GDAP 常见问题解答

适当的角色:对合作伙伴中心感兴趣的所有用户

精细委派的管理员权限(GDAP)使合作伙伴能够以更精细和更具时间限制的方式访问其客户的工作负载,这有助于解决客户安全问题。

借助 GDAP,合作伙伴可以为可能对合作伙伴访问级别较高的客户提供更多服务。

GDAP 还有助于要求仅向合作伙伴提供最低特权访问权限的客户。

设置 GDAP

谁可以请求 GDAP 关系?

合作伙伴组织中具有 管理员代理 角色的人员可以 创建 GDAP 关系请求

如果客户未采取任何措施,GDAP 关系请求是否会过期?

是的。 GDAP 关系请求在 90 天后过期。

能否使 GDAP 与客户建立永久关系?

不。 出于安全原因,无法与客户建立永久 GDAP 关系。 GDAP 关系的最大持续时间为两年。 可以将 自动扩展 设置为 已启用 将管理员关系延长六个月,直到终止或自动扩展设置为 禁用

GDAP 关系是否支持企业协议?

不。 GDAP 关系不支持通过企业协议购买的订阅。

GDAP 与客户自动重新更新/自动扩展关系吗?

是的。 GDAP 关系可以自动延长 6 个月,直到终止或自动扩展设置为“已禁用”。

当 GDAP 与客户的关系过期时,该怎么办?

客户如何扩展或续订 GDAP 关系?

若要扩展或续订 GDAP 关系,合作伙伴或客户必须将 自动扩展 设置为 已启用。 有关详细信息,请参阅 管理 GDAP 自动扩展API

活动 GDAP 即将过期是否可以更新为自动扩展?

是的。 如果 GDAP 处于活动状态,则可以扩展它。

自动扩展何时生效?

假设 GDAP 创建 365 天,自动扩展设置为“已启用”。 在第 365 天,结束日期有效更新 180 天。

是否可以自动扩展使用合作伙伴引导工具(PLT)、Microsoft Led 工具、合作伙伴中心 UI 或合作伙伴中心 API 创建的 GDAP?

是的。 可以自动扩展任何活动的 GDAP。

是否需要客户同意才能针对现有活动 GDAP 设置自动扩展?

不。 无需客户同意即可针对现有活动 GDAP 将自动扩展设置为“已启用”。

自动扩展后,是否应将精细权限重新分配给安全组?

不。 分配给安全组的精细权限将继续 as-is。

是否可以自动扩展与全局管理员角色的管理员关系?

不。 不能使用全局管理员角色自动扩展管理员关系。

为什么在“客户”工作区下看不到“即将过期的粒度关系”页?

“即将过期的粒度关系” 页仅适用于具有全局管理员和管理员代理角色的合作伙伴用户。 此页有助于筛选跨不同时间线过期的 GDAP,并帮助更新一个或多个 GDAP 的自动扩展(启用/禁用)。

如果 GDAP 关系过期,客户的现有订阅是否受到影响?

不。 GDAP 关系过期时,不会更改客户的现有订阅。

如果客户被锁定在帐户外且无法接受合作伙伴的 GDAP 关系请求,客户如何重置其密码和 MFA 设备?

如果客户管理员被锁定在其帐户中,并且无法接受合作伙伴的 GDAP 关系请求,合作伙伴需要哪些角色才能重置管理员密码和 MFA 设备?

合作伙伴必须在创建第一个 GDAP 时请求 特权身份验证管理员 Microsoft Entra 角色。

  • 此角色使合作伙伴能够重置管理员或非管理员用户的密码和身份验证方法。 特权身份验证管理员角色是Microsoft Led 工具设置的角色的一部分,计划在创建客户流期间使用默认 GDAP(计划为 9 月)。
  • 合作伙伴可以让客户管理员尝试 重置密码
  • 作为预防措施,合作伙伴必须为客户设置 SSPR(自助密码重置)。 有关详细信息,请参阅 让用户重置自己的密码

谁收到 GDAP 关系终止通知电子邮件?

  • 合作伙伴 组织中,具有 管理员代理 角色的人员会收到终止通知。
  • 客户 组织中,具有 全局管理员 角色的人员会收到终止通知。

是否可以查看客户何时在活动日志中删除 GDAP?

是的。 合作伙伴可以查看客户何时在合作伙伴中心活动日志中删除 GDAP。

是否需要与所有客户创建 GDAP 关系?

不。 GDAP 是一项可选功能,适用于想要以更精细且具有时间限制的方式管理其客户服务的合作伙伴。 可以选择要为其创建 GDAP 关系的客户。

如果我有多个客户,是否需要为这些客户创建多个安全组?

