共用方式為


更細微的委派管理員權限 (GDAP) 所支援的工作負載

適當角色:對合作夥伴中心感興趣的所有使用者

本文列出細微委派系統管理員許可權 (GDAP) 所支援的工作負載工作。

微軟安全助手 Copilot

安全性 Copilot 支援對獨立平臺和特定內嵌體驗的 GDAP 存取。

支援的 Microsoft Entra 角色

安全性 Copilot 擁有自己的「非 Entra」角色,您需要進行設定。 要求 GDAP 存取的建議角色為安全性操作員或安全性讀取器,但支援其他角色。 客戶必須執行一個額外步驟,將所需的 GDAP 角色指派給適當的安全 Copilot 角色。 如需詳細資訊,請參閱 指派安全助手角色

安控向導中的 GDAP 允許存取獨立入口網站。 每個外掛程式都需要可能不支援 GDAP 的額外授權需求。 如需詳細資訊,請參閱 支援 GDAP的安全性 Copilot 外掛程式。

內嵌體驗會將安全性 Copilot 功能新增至其他工作負載。 如果像 Microsoft Defender XDR 這類的工作負載支援 GDAP,那麼 Security Copilot 內嵌的功能也會支援 GDAP。 例如,Purview 具有內嵌的安全助理體驗,並且被列為支援 GDAP 的負載項目。 所以,Purview 中的 Security Copilot 支援 GDAP。

如需更多資訊,也請參閱安全助理內嵌體驗

Microsoft Entra ID

除了下列功能之外,支援所有Microsoft Entra 工作:

區域 Capabilities 問題
群組管理 建立Microsoft 365 群組、動態成員資格規則的管理 不支援
裝置 管理企業狀態漫遊的設定
應用程式 同意企業應用程式內嵌登入、管理企業應用程式 「用戶設定」
外部身分識別 管理外部身分識別功能
監視 Microsoft Entra 概觀頁面上的 Log Analytics、診斷設定、活頁簿和 [監視] 索引標籤
概觀分頁 我的摘要 - 登入使用者的角色 可能會顯示不正確的角色資訊;不會影響實際許可權
使用者設定 [使用者功能] 管理頁面 無法存取特定角色

已知問題:

  • 透過 GDAP 授與Microsoft Entra 角色安全性讀取者或全域讀取者的合作夥伴在嘗試存取已啟用 PIM 的客戶租使用者上存取 Entra 角色和系統管理員時,遇到「沒有存取權」錯誤。 使用全域管理員角色。
  • Microsoft Entra Connect Health 不支援 GDAP。

Exchange 系統管理中心

針對 Exchange 系統管理中心,GDAP 支援下列工作。

資源類型 資源子類型 目前支援 問題
收件者管理 信箱 建立共用信箱、更新信箱、轉換為共用/使用者信箱、刪除共用信箱、管理郵件流程設定、管理信箱原則、管理信箱委派、管理電子郵件位址、管理自動回復、管理更多動作、編輯聯繫人資訊、群組管理 開啟其他使用者的信箱
資源 建立/新增資源 [設備/會議室], 刪除資源, 管理從 GAL 隱藏設定, 管理預約委派設定, 管理資源委派設定
連絡人 建立/新增連絡人 [信件使用者/郵件連絡人], 刪除聯絡人, 編輯組織設定
郵件流程 郵件追蹤 啟動訊息追蹤、檢查預設/自定義/自動儲存/可下載的查詢、規則 警示、警示原則
遠端網域 新增遠端網域、刪除遠端網域、編輯訊息報告、回復類型
接受的網域 管理接受的網域
連接器 新增連接器、管理限制、傳送電子郵件身分識別、刪除連接器
角色 管理員角色 新增角色群組、刪除非內建角色群組的角色群組、編輯非內建角色群組的角色群組、複製角色群組
遷移 遷移 新增移轉批次、試用Google工作區移轉、核准移轉批次、檢視移轉批次的詳細數據、刪除移轉批次
Microsoft 365 系統管理中心 連結 前往 Microsoft 365 系統管理 中心的連結
其他 提供意見反應小工具,支援中央小工具
儀表板 報表

