a solução de problemas, o Help Desk avalia e corrige se houver um problema de licenciamento com a solicitação de suporte. |
| Administrador de usuários | Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados; pode bloquear o início de sessão do utilizador. | O Help Desk gerencia todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados e o bloqueio do acesso de um ex-funcionário do cliente aos serviços do Microsoft 365. |
| Administrador de grupos | Os membros dessa função podem criar/gerenciar grupos, criar/gerenciar configurações de grupos, como políticas de nomenclatura e expiração, e exibir relatórios de atividade e auditoria de grupos. | O Help Desk adiciona proprietários a grupos e adiciona membros a grupos. |
| Leitor de diretórios | Os usuários nessa função podem ler informações básicas de diretório. | O Help Desk pode ler informações básicas de diretório como parte da solução de problemas. |
| Leitor de centro de mensagens | Pode ler mensagens e atualizações para a sua organização apenas no Centro de Mensagens do Office 365. | O Help Desk lê o Centro de Mensagens para solucionar problemas de suporte. |
| Administração da impressora | Os usuários com essa função podem registrar impressoras e gerenciar todos os aspetos de todas as configurações de impressora na solução Microsoft Universal Print, incluindo as configurações do Universal Print Connector. Eles podem consentir com todas as solicitações de permissão de impressão delegadas. Os administradores de impressoras também têm acesso a relatórios de impressão. | O Help Desk gerenciaria as configurações da impressora e solucionaria problemas da impressora. |
| Convidador de convidados | Os usuários nessa função podem gerenciar convites de usuários convidados do Microsoft Entra B2B. | O Help Desk pode convidar utilizadores convidados independentemente da configuração Membros podem convidar convidados. |
Função menos privilegiada por tarefa
A tabela a seguir exibe tarefas dentro de cada recurso GDAP, juntamente com a função menos privilegiada necessária para executar cada tarefa.
| Capacidade GDAP | Tarefa | Papel menos privilegiado |
|---|---|---|
| Suporte | Enviar ticket de suporte | Administrador de suporte de serviço |
| Utilizadores | Adicionar usuário à função de diretório | Administrador de função privilegiada |
| Adicionar usuário ao grupo | Administrador de usuários | |
| Atribuir licença | Administrador de licenças | |
| Criar usuário convidado | convidante | |
| Redefinir convite de usuário convidado | Administrador de usuários | |
| Criar utilizador | Administrador de usuários | |
| Excluir usuário | Administrador de usuários | |
| Invalidar tokens de atualização de administrador limitado | Administrador de usuários | |
| Invalidar tokens de atualização de utilizadores não administradores | Administrador de senha | |
| Invalidar os tokens de atualização de administradores privilegiados | Administrador de autenticação privilegiada | |
| Ler configuração básica | Função de usuário padrão | |
| Redefinir senha para administrador limitado | Administrador de usuários | |
| Redefinir senha para não administrador | Administrador de senha | |
| Redefinir senha para administrador privilegiado | Administrador de autenticação privilegiada | |
| Revogar licença | Administrador de licenças | |
| Atualizar todas as propriedades, exceto o nome principal do usuário | Administrador de usuários | |
| Atualizar nome principal do usuário para administrador limitado | Administrador de usuários | |
| Atualizar nome principal do usuário para administrador privilegiado | Administrador global | |
| Atualizar configurações do usuário | Administrador global | |
| Atualizar métodos de autenticação | Administrador de autenticação | |
| Grupos | Atribuir licença | Administrador de usuários |
| Criar grupo | Administrador do Grupos | |
| Criar, atualizar ou excluir revisão de acesso de um grupo ou aplicativo | Administrador de usuários | |
| Gerenciar a expiração do grupo | Administrador de usuários | |
| Gerenciar configurações de grupo | Administrador de Groups | |
| Ler todas as configurações (exceto associação oculta) | Leitores de diretório | |
| Ler associação oculta | Membro do grupo | |
| Ler a filiação de grupos com membros ocultos | administrador do Help Desk | |
| Revogar licença | Administrador de licenças | |
| Atualizar a associação ao grupo | Proprietário do Grupo | |
| Atualizar proprietários de grupos | Proprietário do Grupo | |
| Atualizar propriedades do grupo | Proprietário do Grupo | |
| Excluir grupo | do administrador do |
|
| Licenças | Atribuir licença | Administrador de licenças |
| Ler todas as configurações | Leitores de diretório | |
| Revogar licença | Administrador de licenças |