答案取决于你希望如何管理客户。

  • 如果希望合作伙伴用户能够管理所有客户,可以将所有合作伙伴用户放入一个安全组,一个组可以管理所有客户。
  • 如果希望让各种合作伙伴用户管理各种客户,请将这些合作伙伴用户分配到单独的安全组进行客户隔离。

间接经销商是否可以在合作伙伴中心创建 GDAP 关系请求?

是的。 间接经销商(以及间接提供商和直接计费合作伙伴)可以在合作伙伴中心创建 GDAP 关系请求。

为什么具有 GDAP 的合作伙伴用户无法以 AOBO 身份(代表管理员)访问工作负荷?

作为 GDAP 设置的一部分,请确保在合作伙伴租户中创建的安全组与合作伙伴用户一起被选中。 此外,请确保为安全组分配所需的Microsoft Entra 角色。 请参阅 分配Microsoft Entra 角色

如果客户设置的条件访问策略阻止所有外部访问(包括 CSP 代表客户租户访问管理员),建议下一步是什么?

客户现在可以从条件访问策略中排除 CSP,以便合作伙伴无需阻止即可过渡到 GDAP。

  • 包括用户 - 此用户列表通常包括组织在条件访问策略中面向的所有用户。
  • 创建条件访问策略时,可以包括以下选项:
  • 选择用户和组
  • 来宾或外部用户(预览版)
  • 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型和包含这些类型的用户的特定租户。 可以选择多种不同类型的来宾或外部用户,并且可以进行多个选择:
  • 服务提供商用户,例如云解决方案提供商(CSP)。
  • 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
  • 外部合作伙伴访问 - 面向外部用户的条件访问策略可能会干扰服务提供商访问权限,例如精细的委派管理员权限。 有关详细信息,请参阅 细化委派管理员权限(GDAP)简介。 对于旨在面向服务提供商租户的策略,请使用 服务提供商用户来宾或外部用户 选择选项中提供的外部用户类型。 特定Microsoft Entra 组织中面向来宾和外部用户类型的 CA 策略 UX 的屏幕截图。
  • 排除用户 - 当组织同时包括和排除用户或组时,用户或组将从策略中排除,因为排除操作将替代策略中的包含操作。
  • 创建条件访问策略时,可以排除以下选项:
  • 来宾或外部用户
  • 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型和包含这些类型的用户的特定租户。 有 几种不同类型的来宾或外部用户可以选择,并且可以进行多个选择:
  • 服务提供商用户,例如云解决方案提供商(CSP)
  • 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。 CA 策略的屏幕截图。 有关详细信息,请参阅:
  • 图形 API 体验:具有新的外部用户类型信息的 Beta API
  • 条件访问策略
  • 条件访问外部用户

我是否需要 GDAP 关系来创建支持票证,尽管我拥有合作伙伴的顶级支持?

是的。 不管你拥有何种支持计划,合作伙伴用户能够为其客户创建支持票证的最低特权角色是服务支持管理员。

合作伙伴是否可以终止“审批挂起”状态中的 GDAP?

不。 合作伙伴当前无法在 审批挂起 状态终止 GDAP。 如果客户不采取任何操作,它将在 90 天内过期。

GDAP 关系终止后,是否可以重复使用相同的 GDAP 关系名称来创建新关系?

只有在 GDAP 关系终止或过期 365 天(清理)后,才能重复使用同名创建新的 GDAP 关系。

一个区域中的合作伙伴是否可以管理不同区域中的客户?

是的。 合作伙伴可以跨区域管理其客户,而无需为每个客户区域创建新的合作伙伴租户。 它仅适用于 GDAP(管理员关系)提供的客户管理角色。 事务角色和功能仍仅限于 授权的 Territory

服务提供商能否成为多租户组织的一部分,Error-Action 103 是什么?

不。 服务提供商不能是多租户组织的一部分,它们是相互排斥的。

如果在从合作伙伴中心服务管理页面导航到Microsoft安全 Copilot 时看到错误“无法获取帐户信息”,该怎么办?

  1. 确保正确设置 GDAP,包括如何为安全组授予 权限。
  2. 确保精细 安全组权限 正确。
  3. 有关帮助,请参阅 安全 Copilot 常见问题解答

GDAP API

API 是否可用于与客户创建 GDAP 关系?

有关 API 和 GDAP 的详细信息,请参阅 合作伙伴中心开发人员文档

是否可以将 beta GDAP API 用于生产?

是的。 我们建议合作伙伴使用 beta 版 GDAP API,并在它们可用时切换到 API v.1。 尽管存在警告,“不支持在生产应用程序中使用这些 API”,但通用指南适用于 Graph 下的任何 beta API,不适用于 beta GDAP 图形 API。

是否可以同时与不同的客户创建多个 GDAP 关系?