支援的 RBAC 角色 包括下列各項:

  • Exchange 系統管理員
  • 全域系統管理員
  • 服務台系統管理員
  • 全域讀取者
  • 安全性系統管理員
  • Exchange 收件者系統管理員

Microsoft 365 系統管理中心

重要

Microsoft 365 系統管理中心 的某些重要功能可能會受到服務事件和持續開發工作的影響。 您可以在 Microsoft 管理入口網站檢視作用中 Microsoft 365 系統管理中心 問題。

我們很高興宣布發行 GDAP Microsoft 365 系統管理中心 支援。 透過此預覽版本,您將能夠使用企業 客戶支援的所有 Microsoft Entra 角色來登入系統管理中心,但 Directory Readers除外。

此版本的功能有限,可協助您使用 Microsoft 365 系統管理中心的下列區域:

  • 使用者 (包括指派授權)
  • 計費>授權
  • 健全>狀況服務健康情況
  • 支援中央>建立支援票證

注意

從 2024 年 9 月 23 日開始,您無法再>存取帳單購買功能表或>[代表每位系統管理員計費帳單和付款] 或 [AOBO] 存取 Microsoft 365 系統管理中心 中的頁面

已知問題:

  • 無法匯出網站使用量產品報告。
  • 無法存取左側導覽中的整合式應用程式。

Microsoft Purview

針對 Microsoft Purview,GDAP 支援下列工作。

解決方案 目前支援 問題
Audit Microsoft 365 稽核解決方案
- 設定基本/進階稽核
- 搜尋稽核記錄
- 使用 PowerShell 搜尋稽核記錄
- 匯出/設定/檢視稽核記錄
- 開啟和關閉稽核
- 管理稽核記錄保留原則
- 調查常見問題/遭入侵的帳戶
- 匯出/設定/檢視稽核記錄
合規性管理員 合規性管理員
- 建置和管理評量
- 建立/擴充/修改評定範本
- 指派和完成改進動作
- 設定用戶權力
MIP Microsoft Purview 資訊保護
了解數據分類
了解資料外洩防護
資料分類
- 建立和管理敏感性信息類型
- 建立和管理完全數據比對
- 使用活動總管監視使用標籤內容完成的工作
資訊保護:
- 建立和發佈敏感度標籤和標籤原則
- 定義要套用至檔案和電子郵件的標籤
- 定義要套用至網站和群組的標籤
- 定義要套用至架構化數據資產的標籤
- 使用用戶端自動標記、伺服器端自動標記,以及架構化數據資產,自動將標籤套用至內容
- 使用加密限制對已標記內容的存取
- 針對套用至網站和群組的標籤設定隱私權和外部使用者存取和外部共用和條件式存取
- 設定標籤原則以包含預設、強制、降級控件,並將其套用至檔案和電子郵件、群組和網站和 Power BI 內容
DLP
- 建立、測試及調整 DLP 原則
- 執行警示和事件管理
- 在活動總管中檢視 DLP 規則比對事件
- 設定端點 DLP 設定
- 在內容總管中檢視已標記的內容
- 建立和管理可訓練分類器
- 群組和網站標籤支援
Microsoft Purview 資料生命週期管理 瞭解 Microsoft 365 中的 Microsoft Purview 資料生命週期管理
- 建立和管理靜態和自適性保留原則
- 建立保留標籤
- 建立保留標籤原則
- 建立和管理調適型範圍
-歸檔
- 匯入 PST 檔案
Microsoft Purview 記錄管理 Microsoft Purview 記錄管理
- 將內容標記為記錄
- 將內容標記為法規記錄
- 建立和管理靜態和自適性保留標籤原則
- 建立和管理調適型範圍
- 使用檔案計劃移轉保留標籤及管理您的保留需求
- 使用保留標籤設定保留和刪除設定
- 以事件為基礎的保留發生事件時保留內容
- 處置管理

