Vägledning för GDAP-roll
Lämpliga roller: Administratörsagent
Den här artikeln ger vägledning om vilken inbyggda Microsoft Entra-roll med minst privilegier som kan användas för varje detaljerad delegerad administratörsbehörighet (GDAP). Om du till exempel vill skicka supportförfrågningar för en kunds räkning krävs rollen Tjänstsupportadministratör , som är den minst privilegierade Inbyggda Microsoft Entra-rollen i kundens klientorganisation.
Skapa supportbegäranden
Indirekta återförsäljare kan inte skapa supportbegäranden för Azure. I stället måste de arbeta med sina indirekta leverantörer.
| Så här skapar du en supportbegäran för: | Direktfaktureringspartner och indirekta leverantörer måste ha följande minst privilegierade roll: |
|---|---|
| Microsoft 365 i Microsoft 365 centar administracije | GDAP-rolltilldelning till en roll som har Behörigheter för Microsoft.office365.supportTickets/allEntities/allTasks , till exempel tjänstsupportadministratör |
| Dynamics 365 i Power Platform Admin Center | GDAP-rolltilldelning till en roll som har Behörigheter för Microsoft.office365.supportTickets/allEntities/allTasks , till exempel tjänstsupportadministratör |
| Azure-prenumerationsresurs i Azure-portalen | Krav: För att kunna skapa begäranden för kunder som använder en kunds Azure-prenumeration måste partner ha en återförsäljarrelation med kunden enligt beskrivningen i CSP:s regionala auktorisering. Mer information finns i Steg för att konfigurera Azure GDAP. Alla GDAP-tilldelningar till en Microsoft Entra-roll, till exempel katalogläsare, -OCH- Rolltilldelning för rollbaserad åtkomstkontroll (RBAC) i Azure till en roll med Behörigheter för Microsoft.Support/supportTickets/write , till exempel Deltagare i supportbegäran |
| Microsoft Entra-ID i Azure-portalen | Alternativ 1: Om en kund inte har Microsoft Entra ID P1 eller P2 Förutsättning: För att kunna skapa begäranden för kunder som använder en kunds Azure-prenumeration måste partner ha en återförsäljares relation med kunden per csp regional auktorisering. Mer information finns i Steg för att konfigurera Azure GDAP. Alla GDAP-tilldelningar till en Microsoft Entra-roll, till exempel katalogläsare, -OCH- Azure RBAC-rolltilldelning till en roll med Microsoft.Support/supportTickets/skrivbehörigheter, till exempel Supportbegärandedeltagare Alternativ 2: Om kunden har Microsoft Entra ID P1 eller P2 All GDAP-tilldelning till en Microsoft Entra-roll som har: microsoft.azure.supportTickets/allEntities/allTasks-behörigheter, till exempel tjänstsupportadministratör |
GDAP-roller efter partnertyper
Indirekta leverantörer
Följande roller rekommenderas för indirekta leverantörer att utföra och hantera:
- Skapa ny kundklient
- Konfiguration av reseller-relation
- Köpa
- Prenumerationshantering
- Uppgraderingar
- Omvandlingar
- Skapa kundanvändare och licenstilldelning
- Kundtjänstbegäranden (begäranden skapas för kundens räkning)
| Roll | Beskrivning |
|---|---|
| Läsarroller: | |
| Katalogläsare | Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster |
| Katalogförfattare | Kan läsa och skriva grundläggande kataloginformation. För att bevilja åtkomst till program, inte avsett för användare. |
| Global läsare | Kan läsa allt som en global administratör kan, men inte kan uppdatera något |
| Användarhantering och licenshantering: | |
| Användaradministratör | Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer |
| Licensadministratör | Kan hantera produktlicenser för användare och grupper |
| Tjänstsupportadministratör | Kan läsa information om tjänstens hälsotillstånd och hantera supportbegäranden |
| Supportavdelning: | |
| Supportadministratör | Kan återställa lösenord för icke-administratörer och supportadministratörer |
Direktfaktureringspartner, indirekta återförsäljare och rådgivare
Följande roller rekommenderas för indirekta återförsäljare, rådgivare och direktfaktureringspartner som också spelar rollen som MSP:er. De kategoriseras alla som specialiserade leverantörer av hanterade tjänster (MSP:er) som helt hanterar kundens miljö som outsourcad IT-avdelning. Det här avsnittet är kategoriserade roller som krävs av uppgifter och funktioner.
