GDAP 常見問題

在合作夥伴組織中具有 系統管理員代理程式 角色的人員，可以 建立 GDAP 關聯性要求。

是的。 GDAP 關聯性要求會在90天后到期。

不。 基於安全性考慮，無法與客戶建立永久 GDAP 關聯性。 GDAP 關聯性的最大持續時間為兩年。 您可以將 自動擴充 設定為 Enabled，以將系統管理員關聯性延長六個月，直到終止或自動擴充設定為 Disabled。

不。 GDAP 關聯性不支援透過 Enterprise 合約購買的訂用帳戶。

是的。 GDAP 關聯性可以自動延長六個月，直到終止或自動擴充設定為 [已停用]。

• 如果與您的客戶的 GDAP 關聯性過期，再次要求 GDAP 關聯性。
• 您可以使用 GDAP 關聯性分析 來追蹤 GDAP 關聯性到期日，並準備更新。

若要延長或更新 GDAP 關聯性，合作夥伴或客戶必須將 自動擴充 設定為 已啟用。 若要深入瞭解，請參閱管理 GDAP 自動擴充 和 API。

是的。 如果 GDAP 為使用中，則可以加以擴充。

假設已建立 GDAP 365 天，並將自動擴充設定為 [已啟用]。 在第 365 天，結束日期會有效更新 180 天。

是的。 您可以自動擴充任何使用中的 GDAP。

不。 客戶同意不需要針對現有的使用中 GDAP 將自動擴充設定為 Enabled。

不。 指定安全組的細微權限會繼續 as-is。

不。 您無法自動擴充管理員與全域管理員角色的管理員關聯性。

「即將到期的細微關聯性」 頁面僅適用於具有全域管理員和系統管理員代理程式角色的合作夥伴使用者。 此頁面可協助篩選跨不同時間軸到期的 GDAP，並協助更新一或多個 GDAP 的自動擴充（啟用/停用）。

不。 GDAP 關聯性到期時，不會變更客戶現有的訂用帳戶。

請參閱 針對Microsoft Entra 多重要素驗證問題進行疑難解答， 和 無法在遺失電話或電話號碼變更 之後，使用 Microsoft Entra 多重要素驗證來登入雲端服務。

合作夥伴必須在建立第一個 GDAP 時，要求 特殊許可權驗證系統管理員 Microsoft Entra 角色。

• 此角色可讓合作夥伴重設系統管理員或非系統管理員用戶的密碼和驗證方法。 特殊許可權驗證系統管理員角色是Microsoft Led 工具所設定的角色，並計劃於建立客戶流程期間使用預設 GDAP（計劃於 9 月使用）。
• 合作夥伴可以讓客戶系統管理員嘗試 重設密碼。
• 基於預防措施，合作夥伴必須為其客戶設定 SSPR（自助式密碼重設）。 如需詳細資訊，請參閱 讓使用者重設自己的密碼。

• 在 合作夥伴 組織中，具有 系統管理員代理程式 角色的人員會收到終止通知。
• 在 客戶 組織內，具有 全域系統管理員 角色的人員會收到終止通知。

是的。 合作夥伴可以看到客戶何時在合作夥伴中心活動記錄中移除 GDAP。

不。 GDAP 是一項選擇性功能，適用於想要以更細微且時間限制的方式管理其客戶服務的合作夥伴。 您可以選擇您要建立 GDAP 關聯性的客戶。

答案取決於您想要如何管理您的客戶。

• 如果您想要讓合作夥伴使用者能夠管理所有客戶，您可以將所有合作夥伴使用者放入一個安全組，一個群組可以管理所有客戶。
• 如果您想要讓各種合作夥伴使用者管理各種客戶，請將這些合作夥伴使用者指派給個別安全組，以進行客戶隔離。

是的。 間接轉銷商（以及間接提供者和直接計費合作夥伴）可以在合作夥伴中心建立 GDAP 關係要求。

在 GDAP 設定中，確定已選取在合作夥伴租使用者中建立的安全組與合作夥伴使用者。 也請確定所需的Microsoft Entra 角色已指派給安全組。 請參閱 指派Microsoft Entra 角色。