是的。 可以使用 API 创建 GDAP 关系,使合作伙伴能够缩放此过程。 但是,合作伙伴中心不提供创建多个 GDAP 关系。 有关 API 和 GDAP 的信息,请参阅 合作伙伴中心开发人员文档

是否可以使用一个 API 调用在 GDAP 关系中分配多个安全组?

该 API 一次适用于一个安全组,但你可以将多个安全组映射到合作伙伴中心中的多个角色。

如何为应用程序请求多个资源权限?

为每个资源发出单独的调用。 发出单个 POST 请求时,仅传递一个资源及其相应的范围。 例如,若要请求 https://graph.windows.net/Directory.AccessAsUser.Allhttps://graph.microsoft.com/Organization.Read.All的权限,请发出两个不同的请求,每个请求一个。

如何查找给定资源的资源 ID?

使用提供的链接搜索资源名称:验证登录报告中的第一方Microsoft应用程序 - Active Directory。 例如,若要查找资源 ID 00000003-0000-0000-c000-000000000000000,graph.microsoft.com:示例应用的清单屏幕屏幕截图,其中突出显示了其资源 ID。

如果看到错误“Request_UnsupportedQuery”,消息为资源“ServicePrincipal”的属性“appId”指定的查询筛选器子句不受支持或无效,该怎么办?

在查询筛选器中使用不正确的标识符时,通常会发生此错误。 若要解决此问题,请确保将 enterpriseApplicationId 属性与正确的 资源 ID(而不是资源名称)配合使用。

  • 对于 enterpriseApplicationId的错误请求,请不要使用资源名称(如 graph.microsoft.com)。 错误请求的屏幕截图,其中 enterpriseApplicationId 使用 graph.microsoft.com。
  • 正确的请求 相反,对于 enterpriseApplicationId,请使用资源 ID,例如 000000003-0000-0000-c000-00000000000000。 正确请求的屏幕截图,其中 enterpriseApplicationId 使用 GUID。

如何将新范围添加到已许可到客户租户的应用程序的资源中?

例如,之前 graph.microsoft.com 资源仅同意“配置文件”范围。 现在还需要添加配置文件和 user.read。 若要向以前许可的应用程序添加新范围,请执行以下操作:

  1. 使用 DELETE 方法可撤销客户租户的现有应用程序同意。
  2. 使用 POST 方法创建具有额外作用域的新应用程序同意。

注意

如果应用程序需要多个资源的权限,请为每个资源单独执行 POST 方法。

如何为单个资源(enterpriseApplicationId)指定多个范围?

使用逗号后跟空格连接所需的范围。 例如,“scope”:“profile, User.Read”

如果收到“400 错误请求”错误,出现消息“不支持的令牌”,该怎么办。 无法初始化授权上下文“?

  1. 确认请求正文中的“displayName”和“applicationId”属性准确无误,并匹配你尝试许可到客户租户的应用程序。
  2. 确保使用相同的应用程序生成尝试许可到客户租户的访问令牌。 例如:如果应用程序 ID 为“12341234-1234-1234-12341234”,则访问令牌中的“appId”声明还应为“12341234-1234-1234-12341234”。
  3. 验证是否满足以下条件之一:
  • 你有一个活动的委派管理员权限(DAP),并且该用户也是合作伙伴租户中的管理员代理安全组的成员。
  • 你与客户租户有一个有效的粒度委派管理员权限(GDAP)关系,其中至少有三个 GDAP 角色之一,并且已完成访问分配:
    • 全局管理员、应用程序管理员或云应用程序管理员角色。
    • 合作伙伴用户是访问分配中指定的安全组的成员。

角色

访问 Azure 订阅需要哪些 GDAP 角色?

  • 若要使用按客户访问分区(这是建议的最佳做法)管理 Azure,请创建安全组(例如 Azure 经理),并将其嵌套在管理员代理下。
  • 若要以客户的所有者身份访问 Azure 订阅,可以将任何 Microsoft Entra 内置角色(例如 目录读取者、最低特权角色)分配给 Azure 经理 安全组。 有关设置 Azure GDAP 的步骤,请参阅 受精细委派管理员权限(GDAP)支持的工作负荷。

是否有关于可分配给用户执行特定任务的最小特权角色的指导?

是的。 有关如何通过在 Microsoft Entra 中分配最低特权角色来限制用户的管理员权限的信息,请参阅 Microsoft Entra中的任务 最小特权角色。

我可以分配给客户的租户的最低特权角色是什么,仍可为客户创建支持票证?

建议分配 服务支持管理员 角色。 若要了解详细信息,请参阅Microsoft Entra中的任务 最小特权角色。

2024 年 7 月,合作伙伴中心 UI 中提供了哪些Microsoft Entra 角色?

