Dela via

Arbetsbelastningar som stöds av detaljerade delegerade administratörsbehörigheter (GDAP)

  • Artikel

Lämpliga roller: Alla användare som är intresserade av Partnercenter

Den här artikeln innehåller uppgifter för arbetsbelastningar som stöds av detaljerade delegerade administratörsprivilegier (GDAP).

Microsoft Security Copilot

Security Copilot stöder GDAP-åtkomst till den fristående plattformen och vissa inbäddade upplevelser.

Microsoft Entra-roller som stöds

Security Copilot har sina egna icke-Entra-roller som du behöver konfigurera. De rekommenderade rollerna för att begära GDAP-åtkomst är Säkerhetsoperator eller Säkerhetsläsare, även om andra roller stöds. Kunden måste utföra ett extra steg för att tilldela den begärda GDAP-rollen till lämplig Security Copilot-roll. Mer information finns i Tilldela roller för Security Copilot.

GDAP i Security Copilot ger åtkomst till den fristående portalen. Varje plugin-program kräver extra auktoriseringskrav som kanske inte stöder GDAP. Mer information finns i Security Copilot-plugin-program som stöder GDAP-.

Inbäddade upplevelser lägger till Security Copilot-funktioner till andra arbetsbelastningar. Om arbetsbelastningarna som Microsoft Defender XDR stöder GDAP, så stöder även Security Copilots inbäddade funktioner GDAP. Till exempel har Purview en inbäddad Security Copilot-upplevelse och är även markerad som en arbetslast som stöder GDAP. Security Copilot i Purview stöder därför GDAP.

För mer information, se också inbäddade Security Copilot-funktioner.

Microsoft Entra ID

Alla Microsoft Entra-uppgifter stöds förutom följande funktioner:

Ytdiagram Funktioner Problem
Grupphantering Skapa Microsoft 365-grupp, Administration av regler för dynamiskt medlemskap Stöds inte
Enheter Administration av inställningar för Enterprise State Roaming
Appar Medgivande till ett företagsprogram infogat med inloggning, Administration av företagsprogram "Användarinställningar"
Externa identiteter Administration av externa identitetsfunktioner
Övervakning Logganalys, diagnostikinställningar, arbetsböcker och fliken Övervakning på översiktssidan för Microsoft Entra
Översiktssidan Mitt flöde – roller för inloggad användare Kan visa felaktig rollinformation; påverkar inte faktiska behörigheter
Användarinställningar Hanteringssida för användarfunktioner Inte tillgänglig för vissa roller

Kända problem:

  • Partner som beviljas Microsoft Entra-roller Säkerhetsläsare eller Global läsare via GDAP får felmeddelandet "Ingen åtkomst" när de försöker komma åt Entra-roller och administratörer på en kundklientorganisation med PIM aktiverat. Fungerar med rollen Global administratör.
  • Microsoft Entra Connect Health stöder inte GDAP.

Exchange administrationscenter

För administrationscentret för Exchange stöder GDAP följande uppgifter.

