Vägledning för GDAP-roll
Lämpliga roller: Administratörsagent
Den här artikeln innehåller vägledning om vilken minst privilegierad inbyggd Microsoft Entra-roll som du kan använda för varje detaljerad behörighet för delegerad administration (GDAP). Om du till exempel vill skicka supportförfrågningar för en kunds räkning krävs rollen supportadministratör, vilket är den minst privilegierade inbyggda rollen i Microsoft Entra på kundens klientorganisation.
Supportförfrågningar
Indirekta återförsäljare kan inte skapa supportbegäranden för Azure. I stället måste de arbeta med sina indirekta leverantörer.
| Så här skapar du en supportbegäran för: | Direktfaktureringspartner och indirekta leverantörer måste ha följande minst privilegierade roll: |
|---|---|
| Microsoft 365 i administrationscentret för Microsoft 365 | GDAP-rolltilldelning till en roll som har Microsoft.office365.supportTickets/allEntities/allTasks behörigheter, till exempel supportadministratör för tjänsten |
| Dynamics 365 i Power Platform Admin Center | GDAP-rolltilldelning till en roll som har Microsoft.office365.supportTickets/allEntities/allTasks behörigheter, till exempel supportadministratör för tjänsten |
| Azure-prenumerationsresurs i Azure-portalen |
Krav: För att kunna skapa begäranden för kunder som använder en kunds Azure-prenumeration måste partner ha en återförsäljarrelation med kunden enligt beskrivningen i csp regional auktorisering. Mer information finns i Steg för att konfigurera Azure GDAP.
Alla GDAP-tilldelningar till en Microsoft Entra-roll, såsom Katalogläsare, - OCH - Rolltilldelning för rollbaserad åtkomstkontroll (RBAC) i Azure till en roll med Behörigheter för Microsoft.Support/supportTickets/write, till exempel supportbegärandedeltagare |
| Microsoft Entra-ID i Azure-portalen |
Alternativ 1: Om en kund inte har Microsoft Entra ID P1 eller P2 Krav: Om du vill skapa begäranden för kunder som använder en kunds Azure-prenumeration måste partner ha en återförsäljares relation med kunden per csp regional auktorisering. Mer information finns i Steg för att konfigurera Azure GDAP. Alla GDAP-tilldelningar till en Microsoft Entra-roll, till exempel katalogläsare - OCH - Rolltilldelning i Azure RBAC till en roll med Behörigheter för Microsoft.Support/supportTickets/write. till exempel supportbegärandedeltagare Alternativ 2: Om kunden har Microsoft Entra ID P1 eller P2 Alla GDAP-tilldelningar till en Microsoft Entra-roll som har: microsoft.azure.supportTickets/allEntities/allTasks behörigheter, till exempel supportadministratör för tjänsten |
GDAP-roller efter partnertyper
Följande roller är efter partnertyper.
Indirekta leverantörer
Följande roller rekommenderas för indirekta leverantörer att utföra och hantera:
- Skapa ny kundklient
- Konfiguration av reseller-relation
- Köp
- Prenumerationshantering
- Uppgraderingar
- Omvandlingar
- Skapa kundanvändare och licenstilldelning
- Kundtjänstbegäranden (begäranden skapas för kundens räkning)
| Roll | Beskrivning |
|---|---|
| Läsarroller: | |
| Katalogläsare | Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster |
| Katalogförfattare | Kan läsa och skriva grundläggande kataloginformation. För att bevilja åtkomst till program, inte avsett för användare. |
| Global läsare | Kan läsa allt som en global administratör kan, men inte kan uppdatera något |
| Användarhantering och licenshantering: | |
| Användaradministratör | Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer |
| Licensadministratör | Kan hantera produktlicenser för användare och grupper |
| Service-supportadministratör | Kan läsa information om tjänstens hälsotillstånd och hantera supportbegäranden |
| supportavdelningen: | |
| Supportadministratör | Kan återställa lösenord för icke-administratörer och supportadministratörer |
Direktfaktureringspartner, indirekta återförsäljare och rådgivare
Vi rekommenderar följande roller för indirekta återförsäljare, rådgivare och direktfaktureringspartner som också spelar rollen som MSP:er. De kategoriseras alla som specialiserade leverantörer av hanterade tjänster (MSP:er) som helt hanterar kundens miljö som outsourcad IT-avdelning. Det här avsnittet är de kategoriserade roller som krävs av uppgifter och funktioner.
