Поделиться через

Часто задаваемые вопросы о GDAP

  • Вопросы и ответы

соответствующие роли: все пользователи, заинтересованные в Центре партнеров

Детализированные делегированные разрешения администратора (GDAP) предоставляют партнерам доступ к рабочим нагрузкам своих клиентов таким образом, что более детализировано и привязано к времени, что может помочь решить проблемы безопасности клиентов.

С помощью GDAP партнеры могут предоставлять клиентам больше услуг, которые могут быть неудобны с высоким уровнем доступа к партнеру.

GDAP также помогает клиентам, у которых есть нормативные требования, чтобы предоставить только наименее привилегированный доступ к партнерам.

Настройка GDAP

Кто может запросить связь GDAP?

Кто-то с ролью агента администрирования в партнерской организации может создать запрос на связь GDAP.

Истекает ли срок действия запроса на связь GDAP, если клиент не принимает никаких действий?

Да. Срок действия запросов связи GDAP истекает через 90 дней.

Можно ли сделать связь GDAP с клиентом постоянным?

Нет. Постоянные отношения GDAP с клиентами не возможны по соображениям безопасности. Максимальная длительность отношения GDAP составляет два года. Вы можете задать автоматическое расширение для включено, чтобы продлить связь администратора за шесть месяцев, пока не будет прекращено или автоматическое продление не отключено.

Поддерживает ли связь GDAP соглашение enterprise?

Нет. Связь GDAP не поддерживает подписки, приобретенные через корпоративные соглашения.

Можно ли расширить связь GDAP с клиентом autorenew/auto?

Да. Связь GDAP может автоматически продлиться на шесть месяцев, пока не завершится или не будет автоматически продлено значение "Отключено".

Что делать, когда срок действия отношения GDAP с клиентом истекает?

  • Если срок действия связи GDAP с клиентом истекает, снова запросить связь GDAP.
  • Вы можете использовать аналитику связей GDAP для отслеживания дат истечения срока действия связи GDAP и подготовки к их продлению.

Как клиент может расширить или продлить связь GDAP?

Чтобы расширить или продлить связь GDAP, партнер или клиент должны задать автоматическое расширение для включено. Дополнительные сведения см. в управлении автоматическим расширением и API.

Можно ли в ближайшее время обновить активный срок действия GDAP до автоматического расширения?

Да. Если GDAP активен, его можно расширить.

Когда автоматически расширяется действие?

Предположим, что GDAP создается в течение 365 дней с автоматическим расширением включено. В 365-й день дата окончания фактически обновляется на 180 дней.

Может ли GDAP создать с помощью средства управления партнером (PLT), средства Microsoft Led Tool, пользовательского интерфейса Центра партнеров или API Центра партнеров автоматически расшириться?

Да. Вы можете автоматически расширить любой активный GDAP.

Требуется ли согласие клиента для автоматического расширения для существующих активных GDAP?

Нет. Согласие клиента не требуется для автоматического расширения для существующего активного GDAP.

Следует ли переназначить детализированные разрешения группам безопасности после автоматического расширения?

Нет. Подробные разрешения, назначенные группам безопасности, продолжают as-is.

Может ли связь администратора с ролью глобального администратора быть расширена автоматически?

Нет. Невозможно автоматически расширить связь администратора с ролью глобального администратора.

Почему не удается просмотреть страницу **Просроченные отношения** в рабочей области "Клиенты"?

Страница с истекающим сроком действия доступна только для партнеров с ролями глобального администратора и агента администрирования. Эта страница помогает фильтровать срок действия GDAPs по разным временным шкалам и помогает обновить автоматическое расширение (включить или отключить) для одного или нескольких GDAPs.

Если срок действия связи GDAP истекает, влияют ли существующие подписки клиента?

Нет. При истечении срока действия отношения GDAP нет изменений в существующих подписках клиента.

Как клиент может сбросить пароль и устройство MFA, если они заблокированы из своей учетной записи и не могут принять запрос на связь GDAP от партнера?

Дополнительные сведения см. в статье Устранение проблем с многофакторной проверкой подлинности Microsoft Entra и Не удается использовать многофакторную проверку подлинности Microsoft Entra для входа в облачные службы после потери телефона или изменения номера телефона.

Какие роли требуются партнеру для сброса пароля администратора и устройства MFA, если администратор клиента заблокирован из учетной записи и не может принять запрос на связь GDAP от партнера?

Партнер должен запросить администратора привилегированной проверки подлинности роль Microsoft Entra при создании первого GDAP.

  • Эта роль позволяет партнеру сбрасывать пароль и метод проверки подлинности для администратора или пользователя, отличного от администратора. Роль администратора привилегированной проверки подлинности является частью ролей, настроенных средством Microsoft Led Tool, и планируется быть доступным с помощью GDAP по умолчанию во время создания потока клиента (запланировано на сентябрь).
  • Партнер может попытаться сбросить пароль.
  • В качестве меры предосторожности партнер должен настроить SSPR (самостоятельный сброс пароля) для своих клиентов. Дополнительные сведения см. в статье Разрешить пользователям сбрасывать свои пароли.

Кто получает уведомление об окончании отношения GDAP?

  • В рамках партнерской организации пользователи с агентом администрирования получают уведомление о завершении.
  • В организации клиента пользователи с ролью глобального администратора получают уведомление о завершении.

Можно ли увидеть, когда клиент удаляет GDAP в журналах действий?

Да. Партнеры могут видеть, когда клиент удаляет GDAP в журналах действий Центра партнеров.