  • 为了减少合作伙伴中心 API 和 UI 中提供的 Microsoft Entra 角色之间的差距,2024 年 7 月,合作伙伴中心 UI 中提供了 9 个角色的列表。
  • 在“协作”下:
    • Microsoft Edge 管理员
    • 虚拟访问管理员
    • Viva 目标管理员
    • Viva Pulse 管理员
    • Yammer 管理员
  • 在“标识”下:
    • 权限管理管理员
    • 生命周期工作流管理员
  • 在“其他”下:
    • 组织品牌管理员
    • 组织消息审批者

是否可以在排除所有Microsoft Entra 角色的 GDAP 关系中为客户开具支持票证?

不。 合作伙伴用户能够为其客户创建支持票证的最低特权角色是 服务支持管理员。 因此,若要为客户创建支持票证,合作伙伴用户必须位于安全组中,并分配给具有该角色的客户。

在哪里可以找到有关 GDAP 中包含的所有角色和工作负荷的信息?

有关所有角色的信息,请参阅 Microsoft Entra 内置角色。 有关工作负荷的信息,请参阅 粒度委派管理员权限(GDAP)支持的工作负荷。

哪些 GDAP 角色授予对 Microsoft 365 管理中心的访问权限?

许多角色用于 Microsoft 365 管理中心。 有关详细信息,请参阅 常用Microsoft 365 管理中心角色

是否可以为 GDAP 创建自定义安全组?

是的。 创建安全组,分配已批准的角色,然后将合作伙伴租户用户分配到该安全组。

哪些 GDAP 角色授予对客户的订阅的只读访问权限,因此不允许用户管理这些订阅?

全局读取者目录读取器合作伙伴第 2 层支持 角色提供对客户的订阅的只读访问权限。

如果希望合作伙伴代理(当前管理员代理)管理客户租户,但不修改客户的订阅,我应分配什么角色?

建议从 管理员代理 角色中删除合作伙伴代理,并将其仅添加到 GDAP 安全组。 这样,他们就可以管理服务(例如,服务管理和日志服务请求),但无法购买和管理订阅(更改数量、取消、计划更改等)。

如果客户向合作伙伴授予 GDAP 角色,然后删除角色或分拆 GDAP 关系,会发生什么情况?

分配给关系的安全组无法访问该客户。 如果客户终止 DAP 关系,则会发生同样的事情。

合作伙伴能否在删除与客户的所有 GDAP 关系后继续与客户交易?

是的。 删除与客户的 GDAP 关系不会终止合作伙伴与客户的经销商关系。 合作伙伴仍然可以为客户购买产品并管理 Azure 预算和其他相关活动。

我的 GDAP 关系中的某些角色能否比其他人有更长的到期时间?

不。 GDAP 关系中的所有角色都具有相同的到期时间:创建关系时选择的持续时间。

是否需要 GDAP 才能在合作伙伴中心为新客户和现有客户履行订单?

不。 无需 GDAP 即可为新客户和现有客户履行订单。 可以继续使用同一流程在合作伙伴中心履行客户订单。

我是否必须向所有客户分配一个合作伙伴代理角色,或者是否可以仅向一个客户分配合作伙伴代理角色?

GDAP 关系是每个客户。 每个客户可以有多个关系。 每个 GDAP 关系可以具有不同的角色,并在 CSP 租户中使用不同的Microsoft Entra 组。 在合作伙伴中心,角色分配在客户到 GDAP 关系级别工作。 如果想要多角色分配,可以使用 API 自动执行。

为什么 GDAP 管理员 + B2B 用户无法在 aka.ms/mysecurityinfo 中添加身份验证方法?

GDAP 来宾管理员无法在“我的安全信息”管理自己的安全信息。 相反,他们需要作为来宾的租户管理员的帮助,以便进行任何安全信息注册、更新或删除。 组织可以配置跨租户访问策略,以信任受信任的 CSP 租户中的 MFA。 否则,GDAP 来宾管理员仅限于租户管理员(即短信或语音)可注册的方法。 若要了解详细信息,请参阅 跨租户访问策略

合作伙伴可以使用哪些角色来启用自动扩展?

符合零信任 指导原则:使用最小特权访问

  • 建议按任务 和工作负荷任务使用 最低特权角色,受 GDAP 支持的精细委派管理员权限(GDAP)支持的工作负荷。
  • 当需要解决列出的已知问题时,请与客户协作,请求具有时间限制的全局管理员角色。
  • 我们 不建议将全局管理员角色替换为所有可能的Microsoft Entra 角色。

DAP 和 GDAP

GDAP 是否替换 DAP?

是的。 在转换期间,DAP 和 GDAP 将共存,GDAP 权限优先于 Microsoft 365Dynamics 365Azure 工作负荷的 DAP 权限。

是否可以继续使用 DAP,或者是否必须将所有客户转换为 GDAP?

