Руководство по управлению ролями GDAP
соответствующие роли: агент администрирования
В этой статье приводятся рекомендации о том, какую встроенную роль Microsoft Entra с минимальными привилегиями вы можете использовать для каждой функции детализированных делегированных прав администратора (GDAP). Например, для отправки запросов на поддержку от имени клиента требуется роль администратора поддержки службы
Запросы на поддержку
Непрямые торговые посредники не могут создавать запросы на поддержку для Azure. Вместо этого они должны работать с их косвенными поставщиками.
| Чтобы создать запрос на поддержку для: | Партнеры с прямым выставлением счетов и косвенные поставщики должны иметь следующую роль с минимальными привилегиями: |
|---|---|
| Microsoft 365 в Центре администрирования Microsoft 365 | Назначение роли GDAP для роли с разрешениями Microsoft.Office365.supportTickets/allEntities/allTasks, например администратора поддержки служб |
| Dynamics 365 в Центре администрирования Power Platform | Назначение роли GDAP для роли с разрешениями Microsoft.Office365.supportTickets/allEntities/allTasks, например администратора поддержки служб |
| ресурс подписки Azure на портале Azure |
Предварительные требования: Чтобы создавать запросы от имени клиентов, использующих подписку Azure клиента, партнеры должны иметь отношения реселлера с клиентом, как описано в региональной авторизации CSP. Дополнительные сведения см. в шагах по настройке Azure GDAP.
любое назначение на роль GDAP в Microsoft Entra, например читатели каталога, - И - Назначение роли управления доступом на основе ролей в Azure (RBAC) роли с разрешениями Microsoft.Support/supportTickets/write, например участник обработки обращений в службу поддержки. |
| идентификатор Microsoft Entra на портале Azure |
Альтернатива 1: Если у клиента нет идентификатора Microsoft Entra ID P1 или P2 Предварительные условия: чтобы создавать запросы от имени клиентов с помощью подписки Azure клиента, партнеры должны иметь отношения торгового посредника с клиентом в рамках региональной авторизации CSP. Дополнительные сведения см. в шагах по настройке Azure GDAP. любое назначение GDAP в роли Microsoft Entra, например Читатели каталога, - И - Назначение роли Azure RBAC с разрешениями Microsoft.Support/supportTickets/write, например, участник запроса на поддержку Альтернатива 2: Если у клиента есть Microsoft Entra ID P1 или P2 Любое назначение GDAP для роли Microsoft Entra, которая имеет: microsoft.azure.supportTickets/allEntities/allTasks разрешения, например, администратор службы поддержки |
Роли GDAP по типам партнеров
Следующие роли относятся к типам партнеров.
Косвенные поставщики
Рекомендуется, чтобы непрямые провайдеры выполняли и управляли следующими ролями для проведения транзакций и управления.
- Создание нового клиента-арендатора
- Настройка взаимоотношений с реселлером
- Покупка
- Управление подписками
- Обновления
- Преобразования
- Создание и назначение лицензий пользователей клиента
- Запросы на обслуживание клиентов (создание запросов от имени клиента)
| роль | описание |
|---|---|
| Роли читателя: | |
| Читатели каталогов | Может читать основные сведения о каталоге. Часто используется для предоставления доступа к доступу на чтение каталога приложениям и гостям |
| писатели каталогов | Может читать и записывать основные сведения о каталоге. Для предоставления доступа к приложениям, которые не предназначены для пользователей. |
| глобальный читатель | Может прочитать все, что может глобальный администратор, но не может обновить ничего |
| управление пользователями и управление лицензиями: | |
| администратор пользователей | Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов |
| администратор лицензий | Может управлять лицензиями на продукты для пользователей и групп |
| администратор службы поддержки | Может считывать сведения о работоспособности службы и управлять запросами на поддержку |
| службы технической поддержки: | |
| администратор службы технической поддержки | Может сбрасывать пароли для сотрудников, не являющихся администраторами, и администраторов службы технической поддержки. |
Партнеры с прямым выставлением счетов, косвенные торговые посредники и консультанты
Мы рекомендуем следующие роли для косвенных торговых посредников, консультантов и партнеров с прямым выставлением счетов, которые также играют роль MSP. Все они классифицируются как специализированные провайдеры управляемых услуг (MSP), которые полностью управляют всеми аспектами клиентской среды в качестве аутсорсингового ИТ-отдела. Этот раздел — это классифицированные роли, необходимые задачам и функциям.