客戶現在可以將 CSP 從條件式存取原則中排除，讓合作夥伴可以轉換至 GDAP，而不會遭到封鎖。

• 包含使用者 - 此使用者清單通常包含組織以條件式存取原則為目標的所有使用者。
• 建立條件式存取原則時，可以包含下列選項：
• 選取使用者和群組
• 來賓或外部使用者 （預覽）
• 此選項提供數個選項，可用來將條件式存取原則的目標設為特定來賓或外部使用者類型，以及包含這些類型使用者的特定租使用者。 有數種不同類型的來賓或外部使用者可以選取，而且可以進行多個選取：
• 服務提供者使用者，例如雲端解決方案提供者（CSP）。
• 您可以為選取的使用者類型指定一或多個租使用者，也可以指定所有租使用者。
• 外部合作夥伴存取 - 以外部用戶為目標的條件式存取原則可能會干擾服務提供者存取，例如細微的委派系統管理員許可權。 如需詳細資訊，請參閱 細微委派系統管理員許可權簡介 （GDAP）。 針對要以服務提供者租用戶為目標的原則，請使用 來賓或外部使用者 選取選項中可用的 服務提供者使用者 外部用戶類型。
• 排除使用者 - 當組織同時包含和排除使用者或群組時，使用者或群組會從原則中排除，因為排除動作會覆寫原則中的 Include 動作。
• 建立條件式存取原則時，可以使用下列選項來排除：
• 來賓或外部使用者
• 此選項提供數個選項，可用來將條件式存取原則的目標設為特定來賓或外部使用者類型，以及包含這些類型使用者的特定租使用者。 數種不同類型的來賓或外部使用者可以選取，而且可以進行多個選取：
• 服務提供者使用者，例如雲端解決方案提供者（CSP）
• 您可以為選取的使用者類型指定一或多個租使用者，也可以指定所有租使用者。 如需詳細資訊，請參閱：
• 圖形 API 體驗：具有新外部使用者類型資訊的 Beta API
• 條件式存取原則
• 條件式存取外部使用者

是的。 不論您擁有的支援方案為何，合作夥伴用戶能夠為其客戶建立支援票證的最低特殊許可權角色是服務支持系統管理員。

不。 合作夥伴目前無法在 核准擱置中 狀態終止 GDAP。 如果客戶不採取任何動作，則會在90天內到期。

只有在 GDAP 關聯性終止或到期之後 365 天（清除）之後，您才能重複使用相同的名稱來建立新的 GDAP 關聯性。

是的。 合作夥伴可以跨區域管理其客戶，而不需要為每個客戶區域建立新的合作夥伴租使用者。 它僅適用於 GDAP 所提供的客戶管理角色（管理員關聯性）。 交易角色和功能仍受限於您 授權的 Territory。

不。 服務提供者不能是多租用戶組織的一部分，它們互斥。

1. 請確定已正確設定 GDAP，包括如何將安全組 的權限授與。
2. 請確定您的細微 安全組許可權 正確。
3. 如需協助，請參閱 安全性 Copilot 常見問題。

如需 API 和 GDAP 的詳細資訊，請參閱 合作夥伴中心開發人員檔案。

是的。 我們建議合作夥伴使用 beta GDAP API，並在其可供使用時切換至 API v.1。 雖然有警告：「不支援在生產應用程式中使用這些 API」，但一般指導方針適用於 Graph 下的任何 Beta API，不適用於 Beta GDAP Graph API。

是的。 您可以使用 API 建立 GDAP 關聯性，讓合作夥伴能夠調整此程式。 但合作夥伴中心無法使用建立多個 GDAP 關聯性。 如需 API 和 GDAP 的相關信息，請參閱 合作夥伴中心開發人員檔案。