在过渡期间,DAP 和 GDAP 共存。 但是,最终 GDAP 取代了 DAP,以确保我们为合作伙伴和客户提供更安全的解决方案。 建议尽快将客户过渡到 GDAP,以确保连续性。

虽然 DAP 和 GDAP 共存,但是否对创建 DAP 关系的方式有任何更改?

DAP 和 GDAP 共存时,现有 DAP 关系流不会更改。

作为创建客户的一部分,将为默认 GDAP 授予哪些Microsoft Entra 角色?

创建新的客户租户时,当前授予 DAP。 2023 年 9 月 25 日,Microsoft不再为新客户创建授予 DAP,而是向默认 GDAP 授予特定角色。 默认角色因合作伙伴类型而异,如下表所示:

Microsoft为默认 GDAP 授予的 Entra 角色 直接计费合作伙伴 间接提供商 间接经销商 域合作伙伴 控制面板供应商(CPV) 顾问 选择退出默认 GDAP (无 DAP)
1. 目录读取器。 可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取访问权限。 x x x x x
2. 目录编写器。 可以读取和写入基本目录信息。 用于授予对应用程序的访问权限,不适用于用户。 x x x x x
3. 许可证管理员。 可以管理用户和组上的产品许可证。 x x x x x
4. 服务支持管理员。 可以读取服务运行状况信息并管理支持票证。 x x x x x
5. 用户管理员。 可以管理用户和组的所有方面,包括重置受限管理员的密码。 x x x x x
6. 特权角色管理员。 可以在 Microsoft Entra 和 Privileged Identity Management 的各个方面管理角色分配。 x x x x x
7. 支持管理员。 可以为非管理员管理员和技术支持管理员重置密码。 x x x x x
8. 特权身份验证管理员。 可以访问查看、设置和重置任何用户的身份验证方法信息(管理员或非管理员)。 x x x x x
9. 云应用程序管理员。 可以创建和管理应用注册和企业应用的所有方面,但应用代理除外。 x x x x
10. 应用程序管理员。 可以创建和管理应用注册和企业应用的各个方面。 x x x x
11. 全局读取者。 可以读取全局管理员可以执行的所有操作,但无法更新任何内容。 x x x x x
12. 外部标识提供者管理员。 可以管理 Microsoft Entra 组织和外部标识提供者之间的联合身份验证。 x
13. 域名管理员。 可以在云和本地管理域名。 x

GDAP 如何在 Microsoft Entra 中使用 Privileged Identity Management?

合作伙伴可以在合作伙伴租户中的 GDAP 安全组上实现 Privileged Identity Management (PIM),以提升少数高特权用户的访问权限(恰时(JIT),以授予他们高特权角色(如密码管理员)自动删除访问权限。 在 2023 年 1 月 2023 年 1 月之前,每个 特权访问组(组 功能的前 名称)都必须位于可分配角色 组中 。 此限制现已 删除。 鉴于此更改,可以在 PIM中 为每个 租户启用 500 多个组,但最多只能分配 500 个组。 总结:

  • 合作伙伴可以在 PIM 中使用可分配角色 和非角色分配 组。 此选项有效地 删除 PIM 中 500 个组/tenant 的限制。
  • 通过最新更新,可通过两种方法将 加入 PIM(UX-wise):从 PIM 菜单,或从 菜单中加入。 无论选择哪种方式,净结果都是相同的。
    • 可以通过 PIM 菜单加入可分配角色/不可分配角色的组的功能已可用。
    • 可以通过“组”菜单载入可分配角色/不可分配角色的组的功能已可用。
  • 有关详细信息,请参阅 组的 Privileged Identity Management (PIM) - Microsoft Entra

如果客户Microsoft Azure 和 Microsoft 365 或 Dynamics 365,DAP 和 GDAP 如何共存?

GDAP 已正式发布,支持所有Microsoft商业云服务(Microsoft 365Dynamics 365Microsoft Azure,以及 Microsoft Power Platform 工作负荷)。 有关 DAP 和 GDAP 如何共存以及如何优先使用 GDAP 的详细信息,请在此常见问题解答中搜索 GDAP 权限如何优先于 DAP 权限,而 DAP 和 GDAP 共存? 问题。

例如,我有一个大型客户群(例如 10,000 个客户帐户)。 如何从 DAP 过渡到 GDAP?

可以使用 API 执行此操作。

从 DAP 过渡到 GDAP 时,我的合作伙伴赚取的信用额度(PEC)收入是否受到影响? 合作伙伴管理员链接(PAL)是否有任何影响?