若要瞭解 Microsoft 365 合規性入口網站中支援的 Microsoft Entra 角色,請參閱 Purview Microsoft 的許可權


Microsoft 365 Lighthouse

Microsoft 365 Lighthouse 是一個管理入口網站,可協助受控服務提供者為中小型企業客戶大規模保護及管理裝置、數據和使用者。

GDAP 角色會授與 Lighthouse 中相同的客戶存取權,就像使用這些 GDAP 角色個別存取客戶的系統管理入口網站時一樣。 Lighthouse 會根據使用者委派的許可權層級,跨使用者、裝置和數據提供多租用戶檢視。 如需所有 Lighthouse 多租使用者管理功能的概觀,請參閱 Lighthouse 檔

現在 MSP 可以使用 Lighthouse 為任何客戶租用戶設定 GDAP。 Lighthouse 會根據 MSP 的不同 MSP 作業功能提供角色建議,而 Lighthouse GDAP 範本可讓合作夥伴輕鬆儲存及重新套用啟用最低許可權客戶存取的設定。 如需詳細資訊,以及檢視示範,請參閱 Lighthouse GDAP 安裝精靈

針對 Microsoft 365 Lighthouse,GDAP 支援下列工作。 如需存取 Microsoft 365 Lighthouse 所需許可權的詳細資訊,請參閱 Microsoft 365 Lighthouse 中的許可權概觀。

資源 目前支援
首頁 已包括
租用戶 已包括
使用者 已包括
裝置 已包括
威脅管理 已包括
基準 已包括
Windows 365 已包括
服務健全狀況 已包括
稽核記錄 已包括
登入 客戶必須具有 GDAP 和間接轉銷商關係,或要上線的 DAP 關聯性。

支援的 Azure 角色型存取控制 (Azure RBAC) 角色 包括下列各項:

  • 驗證系統管理員
  • 合規性系統管理員
  • 條件式存取管理員
  • 雲端裝置管理員
  • 全域系統管理員
  • 全域讀取者
  • 服務台系統管理員
  • Intune 管理員
  • 密碼管理員
  • 特殊權限驗證管理員
  • 安全性系統管理員
  • 安全性操作員
  • 安全性讀取者
  • 服務支援管理員
  • 使用者管理員

Windows 365

針對 Windows 365,GDAP 支援下列工作。

資源 目前支援
雲端電腦 列出雲端電腦、取得雲端計算機、重新布建雲端電腦、結束寬限期、重新布建雲端計算機遠端動作、大量重新布建雲端電腦遠端動作、重設大小雲端計算機遠端動作、取得雲端計算機遠端動作結果
雲端電腦裝置映像 列出裝置映像、取得裝置映像、建立裝置映像、刪除裝置映射、取得來源映像、重新載入裝置映像
雲端計算機內部部署網路連線 列出內部部署連線、取得內部部署連線、建立內部部署連線、更新內部部署連線、刪除內部部署連線、執行健康情況檢查、更新 AD 網域密碼
雲端電腦布建原則 列出布建原則、取得布建原則、建立布建原則、更新布建原則、刪除布建原則、指派布建原則
雲端電腦稽核事件 列出稽核事件、取得稽核事件、取得稽核活動類型
雲端電腦用戶設定 列出使用者設定、取得使用者設定、建立使用者設定、更新使用者設定、刪除使用者設定、指派
雲端電腦支援的區域 列出支持的區域
雲端計算機服務方案 列出服務方案

支援的 Azure RBAC 角色 包括下列各項:

  • 全域系統管理員
  • Intune 管理員
  • 安全性系統管理員
  • 安全性操作員
  • 安全性讀取者
  • 全域讀取者
  • (驗證中)Windows 365 系統管理員