Нужно ли создать связь GDAP со всеми клиентами?

Нет. GDAP — это необязательная возможность для партнеров, которые хотят управлять службами своих клиентов более детализированной и ограниченной временем. Вы можете выбрать, с какими клиентами вы хотите создать связь GDAP.

Если у меня несколько клиентов, нужно ли иметь несколько групп безопасности для этих клиентов?

Ответ зависит от того, как вы хотите управлять клиентами.

  • Если вы хотите, чтобы пользователи-партнеры могли управлять всеми клиентами, вы можете поместить всех пользователей-партнеров в одну группу безопасности и что одна группа может управлять всеми вашими клиентами.
  • Если вы предпочитаете управлять различными клиентами, назначьте этим партнерам отдельные группы безопасности для изоляции клиентов.

Могут ли косвенные торговые посредники создавать запросы на связь GDAP в Центре партнеров?

Да. Косвенные торговые посредники (и косвенные поставщики и партнеры с прямым выставлением счетов) могут создавать запросы на связь GDAP в Центре партнеров.

Почему пользователь-партнер с GDAP не может получить доступ к рабочей нагрузке как AOBO (администратор от имени)?

В рамках настройки GDAP убедитесь, что выбраны группы безопасности, созданные в клиенте партнера с пользователями-партнерами. Также убедитесь, что требуемые роли Microsoft Entra назначаются группе безопасности. См. Назначение ролей Microsoft Entra.

Что такое следующий шаг, если политика условного доступа, установленная клиентом, блокирует весь внешний доступ, включая администратор доступа CSP от имени клиента?

Теперь клиенты могут исключить поставщики СЛУЖБ из политики условного доступа, чтобы партнеры могли перейти в GDAP без блокировки.

  • Включить пользователей. Этот список пользователей обычно включает всех пользователей, предназначенных для организации в политике условного доступа.
  • При создании политики условного доступа доступны следующие параметры:
  • Выбор пользователей и групп
  • Гостевые или внешние пользователи (предварительная версия)
  • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
  • Пользователи поставщика услуг, например поставщик облачных решений (CSP).
  • Можно указать один или несколько клиентов для выбранных типов пользователей или указать все клиенты.
  • доступ к внешним партнерам . Политики условного доступа, предназначенные для внешних пользователей, могут препятствовать доступу к поставщику услуг, например детализированные делегированные права администратора. Дополнительные сведения см. в разделе Введение в детализированные делегированные права администратора (GDAP). Для политик, предназначенных для целевых клиентов поставщика услуг, используйте пользователь поставщика услуг внешний тип пользователя, доступный в параметрах выбора гостевых или внешних пользователей. снимок экрана: ПОЛЬЗОВАТЕЛЬСКИЙ интерфейс политики ЦС, предназначенный для гостевых и внешних типов пользователей из определенных организаций Microsoft Entra.
  • исключить пользователей. Если организации включают и исключают пользователя или группу, пользователь или группа исключены из политики, так как действие исключения переопределяет действие включения в политику.
  • При создании политики условного доступа доступны следующие параметры.
  • Гостевые или внешние пользователи
  • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Существует несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов.
  • Пользователи поставщика услуг, например поставщик облачных решений (CSP)
  • Один или несколько клиентов можно указать для выбранных типов пользователей или указать все клиенты. снимок экрана политики ЦС. Дополнительные сведения см. в следующем разделе:
  • ИНТЕРФЕЙС API Graph: бета-версия API с новыми сведениями о типе внешнего пользователя
  • политики условного доступа
  • внешних пользователей условного доступа

Нужна ли связь GDAP для создания запросов в службу поддержки, хотя у меня есть поддержка Premier для партнеров?

Да. Независимо от плана поддержки, минимальная привилегированная роль для пользователей партнеров, чтобы иметь возможность создавать билеты в службу поддержки для своего клиента — администратор службы поддержки.

Может ли GDAP в состоянии **Утвердить ожидание** быть прекращен партнером?

Нет. В настоящее время партнер не может завершить GDAP в состоянии ожидании утверждения. Срок действия истекает через 90 дней, если клиент не принимает никаких действий.

После завершения отношения GDAP можно повторно использовать то же имя связи GDAP для создания новой связи?

Только через 365 дней (очистка) после завершения или истечения срока действия связи GDAP можно повторно использовать то же имя, чтобы создать новую связь GDAP.

Может ли партнер в одном регионе управлять своими клиентами в разных регионах?

Да. Партнер может управлять своими клиентами в разных регионах без создания новых клиентов для каждого региона клиента. Это применимо только к роли управления клиентами, предоставляемой GDAP (отношения администратора). Роль и возможности транзакций по-прежнему ограничены авторизованной территории.

Может ли поставщик услуг быть частью мультитенантной организации, что такое Error-Action 103?

Нет. Поставщик услуг не может быть частью мультитенантной организации, они взаимоисключающие.

Что делать, если отображается сообщение об ошибке "Не удается получить сведения об учетной записи" при переходе к Microsoft Security Copilot на странице управления службами Центра партнеров?

  1. Убедитесь, что GDAP настроен правильно, включая предоставление разрешений для групп безопасности.
  2. Убедитесь, что разрешения группы безопасности правильно.
  3. Ознакомьтесь с вопросы и ответы о безопасности Copilot, справки.

GDAP API

Доступны ли API для создания связи GDAP с клиентами?

Дополнительные сведения об API и GDAP см. в документации разработчиков Центра партнеров.

