Sdílet prostřednictvím

Nastavení GDAP pro vaše zákazníky v Microsoft 365 Lighthouse

  • Článek

Teď můžete nastavit všechny zákazníky s podrobnými delegovanými oprávněními správce (GDAP) prostřednictvím Microsoft 365 Lighthouse bez ohledu na jejich licence nebo velikost. Když v organizaci nastavíte GDAP pro tenanty zákazníků, které spravujete, mají uživatelé ve vaší organizaci oprávnění potřebná k tomu, aby mohli dělat svou práci a současně udržovat tenanty zákazníků v bezpečí. Lighthouse vám umožňuje rychle převést organizaci na GDAP a začít na cestě k nejnižším oprávněním pro delegovaný přístup k zákazníkům.

Delegovaný přístup prostřednictvím delegovaných oprávnění správce (DAP) nebo GDAP je předpokladem pro úplné připojení tenantů zákazníků k Lighthouse. Vytvoření vztahů GDAP se zákazníky proto může být prvním krokem při správě tenantů zákazníků ve službě Lighthouse.

Během procesu nastavení GDAP vytvoříte šablony GDAP tak, že nakonfigurujete, jaké role podpory a skupiny zabezpečení jsou pro vaši organizaci potřeba. Potom přiřadíte tenanty zákazníků k šablonám GDAP. Role GDAP jsou vymezeny na předdefinované role Microsoft Entra a při nastavování GDAP se zobrazí doporučení pro sadu rolí potřebných pro různé funkce úloh.

Podívejte se na: Nastavení GDAP

Podívejte se na další videa Microsoft 365 Lighthouse na našem kanálu YouTube.

Než začnete

  • V partnerském tenantovi musíte mít konkrétní oprávnění:

    • Pokud chcete vytvořit skupiny zabezpečení GDAP, přidat uživatele a vytvořit šablony GDAP, musíte být globálním správcem v partnerském tenantovi. Tuto roli je možné přiřadit v Microsoft Entra ID.

    • Pokud chcete vytvořit a dokončit relace GDAP, musíte být členem skupiny Agenti pro správu v Partnerském centru.

  • Zákazníky, které spravujete v Lighthouse, je potřeba nastavit v Partnerském centru se vztahem prodejce nebo existujícím delegovaným vztahem (DAP nebo GDAP).

Poznámka

Šablony lighthouse GDAP používají skupiny zabezpečení s možností přiřazení rolí. K přidání uživatelů do těchto skupin se vyžaduje licence Microsoft Entra ID P1. K povolení rolí za běhu (JIT) se vyžaduje licence Microsoft Entra IDE Governance nebo Microsoft Entra ID P2.

První nastavení GDAP

Při prvním nastavení GDAP je nutné dokončit následující části v tomto pořadí. Po dokončení se můžete vrátit a upravit libovolný oddíl podle potřeby.

Pokud během instalace GDAP narazíte na nějaké problémy, přečtěte si pokyny v tématu Řešení chybových zpráv a problémů v Microsoft 365 Lighthouse: Nastavení a správa GDAP .

Jak začít:

  1. V levém navigačním podokně v Lighthouse vyberte Domů.

  2. Na kartě Set up GDAP (Nastavit GDAP ) vyberte Set up GDAP (Nastavit GDAP).

  3. V tomto pořadí proveďte následující části.

    Krok 1: Role a oprávnění

    Krok 2: Šablony GDAP

    Krok 3: Skupiny zabezpečení

    Krok 4: Přiřazení tenanta

    Krok 5: Kontrola a dokončení

Krok 1: Role a oprávnění

Zvolte požadované role Microsoft Entra na základě pracovních funkcí vašich zaměstnanců.

  1. Na stránce Role a oprávnění vyberte požadované role Microsoft Entra na základě pracovních funkcí vašich zaměstnanců. Udělejte jedno z následujícího:

    • Přijetí doporučených rolí
    • Úprava výběrů rolí Microsoft Entra

    Lighthouse ve výchozím nastavení zahrnuje pět rolí podpory: account manager, servicedesk agent, specialista, inženýr eskalace a agent JIT. Role podpory můžete přejmenovat tak, aby odpovídaly preferencím vaší organizace, a to výběrem možnosti Upravit role podpory. Některé role Microsoft Entra se nedají přidat k různým rolím podpory – například role Microsoft Entra v roli podpory agenta JIT se nedají přidat do žádné jiné role podpory.

    Pokud pro nastavení GDAP nejsou potřeba všechny role podpory, můžete jednu nebo více šablon GDAP vyloučit v dalším kroku.

  2. Vyberte Další.

  3. Výběrem možnosti Uložit a zavřít uložte nastavení a ukončete instalaci GDAP.

Krok 2: Šablony GDAP

Šablona GDAP je kolekce:

  • Role podpory
  • Skupiny zabezpečení
  • Uživatelé v každé skupině zabezpečení

Vytvoření šablony GDAP:

  1. Na stránce Šablony GDAP vyberte Vytvořit šablonu.

  2. V podokně šablony zadejte název a popis šablony do příslušných polí.

  3. V seznamu vyberte jednu nebo více rolí podpory.

  4. Vyberte Uložit.

  5. Vyberte Další.

  6. Výběrem možnosti Uložit a zavřít uložte nastavení a ukončete instalaci GDAP.

Krok 3: Skupiny zabezpečení

Pro každou šablonu potřebujete alespoň jednu skupinu zabezpečení pro každou roli podpory. U první šablony vytvoříte novou skupinu zabezpečení, ale pro další šablony můžete v případě potřeby znovu použít skupiny.