API 一次適用於一個安全組，但您可以將多個安全組對應至合作夥伴中心的多個角色。

針對每個資源進行個別呼叫。 提出單一 POST 要求時，只傳遞一個資源及其對應的範圍。 例如，若要要求 https://graph.windows.net/Directory.AccessAsUser.All 和 https://graph.microsoft.com/Organization.Read.All的許可權，請針對每個要求提出兩個不同的要求。

使用提供的連結來搜尋資源名稱：確認登入報告中的第一方Microsoft應用程式 - Active Directory。 例如，若要尋找 graph.microsoft.com 的資源標識碼 000000003-0000-0000-000000000000：

當查詢篩選中使用不正確的標識符時，通常會發生此錯誤。 若要解決此問題，請確定您使用 enterpriseApplicationId 屬性搭配正確的 資源標識符，而不是資源名稱。

• 不正確的要求 針對 enterpriseApplicationId，請勿使用資源名稱，例如 graph.microsoft.com。
• 請改用 enterpriseApplicationId的正確 要求，請使用資源標識符，例如 000000003-0000-0000-c000-0000000000000。

例如，稍早在 graph.microsoft.com 資源中只同意了「配置檔」範圍。 現在我們也需要新增配置檔和user.read。 若要將新的範圍新增至先前同意的應用程式：

1. 使用 DELETE 方法來撤銷客戶租使用者的現有應用程式同意。
2. 使用 POST 方法來建立具有額外範圍的新應用程式同意。

使用逗號後面接著空格，串連必要的範圍。 例如，“scope”： “profile， User.Read”

1. 確認要求本文中的 『displayName』 和 『applicationId』 屬性正確無誤，並符合您嘗試同意客戶租用戶的應用程式。
2. 請確定您使用相同的應用程式來產生您嘗試同意客戶租使用者的存取令牌。 例如：如果應用程式標識碼是 「12341234-1234-1234-12341234」，則存取令牌中的 「appId」 宣告也應該是 「12341234-1234-1234-12341234」。。
3. 確認符合下列其中一個條件：

• 您有作用中的委派系統管理員許可權 （DAP），而且使用者也是合作夥伴租使用者中管理員代理程式安全組的成員。
• 您與客戶租使用者具有至少下列三個 GDAP 角色之一的作用中細微委派系統管理員許可權 （GDAP） 關聯性，且您已完成存取指派：
  • 全域管理員、應用程式管理員或雲端應用程式管理員角色。
  • 合作夥伴使用者是存取指派中指定的安全組成員。

• 若要使用個別客戶存取分割來管理 Azure（這是建議的最佳做法），請建立安全組（例如 Azure 管理員），並將它巢狀 在系統管理員代理程式底下。
• 若要以客戶的擁有者身分存取 Azure 訂用帳戶，您可以將任何 Microsoft Entra 內建 角色指派給 安全組 Azure 管理員、最低許可權角色。 如需設定 Azure GDAP 的步驟，請參閱 細微委派系統管理員許可權支援的工作負載。

是的。 如需如何在 Microsoft Entra 中指派最低特殊許可權角色來限制使用者的系統管理員許可權的相關信息，請參閱 Microsoft Entra中的工作 最低許可權角色。

建議您指派 服務支持系統管理員 角色。 若要深入瞭解，請參閱在 entra Microsoft中依工作 最低許可權角色。

• 為了減少合作夥伴中心 API 與 UI 中可用Microsoft Entra 角色之間的差距，2024 年 7 月合作夥伴中心 UI 中提供九個角色的清單。
• 在 [共同作業] 底下：
  • Microsoft Edge 系統管理員
  • 虛擬造訪管理員
  • Viva 目標管理員
  • Viva Pulse Administrator
  • Yammer 系統管理員
• 在 [身分識別] 底下：
  • 許可權管理系統管理員
  • 生命週期工作流程管理員
• 在 [其他] 下：
  • 組織商標管理員
  • 組織訊息核准者

不。 合作夥伴使用者能夠為其客戶建立支援票證的最低特殊許可權角色是 服務支援系統管理員。 因此，若要能夠為客戶建立支援票證，合作夥伴用戶必須位於安全組中，並將該角色指派給該客戶。