不。 过渡到 GDAP 时,PEC 收益不会受到影响。 在过渡时,PAL 没有变化,确保你继续赢得 PEC。

删除 DAP/GDAP 时,PEC 是否受到影响?

  • 如果合作伙伴的客户只有 DAP 且 DAP 被删除,则 PEC 不会丢失。
  • 如果合作伙伴的客户具有 DAP,并且同时迁移到 GDAP Microsoft 365 和 Azure,并且删除 DAP,PEC 不会丢失。
  • 如果合作伙伴的客户具有 DAP,并且他们迁移到 GDAP for Microsoft 365,但保留 Azure as-is(他们不会移动到 GDAP),并且 DAP 被删除,PEC 不会丢失,但对 Azure 订阅的访问权限会丢失。
  • 如果删除了 RBAC 角色,PEC 将丢失,但删除 GDAP 不会删除 RBAC。

当 DAP 和 GDAP 共存时,GDAP 权限如何优先于 DAP 权限?

当用户同时属于 GDAP 安全组和 DAP 管理员代理组 并且 客户具有 DAP 和 GDAP 关系时,GDAP 访问优先于合作伙伴、客户和工作负荷级别。

例如,如果合作伙伴用户登录工作负荷,并且全局管理员角色有 DAP 和全局读取者角色的 GDAP,则合作伙伴用户仅获取全局读取者权限。

如果有三个客户将 GDAP 角色分配给仅 GDAP 安全组(而不是管理员代理):

关系图,显示不同用户之间的关系作为*管理员代理*和 GDAP 安全组的成员。

客户 与合作伙伴的关系
客户一 DAP (无 GDAP)
客户 2 DAP + GDAP 两者
客户三 GDAP (无 DAP)

下表描述了用户登录到其他客户租户时会发生什么情况。

示例用户 示例客户租户 行为 评论
用户一 客户一 磷酸 二 铵 此示例是 DAP as-is。
用户一 客户 2 磷酸 二 铵 管理员代理 组没有 GDAP 角色分配,这会导致 DAP 行为。
用户一 客户三 无访问权限 没有 DAP 关系,因此 管理员代理 组无权访问客户 3。
用户 2 客户一 磷酸 二 铵 此示例是 DAP as-is。
用户 2 客户 2 GDAP GDAP 优先于 DAP,因为即使用户是 管理员代理 组的一部分,也可通过 GDAP 安全组将 GDAP 角色分配给用户两个。
用户 2 客户三 GDAP 此示例是仅限 GDAP 的客户。
用户 3 客户一 无访问权限 没有向客户分配 GDAP 角色。
用户 3 客户 2 GDAP 用户 3 不属于 管理员代理 组,这会导致仅限 GDAP 的行为。
用户 3 客户三 GDAP 仅限 GDAP 的行为

禁用 DAP 或转换到 GDAP 是否会影响我获得的旧能力权益或解决方案合作伙伴指定?

DAP 和 GDAP 不符合解决方案合作伙伴指定条件的关联类型。 aDisabling 或从 DAP 过渡到 GDAP 不会影响你实现解决方案合作伙伴指定。 此外,旧能力权益或解决方案合作伙伴权益的续订不会受到影响。 若要查看符合解决方案合作伙伴指定条件的其他合作伙伴关联类型,请参阅 合作伙伴中心解决方案合作伙伴指定

GDAP 如何与 Azure Lighthouse 配合使用? GDAP 和 Azure Lighthouse 是否相互影响?

关于 Azure Lighthouse 与 DAP/GDAP 之间的关系,将它们视为与 Azure 资源的并行路径分离。 断断一个不应该影响另一个。

  • 在 Azure Lighthouse 方案中,合作伙伴租户中的用户永远不会登录到客户租户,并且客户租户中没有任何Microsoft Entra 权限。 其 Azure RBAC 角色分配也保留在合作伙伴租户中。
  • 在 GDAP 方案中,合作伙伴租户中的用户登录到客户租户。 向管理员代理组分配 Azure RBAC 角色也位于客户租户中。 当 Azure Lighthouse 路径不受影响时,可以阻止 GDAP 路径(用户无法再登录)。 相反,你可以断断灯塔关系(投影),而不会影响 GDAP。 有关详细信息,请参阅 Azure Lighthouse 文档。

GDAP 如何与 Microsoft 365 Lighthouse 配合使用?