  1. Na stránce Skupiny zabezpečení vyberte Vytvořit skupinu zabezpečení.

  2. V podokně skupiny zabezpečení zadejte název a popis.

  3. Vyberte Přidat uživatele.

  4. V seznamu Přidat uživatele vyberte uživatele, které chcete zahrnout do této skupiny zabezpečení.

  5. Vyberte Uložit.

  6. Znovu vyberte Uložit .

  7. Vyberte Další.

  8. Výběrem možnosti Uložit a zavřít uložte nastavení a ukončete instalaci GDAP.

Uživatelé skupiny zabezpečení agenta JIT mohou požádat o přístup k vysoce privilegovaným rolím GDAP. Automaticky se k nim neudělí přístup. V rámci nastavení GDAP vyberte ve svém tenantovi skupinu zabezpečení schvalovatele JIT, která bude schvalovat žádosti o přístup od agentů JIT.

Skupina zabezpečení schvalovatele JIT musí být přiřaditelná rolím. Pokud se v instalačním programu GDAP nezobrazuje skupina zabezpečení, ověřte, že je možné přiřadit roli skupiny zabezpečení. Další informace o správě přiřazení rolí najdete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí.

Po dokončení instalace GDAP se vytvoří zásady přístupu JIT, aby mohli agenti JIT požádat o přístup. Můžete zkontrolovat zásady vytvořené na portálu zásad správného řízení Id Microsoft Entra a agenti JIT můžou požádat o přístup ke svým rolím z portálu Můj přístup. Další informace o tom, jak můžou agenti JIT požádat o přístup, najdete v tématu Správa přístupu k prostředkům. Další informace o tom, jak můžou schvalovatelé schvalovat žádosti, najdete v tématu Schválení nebo zamítnutí žádosti.

Krok 4: Přiřazení tenanta

Přiřaďte ke každé šabloně skupiny zákazníků. Každý zákazník může být přiřazen pouze k jedné šabloně. Po výběru se tento tenant zákazníka nezobrazí jako možnost v dalších šablonách. Pokud znovu spustíte instalaci GDAP, uloží se přiřazení tenantů podle šablony GDAP.

  • Pokud chcete do šablony GDAP přidat nové tenanty, spusťte znovu instalaci GDAP. Uložte si uložená přiřazení tenantů a vyberte nové tenanty, které chcete přiřadit k šabloně GDAP. Nové relace GDAP se vytvoří jenom pro nově přiřazené tenanty.

  • Pokud chcete odebrat tenanty ze šablony GDAP, spusťte znovu instalační program GDAP. Odeberte přiřazení tenanta. Odebrání přiřazení tenanta neodebere relaci GDAP vytvořenou z předchozího přiřazení, ale umožní vám to v případě potřeby znovu přiřadit tenanta zákazníka k jiné šabloně GDAP.

Než vyberete Další, ujistěte se, že jsou vybraní všichni tenanti, kteří chcete přiřadit k šabloně GDAP. Seznam tenantů můžete filtrovat pomocí vyhledávacího pole v pravém horním rohu.

  1. Na stránce Přiřazení tenantů vyberte tenanty, které chcete přiřadit k šabloně GDAP, kterou jste vytvořili.

  2. Výběrem možnosti Další přejděte do další části nebo výběrem možnosti Uložit a zavřít uložte nastavení a ukončete nastavení GDAP.

Krok 5: Kontrola a dokončení

  1. Na stránce Zkontrolovat nastavení zkontrolujte nastavení, která jste vytvořili, a ověřte, že jsou správná.

  2. Vyberte Dokončit.

Nastavení, která jste nakonfigurovali, může trvat minutu nebo dvě. Pokud potřebujete data aktualizovat, postupujte podle pokynů. Instalace bude neúplná, pokud ukončíte instalaci GDAP bez výběru možnosti Dokončit.

Poznámka

U zákazníků s existujícím vztahem DAP se tato nastavení použijí automaticky. Zákazníci se stavem Aktivní na poslední stránce instalace GDAP jsou přiřazeni k rolím a skupinám zabezpečení definovaným v šabloně GDAP.

Poznámka

Pro zákazníky bez existujícího vztahu DAP se na poslední stránce nastavení GDAP vygeneruje odkaz na žádost o vztah správce. Odtud můžete odkaz odeslat globálnímu správci zákazníka, aby mohl schválit vztah správce. Po schválení relace se použije nastavení šablony GDAP. Po schválení relace může trvat až hodinu, než se změny ve službě Lighthouse zobrazí.

Po dokončení instalace GDAP můžete přejít na různé kroky pro aktualizaci nebo změnu rolí, skupin zabezpečení nebo šablon. Relace GDAP jsou teď viditelné v Partnerském centru a skupiny zabezpečení jsou teď viditelné v Microsoft Entra ID.

Související obsah

Přehled oprávnění (článek)
Řešení chybových zpráv a problémů (článek)
Konfigurace zabezpečení portálu (článek)
Úvod k podrobným delegovaným oprávněním správce (GDAP) (článek)
Předdefinované role Microsoft Entra (článek)
Informace o skupinách a přístupových právech v Microsoft Entra ID (článek)
Co je správa nároků Microsoft Entra? (článek)