預覽版不支援的資源:

  • N/A

Teams 系統管理中心

針對 Teams 系統管理中心,GDAP 支援下列工作。

資源 目前支援
使用者 指派原則、語音設定、輸出通話、群組通話取用設定、通話委派設定、電話號碼、會議設定
Teams Teams 原則、更新原則
裝置 IP 電話、Teams 會議室、共同作業列、Teams 顯示器、Teams 面板
位置 報告卷標、緊急位址、網路拓撲、網路和位置
會議 會議網橋、會議原則、會議設定、即時活動原則、即時活動設定
訊息原則 訊息原則
語音 緊急原則、撥號方案、語音路由方案、通話佇列、自動語音應答、通話駐留原則、通話原則、來電者標識符原則、電話號碼、直接路由
分析和報告 使用方式報表
全組織設定 外部存取、來賓存取、Teams 設定、Teams 升級、假日、資源帳戶
規劃 網路規劃工具
Teams PowerShell 模組 Teams PowerShell 模組中的所有 PowerShell Cmdlet (可從 Teams PowerShell 模組 - 3.2.0 預覽版本取得)

支援的 RBAC 角色 包括下列各項:

  • Teams 管理員
  • 全域系統管理員
  • Teams 通訊系統管理員
  • Microsoft Teams 通訊支援工程師
  • Teams 通訊支援專家
  • Teams 裝置系統管理員
  • 全域讀取者

GDAP 存取 不支援的資源包括:

  • 管理 Teams
  • 團隊範本
  • Teams 應用程式
  • 原則套件
  • Teams Advisor
  • 通話品質儀表板

Microsoft Defender 全面偵測回應 (部分機器翻譯)

Microsoft Defender 全面偵測回應 是一個統一的入侵前和入侵后企業防禦套件。 它會原生協調端點、身分識別、電子郵件和應用程式的偵測、預防、調查和回應,以提供整合式保護,以防止複雜的攻擊。

Microsoft Defender 入口網站也是 Microsoft 365 安全性堆疊中其他產品的首頁,例如 適用於端點的 Microsoft Defender 和 適用於 Office 365 的 Microsoft Defender。

Microsoft Defender 入口網站中提供所有功能和安全性產品的檔:

適用於端點的 Microsoft Defender:

適用於 Office 365 的 Microsoft Defender:

應用程式控管:

以下是使用 GDAP 令牌存取 Microsoft Defender 入口網站之租使用者可用的功能。

資源類型 目前支援
Microsoft Defender 全面偵測回應 功能 所有 Microsoft Defender XDR 特性(如先前連結的文件所述):事件、進階威脅狩獵、動作中心、威脅分析,並將下列安全性工作負載連接至 Microsoft Defender XDR:Microsoft Defender 端點防護、Microsoft Defender 身分識別防護、Microsoft Defender Cloud Apps 防護
適用於端點的 Microsoft Defender 功能 在先前連結的文件中列出的所有 Microsoft Defender for Endpoint 功能,請參閱 表格中 P1 / SMB SKU 的詳細資料
適用於 Office 365 的 Microsoft Defender 所有適用於 Office 365 的 Defender Microsoft 功能都列在先前連結的文件中。 請參閱下表中每個授權的詳細數據:Office 365 安全性,包括 適用於 Office 365 的 Microsoft Defender 和 Exchange Online Protection
應用程式治理 驗證適用於 GDAP 令牌 (App+使用者令牌),授權原則會依先前的使用者角色運作

Microsoft Defender 入口網站中支援的 Microsoft Entra 角色:

Microsoft Defender 入口網站中支援角色的檔

注意

並非所有角色都適用於所有安全性產品。 如需特定產品中支援哪些角色的資訊,請參閱產品檔。


每個 SKU Microsoft Defender 入口網站中支援的 MDE 功能

每個 SKU 的端點功能 適用於企業的 Microsoft Defender 適用於端點的 Microsoft Defender方案 1 適用於端點的 Microsoft Defender 方案 2
集中式管理 X X X
簡化的客戶端設定 X
威脅與弱點管理 X X
攻擊面縮減 X X X
下一代保護 X X X
端點偵測及回應 X X
自動化調查及回應 X X
威脅搜捕和六個月數據保留 X
威脅分析 X X
Windows、MacOS、iOS 和 Android 的跨平台支援 X X X
Microsoft 威脅專家 X
合作夥伴 API X X X
Microsoft 365 Lighthouse,用於檢視客戶間的安全性事件 X

Power BI

針對 Power BI 工作負載,GDAP 支援下列工作。

資源類型 目前支援
系統管理員工作 - [管理入口網站] 底下的所有功能表項,但 [Azure 連線] 除外

範圍中支援的 Microsoft Entra 角色:

  • Fabric 管理員
  • 全域系統管理員

範圍不足的 Power BI 屬性:

  • 並非所有非管理者的任務都保證能夠執行
  • [管理入口網站] 下的 [Azure 連線]

SharePoint

針對 SharePoint,GDAP 支援下列工作。

資源類型 目前支援
首頁 卡片轉譯,但數據可能不會轉譯
網站管理 – 使用中網站 建立網站:小組網站、通訊網站、指派/變更網站擁有者、將敏感度標籤指派給網站(如果在網站建立期間Microsoft專案標識符中設定),變更網站的敏感度卷標、將隱私權設定指派給網站(如果未預先定義敏感度卷標),將/移除成員新增至網站、編輯網站外部共用設定、編輯網站名稱、編輯網站 URL、 檢視網站活動、編輯儲存限制、刪除網站、變更網站內建檢視、將網站清單匯出至 CSV 檔案、儲存網站自定義檢視、將網站與中樞建立關聯、將網站註冊為中樞
網站管理 – 使用中網站 建立其他網站:檔中心、企業Wiki、發佈入口網站、內容中心
網站管理 – 已刪除的網站 還原網站、永久刪除網站(Microsoft 365 個群組連線小組網站除外)
原則 – 共用 設定 SharePoint 和商務用 OneDrive 的外部共用原則、變更 [更多外部共用設定]、設定檔案和資料夾鏈接的原則、變更共用的 [其他設定]
存取控制 設定/變更非受控裝置原則、設定/變更閑置會話時間軸原則、設定/變更網路位置原則(不同於Microsoft Entra IP 原則、設定/變更新式驗證原則、設定/變更 OneDrive 存取權
設定 SharePoint - 首頁網站、SharePoint - 通知、SharePoint - 頁面、SharePoint - 網站建立、SharePoint - 網站儲存限制、OneDrive - 通知、OneDrive - 保留、OneDrive - 儲存限制、OneDrive - 同步處理
PowerShell 若要將客戶租用戶連線為 GDAP 系統管理員,請在 AuthenticanUrl 參數中使用租使用者授權端點(含客戶的租用戶識別元),而不是預設的通用端點。
例如: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize

範圍 中的角色包括下列各項:

  • SharePoint 系統管理員
  • 全域系統管理員
  • 全域讀取者

範圍外 SharePoint Admin Center 屬性包括下列專案:

  • 所有傳統系統管理員功能/功能/範本都不在範圍中,且不保證正常運作
  • 注意:對於任何支援的 SharePoint 系統管理中心 GDAP 角色,合作夥伴無法編輯客戶 SharePoint 網站中檔案和資料夾的檔案和許可權。 這是客戶的安全性風險,現在已解決。

Dynamics 365 和 Power Platform

針對 Power 平臺和 Dynamics 365 客戶參與應用程式 (Sales, Service),GDAP 支援下列工作。

資源類型 目前支援
系統管理員工作 - Power Platform 系統管理中心中的所有功能表項

範圍 中支援的Microsoft Entra 角色包括下列各項:

  • Power Platform 系統管理員
  • 全域管理員
  • 技術服務人員系統管理員(適用於說明 + 支援)
  • 服務支援管理員 (如需說明 + 支援)

範圍外的屬性:


Dynamics 365 Business Central

針對 Dynamics 365 Business Central,GDAP 支援下列工作。

資源類型 目前支援
系統管理員工作 所有工作*

* 某些工作需要指派給 Dynamics 365 Business Central 環境中系統管理員用戶的許可權。 請參閱可用的檔案。

範圍 中支援的Microsoft Entra 角色包括下列各項:

  • Dynamics 365 管理員
  • 全域管理員
  • 技術支援中心管理員

範圍外的屬性:


Dynamics 生命周期服務

針對 Dynamics 生命週期服務,GDAP 支援下列工作。

資源類型 目前支援
系統管理員工作 所有工作

範圍 中支援的Microsoft Entra 角色包括下列各項:

  • Dynamics 365 管理員
  • 全域管理員

範圍外的屬性:


Intune (端點管理員)

範圍中支援的 Microsoft Entra 角色:

  • Intune 管理員
  • 全域系統管理員
  • 全域讀取者
  • 報告讀取者
  • 安全性讀取者
  • 合規性系統管理員
  • 安全性系統管理員

若要檢查上述角色的存取層級,請參閱 Intune RBAC 檔

Intune 的支援不包含在註冊伺服器以進行 Microsoft Tunnel 時使用 GDAP,或用於設定或安裝 Intune 的任何連接器。 Intune 連接器的範例包括但不限於適用於 Active Directory 的 Intune 連接器、Mobile Threat Defense 連接器,以及 適用於端點的 Microsoft Defender 連接器

已知問題:合作夥伴在 Office 應用程式中存取原則時顯示「無法擷取『OfficeSettingsContainer』的資料」。 使用 guid 回報此問題以Microsoft」。


Azure 入口網站

此圖顯示使用 GDAP 的合作夥伴與客戶之間的關聯性。

Microsoft範圍中的 Entra 角色:

  • 任何Microsoft Entra 角色,例如 目錄讀取者 (最低特殊許可權角色),用來存取 Azure 訂用帳戶作為擁有者

GDAP 角色指引:

  • 合作夥伴和客戶必須有 轉銷商 關係
  • 合作夥伴必須建立安全組 (例如 Azure 管理員) 來管理 Azure ,並將它巢狀於每個客戶存取分割的管理代理程式 底下,作為建議的最佳做法。
  • 當合作夥伴購買客戶的 Azure 方案時,會布建 Azure 訂用帳戶,並將系統管理員代理程式群組指派Azure 訂用帳戶的擁有者
  • 由於 Azure 管理員安全組是系統管理員代理程式群組的成員,因此屬於 Azure 管理員成員的用戶會成為 Azure 訂用帳戶 RBAC 擁有者
  • 若要以客戶擁有者身分存取 Azure 訂用帳戶,必須將目錄讀取者(最低特殊許可權角色)等任何Microsoft Entra 角色指派給 Azure 管理員安全組

替代的 Azure GDAP 指引(不使用系統管理代理程式)

先決條件

  • 合作夥伴和客戶有 轉銷商 關係。
  • 合作夥伴創建安全組來管理 Azure ,並將它嵌套在 HelpDeskAgents 群組底下,依照每位客戶的訪問分區,這是建議的最佳實踐。
  • 合作夥伴購買客戶的 Azure 方案。 Azure 訂用帳戶已布建,合作夥伴將系統管理代理群組 Azure RBAC 指派為 Azure 訂用帳戶的 擁有者,但未針對 Helpdesk Agents進行任何 RBAC 角色指派。

合作夥伴系統管理員步驟:

訂用帳戶上的合作夥伴系統管理員會使用PowerShell執行下列腳本,在 Azure 訂用帳戶上建立 Helpdesk FPO。

  • 線上到合作夥伴租使用者以取得 object ID HelpDeskAgents 群組的 。

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of HelpDeskAgents group
    Get-AzADGroup -DisplayName HelpDeskAgents
    
  • 請確定您的客戶具有:

    • 擁有者使用者存取系統管理員的角色
    • 在訂用帳戶層級建立角色指派的許可權

客戶步驟:

若要完成此程式,您的客戶必須使用PowerShell或 Azure CLI 執行下列步驟。

  1. 如果使用 PowerShell,客戶必須更新 Az.Resources 模組。

    Update-Module Az.Resources
    
  2. 線上到 CSP 訂用帳戶所在的租使用者。

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. 線上到訂用帳戶。

    注意

    只有當使用者對租使用者中的多個訂用帳戶具有角色指派許可權時,才適用這項功能。

    Set-AzContext -SubscriptionID <"CSP Subscription ID">
    
    az account set --subscription <CSP Subscription ID>
    
  4. 建立角色指派。

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
    

Visual Studio

此圖顯示 Visual Studio 管理員群組與客戶透過 GDAP 之間的關聯性。

Microsoft範圍中的 Entra 角色:

  • 任何Microsoft Entra 角色,例如 目錄讀取者 (最低特殊許可權角色),用來存取 Azure 訂用帳戶作為擁有者

合作夥伴的 GDAP 角色指引:

  • 先決條件:
    • 合作夥伴和客戶必須有 轉銷商 關係
    • 合作夥伴必須為客戶購買 Azure 訂 用帳戶
  • 合作夥伴必須建立安全組(例如 Visual Studio 管理員),才能購買和管理 Visual Studio 訂用帳戶,並將它巢狀於每個客戶存取分割的系統管理員代理程式底下,作為建議的最佳做法。
  • 用於購買和管理 Visual Studio 的 GDAP 角色與 Azure GDAP 相同
  • Visual Studio 管理員 安全組必須指派任何Microsoft Entra 角色,例如 目錄讀取者 (最低特殊許可權角色),才能存取 Azure 訂用帳戶作為擁有者
  • 安全組 Visual Studio 管理員的用戶能夠在 Marketplace購買Visual Studio 訂用帳戶(由於管理代理的巢狀成員角色,使得使用者可以存取 Azure 訂用帳戶)
  • 屬於 Visual Studio 管理員安全組的使用者可以變更 Visual Studio 訂用帳戶的數量

顯示可用 Visual Studio 訂用帳戶的螢幕快照。

  • 屬於 Visual Studio 管理員安全組的使用者可以 取消 Visual Studio 訂用帳戶(將數量變更為零)
  • 屬於 Visual Studio 管理員安全組的使用者可以 新增訂閱者 來管理 Visual Studio 訂閱 (例如,流覽客戶目錄,並將 Visual Studio 角色指派新增為訂閱者)

Visual Studio 屬性範圍不足:


DAP AOBO 連結 GDAP 服務管理頁面中遺漏的原因
Microsoft 365 Planner
https://portal.office.com/
已存在的 Microsoft 365 AOBO 鏈接的複本。
搖擺
https://portal.office.com/
已存在的 Microsoft 365 AOBO 鏈接的複本。
Windows 10
https://portal.office.com/
已存在的 Microsoft 365 AOBO 鏈接的複本。

雲端 App 安全性 https://portal.cloudappsecurity.com/
Microsoft Defender 適用於 Cloud Apps 已停用。 此入口網站會合併至 Microsoft Defender XDR,支援 GDAP。
Azure IoT Central
https://apps.azureiotcentral.com/
目前不支援。 GDAP 的範圍不足。
Windows Defender 進階威脅防護
https://securitycenter.windows.com
Windows Defender 進階威脅防護已淘汰。 建議合作夥伴移至支援 GDAP 的 Microsoft Defender 全面偵測回應