如需所有角色的相關信息，請參閱 Microsoft Entra 內建角色。 如需工作負載的相關信息，請參閱 細微委派系統管理員許可權 （GDAP）支援的工作負載。

許多角色都用於 Microsoft 365 系統管理中心。 如需詳細資訊，請參閱 常用Microsoft 365 系統管理中心角色。

是的。 建立安全組、指派核准的角色，然後將合作夥伴租用戶使用者指派給該安全組。

全域讀取器、目錄讀取器，以及 合作夥伴第 2 層支援 角色，提供客戶訂用帳戶的唯讀存取權。

建議您從 系統管理員代理程式中移除合作夥伴代理程式 角色，並將它們新增至 GDAP 安全組。 如此一來，他們就可以管理服務（例如服務管理和記錄服務要求），但無法購買和管理訂用帳戶（變更數量、取消、排程變更等等）。

指派給關聯性的安全組會失去該客戶的存取權。 如果客戶終止 DAP 關係，就會發生同樣的情況。

是的。 拿掉與客戶的 GDAP 關聯性並不會終止合作夥伴與客戶的轉銷商關係。 合作夥伴仍然可以為客戶購買產品，並管理 Azure 預算和其他相關活動。

不。 GDAP 關聯性中的所有角色都有相同的到期時間：建立關聯性時所選擇的持續時間。

不。 您不需要 GDAP 來履行新客戶和現有客戶的訂單。 您可以繼續使用相同的程式，在合作夥伴中心履行客戶訂單。

GDAP 關聯性是個別客戶。 每個客戶可以有多個關聯性。 每個 GDAP 關聯性都可以有不同的角色，並在 CSP 租使用者內使用不同的Microsoft Entra 群組。 在合作夥伴中心，角色指派可在客戶對 GDAP 關聯性層級運作。 如果您想要多客戶角色指派，您可以使用 API 自動執行。

GDAP 來賓系統管理員無法在 My Security-Info管理自己的安全性資訊。 相反地，他們需要租用戶系統管理員的協助，讓他們成為任何安全性資訊註冊、更新或刪除的來賓。 組織可以設定跨租使用者存取原則，以信任受信任 CSP 租使用者的 MFA。 否則，GDAP 來賓系統管理員僅限於租用戶系統管理員註冊的方法（也就是 SMS 或 Voice）。 若要深入瞭解，請參閱跨租使用者存取原則。

符合零信任 指導原則：使用最低許可權存取：

• 我們建議依工作 和工作負載工作使用 最低許可權角色，GDAP 支援的細微委派系統管理員許可權 （GDAP） 所支援的工作負載。
• 當需要解決列出的已知問題時，請與客戶合作，要求有時間限制的全域管理員角色。
• 我們 不建議將全域管理員角色取代為所有可能Microsoft Entra 角色。

是的。 在轉換期間，DAP 和 GDAP 會共存，GDAP 許可權優先於 Microsoft 365、Dynamics 365和 Azure 工作負載的 DAP 許可權。

在轉換期間，DAP 和 GDAP 並存。 不過，最終 GDAP 會取代 DAP，以確保我們為合作夥伴和客戶提供更安全的解決方案。 我們建議您儘快將客戶轉換為 GDAP，以確保持續性。

DAP 和 GDAP 並存時，現有的 DAP 關聯性流程不會有任何變更。

建立新的客戶租使用者時，目前會授與 DAP。 在 2023 年 9 月 25 日，Microsoft不再為新客戶建立授與 DAP，而是將預設 GDAP 授與特定角色。 預設角色會因合作夥伴類型而異，如下表所示：

合作夥伴可以在合作夥伴租使用者中的 GDAP 安全組上實作 Privileged Identity Management （PIM），以提升少數高許可權使用者的存取權，只要及時（JIT）即可授與他們高許可權角色，例如密碼系統管理員自動移除存取權。 在 2023 年 1 月之前，每個 特殊許可權存取群組（群組 功能 PIM 的前名稱）都必須位於可指派角色 群組 。 移除此限制現在 。 鑒於這項變更，您可以在 PIM中啟用 每個 租使用者 超過 500 個群組，但最多只能指派 500 個群組。 總結：