Uppgifter för en nivå 1-tekniker i hanterade tjänster
| roll | uppgift | Funktion |
|---|---|---|
| Tjänstsupportadministratör | Skicka supportförfrågningar för kundens räkning. | Supportavdelningen skapar och hanterar supportförfrågningar. |
| Säkerhetsläsare | Visa säkerhetsrelaterade principer för Microsoft 365-tjänster. | Supportavdelningen samlar in upptäckter om kundens hyresgäst för att felsöka eller uppdatera policys för portalen för säkerhet och efterlevnad, till exempel policys för dataförlustskydd. |
| Intune-administratör | Kan hantera alla aspekter av Intune-produkten. | Supportavdelningen hanterar registrering och felsökning av kundenheter. |
| SharePoint-administratör | Kan hantera alla aspekter av SharePoint-tjänsten. | Supportavdelningen hanterar SharePoint-webbplatsbehörigheter. |
| Teams-specialist för kommunikationsstöd | Kan hantera Microsoft Teams-tjänsten. | Supportavdelningen felsöker problem med samtalskvalitet. |
| Supportadministratör | Kan återställa lösenord för icke-administratörer och dessa administratörer: Katalogläsare Gäst inbjudare Supportadministratör Meddelandecenter Läsare Lösenordsadministratör Rapportläsare. | Supportavdelningen återställer lösenord. |
| Administratör för skrivbordsanalys | Kan komma åt och hantera verktyg och tjänster för skrivbordshantering. | Supportavdelningen kan hantera skrivbordsanalystjänsten genom att visa tillgångsinventering och läsa standardegenskaper för auktoriseringsprinciper. |
| Autentiseringsadministratör | Har åtkomst till att visa, ange och återställa autentiseringsmetodinformation för alla icke-administratörsanvändare. | Supportavdelningen kan komma åt information om att visa, ange och återställa autentiseringsmetoder för alla icke-administratörsanvändare (till exempel MFA och villkorlig åtkomst). |
| Exchange-administratör | Användare med den här rollen har globala behörigheter i Microsoft Exchange Online när tjänsten finns. Har också möjlighet att skapa och hantera alla Microsoft 365-grupper, hantera supportförfrågningar och övervaka tjänstens hälsa. kan skicka OBO och hantera inkorgar. | Supportavdelningen hanterar delade postlådor, hjälper till att lösa problem med postlådekvoter och skapar och hanterar transportregler. |
| Licensadministratör | Kan tilldela, ta bort och uppdatera licenstilldelningar. | Under felsökningen utvärderar och åtgärdar supportavdelningen om det finns ett licensproblem med supportbegäran. |
| Användaradministratör | Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer. kan blockera användarinloggning. | Supportavdelningen hanterar alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer och blockering av en tidigare kundanställds åtkomst till Microsoft 365-tjänster. |
| Gruppadministratör | Medlemmar i den här rollen kan skapa/hantera grupper, skapa/hantera gruppinställningar som namngivnings- och förfalloprinciper samt visa gruppers aktivitet och granskningsrapporter. | Supportavdelningen lägger till ägare i grupper och lägger till medlemmar i grupper. |
| Katalogläsare | Användare i den här rollen kan läsa grundläggande kataloginformation. | Supportavdelningen kan läsa grundläggande kataloginformation som en del av felsökningen. |
| Läsare för meddelandecenter | Kan endast läsa meddelanden och uppdateringar för organisationen i Office 365 Meddelandecenter. | Supportavdelningen läser Meddelandecenter för att felsöka supportproblem. |
| Skrivaradministration | Användare med den här rollen kan registrera skrivare och hantera alla aspekter av alla skrivarkonfigurationer i Microsoft Universal Print-lösningen, inklusive inställningarna för anslutningsprogrammet för universell utskrift. De kan godkänna alla delegerade begäranden om utskriftsbehörighet. Skrivaradministratörer har också åtkomst till utskriftsrapporter. | Supportavdelningen hanterar skrivarkonfigurationer och felsöker skrivarproblem. |
| Gäst inbjudare | Användare i den här rollen kan hantera inbjudningar till Microsoft Entra B2B-gästanvändare. | Supportavdelningen kan bjuda in gästanvändare oberoende av inställningen för att medlemmar kan bjuda in gäster. |
Minst privilegierad roll per uppgift
I följande tabell visas uppgifter inom varje GDAP-funktion, tillsammans med den minst privilegierade roll som krävs för att utföra varje uppgift.
| GDAP-funktion | Uppgift | Minst privilegierad roll |
|---|---|---|
| Support | Skicka supportärende | Service-supportadministratör |
| användare | Lägg till användare i katalogrollen | Privilegierad rolladministratör |
| Lägg till användare i grupp | Användaradministratör | |
| Tilldela licens | Licensadministratör | |
| Skapa gästanvändare | gäst inbjudare | |
| Återställ gästanvändarinbjudan | Användaradministratör | |
| Skapa användare | Användaradministratör | |
| Ta bort användare | Användaradministratör | |
| Ogiltigförklara uppdateringstoken för begränsade administratörsbehörigheter | Användaradministratör | |
| Ogiltigförklara uppfräschnings-token för icke-administratör | Lösenordsadministratör | |
| Ogiltigförklara uppdateringstoken för privilegierad administratör | Administratör för privilegierad autentisering | |
| Läs grundläggande konfiguration | Standardanvändarroll | |
| Återställa lösenord för begränsad administratör | Användaradministratör | |
| Återställa lösenord för nonadmin | Lösenordsadministratör | |
| Återställa lösenord för privilegierad administratör | Administratör för privilegierad autentisering | |
| Återkalla licens | Licensadministratör | |
| Uppdatera alla egenskaper utom användarens huvudnamn | Användaradministratör | |
| Uppdatera användarens huvudnamn för begränsad administratör | Användaradministratör | |
| Uppdatera användarens huvudnamn för privilegierad administratör | Global administratör | |
| Uppdatera användarinställningar | Global administratör | |
| Uppdatera autentiseringsmetoder | Autentiseringsadministratör | |
| grupper | Tilldela en licens | Användaradministratör |
| Skapa grupp | administratör för grupper | |
| Skapa, uppdatera eller ta bort åtkomstgranskning av en grupp eller app | Användaradministratör | |
| Hantera gruppens förfallodatum | Användaradministratör | |
| Hantera gruppinställningar | administratör för grupper | |
| Läs alla konfigurationer (förutom dolt medlemskap) | Katalogläsare | |
| Läs dolt medlemskap | Gruppmedlem | |
| Läsa medlemskap i grupper med dolt medlemskap | Supportadministratör | |
| Återkalla licens | Licensadministratör | |
| Uppdatera gruppmedlemskap | Gruppägare | |
| Uppdatera gruppägare | Gruppägare | |
| Uppdatera gruppegenskaper | Gruppägare | |
| Ta bort grupp | administratör för grupper | |
| Licenser | Tilldela licens | Licensadministratör |
| Läs alla konfigurationer | Katalogläsare | |
| Återkalla licens | Licensadministratör |