Задачи технического специалиста уровня 1 в управляемых службах
| роль | задачи | функция |
|---|---|---|
| Администратор службы поддержки | Отправьте запросы на поддержку от имени клиента. | Служба технической поддержки создает запросы на поддержку и управляет ими. |
| Считыватель безопасности | Просмотр политик, связанных с безопасностью, в службах Microsoft 365. | Служба технической поддержки собирает сведения о клиенте для устранения неполадок или обновления политик безопасности и соответствия требованиям, таких как политика предотвращения потери данных. |
| Администратор Intune | Может управлять всеми аспектами продукта Intune. | Служба технической поддержки обрабатывает регистрацию и устранение неполадок с клиентскими устройствами. |
| Администратор SharePoint | Может управлять всеми аспектами службы SharePoint. | Служба технической поддержки управляет разрешениями сайта SharePoint. |
| Специалист по поддержке коммуникаций в Teams | Может управлять службой Microsoft Teams. | Служба технической поддержки устраняет проблемы с качеством звонков. |
| Администратор службы технической поддержки | Может сбрасывать пароли для неадминистраторов и следующих администраторов: Читатель каталогов, Приглашатель гостей, Администратор службы поддержки, Читатель Центра сообщений, Администратор паролей, Читатель отчетов. | Служба технической поддержки сбрасывает пароли. |
| Администратор аналитики рабочего стола | Может получить доступ к средствам и службам управления настольными компьютерами и управлять ими. | Служба технической поддержки может управлять службой аналитики компьютеров, просматривая инвентаризацию активов и считывая стандартные свойства политик авторизации. |
| Администратор проверки подлинности | Имеет доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя, не являющегося администратором. | Служба технической поддержки может иметь доступ для просмотра, настройки и сброса информации о методах аутентификации для любого пользователя, не обладающего правами администратора (например, многофакторной аутентификации и условного доступа). |
| Администратор Exchange | Пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online при наличии службы. Также имеет возможность создавать и управлять всеми группами Microsoft 365, управлять запросами на поддержку и отслеживать работоспособность служб; может отправлять OBO и управлять почтовыми ящиками. | Служба технической поддержки управляет общими почтовыми ящиками, помогает решить проблемы с квотой почтовых ящиков и создает правила транспорта и управляет ими. |
| Администратор лицензий | Может назначать, удалять и обновлять назначения лицензий. | Во время устранения неполадок служба технической поддержки сначала оценивает, а затем устраняет проблему, если имеется проблема с лицензированием в запросе на поддержку. |
| Администратор пользователей | Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов; может заблокировать вход пользователя. | Служба технической поддержки управляет всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов и блокировку доступа бывшего сотрудника клиента к службам Microsoft 365. |
| Администратор групп | Члены этой роли могут создавать и управлять группами, создавать и управлять параметрами групп, такими как политики именования и истечения срока действия, а также просматривать отчеты о действиях групп и аудита. | Служба технической поддержки добавляет владельцев в группы и добавляет участников в группы. |
| Средство чтения каталогов | Пользователи этой роли могут читать основные сведения о каталоге. | Служба технической поддержки может читать основные сведения о каталоге в рамках устранения неполадок. |
| Читалка центра сообщений | Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365. | Служба технической поддержки считывает Центр сообщений для устранения неполадок в поддержке. |
| Администрирование принтера | Пользователи с этой ролью могут зарегистрировать принтеры и управлять всеми аспектами всех конфигураций принтера в решении Универсальной печати Майкрософт, включая параметры универсального соединителя печати. Они могут предоставить согласие всем делегированным запросам на разрешение печати. Администраторы принтеров также имеют доступ к отчетам о печати. | Служба технической поддержки будет управлять конфигурациями принтера и устранять проблемы с принтером. |
| Приглашающий гостей | Пользователи этой роли могут управлять приглашениями гостевых пользователей Microsoft Entra B2B. | Служба поддержки может приглашать гостевых пользователей независимо от настройки, которая позволяет участникам приглашать гостей |
Роль с наименьшими привилегиями по задаче
В следующей таблице отображаются задачи в каждой возможности GDAP, а также наименее привилегированная роль, необходимая для выполнения каждой задачи.
| Возможность GDAP | Задача | Роль с наименьшими привилегиями |
|---|---|---|
| Поддержка | Отправка запроса в службу поддержки | администратор службы поддержки |
| пользователи | Добавление пользователя в роль каталога | администратор привилегированных ролей |
| Добавление пользователя в группу | администратор пользователей | |
| Назначьте лицензию | администратор лицензий | |
| Создание гостевого пользователя | Приглашение гостей | |
| Сброс приглашения гостевого пользователя | администратор пользователей | |
| Создание пользователя | администратор пользователей | |
| Удаление пользователя | администратор пользователей | |
| Аннулировать токены обновления ограниченного администратора | администратор пользователей | |
| Недопустимое обновление маркеров nonadmin | администратора паролей | |
| Аннулировать токены обновления привилегированного администратора | администратор привилегированной аутентификации | |
| Чтение базовой конфигурации | роль пользователя по умолчанию | |
| Сброс пароля для ограниченного администратора | администратор пользователей | |
| Сброс пароля для неадминистратора | администратора паролей | |
| Сброс пароля для привилегированного администратора | администратор привилегированного доступа к аутентификации | |
| Отзыв лицензии | администратор лицензий | |
| Обновить все свойства, кроме основного имени пользователя | администратор пользователей | |
| Обновление имени пользователя для администратора с ограниченными правами | администратор пользователей | |
| Обновление имени учетной записи привилегированного администратора | глобальный администратор | |
| Обновление параметров пользователя | глобальный администратор | |
| Обновление методов проверки подлинности | администратор аутентификации | |
| группы | Назначьте лицензию | администратор пользователей |
| Создание группы | Администратор групп | |
| Создание, обновление или удаление проверки доступа группы или приложения | администратор пользователей | |
| Управление истечением срока действия группы | администратор пользователей | |
| Управление параметрами группы | Администратор групп | |
| Прочитать всю конфигурацию (кроме скрытых членских данных) | Читатели каталогов | |
| Прочитать скрытое членство | Член группы | |
| Чтение состава групп с секретными участниками | администратор службы технической поддержки | |
| Отзыв лицензии | администратор лицензий | |
| Обновление членства в группах | владелец группы | |
| Обновить владельцев групп | владелец группы | |
| Обновление свойств группы | владелец группы | |
| Удаление группы | Администратор групп | |
| лицензии | Назначьте лицензию | администратор лицензий |
| Прочитать всю конфигурацию | Читатели каталогов | |
| Отзыв лицензии | администратор лицензий |