• 合作夥伴可以在 PIM 中使用可指派角色 和非角色指派 群組。 此選項實際上 移除 PIM 中 500 個群組/tenant 的限制。
• 透過最新的更新，有兩種方式可將 群組 上線至 PIM（UX-wise）：從 PIM 功能表，或從 [群組] 功能表。 無論您選擇何種方式，凈結果都相同。
  • 透過 PIM 功能表將可指派/不可角色指派的群組上線的能力已經可供使用。
  • 可透過 [群組] 功能表將可指派/不可角色指派的群組上線的能力已經可供使用。
• 如需詳細資訊，請參閱群組 Privileged Identity Management （PIM） -Microsoft Entra。

GDAP 已正式推出，支援所有Microsoft商業雲端服務（Microsoft 365、Dynamics 365、Microsoft Azure和 Microsoft Power Platform 工作負載）。 如需 DAP 和 GDAP 如何共存以及如何優先使用 GDAP 的詳細資訊，請搜尋此常見問題中的 如何優先於 DAP 許可權，而 DAP 和 GDAP 並存？ 問題。

您可以使用 API 來執行此動作。

不。 當您轉換至 GDAP 時，您的 PEC 收益不會受到影響。 轉換對 PAL 沒有任何變更，可確保您繼續賺取 PEC。

• 如果合作夥伴的客戶只有 DAP 且 DAP 已移除，則 PEC 不會遺失。
• 如果合作夥伴的客戶有 DAP，且他們同時移至 GDAP Microsoft 365 和 Azure，且 DAP 已移除，則 PEC 不會遺失。
• 如果合作夥伴的客戶有 DAP，且他們移至 GDAP Microsoft 365，但保留 Azure as-is（他們不會移至 GDAP），且 DAP 已移除，PEC 不會遺失，但 Azure 訂用帳戶的存取權會遺失。
• 如果移除 RBAC 角色，PEC 會遺失，但移除 GDAP 並不會移除 RBAC。

當使用者同時屬於 GDAP 安全組和 DAP 系統管理員代理程式群組時，和 客戶具有 DAP 和 GDAP 關聯性，GDAP 存取優先於合作夥伴、客戶和工作負載層級。

例如，如果合作夥伴使用者登入工作負載，且全域管理員角色有 DAP，而全域讀取者角色的 GDAP 則合作夥伴使用者只會取得全域讀取者許可權。

如果只有三個具有 GDAP 角色指派給 GDAP 安全組的客戶（而非系統管理員代理程式）：

下表描述當使用者登入不同客戶租用戶時會發生什麼事。

DAP 和 GDAP 不符合解決方案合作夥伴指定資格的關聯類型。 aDisabling 或從 DAP 轉換至 GDAP 並不會影響您達成解決方案合作夥伴指定。 此外，舊版專長認證權益或解決方案合作夥伴權益的續約不會受到影響。 若要檢視符合解決方案合作夥伴指定資格的其他合作夥伴關聯類型，請參閱 合作夥伴中心解決方案合作夥伴指定。

關於 Azure Lighthouse 與 DAP/GDAP 之間的關聯性，請將它們視為將平行路徑分離至 Azure 資源。 斷斷一個不應該影響另一個。

• 在 Azure Lighthouse 案例中，來自合作夥伴租用戶的用戶永遠不會登入客戶租使用者，而且客戶租用戶中沒有任何Microsoft Entra 許可權。 其 Azure RBAC 角色指派也會保留在合作夥伴租使用者中。
• 在 GDAP 案例中，來自合作夥伴租用戶的使用者登入客戶租使用者。 Azure RBAC 角色指派給系統管理員代理程式群組也位於客戶租使用者中。 當 Azure Lighthouse 路徑不受影響時，您可以封鎖 GDAP 路徑（使用者無法再登入）。 相反地，您可以斷斷 Lighthouse 關聯性（投影），而不會影響 GDAP。 如需詳細資訊，請參閱 Azure Lighthouse 檔。