Resurstyp Resursundertyp Stöds för närvarande Problem
Mottagarhantering Postlådor Skapa delad postlåda, uppdatera postlåda, konvertera till delad/användarpostlåda, ta bort delad postlåda, hantera e-postflödesinställningar, hantera postlådeprinciper, hantera postlådedelegering, hantera e-postadresser, hantera automatiska svar, hantera fler åtgärder, redigera kontaktinformation, hantering av grupper Öppna en annan användares postlåda
Resurser Skapa/lägg till en resurs [Utrustning/rum], Ta bort en resurs, Hantera dölj från GAL-inställning, Hantera inställningar för bokningsdelegater, Hantera inställningar för resursdelegater
Kontakter Skapa/lägg till en kontakt [e-postanvändare/e-postkontakt], Ta bort en kontakt, Redigera organisationsinställningar
E-postflöde Meddelandespårning Starta en meddelandespårning, Kontrollera standard-/anpassade/automatiskt sparade/nedladdningsbara frågor, regler Aviseringar, aviseringsprinciper
Fjärrdomäner Lägg till en fjärrdomän, ta bort en fjärrdomän, redigera meddelanderapportering, svarstyper
Godkända domäner Hantera godkända domäner
Anslutningar Lägg till en anslutningsapp, Hantera begränsningar, Skickad e-postidentitet, Ta bort anslutningsapp
Roller Administratörsroller Lägg till rollgrupp, ta bort rollgrupper som inte är inbyggda rollgrupper, redigera rollgrupper som inte är inbyggda rollgrupper, kopiera rollgrupp
Migrering Migrering Lägg till Migreringsbatch, Prova Migrering av Google-arbetsyta, Godkänn migreringsbatch, Visa information om migreringsbatchen, Ta bort migreringsbatch
Administrationscenter för Microsoft 365 länk Länk för att gå till Administrationscenter för Microsoft 365
Diverse Ge feedbackwidget, stöd för central widget
Instrumentpanel Rapporter

RBAC-roller som stöds omfattar följande:

  • Exchange-administratör
  • Global administratör
  • Supportadministratör
  • Global läsare
  • Säkerhetsadministratör
  • Exchange-mottagaradministratör

Microsoft 365 administrationscenter

Viktigt!

Vissa viktiga funktioner i Administrationscenter för Microsoft 365 kan påverkas av tjänstincidenter och pågående utvecklingsarbete. Du kan visa aktiva Administrationscenter för Microsoft 365 problem på Microsofts administratörsportal.

Vi är glada över att kunna tillkännage lanseringen av Administrationscenter för Microsoft 365 stöd för GDAP. Med den här förhandsversionen har du möjlighet att logga in på administrationscentret med alla Microsoft Entra-roller som stöds av företagskunder förutom Katalogläsare.

Den här versionen har begränsade funktioner och hjälper dig att använda följande områden i administrationscentret för Microsoft 365:

  • Användare (inklusive tilldelning av licenser)
  • Faktureringslicenser>
  • Hälsotjänsthälsa>
  • Support Central>– Skapa supportbegäran

Kommentar

Från och med den 23 september 2024 kan du inte längre komma åt menyn Faktureringsköp > eller Faktureringsfakturor > och betalningar per administratör för (AOBO) åtkomst till sidor i Administrationscenter för Microsoft 365

Kända problem:

  • Det går inte att exportera produktrapporter för webbplatsanvändning.
  • Det går inte att komma åt integrerade appar i det vänstra navigeringsfältet.

Microsoft Purview

För Microsoft Purview stöder GDAP följande uppgifter.