Можно ли использовать api GDAP бета-версии для рабочей среды?

Да. Мы рекомендуем партнерам использовать бета-версии API GDAP, для рабочей среды, а затем перейти на API версии 1, когда они становятся доступными. Хотя есть предупреждение "Использование этих API в рабочих приложениях не поддерживается", что универсальное руководство предназначено для любого бета-API в graph и не применимо к БЕТА-API GDAP Graph.

Можно ли одновременно создать несколько связей GDAP с разными клиентами?

Да. Связи GDAP можно создавать с помощью API, что позволяет партнерам масштабировать этот процесс. Но создание нескольких связей GDAP недоступно в Центре партнеров. Сведения об API и GDAP см. в документации по разработчику центра партнеров .

Можно ли назначить несколько групп безопасности в связи GDAP с помощью одного вызова API?

API работает для одной группы безопасности одновременно, но вы можете сопоставить несколько групп безопасности с несколькими ролями в Центре партнеров.

Как запросить несколько разрешений ресурсов для приложения?

Выполните отдельные вызовы для каждого ресурса. При выполнении одного запроса POST передайте только один ресурс и соответствующие области. Например, чтобы запросить разрешения для обоих https://graph.windows.net/Directory.AccessAsUser.All и https://graph.microsoft.com/Organization.Read.All, сделайте два разных запроса, по одному для каждого.

Как найти идентификатор ресурса для данного ресурса?

Используйте указанную ссылку для поиска имени ресурса: Проверить приложения Майкрософт в отчетах о входе в active Directory. Например, чтобы найти идентификатор ресурса 00000003-0000-0000-c000-0000000000000 для graph.microsoft.com: снимок экрана манифеста для примера приложения с выделенным идентификатором ресурса.

Что делать, если отображается сообщение об ошибке "Request_UnsupportedQuery" с сообщением "Неподдерживаемое или недопустимое предложение фильтра запросов, указанное для свойства AppId" ресурса "ServicePrincipal"?

Эта ошибка обычно возникает, когда неправильный идентификатор используется в фильтре запросов. Чтобы устранить эту проблему, убедитесь, что вы используете свойство enterpriseApplicationId с правильным идентификатором ресурса , а не именем ресурса.

  • неверный запрос For enterpriseApplicationId, не используйте имя ресурса, например graph.microsoft.com. снимок экрана неправильного запроса, где enterpriseApplicationId использует graph.microsoft.com.
  • Правильный запрос Вместо этого для enterpriseApplicationIdиспользуйте идентификатор ресурса, например 0000003-0000-0000-c000-0000000000000000. снимок экрана с правильным запросом, где enterpriseApplicationId использует GUID.

Как добавить новые области в ресурс приложения, которое уже предоставлено в клиент клиента?

Например, ранее в graph.microsoft.com ресурс был предоставлен согласие только области "профиль". Теперь необходимо добавить профиль и user.read. Чтобы добавить новые области в ранее согласие приложения, выполните приведенные выше действия.

  1. Используйте метод DELETE, чтобы отозвать существующее согласие приложения от клиента.
  2. Используйте метод POST для создания нового согласия приложения с дополнительными областями.

Заметка

Если приложению требуются разрешения для нескольких ресурсов, выполните метод POST отдельно для каждого ресурса.

Как указать несколько областей для одного ресурса (enterpriseApplicationId)?

Объединение необходимых областей с помощью запятой, за которой следует пробел. Например, "scope": "profile, User.Read"

Что делать, если я получаю ошибку "400 Недопустимый запрос" с сообщением "Неподдерживаемый токен". Не удалось инициализировать контекст авторизации"?

  1. Убедитесь, что свойства displayName и ApplicationId в тексте запроса точны и соответствуют приложению, которое вы пытаетесь предоставить клиенту.
  2. Убедитесь, что вы используете то же приложение для создания маркера доступа, который вы пытаетесь предоставить клиенту. Например, если идентификатор приложения имеет значение "12341234-1234-1234-12341234", утверждение appId в маркере доступа также должно быть "12341234-1234-1234-1234-1234-12341234".
  3. Убедитесь, что выполняется одно из следующих условий:
  • У вас есть активные делегированные права администратора (DAP), а пользователь также является членом группы безопасности агентов администрирования в клиенте партнера.
  • У вас есть активное отношение "Привилегии делегированного администратора" (GDAP) с клиентом клиента по крайней мере с одной из следующих трех ролей GDAP, и вы завершили назначение доступа:
    • Роль глобального администратора, администратора приложений или администратора облачных приложений.
    • Пользователь партнера является членом группы безопасности, указанной в назначении доступа.

Роли

Какие роли GDAP необходимы для доступа к подписке Azure?

  • Чтобы управлять Azure с секционированием доступа для каждого клиента (рекомендуется), создайте группу безопасности (например, диспетчеры Azure) и вложить ее в агенты администрирования.
  • Чтобы получить доступ к подписке Azure в качестве владельца клиента, можно назначить любой встроенной роли Microsoft Entra (например, читателя каталогов, наименее привилегированной роли) группе безопасности диспетчеров Azure. Инструкции по настройке Azure GDAP см. в рабочих нагрузок, поддерживаемых подробными делегированными правами администратора (GDAP).

Есть ли рекомендации по наименее привилегированным ролям, которые можно назначить пользователям для определенных задач?

Да. Сведения об ограничении разрешений администратора пользователя путем назначения наименее привилегированных ролей в Microsoft Entra см. в наименее привилегированных ролей по задачам в Microsoft Entra.