在雲端解決方案提供者 （CSP） 計劃中註冊的受控服務提供者（MSP），間接轉銷商 或 直接帳單 合作夥伴，現在可以使用 Microsoft 365 Lighthouse 為任何客戶租用戶設定 GDAP。 由於合作夥伴已經管理其轉換至 GDAP 的方式很多，此精靈可讓 Lighthouse 合作夥伴採用其商務需求特定的角色建議。 它也允許他們採取安全措施，例如 Just-In-Time （JIT） 存取。 MSP 也可以透過 Lighthouse 建立 GDAP 範本，以輕鬆儲存及重新套用啟用最低許可權客戶存取的設定。 如需詳細資訊，以及檢視示範，請參閱 Lighthouse GDAP 安裝精靈。 MSP 可以為 Lighthouse 中的任何客戶租用戶設定 GDAP。 若要在 Lighthouse 中存取客戶的工作負載數據，則需要 GDAP 或 DAP 關聯性。 如果 GDAP 和 DAP 並存於客戶租使用者中，GDAP 許可權優先於已啟用 GDAP 的安全組中的 MSP 技術人員。 如需Microsoft 365 Lighthouse 需求的詳細資訊，請參閱 Microsoft 365 Lighthouse的需求。

此案例要遵循的正確順序如下：

1. 為 Microsoft 365 和 Azure建立 GDAP 關聯性。
2. 將Microsoft Entra 角色指派給安全組，Microsoft 365 和 Azure。
3. 將 GDAP 設定為優先於 DAP。
4. 拿掉 DAP。

下列順序可能會導致 失去對 Azure 訂用帳戶的存取權：

1. 拿掉 DAP。 您不一定會移除 DAP 來失去 Azure 訂用帳戶的存取權。 但目前您無法瀏覽客戶的目錄來執行任何 Azure RBAC 角色指派（例如將新客戶使用者指派為訂用帳戶 RBAC 參與者）。
2. 為 Microsoft 365 和 Azure 建立 GDAP 關聯性。 設定 GDAP 之後，您可能會在此步驟中失去 Azure 訂用帳戶的存取權。
3. 將Microsoft Entra 角色指派給安全組，Microsoft 365 和 Azure

完成 Azure GDAP 設定之後，您會重新取得 Azure 訂用帳戶的存取權。

如果您的 Azure 訂用帳戶 沒有以擁有者身分管理的 DAP，當您將 Microsoft 365 的 GDAP 新增至該客戶時，您可能會失去 Azure 訂用帳戶的存取權。 若要避免遺失存取權，請同時將客戶移至 Azure GDAP ， 將客戶移至 Microsoft 365 GDAP。

不。 一旦接受關聯性，就無法重複使用。

如果您有與客戶的現有轉銷商關係，您仍然需要建立 GDAP 關聯性，才能管理其 Azure 訂用帳戶。

1. 在 Microsoft Entra 中建立安全組（例如 Azure 管理員）。
2. 建立與 目錄讀取器 角色的 GDAP 關聯性。
3. 讓安全組成為 系統管理員代理程式 群組的成員。 執行這些步驟之後，您可以透過 AOBO 來管理客戶的 Azure 訂用帳戶。 您無法透過 CLI/Powershell 來管理訂用帳戶。

是的。 即使沒有具有現有轉銷商關係的 DAP 或 GDAP，您也可以建立 Azure 方案。 但若要管理該訂用帳戶，您需要 DAP 或 GDAP。

當合作夥伴從 DAP 轉換到 GDAP 時，他們必須確保下列專案已就緒，才能查看公司詳細數據：

• 作用中的 GDAP 關聯性。
• 下列任一Microsoft Entra 角色都會指派：全域管理員、目錄讀取者、全域讀取者。 請參閱 將細微許可權授與安全組。

