Share via

Carichi di lavoro supportati da privilegi di amministratore con delega granulare (GDAP)

  • Articolo

Ruoli appropriati: tutti gli utenti interessati al Centro per i partner

Questo articolo elenca le attività per i carichi di lavoro supportati da privilegi di amministratore delegati granulari (GDAP).

Sono supportati i carichi di lavoro seguenti:

Microsoft Entra ID

Tutte le attività di Microsoft Entra sono supportate, ad eccezione delle funzionalità seguenti:

Area Funzionalità Problema
Gestione dei gruppi Creazione di un gruppo di Microsoft 365, Amministrazione istration delle regole di appartenenza dinamiche Non supportato
Dispositivi Amministrazione istration delle impostazioni per Enterprise State Roaming
Applicazioni Consenso a un'applicazione aziendale in linea con l'accesso, Amministrazione istration dell'applicazione aziendale 'Impostazioni utente'
Identità esterne Amministrazione istration delle funzionalità di identità esterne
Monitoraggio Log Analytics, impostazioni di diagnostica, cartelle di lavoro e scheda "Monitoraggio" nella pagina di panoramica di Microsoft Entra
Pagina di panoramica Feed personale: ruoli per l'utente connesso Può visualizzare informazioni errate sul ruolo; non influisce sulle autorizzazioni effettive
Impostazioni utente Pagina di gestione "Funzionalità utente" Non accessibile a determinati ruoli

Problemi noti:

  • I partner a cui viene concesso il ruolo Entra Ruolo con autorizzazioni di lettura per la sicurezza o il lettore globale tramite GDAP riscontrano un errore "Nessun accesso" quando si tenta di accedere ai ruoli entra e agli amministratori in un tenant del cliente con PIM abilitato. Funziona con il ruolo global Amministrazione istrator.

Interfaccia di amministrazione di Exchange

Per l'interfaccia di amministrazione di Exchange, le attività seguenti sono supportate da GDAP.

Tipo di risorsa Sottotipo risorsa Attualmente supportato Problema
Gestione destinatari Cassette postali Crea cassetta postale condivisa, Aggiorna cassetta postale, Converti in cassetta postale condivisa/utente, Elimina cassetta postale condivisa, Gestisci flusso di posta Impostazioni, Gestisci criteri cassetta postale, Gestisci delega cassetta postale, Gestisci indirizzi di posta elettronica, Gestisci risposte automatiche, Gestisci altre azioni, Modifica informazioni contatto, Gestione gruppi Aprire la cassetta postale di un altro utente
Risorse Creare/aggiungere una risorsa [Attrezzature/Sala], Eliminare una risorsa, Gestire l'impostazione Nascondi dall'elenco indirizzi globale, Gestire le impostazioni dei delegati di prenotazione, Gestire le impostazioni dei delegati delle risorse
Contatti Creare/aggiungere un contatto [Contatto di posta elettronica/Utente/Posta], Eliminare un contatto, Modificare l'organizzazione Impostazioni
Flusso di posta Traccia messaggio Avviare una traccia dei messaggi, controllare le query predefinite/personalizzate/autosaved/scaricabili, regole Avviso, criteri di avviso
Domini remoti Aggiungere un dominio remoto, eliminare un dominio remoto, modificare la segnalazione dei messaggi, i tipi di risposta
Domini accettati Gestire i domini accettati
Connettori Aggiungere un Connessione or, gestire le restrizioni, l'identità di posta elettronica inviata, eliminare Connessione or
Ruoli Ruoli di amministratore Aggiungi gruppo di ruoli, Elimina gruppi di ruoli che non sono gruppi di ruoli predefiniti, Modifica gruppi di ruoli che non sono gruppi di ruoli predefiniti, Copia gruppo di ruoli
Migrazione Migrazione Aggiungere Batch di migrazione, provare la migrazione di Google Workspace, approvare il batch di migrazione, visualizzare i dettagli del batch di migrazione, eliminare batch di migrazione
collegamento interfaccia di amministrazione di Microsoft 365 Collegamento per passare al Centro Amministrazione Microsoft 365
Varie Widget Commenti e suggerimenti, Supporto widget centrale
Dashboard Report

I ruoli controllo degli accessi in base al ruolo supportati includono quanto segue:

  • Amministratore di Exchange
  • Amministratore globale
  • Amministratore supporto tecnico
  • Lettore globale
  • Amministratore della sicurezza
  • Amministratore destinatari di Exchange

Interfaccia di amministrazione di Microsoft 365

Importante

Alcune funzionalità principali del interfaccia di amministrazione di Microsoft 365 possono essere influenzate dagli eventi imprevisti del servizio e dal lavoro di sviluppo in corso. È possibile visualizzare i problemi di interfaccia di amministrazione di Microsoft 365 attivi nel portale di Microsoft Amministrazione.

Siamo lieti di annunciare il rilascio del supporto interfaccia di amministrazione di Microsoft 365 per GDAP. Con questa versione di anteprima, si avrà la possibilità di accedere all'interfaccia di amministrazione con tutti i ruoli di Microsoft Entra supportati dai clienti aziendali, ad eccezione dei lettori di directory.