Typiska uppgifter för en nivå 1-tekniker i hanterade tjänster
| Roll | Aktivitet | Funktion |
|---|---|---|
| Tjänstsupportadministratör | Skicka supportförfrågningar för kundens räkning. | Supportavdelningen skapar och hanterar supportförfrågningar. |
| Säkerhetsläsare | Visa säkerhetsrelaterade principer för Microsoft 365-tjänster. | Supportavdelningen samlar in identifiering på kundklientorganisationen för att felsöka eller uppdatera principer för säkerhets- och efterlevnadsportalen, till exempel principer för dataförlustskydd. |
| Intune-administratör | Kan hantera alla aspekter av Intune-produkten. | Supportavdelningen hanterar registrering och felsökning av kundenheter. |
| SharePoint-administratör | Kan hantera alla aspekter av SharePoint-tjänsten. | Supportavdelningen hanterar SharePoint-webbplatsbehörigheter. |
| Teams kommunikationssupportspecialist | Kan hantera Microsoft Teams-tjänsten. | Supportavdelningen felsöker problem med samtalskvalitet. |
| Supportadministratör | Kan återställa lösenord för icke-administratörer och dessa administratörer: Katalogläsare Gäst inbjudare Supportadministratör Meddelandecenter Läsare Lösenordsadministratör Rapportläsare. | Supportavdelningen återställer lösenord. |
| Administratör för skrivbordsanalys | Kan komma åt och hantera verktyg och tjänster för skrivbordshantering. | Supportavdelningen kan hantera skrivbordsanalystjänsten genom att visa tillgångsinventering och läsa standardegenskaper för auktoriseringsprinciper. |
| Autentiseringsadministratör | Har åtkomst till att visa, ange och återställa autentiseringsmetodinformation för alla icke-administratörsanvändare. | Supportavdelningen kan komma åt information om att visa, ange och återställa autentiseringsmetoder för alla icke-administratörsanvändare (till exempel MFA och villkorlig åtkomst). |
| Exchange-administratör | Användare med den här rollen har globala behörigheter i Microsoft Exchange Online när tjänsten finns. Har också möjlighet att skapa och hantera alla Microsoft 365-grupper, hantera supportförfrågningar och övervaka tjänstens hälsa. kan skicka OBO och hantera inkorgar. | Supportavdelningen hanterar delade postlådor, hjälper till att lösa problem med postlådekvoter och skapar och hanterar transportregler. |
| Licensadministratör | Kan tilldela, ta bort och uppdatera licenstilldelningar. | Under felsökningen utvärderar och åtgärdar supportavdelningen om det finns ett licensproblem med supportbegäran. |
| Användaradministratör | Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer. kan blockera användarinloggning. | Supportavdelningen hanterar alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer och blockering av en tidigare kundanställds åtkomst till Microsoft 365-tjänster. |
| Gruppadministratör | Medlemmar i den här rollen kan skapa/hantera grupper, skapa/hantera gruppinställningar som namngivnings- och förfalloprinciper samt visa gruppers aktivitet och granskningsrapporter. | Supportavdelningen lägger till ägare i grupper och lägger till medlemmar i grupper. |
| Katalogläsare | Användare i den här rollen kan läsa grundläggande kataloginformation. | Supportavdelningen kan läsa grundläggande kataloginformation som en del av felsökningen. |
| Läsare för meddelandecenter | Kan endast läsa meddelanden och uppdateringar för organisationen i Office 365 Meddelandecenter. | Supportavdelningen läser Meddelandecenter för att felsöka supportproblem. |
| Skrivaradministration | Användare med den här rollen kan registrera skrivare och hantera alla aspekter av alla skrivarkonfigurationer i Microsoft Universal Print-lösningen, inklusive inställningarna för anslutningsprogrammet för universell utskrift. De kan godkänna alla delegerade begäranden om utskriftsbehörighet. Skrivaradministratörer har också åtkomst till utskriftsrapporter. | Supportavdelningen hanterar skrivarkonfigurationer och felsöker skrivarproblem. |
| Gästinbjudare | Användare i den här rollen kan hantera inbjudningar till Microsoft Entra B2B-gästanvändare. | Supportavdelningen kan bjuda in gästanvändare oberoende av inställningen Medlemmar kan bjuda in gäster . |
Minst privilegierad roll per uppgift
I följande tabell visas uppgifter inom varje GDAP-funktion, tillsammans med den minst privilegierade roll som krävs för att utföra varje uppgift.
| GDAP-funktion | Uppgift | Minst privilegierad roll |
|---|---|---|
| Support | Skicka supportärende | Tjänstsupportadministratör |
| Användare | Lägg till användare i katalogrollen | Administratör för privilegierad roll |
| Lägg till användare i grupp | Användaradministratör | |
| Tilldela licens | Licensadministratör | |
| Skapa gästanvändare | Gäst inbjudare | |
| Återställ gästanvändarinbjudan | Användaradministratör | |
| Skapa användare | Användaradministratör | |
| Ta bort användare | Användaradministratör | |
| Ogiltigförklara uppdateringstoken för begränsad administratör | Användaradministratör | |
| Ogiltigförklara uppdateringstoken för nonadmin | Lösenordsadministratör | |
| Ogiltigförklara uppdateringstoken för privilegierad administratör | Administratör för privilegierad autentisering | |
| Läsa grundläggande konfiguration | Standardanvändarroll | |
| Återställa lösenord för begränsad administratör | Användaradministratör | |
| Återställa lösenord för nonadmin | Lösenordsadministratör | |
| Återställa lösenord för privilegierad administratör | Administratör för privilegierad autentisering | |
| Återkalla licens | Licensadministratör | |
| Uppdatera alla egenskaper utom användarens huvudnamn | Användaradministratör | |
| Uppdatera användarens huvudnamn för begränsad administratör | Användaradministratör | |
| Uppdatera användarens huvudnamn för privilegierad administratör | Global administratör | |
| Uppdatera användarinställningar | Global administratör | |
| Uppdatera autentiseringsmetoder | Autentiseringsadministratör | |
| Grupper | Tilldela licens | Användaradministratör |
| Skapa grupp | Gruppadministratör | |
| Skapa, uppdatera eller ta bort åtkomstgranskning av en grupp eller app | Användaradministratör | |
| Hantera gruppens förfallodatum | Användaradministratör | |
| Hantera gruppinställningar | Gruppadministratör | |
| Läs all konfiguration (förutom dolt medlemskap) | Katalogläsare | |
| Läs dolt medlemskap | Gruppmedlem | |
| Läsa medlemskap i grupper med dolt medlemskap | Supportadministratör | |
| Återkalla licens | Licensadministratör | |
| Uppdatera gruppmedlemskap | Gruppägare | |
| Uppdatera gruppägare | Gruppägare | |
| Uppdatera gruppegenskaper | Gruppägare | |
| Ta bort grupp | Gruppadministratör | |
| Licenser | Tilldela licens | Licensadministratör |
| Läsa alla konfigurationer | Katalogläsare | |
| Återkalla licens | Licensadministratör |