Lösning Stöds för närvarande Problem
Audit Microsoft 365-granskningslösningar
– Konfigurera grundläggande/avancerad granskning
– Sök granskningslogg
– Använda PowerShell för att söka i granskningsloggen
– Exportera/konfigurera/visa granskningslogg
– Aktivera och inaktivera granskning
– Hantera kvarhållningsprinciper för granskningsloggar
– Undersöka vanliga problem/komprometterade konton
– Exportera/konfigurera/visa granskningslogg
Compliance Manager (Efterlevnadshanteraren) Compliance Manager (Efterlevnadshanteraren)
– Skapa och hantera utvärderingar
– Skapa/utöka/ändra utvärderingsmallar
– Tilldela och slutföra förbättringsåtgärder
– Ange användarbehörigheter
MIP Microsoft Purview Information Protection
Lär dig mer om dataklassificering
Lär dig mer om att förhindra dataförlust
Dataklassificering:
– Skapa och hantera typer av känslig information
– Skapa och hantera exakt datamatchning
– Övervaka vad som görs med etiketterat innehåll med hjälp av Aktivitetsutforskaren
Informationsskydd:
– Skapa och publicera känslighetsetiketter och etikettprinciper
– Definiera etiketter som ska tillämpas på filer och e-postmeddelanden
– Definiera etiketter som ska tillämpas på webbplatser och grupper
– Definiera etiketter som ska tillämpas på schematiserade datatillgångar
– Använd automatiskt en etikett för innehåll med automärkning på klientsidan och autoetikettering på serversidan och schematiserade datatillgångar
– Begränsa åtkomsten till etiketterat innehåll med kryptering
– Konfigurera sekretess och extern användaråtkomst samt extern delning och villkorlig åtkomst för etiketter som tillämpas på webbplatser och grupper
– Ange etikettprincip för att inkludera standard, obligatorisk, nedgradera kontroller och tillämpa dem på filer och e-postmeddelanden, grupper och webbplatser och Power BI-innehåll
DLP:
– Skapa, testa och finjustera en DLP-princip
– Utföra aviseringar och incidenthantering
– Visa DLP-regelmatchningshändelser i aktivitetsutforskaren
– Konfigurera DLP-inställningar för slutpunkt		 – Visa etiketterat innehåll i Innehållsutforskaren
– Skapa och hantera träningsbara klassificerare
– Stöd för grupp- och webbplatsetiketter
Microsoft Purview Data Lifecycle Management Läs mer om Livscykelhantering av data i Microsoft Purview i Microsoft 365
– Skapa och hantera statiska och anpassningsbara kvarhållningsprinciper
– Skapa kvarhållningsetiketter
– Skapa principer för kvarhållningsetiketter
– Skapa och hantera anpassningsbara omfång		 -Arkivering
– Importera PST-filer
Microsoft Purview Records Management Hantering av arkivhandlingar i Microsoft Purview
– Etikettera innehåll som en post
– Märka innehåll som en regelpost
– Skapa och hantera principer för statiska och anpassningsbara kvarhållningsetiketter
– Skapa och hantera anpassningsbara omfång
– Migrera kvarhållningsetiketter och hantera dina kvarhållningskrav med filplan
– Konfigurera inställningar för kvarhållning och borttagning med kvarhållningsetiketter
– Behålla innehåll när en händelse inträffar med händelsebaserad kvarhållning		 – Borttagningshantering

Mer information om Microsoft Entra-roller som stöds i Microsoft 365-efterlevnadsportalen finns i Behörigheter i Microsoft Purview

Microsoft 365 Lighthouse

Microsoft 365 Lighthouse är en administratörsportal som hjälper hanterade tjänstleverantörer att skydda och hantera enheter, data och användare i stor skala för små och medelstora företagskunder.

GDAP-roller ger samma kundåtkomst i Lighthouse som när dessa GDAP-roller används för att få åtkomst till kundernas administratörsportaler individuellt. Lighthouse ger en vy med flera klientorganisationer för användare, enheter och data baserat på användarnas nivå av delegerade behörigheter. En översikt över alla funktioner för hantering av lighthouse-multitenanter finns i Lighthouse-dokumentationen.

Nu kan MSP:er använda Lighthouse för att konfigurera GDAP för alla kundklientorganisationer. Lighthouse ger rollrekommendationer baserat på olika MSP-jobbfunktioner för en MSP, och Lighthouse GDAP-mallar gör det möjligt för partner att enkelt spara och tillämpa inställningar som möjliggör lägsta privilegierad kundåtkomst. Mer information och om du vill visa en demo finns i installationsguiden för Lighthouse GDAP.

För Microsoft 365 Lighthouse stöder GDAP följande uppgifter. Mer information om behörigheter som krävs för åtkomst till Microsoft 365 Lighthouse finns i Översikt över behörigheter i Microsoft 365 Lighthouse.

Resurs Stöds för närvarande
Start ingår
Klientorganisationer ingår
Användare ingår
Enheter ingår
Hothantering ingår
Originalplaner ingår
Windows 365 ingår
Service Health: ingår
Granskningsloggar ingår
Introduktion Kunder måste ha antingen en GDAP- och indirekt reseller-relation eller en DAP-relation som ska registreras.