Что такое наименее привилегированная роль, которую я могу назначить клиенту клиента и по-прежнему иметь возможность создавать запросы в службу поддержки для клиента?

Рекомендуется назначить роль администратора службы поддержки . Дополнительные сведения см. в статье Наименее привилегированные роли по задачам в Microsoft Entra.

Какие роли Microsoft Entra были доступны в пользовательском интерфейсе Центра партнеров в июле 2024 г.?

  • Чтобы уменьшить разрыв между ролями Microsoft Entra, доступными в API Центра партнеров и пользовательском интерфейсе, список из девяти ролей доступен в пользовательском интерфейсе Центра партнеров в июле 2024 года.
  • В разделе "Совместная работа"
    • Администратор Microsoft Edge
    • Администратор виртуальных посещений
    • Администратор целей Viva
    • Администратор Viva Pulse
    • Администратор Yammer
  • Под удостоверением:
    • Администратор управления разрешениями
    • Администратор рабочих процессов жизненного цикла
  • В разделе "Другое"
    • Администратор фирменной символики организации
    • Утверждающий организационные сообщения

Какие роли Microsoft Entra были доступны в пользовательском интерфейсе Центра партнеров в декабре 2024 г.?

  • Чтобы уменьшить разрыв между ролями Microsoft Entra, доступными в API Центра партнеров и пользовательском интерфейсе, список 17 ролей были доступны в пользовательском интерфейсе Центра партнеров в декабре 2024 года.
  • В разделе "Совместная работа"
    • Аналитик аналитики аналитики
    • Администратор миграции Microsoft 365
    • Запись сообщений организации
    • Администратор SharePoint Embedded
    • Администратор телефонии Teams
    • Диспетчер успешности взаимодействия с пользователем
  • На устройствах:
    • Администратор гарантии оборудования Майкрософт
    • Специалист по гарантии оборудования Майкрософт
  • Под удостоверением:
    • Администратор назначения атрибутов
    • Средство чтения назначений атрибутов
    • Администратор определения атрибутов
    • Средство чтения определений атрибутов
    • Администратор журнала атрибутов
    • Читатель журналов атрибутов
    • Администратор расширения проверки подлинности
    • Глобальный администратор безопасного доступа
    • Создатель клиента

Можно ли открыть запросы в службу поддержки для клиента в отношениях GDAP, из которых исключены все роли Microsoft Entra?

Нет. Наименее привилегированная роль для пользователей партнеров, чтобы иметь возможность создавать билеты в службу поддержки для своего клиента, является администратором поддержки служб. Таким образом, чтобы иметь возможность создавать запросы в службу поддержки для клиента, пользователь-партнер должен находиться в группе безопасности и назначен этому клиенту с этой ролью.

Где можно найти сведения обо всех ролях и рабочих нагрузках, включенных в GDAP?

Дополнительные сведения обо всех ролях см. в встроенных ролей Microsoft Entra. Сведения о рабочих нагрузках см. в рабочих нагрузок, поддерживаемых подробными делегированными правами администратора (GDAP).

Какая роль GDAP предоставляет доступ к Центру администрирования Microsoft 365?

Многие роли используются для Центра администрирования Microsoft 365. Дополнительные сведения см. в статье Часто используемые роли Центра администрирования Microsoft 365.

Можно ли создавать пользовательские группы безопасности для GDAP?

Да. Создайте группу безопасности, назначьте утвержденные роли и назначьте пользователям клиента партнера эту группу безопасности.

Какие роли GDAP предоставляют доступ только для чтения к подпискам клиента и поэтому не позволяют пользователю управлять ими?

Доступ только для чтения к подпискам клиента предоставляется глобального читателя, читателя каталогови уровня 2 поддержки ролей партнера.

Какую роль следует назначить моим агентам-партнерам (в настоящее время агенты администрирования), если они хотели бы управлять клиентом, но не изменять подписки клиента?

Мы рекомендуем удалить агенты партнеров из роли агента администрирования и добавить их только в группу безопасности GDAP. Таким образом, они могут администрировать службы (запросы на управление службами и службу журналов, например), но они не могут приобретать подписки (изменять количество, отмену, планировать изменения и т. д.).

Что произойдет, если клиент предоставляет роли GDAP партнеру, а затем удаляет роли или удаляет связь GDAP?

Группы безопасности, назначенные связи, теряют доступ к данному клиенту. То же самое происходит, если клиент завершает связь DAP.

Может ли партнер продолжать транзакцию для клиента после удаления всех отношений GDAP с клиентом?

Да. Удаление отношений GDAP с клиентом не завершает отношения торгового посредника партнеров с клиентом. Партнеры по-прежнему могут приобретать продукты для клиента и управлять бюджетом Azure и другими связанными действиями.

Могут ли некоторые роли в отношениях GDAP с моим клиентом иметь больше времени, чем другие?

Нет. Все роли в связи GDAP имеют одно и то же время окончания срока действия: длительность, выбранная при создании связи.

Требуется ли GDAP для выполнения заказов для новых и существующих клиентов в Центре партнеров?

Нет. Для выполнения заказов для новых и существующих клиентов не требуется GDAP. Вы можете продолжать использовать тот же процесс для выполнения заказов клиентов в Центре партнеров.

Нужно ли назначить одну роль агента партнера всем клиентам или назначить роль агента партнера одному клиенту?

