Руководство по управлению ролями GDAP
соответствующие роли: агент администрирования
В этой статье приводятся рекомендации по использованию встроенной роли Microsoft Entra с минимальными привилегиями для каждой детализированной делегированной прав администратора (GDAP). Например, для отправки запросов на поддержку от имени клиента требуется роль администратора поддержки службы , которая является встроенной в среду клиента минимально привилегированной ролью Microsoft Entra.
Запросы на поддержку
Непрямые торговые посредники не могут создавать запросы на поддержку для Azure. Вместо этого они должны работать с их косвенными поставщиками.
| Чтобы создать запрос на поддержку для: | Партнеры с прямым выставлением счетов и косвенные поставщики должны иметь следующую роль с минимальными привилегиями: |
|---|---|
| Microsoft 365 в Центре администрирования Microsoft 365 | Назначение роли GDAP для роли с разрешениями Microsoft.Office365.supportTickets/allEntities/allTasks, например администратора поддержки служб |
| Dynamics 365 в Центре администрирования Power Platform | Назначение роли GDAP для роли с разрешениями Microsoft.Office365.supportTickets/allEntities/allTasks, например администратора поддержки служб |
| ресурс подписки Azure на портале Azure |
Предварительные требования: Чтобы создавать запросы от имени клиентов, использующих подписку Azure клиента, партнеры должны иметь отношения реселлера с клиентом, как описано в региональной авторизации CSP. Дополнительные сведения см. в шагах по настройке Azure GDAP.
любое назначение на роль GDAP в Microsoft Entra, например читатели каталога, - И - Назначение роли в Azure на основе управления доступом (RBAC) с разрешениями Microsoft.Support/supportTickets/write, например участник поддержки |
| идентификатор Microsoft Entra на портале Azure |
альтернативе 1. Если у клиента нет идентификатора Microsoft Entra ID P1 или P2 необходимые условия: чтобы создавать запросы от имени клиентов с помощью подписки Azure клиента, партнеры должны иметь отношения торгового посредника с клиентом на региональной авторизации CSP. Дополнительные сведения см. в шагах по настройке GDAP Azure. любое назначение GDAP роли Microsoft Entra, например Читатели каталога, - И - Назначение роли Azure RBAC роли с разрешениями Microsoft.Support/supportTickets/write например, участник запроса на поддержку альтернативе 2. Если у клиента есть разрешения Microsoft Entra ID P1 или P2 Любое назначение GDAP для роли Microsoft Entra, которая имеет: microsoft.azure.supportTickets/allEntities/allTasks разрешения, например администратор службы поддержки |
Роли GDAP по типам партнеров
Следующие роли относятся к типам партнеров.
Косвенные поставщики
Рекомендуется, чтобы непрямые поставщики выполняли и управляли следующими ролями для проведения транзакций и управления:
- Создание нового клиента
- Настройка взаимоотношений с реселлером
- Покупка
- Управление подписками
- Обновления
- Преобразования
- Создание и назначение лицензий пользователей клиента
- Запросы на обслуживание клиентов (создание запросов от имени клиента)
| роль | описание |
|---|---|
| Роли читателя: | |
| Читатели каталогов | Может читать основные сведения о каталоге. Часто используется для предоставления доступа к доступу на чтение каталога приложениям и гостям |
| писатели каталогов | Может читать и записывать основные сведения о каталоге. Для предоставления доступа к приложениям, которые не предназначены для пользователей. |
| глобальный читатель | Может прочитать все, что может глобальный администратор, но не может обновить ничего |
| управление пользователями и управление лицензиями: | |
| администратор пользователей | Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов |
| администратор лицензий | Может управлять лицензиями на продукты для пользователей и групп |
| администратор службы поддержки | Может считывать сведения о работоспособности службы и управлять запросами на поддержку |
| службы технической поддержки: | |
| администратор службы технической поддержки | Может сбрасывать пароли для сотрудников, не являющихся администраторами, и администраторов службы технической поддержки. |
Партнеры с прямым выставлением счетов, косвенные торговые посредники и консультанты
Мы рекомендуем следующие роли для косвенных торговых посредников, консультантов и партнеров с прямым выставлением счетов, которые также играют роль MSP. Все они классифицируются как специализированные провайдеры управляемых услуг (MSP), которые полностью управляют всеми аспектами клиентской среды в качестве аутсорсингового ИТ-отдела. Этот раздел — это классифицированные роли, необходимые задачам и функциям.