Rollbaserade Azure-rollbaserade åtkomstkontrollroller (Azure RBAC) som stöds omfattar följande:

  • Autentiseringsadministratör
  • Efterlevnadsadministratör
  • Administratör för villkorsstyrd åtkomst
  • Molnenhetsadministratör
  • Global administratör
  • Global läsare
  • Supportadministratör
  • Intune-administratör
  • Lösenordsadministratör
  • Administratör av privilegierad autentisering
  • Säkerhetsadministratör
  • Säkerhetsoperator
  • Säkerhetsläsare
  • Tjänstsupportadministratör
  • Användaradministratör

Windows 365

För Windows 365 stöder GDAP följande uppgifter.

Resurs Stöds för närvarande
Molndator Lista molndatorer, Hämta molndator, Ometablera molndator, Slut respitperiod, Återetablera fjärråtgärd för Cloud PC, Massreprovision cloud pc remote action, Resize Cloud PCs remote action, Get Cloud PC remote action results
Cloud PC-enhetsavbildning Lista enhetsbilder, Hämta enhetsbild, Skapa enhetsbild, Ta bort enhetsbild, Hämta källbild, Ladda upp enhetsbild igen
Lokal molndatornätverksanslutning Lista lokal anslutning, Hämta lokal anslutning, Skapa lokal anslutning, Uppdatera lokal anslutning, Ta bort lokal anslutning, Kör hälsokontroller, Uppdatera AD-domänlösenord
Etableringsprincip för molndatorer Lista etableringsprinciper, Hämta etableringsprincip, Skapa etableringsprincip, Uppdatera etableringsprincip, Ta bort etableringsprincip, Tilldela etableringsprincip
Cloud PC-granskningshändelse Lista granskningshändelser, Hämta granskningshändelse, Hämta granskningsaktivitetstyper
Användarinställning för Cloud PC Lista användarinställningar, Hämta användarinställning, Skapa användarinställning, Uppdatera användarinställning, Ta bort användarinställning, Tilldela
Cloud PC-region som stöds Lista regioner som stöds
Moln-PC-tjänstplaner Lista tjänstplaner

Azure RBAC-roller som stöds innehåller följande:

  • Global administratör
  • Intune-administratör
  • Säkerhetsadministratör
  • Säkerhetsoperator
  • Säkerhetsläsare
  • Global läsare
  • (Vid verifiering) Windows 365-administratör

Resurser som inte stöds för förhandsversion:

  • Ej tillämpligt

Administrationscenter för Teams

För administrationscentret för Teams stöder GDAP följande uppgifter.

Resurs Stöds för närvarande
Användare Tilldela principer, Röstinställningar, Utgående samtal, Inställningar för upphämtning av gruppsamtal, Inställningar för samtalsdelegering, Telefonnummer, Konferensinställningar
Teams Teams-principer, Uppdateringsprinciper
Enheter IP-telefoner, Teams Rum, samarbetsstaplar, Teams-skärmar, Teams-panel
Platser Rapporteringsetiketter, nödsituationsadresser, nätverkstopologi, nätverk och platser
Möten Konferensbroar, Mötesprinciper, Mötesinställningar, Principer för livehändelser, Inställningar för livehändelser
Meddelandeprinciper Meddelandeprinciper
Röst Nödprinciper, Uppringningsplaner, Röstdirigeringsplaner, Samtalsköer, Automatiska dirigeringar, Samtalsparksprinciper, Samtalsprinciper, Nummer-ID-principer, Telefonnummer, Direktdirigering
Analys och rapporter Användningsrapporter
Organisationsomfattande inställningar Extern åtkomst, Gäståtkomst, Teams-inställningar, Teams-uppgradering, Helgdagar, Resurskonton
Planerad Nätverksplanering
Teams PowerShell-modul Alla PowerShell-cmdletar från Teams PowerShell-modulen (tillgängliga från Teams PowerShell-modulen – förhandsversion 3.2.0)

RBAC-roller som stöds omfattar följande:

  • Teams-administratör
  • Global administratör
  • Teams kommunikationsadministratör
  • Supporttekniker för Teams-kommunikation
  • Supportspecialist för Teams-kommunikation
  • Enhetsadministratör för Teams
  • Global läsare

Resurser som inte stöds för GDAP-åtkomst omfattar följande:

  • Hantera Teams
  • Teammallar
  • Teams-appar
  • Princippaket
  • Teams-rådgivare
  • Instrumentpanel för samtalskvalitet
  • Operatoranslutning

Microsoft Defender XDR

Microsoft Defender XDR är en enhetlig företagsförsvarssvit före och efter intrång. Den samordnar identifiering, förebyggande, undersökning och svar mellan slutpunkter, identiteter, e-post och program för att ge integrerat skydd mot avancerade attacker.

Microsoft Defender-portalen är också hem för andra produkter i Microsoft 365-säkerhetsstacken, till exempel Microsoft Defender för Endpoint och Microsoft Defender för Office 365.

Dokumentation om alla funktioner och säkerhetsprodukter finns i Microsoft Defender-portalen:

Microsoft Defender för Endpoint:

Microsoft Defender för Office 365:

Appstyrning:

Följande är funktioner som är tillgängliga för klienter som har åtkomst till Microsoft Defender-portalen med hjälp av en GDAP-token.

Resurstyp Stöds för närvarande
Microsoft Defender XDR-funktioner Alla Microsoft Defender XDR-funktioner (som anges i den tidigare länkade dokumentationen): Incidenter, Avancerad jakt, Åtgärdscenter, Hotanalys, Anslutning av följande säkerhetsarbetsbelastningar till Microsoft Defender XDR: Microsoft Defender för Endpoint, Microsoft Defender för identitet, Microsoft Defender för Molnappar
Microsoft Defender för Endpoint funktioner Alla Microsoft Defender för Endpoint-funktioner som anges i den tidigare länkade dokumentationen, se detaljer per P1/SMB SKU i tabellen .
Microsoft Defender för Office 365 Alla Microsoft Defender för Office 365-funktioner som anges i den tidigare länkade dokumentationen. Se information per licens i den här tabellen: Office 365 Security, inklusive Microsoft Defender för Office 365 och Exchange Online Protection
App Governance Autentisering fungerar för GDAP-token (app+användartoken), auktoriseringsprinciper fungerar enligt användarrollerna som tidigare

Microsoft Entra-roller som stöds i Microsoft Defender-portalen:

Dokumentation om roller som stöds i Microsoft Defender-portalen

Kommentar

Alla roller gäller inte för alla säkerhetsprodukter. Information om vilka roller som stöds i en specifik produkt finns i produktdokumentationen.

MDE-funktioner som stöds i Microsoft Defender-portalen per SKU

Slutpunktsfunktioner per SKU Microsoft Defender för företag Microsoft Defender för Endpoint plan 1 Microsoft Defender för Endpoint plan 2
Centraliserad hantering X X X
Förenklad klientkonfiguration X
Hantering av hot och säkerhetsrisker X X
Minskning av attackytan X X X
Nästa generations skydd X X X
Slutpunktsidentifiering och svar X X
Automatiserad undersökning och svar X X
Hotjakt och sex månaders datakvarhållning X
Hotanalys X X
Plattformsoberoende stöd för Windows, MacOS, iOS och Android X X X
Microsofts hotexperter X
Partner-API:er X X X
Microsoft 365 Lighthouse för att visa säkerhetsincidenter mellan kunder X

Power BI

För Power BI-arbetsbelastningen stöder GDAP följande uppgifter.

Resurstyp Stöds för närvarande
Administratörsuppgifter – Alla menyalternativ under "Administratörsportal" utom "Azure-anslutningar"

Microsoft Entra-roller som stöds i omfånget:

  • Infrastrukturadministratör
  • Global administratör

Power BI-egenskaper utanför omfånget:

  • Alla icke-administrativa uppgifter är inte garanterade att fungera
  • "Azure-anslutningar" under administratörsportalen

SharePoint

För SharePoint stöder GDAP följande uppgifter.