Связи GDAP являются клиентами. Вы можете иметь несколько связей для каждого клиента. Каждая связь GDAP может иметь разные роли и использовать разные группы Microsoft Entra в клиенте CSP. В Центре партнеров назначение ролей работает на уровне отношений между клиентами и GDAP. Если требуется назначение ролей с несколькими клиентами, вы можете автоматизировать работу с помощью API.

Почему администраторы GDAP + пользователи B2B не могут добавлять методы проверки подлинности в aka.ms/mysecurityinfo?

Гостевые администраторы GDAP не могут управлять собственными сведениями о безопасности на My Security-Info. Вместо этого они нуждаются в помощи администратора клиента, который он является гостем для регистрации, обновления или удаления сведений о безопасности. Организации могут настроить политики доступа между клиентами для доверия MFA из доверенного клиента CSP. В противном случае гостевые администраторы GDAP ограничены только методами, регистрируемыми администратором клиентов (это SMS или голосовая связь). Дополнительные сведения см. в политиках доступа между клиентами.

Какие роли могут использовать партнер для автоматического расширения?

Выравнивание по принципу руководящих принципов нулевого доверия: используйте минимальный доступ к привилегиям:

DAP и GDAP

Заменяет ли GDAP DAP?

Да. В течение переходного периода DAP и GDAP будут сосуществовать с разрешениями GDAP, которые имеют приоритет над разрешениями DAP для Microsoft 365, Dynamics 365и рабочих нагрузок Azure.

Можно ли продолжать использовать DAP или перенести всех клиентов в GDAP?

DAP и GDAP сосуществуют во время переходного периода. Однако в конечном итоге GDAP заменяет DAP, чтобы обеспечить более безопасное решение для наших партнеров и клиентов. Рекомендуется как можно скорее перенести клиентов в GDAP, чтобы обеспечить непрерывность.

Хотя DAP и GDAP сосуществуют, существуют ли какие-либо изменения в том, как создается связь DAP?

В то время как DAP и GDAP не существуют изменения в существующем потоке связи DAP и GDAP.

Какие роли Microsoft Entra будут предоставлены для GDAP по умолчанию в рамках создания клиента?

DAP в настоящее время предоставляется при создании нового клиента. 25 сентября 2023 г. корпорация Майкрософт больше не предоставляет DAP для создания нового клиента и вместо этого предоставляет GDAP по умолчанию с определенными ролями. Роли по умолчанию зависят от типа партнера, как показано в следующей таблице:

Роли Microsoft Entra, предоставленные для GDAP по умолчанию Партнеры с прямым выставлением счетов Косвенные поставщики Косвенные торговые посредники Партнеры по домену Поставщики панели управления (CPVs) Советник Отказ от GDAP по умолчанию (нет DAP)
1. средства чтения каталогов. Может читать основные сведения о каталоге. Часто используется для предоставления доступа к доступу на чтение каталога приложениям и гостям. x x x x x
2. записи каталогов. Может читать и записывать основные сведения о каталоге. Предоставление доступа к приложениям, а не предназначено для пользователей. x x x x x
3. Администратор лицензий . Может управлять лицензиями на продукты для пользователей и групп. x x x x x
4. Администратор службы поддержки . Может читать сведения о работоспособности службы и управлять запросами в службу поддержки. x x x x x
5. администратора пользователей. Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов. x x x x x
6. администратор привилегированных ролей. Может управлять назначениями ролей в Microsoft Entra и всеми аспектами управления привилегированными удостоверениями. x x x x x
7. администратор службы технической поддержки. Может сбрасывать пароли для неадминистраторов и администраторов службы технической поддержки. x x x x x
8. администратор привилегированной проверки подлинности. Может получить доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя (администратора или неадмин). x x x x x
9. администратора облачных приложений. Может создавать и управлять всеми аспектами регистрации приложений и корпоративных приложений, кроме Прокси приложения. x x x x
10. администратор приложений. Может создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями. x x x x
11. глобальный читатель. Может прочитать все, что может глобальный администратор, но ничего не может обновить. x x x x x
12. администратора внешнего поставщика удостоверений. Может управлять федерацией между организациями Microsoft Entra и внешними поставщиками удостоверений. x
13. администратор доменных имен. Может управлять доменными именами в облаке и локальной среде. x

Как GDAP работает с привилегированным управлением удостоверениями в Microsoft Entra?

Партнеры могут реализовать привилегированного управления удостоверениями (PIM) в группе безопасности GDAP в клиенте партнера, чтобы повысить уровень доступа нескольких пользователей с высоким уровнем привилегий (JIT), чтобы предоставить им роли с высоким уровнем привилегий, такие как администраторы паролей с автоматическим удалением доступа. До января 2023г. требуется, чтобы каждая группа привилегированного доступа (прежнее имя функции PIM для групп ) должна находиться в группе с возможностью назначения ролей. Это ограничение теперь удалены. Учитывая это изменение, можно включить более 500 групп для каждого клиента вPIM, но только до 500 групп можно назначить роль. Сводка:

  • Партнеры могут использовать как назначаемые ролью , так и группы, не назначаемые ролью, в PIM. Этот параметр эффективно удаляет ограничение на 500 групп/tenant в PIM.
  • С последними обновлениями можно подключить группу к PIM (UX- UX): из меню PIM или из меню Группы. Независимо от выбранного способа, чистый результат совпадает.
    • Возможность подключения групп, назначаемых ролем или не назначаемых ролем, через меню PIM уже доступна.
    • Возможность подключения групп, назначаемых ролем или не назначаемых ролем, с помощью меню "Группы" уже доступна.
  • Дополнительные сведения см. в разделе Привилегированное управление удостоверениями (PIM) для групп (предварительная версия) — Microsoft Entra.