Задачи технического специалиста уровня 1 в управляемых службах
| Роль | задачи | функции |
|---|---|---|
| Администратор службы поддержки | Отправьте запросы на поддержку от имени клиента. | Служба технической поддержки создает запросы на поддержку и управляет ими. |
| Считыватель безопасности | Просмотр политик, связанных с безопасностью, в службах Microsoft 365. | Служба технической поддержки собирает сведения о клиенте для устранения неполадок или обновления политик безопасности и соответствия требованиям, таких как политика предотвращения потери данных. |
| Администратор Intune | Может управлять всеми аспектами продукта Intune. | Служба технической поддержки обрабатывает регистрацию и устранение неполадок с клиентскими устройствами. |
| Администратор SharePoint | Может управлять всеми аспектами службы SharePoint. | Служба технической поддержки управляет разрешениями сайта SharePoint. |
| Специалист по поддержке коммуникаций в Teams | Может управлять службой Microsoft Teams. | Служба технической поддержки устраняет проблемы с качеством звонков. |
| Администратор службы технической поддержки | Может сбрасывать пароли для неадминистраторов и следующих администраторов: Читатель каталога, Приглашение гостей, Администратор службы поддержки, Читатель центра сообщений, Администратор паролей, Читатель отчетов. | Служба технической поддержки сбрасывает пароли. |
| Администратор аналитики рабочего стола | Может получить доступ к средствам и службам управления настольными компьютерами и управлять ими. | Служба технической поддержки может управлять службой аналитики компьютеров, просматривая инвентаризацию активов и считывая стандартные свойства политик авторизации. |
| Администратор проверки подлинности | Имеет доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя, не являющегося администратором. | Служба технической поддержки может получать доступ для просмотра, настройки и сброса сведений о методах аутентификации для любого неадминистративного пользователя (например, MFA и условного доступа). |
| Администратор Exchange | Пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online при наличии службы. Также имеет возможность создавать и управлять всеми группами Microsoft 365, управлять запросами на поддержку и отслеживать работоспособность служб; может отправлять OBO и управлять почтовыми ящиками. | Служба технической поддержки управляет общими почтовыми ящиками, помогает решить проблемы с квотой почтовых ящиков и создает правила транспорта и управляет ими. |
| Администратор лицензий | Может назначать, удалять и обновлять назначения лицензий. | Во время устранения неполадок служба технической поддержки оценивает и устраняет, если возникает проблема с лицензированием в запросе на поддержку. |
| Администратор пользователей | Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов; может заблокировать вход пользователя. | Служба технической поддержки управляет всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов и блокировку доступа бывшего сотрудника клиента к службам Microsoft 365. |
| Администратор групп | Члены этой роли могут создавать и управлять группами, создавать и управлять параметрами групп, такими как политики именования и истечения срока действия, а также просматривать отчеты о действиях групп и аудита. | Служба технической поддержки добавляет владельцев в группы и добавляет участников в группы. |
| Средство чтения каталогов | Пользователи этой роли могут читать основные сведения о каталоге. | Служба технической поддержки может читать основные сведения о каталоге в рамках устранения неполадок. |
| Читатель центра сообщений | Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365. | Служба технической поддержки считывает Центр сообщений для устранения неполадок в поддержке. |
| Администрирование принтера | Пользователи с этой ролью могут зарегистрировать принтеры и управлять всеми аспектами всех конфигураций принтера в решении Универсальной печати Майкрософт, включая параметры универсального соединителя печати. Они могут предоставить согласие всем делегированным запросам на разрешение печати. Администраторы принтеров также имеют доступ к отчетам о печати. | Служба технической поддержки будет управлять конфигурациями принтера и устранять проблемы с принтером. |
| Приглашающий гостей | Пользователи этой роли могут управлять приглашениями гостевых пользователей Microsoft Entra B2B. | Служба поддержки может приглашать гостевых пользователей независимо от настройки, которая позволяет участникам приглашать гостей |
Роль с наименьшими привилегиями для исполнения задач
В следующей таблице отображаются задачи в каждой возможности GDAP, а также наименее привилегированная роль, необходимая для выполнения каждой задачи.
| Возможность GDAP | Задача | Роль с наименьшими привилегиями |
|---|---|---|
| Поддержка | Отправка запроса в службу поддержки | администратор службы поддержки |
| пользователи | Добавление пользователя в роль каталога | администратор привилегированных ролей |
| Добавление пользователя в группу | администратор пользователей | |
| Назначьте лицензию | администратор лицензий | |
| Создание гостевого пользователя | Приглашение гостей | |
| Сброс приглашения гостевого пользователя | администратор пользователей | |
| Создание пользователя | администратор пользователей | |
| Удаление пользователя | администратор пользователей | |
| Аннулировать токены обновления ограниченного администратора | администратор пользователей | |
| Недопустимое обновление маркеров nonadmin | администратора паролей | |
| Аннулировать токены обновления привилегированного администратора | администратора привилегированной проверки подлинности | |
| Чтение базовой конфигурации | роль пользователя по умолчанию | |
| Сброс пароля для ограниченного администратора | администратор пользователей | |
| Сброс пароля для неадминистратора | администратор паролей | |
| Сброс пароля для привилегированного администратора | Администратор привилегированной аутентификации | |
| Отзыв лицензии | Администратор лицензий | |
| Обновить все свойства, кроме основного имени пользователя | администратор пользователей | |
| Обновление имени пользователя для администратора с ограниченными правами | администратор пользователей | |
| Обновление имени учетной записи привилегированного администратора | глобальный администратор | |
| Обновление параметров пользователя | глобальный администратор | |
| Обновление методов проверки подлинности | администратора проверки подлинности | |
| группы | Назначить лицензию | администратор пользователей |
| Создание группы | групп администратора | |
| Создание, обновление или удаление проверки доступа группы или приложения | администратор пользователей | |
| Управление истечением срока действия группы | администратор пользователей | |
| Управление параметрами группы | администратор групп | |
| Чтение всей конфигурации (кроме скрытого членства) | читатели каталогов | |
| Прочитать скрытое членство | Член группы | |
| Чтение состава групп с секретными участниками | администратор службы технической поддержки | |
| Отзыв лицензии | администратор лицензий | |
| Обновление членства в группах | владелец группы | |
| Обновить владельцев групп | владельца группы | |
| Обновление свойств группы | владелец группы | |
| Удаление группы | администратор групп | |
| лицензии | Назначить лицензию | администратор лицензий |
| Прочитать всю конфигурацию | читатели каталогов | |
| Отзыв лицензии | администратор лицензий |