Resurstyp Stöds för närvarande
Startsida Kort återges men data kanske inte återges
Webbplatshantering – aktiva webbplatser Skapa webbplatser: Gruppwebbplats, Kommunikationswebbplats, Tilldela/ändra webbplatsägare, Tilldela känslighetsetikett till plats (om det konfigureras i Microsoft Entra-ID) när webbplatsen skapas, Ändra känslighetsetikett för webbplatsen, Tilldela sekretessinställningar till webbplatsen (om den inte är fördefinierad med en känslighetsetikett), Lägg till/ta bort medlemmar på en webbplats, Redigera externa delningsinställningar för webbplatsen, Redigera webbplatsnamn, Redigera webbplats-URL, Visa webbplatsaktivitet, Redigera lagringsgräns, Ta bort en webbplats, Ändra inbyggda vyer av webbplatser, Exportera webbplatslista till CSV-fil, Spara anpassade vyer av webbplatser, Associera plats med en hubb, Registrera plats som en hubb
Webbplatshantering – aktiva webbplatser Skapa andra webbplatser: Dokumentcenter, Enterprise Wiki, Publiceringsportal, Innehållscenter
Webbplatshantering – Borttagna webbplatser Återställningswebbplats, Permanent borttagningswebbplats (förutom gruppanslutna gruppwebbplatser i Microsoft 365)
Principer – delning Ange externa delningsprinciper för SharePoint och OneDrive för företag, Ändra "Fler inställningar för extern delning", Ange principer för fil- och mapplänkar, Ändra "Andra inställningar" för delning
Åtkomstkontroll Ange/ändra ohanterad enhetsprincip, Ange/ändra tidslinjeprinciper för inaktiva sessioner, Ange/ändra nätverksplatsprincip (separat från Microsoft Entra IP-princip, Ange/ändra modern autentiseringsprincip, Ange/ändra OneDrive-åtkomst
Inställningar SharePoint – Startwebbplats, SharePoint – Meddelanden, SharePoint – Sidor, SharePoint – Skapa webbplats, SharePoint – Begränsningar för webbplatslagring, OneDrive – Meddelanden, OneDrive – Kvarhållning, OneDrive – Lagringsgräns, OneDrive – Synkronisering
PowerShell Om du vill ansluta en kundklient som GDAP-administratör använder du en klientauktoriseringsslutpunkt (med kundens klient-ID) i parametern AuthenticanUrl i stället för den vanliga standardslutpunkten.
Exempel: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize

Roller i omfånget omfattar följande:

  • SharePoint-administratör
  • Global administratör
  • Global läsare

SharePoint Admin Center-egenskaper utanför omfånget omfattar följande:

  • Alla klassiska administratörsfunktioner/funktioner/mallar ligger utanför omfånget och är inte garanterade att fungera korrekt
  • Obs! För alla GDAP-roller som stöds i Administrationscenter för SharePoint kan partner inte redigera filer och behörigheter för filer och mappar på kundens SharePoint-webbplats. Det var en säkerhetsrisk för kunderna och åtgärdas nu.

Dynamics 365 och Power Platform

För Power Platform- och Dynamics 365-program för kundengagemang (försäljning, tjänst) stöder GDAP följande uppgifter.

Resurstyp Stöds för närvarande
Administratörsuppgifter – Alla menyalternativ i administrationscentret för Power Platform

Microsoft Entra-roller som stöds i omfånget omfattar följande:

  • Power Platform-administratör
  • Global administratör
  • Supportadministratör (för hjälp + support)
  • Tjänstsupportadministratör (för hjälp + support)

Egenskaper utanför omfånget:

Dynamics 365 Business Central

För Dynamics 365 Business Central stöder GDAP följande uppgifter.

Resurstyp Stöds för närvarande
Administratörsuppgifter Alla uppgifter*

* Vissa uppgifter kräver behörigheter som tilldelats administratörsanvändaren i Dynamics 365 Business Central-miljön. Se den tillgängliga dokumentationen.