Как DAP и GDAP сосуществуют, если клиент покупает Microsoft Azure и Microsoft 365 или Dynamics 365?

GDAP общедоступен для всех коммерческих облачных служб Майкрософт (Microsoft 365, Dynamics 365, Microsoft Azureи рабочих нагрузок Microsoft Power Platform). Дополнительные сведения о том, как DAP и GDAP могут сосуществовать, и как GDAP имеет приоритет, выполните поиск в этом разделе, чтобы Как разрешения GDAP имеют приоритет над разрешениями DAP, а DAP и GDAP сосуществуют? вопрос.

У меня есть большая клиентская база (например, 10 000 учетных записей клиентов). Как перейти с DAP на GDAP?

Это действие можно выполнить с помощью API.

Влияет ли заработная прибыль партнера (PEC) при переходе с DAP на GDAP? Существует ли какое-либо влияние на ссылку администратора партнера (PAL)?

Нет. Ваши доходы PEC не затрагиваются при переходе на GDAP. Нет изменений в PAL с переходом, гарантируя, что вы продолжаете зарабатывать PEC.

Влияет ли PEC при удалении DAP/GDAP?

  • Если клиент партнера имеет только DAP и DAP удаляется, PEC не теряется.
  • Если клиент партнера имеет DAP, и они перемещаются в GDAP для Microsoft 365 и Azure одновременно, а DAP удаляется, PEC не теряется.
  • Если клиент партнера имеет DAP и переходит в GDAP для Microsoft 365, но сохраняет Azure as-is (они не перемещаются в GDAP) и DAP удаляется, PEC не теряется, но доступ к подписке Azure теряется.
  • Если роль RBAC удалена, PEC теряется, но удаление GDAP не удаляет RBAC.

Как разрешения GDAP имеют приоритет над разрешениями DAP в то время как DAP и GDAP сосуществуют?

Если пользователь входит в группу безопасности GDAP и группу агентов администрирования DAP, и клиент имеет отношения DAP и GDAP, доступ GDAP имеет приоритет на уровне партнера, клиента и рабочей нагрузки.

Например, если пользователь-партнер входит в рабочую нагрузку, а для роли глобального администратора и GDAP для роли "Глобальный читатель" пользователь-партнер получает разрешения только глобального читателя.

Если существует три клиента с назначениями ролей GDAP только группе безопасности GDAP (а не агентам администратора):

схема, показывающая связь между различными пользователями в качестве членов групп безопасности агента администрирования* и GDAP.

Клиент Отношения с партнером
Клиент один DAP (без GDAP)
Клиент два DAP + GDAP оба
Клиент три GDAP (без DAP)

В следующей таблице описывается, что происходит при входе пользователя в другой клиент клиента.

Пример пользователя Пример клиента Поведение Комментарии
Пользователь один Клиент один ПОДПРЫГИВАНИЕ В этом примере используется as-isDAP.
Пользователь один Клиент два ПОДПРЫГИВАНИЕ Нет назначения роли GDAP в группу агентов администрирования , что приводит к поведению DAP.
Пользователь один Клиент три Нет доступа Нет связи DAP, поэтому агенты администрирования группе не имеют доступа к клиенту три.
Пользователь два Клиент один ПОДПРЫГИВАНИЕ В этом примере используется as-isDAP.
Пользователь два Клиент два GDAP GDAP имеет приоритет над DAP, поскольку существует роль GDAP, назначенная пользователю двумя пользователями через группу безопасности GDAP, даже если пользователь является частью агента администрирования.
Пользователь два Клиент три GDAP В этом примере используется только клиент GDAP.
Пользователь три Клиент один Нет доступа Нет назначения роли GDAP клиенту.
Пользователь три Клиент два GDAP Три пользователя не входят в группу агента администрирования , что приводит к поведению только GDAP.
Пользователь три Клиент три GDAP Поведение, доступное только для GDAP

Отключает ли DAP или переход на GDAP влияет на мои устаревшие преимущества компетенции или обозначения партнеров решений, которые я достиг?

DAP и GDAP не являются допустимыми типами ассоциаций для назначений партнеров решений. aDisabling или переход с DAP на GDAP не влияет на достижение назначений партнеров решений. Кроме того, обновление устаревших преимуществ компетенций или преимуществ партнеров решений не затрагивается. Чтобы просмотреть другие типы ассоциаций партнеров, подходящие для назначения партнеров решений, см. обозначения партнеров Центра партнеров.

Как GDAP работает с Azure Lighthouse? Влияют ли GDAP и Azure Lighthouse друг на друга?

Что касается отношений между Azure Lighthouse и DAP/GDAP, они считаются разделенными параллельными путями к ресурсам Azure. Отклинение одного не должно повлиять на другое.

  • В сценарии Azure Lighthouse пользователи из партнера никогда не войдите в клиент клиента и не имеют разрешений Microsoft Entra в клиенте клиента. Назначения ролей Azure RBAC также хранятся в клиенте партнера.
  • В сценарии GDAP пользователи из клиента партнера войдите в клиент клиента. Назначение роли Azure RBAC группе агентов администрирования также находится в клиенте клиента. Вы можете заблокировать путь GDAP (пользователи больше не могут войти), пока путь Azure Lighthouse не влияет. И наоборот, можно отключить связь Lighthouse (проекция), не влияя на GDAP. Дополнительные сведения см. в документации Azure Lighthouse.