在云解决方案提供商(CSP)计划中注册的托管服务提供商(MSP)作为 间接经销商,直接账单 合作伙伴现在可以使用 Microsoft 365 Lighthouse 为任何客户租户设置 GDAP。 由于合作伙伴已经通过几种方式管理其过渡到 GDAP,因此此向导允许 Lighthouse 合作伙伴采用特定于其业务需求的角色建议。 它还允许他们采取安全措施,如实时(JIT)访问。 MSP 还可以通过 Lighthouse 创建 GDAP 模板,以便轻松保存和重新应用启用最低特权客户访问的设置。 有关详细信息以及查看演示,请参阅 Lighthouse GDAP 设置向导。 MSP 可以为 Lighthouse 中的任何客户租户设置 GDAP。 若要访问 Lighthouse 中的客户工作负荷数据,需要 GDAP 或 DAP 关系。 如果 GDAP 和 DAP 在客户租户中共存,GDAP 权限优先于启用了 GDAP 的安全组中的 MSP 技术人员。 有关Microsoft 365 灯塔的要求的详细信息,请参阅Microsoft 365 灯塔要求。

如果我有 Azure 客户,那么迁移到 GDAP 和删除 DAP 的最佳方式是什么?

此方案要遵循的正确顺序是:

  1. Microsoft 365 和 Azure创建 GDAP 关系。
  2. Microsoft 365 和 Azure将Microsoft Entra 角色分配给安全组。
  3. 将 GDAP 配置为优先于 DAP。
  4. 删除 DAP。

重要

如果不遵循这些步骤,管理 Azure 的现有管理员代理可能会失去对客户的 Azure 订阅的访问权限。

以下序列可能会导致 失去对 Azure 订阅的访问权限

  1. 删除 DAP。 不一定通过删除 DAP 来失去对 Azure 订阅的访问权限。 但目前无法浏览客户的目录以执行任何 Azure RBAC 角色分配(例如将新客户用户分配为订阅 RBAC 参与者)。
  2. 为Microsoft 365 和 Azure 创建 GDAP 关系。 设置 GDAP 后,可能会立即失去对 Azure 订阅的访问权限。
  3. 将Microsoft Entra 角色分配给 Microsoft 365 和 Azure

完成 Azure GDAP 设置后,可以重新获得对 Azure 订阅的访问权限。

我有没有 DAP 的 Azure 订阅的客户。 如果我将其移动到 Microsoft 365 的 GDAP,我是否会失去对 Azure 订阅的访问权限?

如果你的 Azure 订阅 没有作为所有者管理的 DAP,则向该客户添加 Microsoft 365 的 GDAP 时,可能会失去对 Azure 订阅的访问权限。 为了避免失去访问权限,请同时将客户移动到 Azure GDAP 将客户移到 Microsoft 365 GDAP。

重要

如果不执行这些步骤,管理 Azure 的现有管理员代理可能会失去对客户的 Azure 订阅的访问权限。

单个关系链接是否可以与多个客户一起使用?

不。 一旦接受关系,就不能重复使用。

如果我与没有 DAP 且没有 GDAP 关系的客户有经销商关系,我是否可以访问其 Azure 订阅?

如果与客户建立了现有的经销商关系,则仍需建立 GDAP 关系才能管理其 Azure 订阅。

  1. 在 Microsoft Entra 中创建安全组(例如 Azure 管理器)。
  2. 创建与 目录读取者 角色的 GDAP 关系。
  3. 使安全组成为 管理员代理 组的成员。 执行这些步骤后,可以通过 AOBO 管理客户的 Azure 订阅。 无法通过 CLI/Powershell 管理订阅。

是否可以为没有 DAP 且没有 GDAP 关系的客户创建 Azure 计划?

是的。 即使没有具有现有经销商关系的 DAP 或 GDAP,也可以创建 Azure 计划。 但为了管理该订阅,需要 DAP 或 GDAP。

为什么“客户”页的“公司详细信息”部分不再显示 DAP 删除时的详细信息?

随着合作伙伴从 DAP 过渡到 GDAP,他们必须确保满足以下条件才能查看公司详细信息:

  • 活动的 GDAP 关系。
  • 分配以下任何Microsoft Entra 角色:全局管理员、目录读取者、全局读取者。 请参阅 向安全组授予精细权限。

为什么当 GDAP 关系存在时,我的用户名在 portal.azure.com 中替换为“user_somenumber” ?

当 CSP 使用其 CSP 凭据登录到其客户的 Azure 门户(portal.azure.come),并且存在 GDAP 关系时,CSP 会注意到其用户名为“user_”,后跟一些数字。 它不会在 DAP 中显示其实际用户名。 这是设计。

显示替换的用户名的屏幕截图。

停止 DAP 的时间线是什么,并授予默认 GDAP 创建新客户的时间线?