Microsoft Entra-roller som stöds i omfånget omfattar följande:

  • Dynamics 365-administratör
  • Global administratör
  • Supportadministratör

Egenskaper utanför omfånget:

  • Ingen

Dynamics Lifecycle Services

För Dynamics Lifecycle Services stöder GDAP följande uppgifter.

Resurstyp Stöds för närvarande
Administratörsuppgifter Alla uppgifter

Microsoft Entra-roller som stöds i omfånget omfattar följande:

  • Dynamics 365-administratör
  • Global administratör

Egenskaper utanför omfånget:

  • Ingen

Intune (Endpoint Manager)

Microsoft Entra-roller som stöds i omfånget:

  • Intune-administratör
  • Global administratör
  • Global läsare
  • Rapportläsare
  • Säkerhetsläsare
  • Efterlevnadsadministratör
  • Säkerhetsadministratör

Information om hur du kontrollerar åtkomstnivån för ovanstående roller finns i Intune RBAC-dokumentationen.

Stöd för Intune omfattar inte användning av GDAP vid registrering av servrar för Microsoft Tunnel, eller för att konfigurera eller installera någon av anslutningsprogrammen för Intune. Exempel på Intune-anslutningsappar är men är inte begränsade till Intune Connector för Active Directory, Mobile Threat Defense Connector och Microsoft Defender för Endpoint-anslutningsappen.

Känt problem: Partner som har åtkomst till principer i Office-appar visas "Det gick inte att hämta data för 'OfficeSettingsContainer'. Använd guid för att rapportera det här problemet till Microsoft."

Azure Portal

Diagram som visar relationen mellan partner och kund med hjälp av GDAP.

Microsoft Entra-roller i omfång:

  • Alla Microsoft Entra-roller som katalogläsare (minst privilegierad roll) för åtkomst till Azure-prenumeration som ägare

Vägledning för GDAP-roll:

  • Partner och kund måste ha en reseller-relation
  • Partnern måste skapa en säkerhetsgrupp (t.ex. Azure Managers) för att hantera Azure och kapsla den under Administratörsagenter för partitionering per kundåtkomst enligt rekommenderad metod.
  • När partner köper Azure-plan för kunden etableras Azure-prenumerationen och gruppen Administratörsagenter tilldelas Azure RBAC som ägare i En Azure-prenumeration
  • Eftersom Azure Managers säkerhetsgrupp är medlem i gruppen Administratörsagenter blir användare som är medlemmar i Azure Managers RBAC-ägare för Azure-prenumerationen
  • För att få åtkomst till Azure-prenumerationen som kund måste alla Microsoft Entra-roller, till exempel Katalogläsare (minst privilegierad roll) tilldelas till Azure Managers säkerhetsgrupp

Alternativ Vägledning för Azure GDAP (utan att använda administratörsagenten)

Förutsättningar:

  • Partner och kund har en reseller-relation .
  • Partner skapar en säkerhetsgrupp för att hantera Azure och kapslade den under gruppen HelpDeskAgents per kundåtkomstpartitionering, vilket är en rekommenderad metod.
  • Partner köper en Azure-plan för kunden. Azure-prenumerationen provisioneras och partnern tilldelas gruppen Adminagenter Azure RBAC- som ägare för Azure-prenumerationen, men ingen RBAC-rolltilldelning har gjorts för Helpdesk-agenter.

Partneradministratörssteg:

Partneradministratören för prenumerationen kör följande skript med Hjälp av PowerShell för att skapa supportavdelningens FPO i Azure-prenumerationen.

  • Anslut till partnerklientorganisationen för att hämta object ID gruppen HelpDeskAgents.

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of HelpDeskAgents group
Get-AzADGroup -DisplayName HelpDeskAgents

  • Kontrollera att kunden har:

    • Rollen ägare eller administratör för användaråtkomst
    • Behörigheter för att skapa rolltilldelningar på prenumerationsnivån

Kundsteg:

För att slutföra processen måste kunden utföra följande steg med hjälp av antingen PowerShell eller Azure CLI.