Как GDAP работает с Microsoft 365 Lighthouse?

Управляемые поставщики услуг (MSPs), зарегистрированные в программе поставщиков облачных решений (CSP), как косвенных торговых посредников или прямых счетов партнеров теперь могут использовать Microsoft 365 Lighthouse для настройки GDAP для любого клиента. Поскольку существует несколько способов, которыми партнеры управляют переходом в GDAP, этот мастер позволяет партнерам Lighthouse принимать рекомендации по роли, относящиеся к их бизнес-потребностям. Он также позволяет им принимать меры безопасности, такие как JIT-доступ. MSPs также может создавать шаблоны GDAP с помощью Lighthouse, чтобы легко сохранять и повторно применять параметры, которые обеспечивают доступ клиентов с минимальными привилегиями. Дополнительные сведения и просмотр демонстрации см. в мастере установки Lighthouse GDAP. MSPs может настроить GDAP для любого клиента в Lighthouse. Для доступа к данным рабочей нагрузки клиента в Lighthouse требуется связь GDAP или DAP. Если GDAP и DAP совместно работают в клиенте, разрешения GDAP имеют приоритет для технических специалистов MSP в группах безопасности с поддержкой GDAP. Дополнительные сведения о требованиях для Microsoft 365 Lighthouse см. в разделе Требования к Microsoft 365 Lighthouse.

Как лучше всего перейти к GDAP и удалить DAP без потери доступа к подпискам Azure, если у меня есть клиенты с Azure?

Правильная последовательность для этого сценария:

  1. Создайте связь GDAP для microsoft 365 и Azure.
  2. Назначение ролей Microsoft Entra группам безопасности для microsoft 365 и Azure.
  3. Настройте GDAP, чтобы иметь приоритет над DAP.
  4. Удалите DAP.

Важный

Если вы не выполните эти действия, существующие агенты администрирования, управляющие Azure, могут потерять доступ к подпискам Azure для клиента.

Следующая последовательность может привести к потере доступа к подпискам Azure:

  1. Удалите DAP. Вы не обязательно теряете доступ к подписке Azure, удалив DAP. Но в настоящее время вы не можете просмотреть каталог клиента, чтобы выполнить какие-либо назначения ролей Azure RBAC (например, назначение нового пользователя клиента в качестве участника RBAC подписки).
  2. Создайте связь GDAP для Microsoft 365 и Azure вместе. вы можете потерять доступ к подписке Azure на этом шаге после настройки GDAP.
  3. Назначение ролей Microsoft Entra группам безопасности для Microsoft 365 и Azure

После завершения установки Azure GDAP вы получите доступ к подпискам Azure.

У меня есть клиенты с подписками Azure без DAP. Если переместить их в GDAP для Microsoft 365, я потеряю доступ к подпискам Azure?

Если у вас есть подписки Azure без DAP, которыми вы управляете как владелец, при добавлении GDAP для Microsoft 365 к этому клиенту вы можете потерять доступ к подпискам Azure. Чтобы избежать потери доступа, переместите клиента в azure GDAP одновременно, что вы переместите клиента в Microsoft 365 GDAP.

Важный

Если вы не выполните эти действия, существующие агенты администрирования, которые управляют Azure, могут потерять доступ к подпискам Azure для клиента.

Можно ли использовать одну связь с несколькими клиентами?

Нет. Отношения, принятые после принятия, не будут повторно использоваться.

Если у меня есть отношения торгового посредника с клиентами без DAP и у которых нет отношений GDAP, можно ли получить доступ к своей подписке Azure?

Если у вас есть отношения торгового посредника с клиентом, вам по-прежнему необходимо установить связь GDAP для управления подписками Azure.

  1. Создайте группу безопасности (например, диспетчеры Azure) в Microsoft Entra.
  2. Создайте связь GDAP с ролью читателя каталогов.
  3. Сделайте группу безопасности членом группы агента администрирования . После выполнения этих действий вы можете управлять подпиской Azure клиента с помощью AOBO. Вы не можете управлять подпиской с помощью ИНТЕРФЕЙСА командной строки или PowerShell.

Можно ли создать план Azure для клиентов без DAP и у которых нет связей GDAP?

Да. Вы можете создать план Azure, даже если нет DAP или GDAP с существующими отношениями торгового посредника. Но для управления этой подпиской вам потребуется DAP или GDAP.

Почему раздел "Сведения о компании" на странице "Учетная запись" в разделе "Клиенты" больше не отображаются при удалении DAP?

При переходе от DAP к GDAP партнеры должны убедиться, что они должны иметь следующие сведения, чтобы просмотреть сведения о компании:

Почему имя пользователя заменено на "user_somenumber" в portal.azure.com, когда существует связь GDAP?

Когда поставщик служб CSP входит на портал Azure клиента (portal.azure.come) с использованием учетных данных CSP и существует связь GDAP, CSP замечает, что его имя пользователя является "user_", за которым следует некоторое число. Он не отображает фактическое имя пользователя, как в DAP. Это по дизайну.

снимок экрана: имя пользователя с заменой.

Каковы временные шкалы для остановки DAP и предоставления GDAP по умолчанию с созданием нового клиента?