租户类型 可用性日期 合作伙伴中心 API 行为 (POST /v1/customers)
enableGDAPByDefault: true
合作伙伴中心 API 行为 (POST /v1/customers)
enableGDAPByDefault: false
合作伙伴中心 API 行为 (POST /v1/customers)
对请求或有效负载没有更改
合作伙伴中心 UI 行为
沙盒 2023 年 9 月 25 日(仅限 API) DAP = 否。 默认 GDAP = 是 DAP = 否。 默认 GDAP = 否 DAP = 是。 默认 GDAP = 否 默认 GDAP = 是
生产 2023 年 10 月 10 日(API + UI) DAP = 否。 默认 GDAP = 是 DAP = 否。 默认 GDAP = 否 DAP = 是。 默认 GDAP = 否 选择加入/退出可用:默认 GDAP
生产 2023年11月27日 (正式发布于12月2日完成) DAP = 否。 默认 GDAP = 是 DAP = 否。 默认 GDAP = 否 DAP = 否。 默认 GDAP = 是 选择加入/退出可用:默认 GDAP

合作伙伴必须显式 向默认 GDAP 中 安全组授予精细权限。
截至 2023 年 10 月 10 日,DAP 不再可用于经销商关系。 更新的请求经销商关系链接在合作伙伴中心 UI 中可用,API 合同“/v1/customers/relationship requests”属性 URL 返回要发送给客户租户管理员的邀请 URL。

合作伙伴是否应向默认 GDAP 中的安全组授予精细权限?

是的,合作伙伴必须显式 向默认 GDAP 中 的安全组授予精细权限才能管理客户。

合作伙伴与经销商关系可以执行哪些操作,但没有 DAP,也没有 GDAP 在合作伙伴中心执行?

只有没有 DAP 或 GDAP 的经销商关系合作伙伴才能创建客户、下单和管理订单、下载软件密钥、管理 Azure RI。 他们无法查看客户公司详细信息、无法查看用户或向用户分配许可证、无法代表客户记录票证,也无法访问和管理特定于产品的管理中心(例如 Teams 管理中心)。

合作伙伴必须执行哪些操作才能从 DAP 迁移到 GDAP,以同意?

若要使合作伙伴或 CPV 访问和管理客户租户,必须在客户租户中同意其应用的服务主体。 当 DAP 处于活动状态时,它们必须将应用的服务主体添加到合作伙伴租户中的管理员代理 SG。 借助 GDAP,合作伙伴必须确保其应用在客户租户中得到同意。 如果应用使用委派的权限(应用 + 用户)和活动 GDAP 存在,则可以使用以下三个角色中的任何一个(云应用程序管理员、应用程序管理员、全局管理员)许可 API。 如果应用仅使用应用程序权限,则必须使用 租户范围的管理员同意URL,由合作伙伴或客户(云应用程序管理员、应用程序管理员、全局管理员)中的任何一个角色(云应用程序管理员、应用程序管理员、全局管理员)手动同意。

此服务不允许合作伙伴针对 715-123220 错误或匿名连接执行哪些操作?

如果看到以下错误:

“目前无法验证”创建新的 GDAP 关系“请求。 建议不允许使用此服务的匿名连接。 如果你认为收到此消息时出错,请再次尝试你的请求。 选择以了解有关可执行的操作。 如果问题仍然存在,请联系支持部门和引用消息代码 715-123220 和事务 ID:guid。

更改连接到Microsoft以让身份验证服务正常运行的方式。 它有助于确保帐户不会泄露,并且符合Microsoft必须遵守的法规。

可以执行的操作:

  • 清除浏览器缓存。
  • 在浏览器上关闭跟踪防护,或将站点添加到异常/安全列表。
  • 关闭可能正在使用的任何虚拟专用网络(VPN)程序或服务。
  • 直接从本地设备(而不是通过虚拟机(VM)进行连接。

如果尝试上述步骤后,仍无法连接,我们建议咨询 IT 技术支持,检查设置,以确定它们是否有助于确定导致问题的原因。 有时,问题位于公司的网络设置中。 IT 管理员需要通过安全列出我们的站点或进行其他网络设置调整来解决该问题。

对于正在卸载、受限、暂停和卸载的合作伙伴,允许执行哪些 GDAP 操作?

  • 受限(直接帐单):无法创建新的 GDAP(管理员关系)。 可以更新现有 GDAP 及其角色分配。
  • 已暂停(直接计费/间接提供商/间接经销商):无法创建新的 GDAP。 无法更新现有 GDAP 及其角色分配。
  • 受限(直接帐单)+ 活动(间接经销商):对于受限直接帐单:无法创建新的 GDAP(管理员关系)。 可以更新现有 GDAP 及其角色分配。 对于活动间接经销商:可以创建新的 GDAP,可以更新现有的 GDAP 及其角色分配。 无法创建新 GDAP 时,无法更新现有 GDAP 及其角色分配。

提供

此版本的 GDAP 是否包含 Azure 订阅的管理?

是的。 GDAP 的当前版本支持所有产品:Microsoft 365Dynamics 365Microsoft Power PlatformMicrosoft Azure