  1. Om du använder PowerShell måste kunden uppdatera modulen Az.Resources .

    Update-Module Az.Resources

  2. Anslut till klientorganisationen där CSP-prenumerationen finns.

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  3. Anslut till prenumerationen.

    Kommentar

    Detta gäller endast om användaren har rolltilldelningsbehörigheter över flera prenumerationer i klientorganisationen.

    Set-AzContext -SubscriptionID <"CSP Subscription ID">

    az account set --subscription <CSP Subscription ID>

  4. Skapa rolltilldelningen.

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"

Visual Studio

Diagram som visar relationen mellan gruppen Visual Studio-chefer och kunden via GDAP.

Microsoft Entra-roller i omfång:

  • Alla Microsoft Entra-roller som katalogläsare (minst privilegierad roll) för åtkomst till Azure-prenumeration som ägare

GDAP-rollvägledning till partner:

  • Förutsättningar:
    • Partner och kund måste ha en reseller-relation
    • Partnern måste köpa En Azure-prenumeration för kunden
  • Partnern måste skapa en säkerhetsgrupp (till exempel Visual Studio-chefer) för att köpa och hantera Visual Studio-prenumerationer och kapsla den under Administratörsagenter för partitionering per kundåtkomst enligt rekommenderad metod.
  • GDAP-rollen för att köpa och hantera Visual Studio är samma som Azure GDAP.
  • Säkerhetsgrupp för Visual Studio-chefer måste tilldelas alla Microsoft Entra-roller, till exempel Katalogläsare (minst privilegierad roll) för åtkomst till Azure-prenumeration som ägare
  • Användare, som ingår i Visual Studio-chefer Säkerhetsgrupp, kan köpaVisual Studio-prenumeration på Marketplacehttps://marketplace.visualstudio.com (eftersom de är kapslade medlemmar av Administratörsagenterna och därför har åtkomst till Azure-prenumeration)
  • Användare som ingår i Säkerhetsgruppen för Visual Studio-chefer kan ändra antalet Visual Studio-prenumerationer

Skärmbild som visar tillgängliga Visual Studio-prenumerationer.

  • Användare som ingår i Visual Studio Managers säkerhetsgrupp kan avbryta Visual Studio-prenumerationen (genom att ändra kvantitet till noll)
  • Användare som ingår i säkerhetsgruppen Visual Studio-chefer kan lägga till prenumeranter för att hantera Visual Studio-prenumerationer (till exempel bläddra i kundkatalogen och lägga till Visual Studio-rolltilldelning som prenumerant)

Visual Studio-egenskaper utanför omfånget:

  • Ingen

Varför ser jag inte några DAP AOBO-länkar på GDAP-tjänsthanteringssidan?

DAP AOBO-länkar Orsak till att den saknas på sidan FÖR GDAP-tjänsthantering
Microsoft 365 Planner
https://portal.office.com/		 En dubblett av Microsoft 365 AOBO-länken som redan finns.
Gungning
https://portal.office.com/		 En dubblett av Microsoft 365 AOBO-länken som redan finns.
Windows 10
https://portal.office.com/		 En dubblett av Microsoft 365 AOBO-länken som redan finns.
Cloud App Security
https://portal.cloudappsecurity.com/		 Microsoft Defender för Cloud Apps har dragits tillbaka. Den här portalen sammanfogas till Microsoft Defender XDR-, som stöder GDAP.
Azure IoT Central
https://apps.azureiotcentral.com/		 Stöds inte för närvarande. Utanför omfånget för GDAP.
Windows Defender Advanced Threat Protection
https://securitycenter.windows.com		 Windows Defender Advanced Threat Protection har dragits tillbaka. Partner rekommenderas att flytta till Microsoft Defender XDR, som stöder GDAP.

Relaterat innehåll