當 CSP 使用其 CSP 認證登入客戶的 Azure 入口網站（portal.azure.come），且 GDAP 關聯性存在時，CSP 會注意到其使用者名稱為「user_」，後面接著一些數位。 它不會在 DAP 中顯示其實際用戶名稱。 這是根據設計。

合作夥伴必須明確 將細微許可權授與預設 GDAP 中 安全組。
自 2023 年 10 月 10 日起，轉銷商關係已不再提供 DAP。 更新的要求轉銷商關係連結可在合作夥伴中心 UI 中使用，而 API 合約 “/v1/customers/relationship requests” 属性 URL 會傳回要傳送給客戶租使用者的系統管理員的邀請 URL。

是，合作夥伴必須明確 將細微許可權授與預設 GDAP 中管理客戶的安全組。

只有沒有 DAP 或 GDAP 的經銷商關係合作夥伴才能建立客戶、放置和管理訂單、下載軟體密鑰、管理 Azure RI。 他們無法檢視客戶公司詳細數據、無法檢視使用者或指派授權給使用者、無法代表客戶記錄票證，且無法存取及管理產品特定的系統管理中心（例如 Teams 系統管理中心）。

若要讓合作夥伴或 CPV 存取和管理客戶租使用者，其應用程式的服務主體必須在客戶租使用者中同意。 當 DAP 作用中時，他們必須將應用程式的服務主體新增至合作夥伴租使用者中的管理員代理程式 SG。 透過 GDAP，合作夥伴必須確保其應用程式在客戶租使用者中已同意。 如果應用程式使用委派的許可權（應用程式 + 使用者）且作用中的 GDAP 存在於三個角色中的任何一個（雲端應用程式管理員、應用程式管理員、全域管理員）同意 API。 如果應用程式只使用應用程式許可權，則必須手動同意合作夥伴或客戶擁有三個角色中的任何一個角色（雲端應用程式管理員、應用程式管理員、全域管理員），全租使用者的系統管理員同意 URL。

如果您看到下列錯誤：

「目前我們無法驗證您的「建立新的 GDAP 關聯性」要求。 建議此服務不允許匿名連線。 如果您認為您收到錯誤訊息，請再次嘗試您的要求。 選取以瞭解您可以採取的動作。 如果問題持續發生，請連絡支持人員及參考訊息碼 715-123220 和交易標識碼：guid。」

變更連線到 Microsoft 的方式，讓身分識別驗證服務正常執行。 這有助於確保您的帳戶未遭入侵，且符合Microsoft必須遵守的法規。

您可以執行的動作：

• 清除瀏覽器快取。
• 關閉瀏覽器上的追蹤防護，或將網站新增至您的例外狀況/安全清單。
• 關閉您可能使用的任何虛擬專用網 （VPN） 程式或服務。
• 直接從本機裝置連線，而不是透過虛擬機（VM）。

如果嘗試上述步驟之後，您仍無法連線，建議您洽詢 IT 技術支援中心來檢查您的設定，以查看它們是否有助於找出造成問題的原因。 有時候，問題在於貴公司的網路設定中。 您的IT系統管理員必須藉由安全列出網站或進行其他網路設定調整，來解決問題。

• 受限制（直接帳單）：無法建立新的 GDAP（管理員關聯性）。 可以更新現有的 GDAP 及其角色指派。
• 已暫停 （直接帳單/間接提供者/間接轉銷商）：無法建立新的 GDAP。 無法更新現有的 GDAP 及其角色指派。
• 受限制（直接帳單）+ 主動（間接轉銷商）：對於受限制的直接帳單：無法建立新的 GDAP （管理員關係） 。 可以更新現有的 GDAP 及其角色指派。 針對作用中間接轉銷商：可以建立新的 GDAP，可以更新現有的 GDAP 及其角色指派。 無法建立離線的新 GDAP 時，無法更新現有的 GDAP 及其角色指派。

是的。 GDAP 的目前版本支援所有產品：Microsoft 365、Dynamics 365、Microsoft Power Platform，以及 Microsoft Azure。