Тип клиента Дата доступности Поведение API Центра партнеров (POST /v1/customers)
enableGDAPByDefault: true		 Поведение API Центра партнеров (POST /v1/customers)
enableGDAPByDefault: false		 Поведение API Центра партнеров (POST /v1/customers)
Нет изменений для запроса или полезных данных		 Поведение пользовательского интерфейса Центра партнеров
Песочница 25 сентября 2023 г. (только API) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Да. GDAP по умолчанию = Нет GDAP по умолчанию = Да
рабочей 10 октября 2023 г. (API +UI) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Да. GDAP по умолчанию = Нет Отказ в доступе: GDAP по умолчанию
рабочей 27 ноября 2023 г. (развертывание общедоступной версии завершено 2 декабря) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Нет. GDAP по умолчанию = Да Отказ в доступе: GDAP по умолчанию

Партнеры должны явно предоставлять подробные разрешения группам безопасности, в GDAP по умолчанию.
По состоянию на 10 октября 2023 года DAP больше недоступен с отношениями торгового посредника. Обновленная ссылка связи посредника запросов доступна в пользовательском интерфейсе Центра партнеров, а URL-адрес свойства "/v1/customers/relationship request" возвращает URL-адрес приглашения, который будет отправлен администратору клиента.

Следует ли партнеру предоставлять детализированные разрешения группам безопасности в GDAP по умолчанию?

Да, партнеры должны явно предоставлять подробные разрешения группам безопасности в GDAP по умолчанию для управления клиентом.

Какие действия могут выполнять партнерские отношения с торговым посредником, но не DAP и GDAP не выполняются в Центре партнеров?

Партнеры с отношениями торгового посредника только без DAP или GDAP могут создавать клиентов, размещать заказы и управлять ими, скачивать ключи программного обеспечения, управлять Azure RI. Они не могут просматривать сведения о компании клиента, не могут просматривать пользователей или назначать лицензии пользователям, не могут регистрировать билеты от имени клиентов и не могут получать доступ к конкретным центрам администрирования продукта (например, Центр администрирования Teams).

Какое действие должно выполнять партнер, переход от DAP к GDAP относительно согласия?

Для доступа к клиенту клиента и управления ими партнер или CPV субъект-служба приложения должна быть предоставлена в клиенте клиента. Если DAP активен, они должны добавить субъект-службу приложения в группу SG агентов администрирования в клиенте партнера. С помощью GDAP партнер должен убедиться, что их приложение предоставлено согласие в клиенте клиента. Если приложение использует делегированные разрешения (App + User) и активная GDAP существует с любой из трех ролей (администратор облачных приложений, администратор приложений, глобальный администратор), API согласия можно использовать. Если приложение использует разрешения только для приложений, оно должно быть вручную предоставлено партнером или клиентом с тремя ролями (администратор облачных приложений, администратор приложений, глобальный администратор), с помощью URL-адреса согласия администратора на уровне клиента.

Какое действие должно выполнять партнер для ошибки 715-123220 или анонимных подключений для этой службы?

Если появится следующая ошибка:

"Мы не можем проверить запрос "Создать связь GDAP" в настоящее время. Рекомендуется пользоваться анонимными подключениями для этой службы. Если вы считаете, что вы получили это сообщение в ошибке, повторите запрос. Выберите, чтобы узнать о действиях, которые можно предпринять. Если проблема сохранится, обратитесь в службу поддержки и справочный код сообщения 715-123220 и идентификатор транзакции: guid".

Измените способ подключения к корпорации Майкрософт, чтобы служба проверки подлинности выполнялось правильно. Это помогает гарантировать, что ваша учетная запись не скомпрометирована и соответствует нормативным требованиям, которым должна соответствовать корпорация Майкрософт.

Действия, которые можно сделать:

  • Снимите кэш браузера.
  • Отключите защиту отслеживания в браузере или добавьте наш сайт в список исключений или безопасных данных.
  • Отключите любую программу или службу виртуальной частной сети (VPN), которую вы можете использовать.
  • Подключитесь непосредственно с локального устройства, а не через виртуальную машину.

Если после выполнения предыдущих действий вы по-прежнему не можете подключиться, мы рекомендуем проконсультироваться с ИТ-службой технической поддержки, чтобы проверить параметры, чтобы узнать, может ли они определить причину проблемы. Иногда проблема связана с параметрами сети вашей компании. ИТ-администратору потребуется решить проблему, например, за счет безопасного перечисления нашего сайта или изменения других параметров сети.

Какие действия GDAP разрешены для партнера, который отключен, ограничен, приостановлен и отключен?

  • Ограниченный (прямой счет): создать новые отношения GDAP (отношения администратора) невозможно. Существующие GDAPs и их назначения ролей МОГУТ быть обновлены.
  • Приостановлено (прямой счет, косвенный поставщик или косвенный торговый посредник): создать новый GDAP НЕ МОЖЕТ. Существующие GDAPs и их назначения ролей не могут быть обновлены.
  • Ограниченный (прямой счет) + активный (косвенный торговый посредник): для ограниченного прямого счета: создать новый GDAP (отношения администратора) не может быть создано. Существующие GDAPs и их назначения ролей МОГУТ быть обновлены. Для активного косвенного торгового посредника: будет создано новое приложение GDAP, существующие GDAPs и их назначения ролей МОГУТ быть обновлены. При отключении нового GDAP невозможно создать, существующие GDAP и их назначения ролей не могут быть обновлены.

Предлагает

Входит ли управление подписками Azure в этот выпуск GDAP?

Да. Текущий выпуск GDAP поддерживает все продукты: Microsoft 365, Dynamics 365, Microsoft Power Platformи Microsoft Azure.