Questa versione include funzionalità limitate e consente di usare le aree seguenti della interfaccia di amministrazione di Microsoft 365:

  • Utenti (incluso l'assegnazione di licenze)
  • Fatturazione dei>prodotti
  • Integrità dei servizi di integrità>
  • Supporto del ticket di supporto per la creazione centrale>

Problemi noti:

  • Impossibile esportare i report del prodotto sull'utilizzo del sito in interfaccia di amministrazione di Microsoft 365.

Microsoft Purview

Per Microsoft Purview, le attività seguenti sono supportate da GDAP.

Soluzione Attualmente supportato Problema
Controllo Soluzioni di controllo di Microsoft 365
- Configurare il controllo di base/avanzato
- Log di controllo della ricerca
- Uso di PowerShell per la ricerca nel log di controllo
- Esportare/configurare/visualizzare il log di controllo
- Attivare e disattivare il controllo
- Gestire i criteri di conservazione dei log di controllo
- Analizzare i problemi comuni o gli account compromessi
- Esportare/configurare/visualizzare il log di controllo
Compliance Manager Compliance Manager
- Creare e gestire valutazioni
- Creare/estendere/modificare modelli di valutazione
- Assegnare e completare azioni di miglioramento
- Impostare le autorizzazioni utente
MIP Microsoft Purview Information Protection
Informazioni sulla classificazione dei dati
Conoscere la prevenzione della perdita di dati
Classificazione dei dati:
- Creare e gestire tipi di informazioni riservate
- Creare e gestire la corrispondenza esatta dei dati
- Monitorare le operazioni eseguite con il contenuto etichettato usando Esplora attività
Information Protection:
- Creare e pubblicare etichette di riservatezza e criteri di etichetta
- Definire le etichette da applicare ai file e ai messaggi di posta elettronica
- Definire le etichette da applicare a siti e gruppi
- Definire le etichette da applicare agli asset di dati schematizzati
- Applicare automaticamente un'etichetta al contenuto usando l'etichettatura automatica lato client e l'etichettatura automatica lato server e gli asset di dati schematizzati
- Limitare l'accesso al contenuto etichettato usando la crittografia
- Configurare la privacy e l'accesso utente esterno e la condivisione esterna e l'accesso condizionale per le etichette applicate a siti e gruppi
- Impostare i criteri di etichetta per includere i controlli predefiniti, obbligatori, di downgrade e applicarli a file e messaggi di posta elettronica, gruppi e siti e contenuto di Power BI
Prevenzione della perdita dei dati:
- Creare, testare e ottimizzare un criterio DLP
- Eseguire avvisi e gestione degli eventi imprevisti
- Visualizzare gli eventi di corrispondenza delle regole DLP in Esplora attività
- Configurare le impostazioni di prevenzione della perdita dei dati degli endpoint		 - Visualizzare il contenuto etichettato in Esplora contenuto
- Creare e gestire classificatori sottoponibili a training
- Supporto per le etichette gruppi e siti
Gestione del ciclo di vita dei dati di Microsoft Purview Informazioni sui Gestione del ciclo di vita dei dati di Microsoft Purview in Microsoft 365
- Creare e gestire criteri di conservazione statici e adattivi
- Creare etichette di conservazione
- Creare criteri di etichetta di conservazione
- Creare e gestire ambiti adattivi		 -Archiviazione
- Importare file PST
Gestione record di Microsoft Purview Gestione record Microsoft Purview
- Etichettare il contenuto come record
- Etichettare il contenuto come record normativo
- Creare e gestire criteri di etichetta di conservazione statici e adattivi
- Creare e gestire ambiti adattivi
- Eseguire la migrazione delle etichette di conservazione e gestire i requisiti di conservazione con il piano file
- Configurare le impostazioni di conservazione ed eliminazione con le etichette di conservazione
- Mantenere il contenuto quando si verifica un evento con conservazione basata su eventi		 - Gestione dell'eliminazione

Per informazioni sui ruoli di Microsoft Entra supportati nel portale di conformità di Microsoft 365, vedere Autorizzazioni in Microsoft Purview

Microsoft 365 Lighthouse

Microsoft 365 Lighthouse è un portale di amministrazione che consente ai provider di servizi gestiti di proteggere e gestire dispositivi, dati e utenti su larga scala per i clienti aziendali di piccole e medie dimensioni.

I ruoli GDAP concedono lo stesso accesso dei clienti a Lighthouse quando questi ruoli GDAP vengono usati per accedere singolarmente ai portali di amministrazione dei clienti. Lighthouse offre una visualizzazione multi-tenant tra utenti, dispositivi e dati in base al livello di autorizzazioni delegate degli utenti. Per una panoramica di tutte le funzionalità di gestione multi-tenant lighthouse, vedere la documentazione di Lighthouse.

Ora i provider di servizi cloud possono usare Lighthouse per configurare GDAP per qualsiasi tenant del cliente. Lighthouse fornisce raccomandazioni sui ruoli basate su diverse funzioni di processo MSP per un MSP e i modelli GDAP lighthouse consentono ai partner di salvare e riapplicare facilmente le impostazioni che consentono l'accesso con privilegi minimi ai clienti. Per altre informazioni e per visualizzare una demo, vedere la configurazione guidata di Lighthouse GDAP.

Per Microsoft 365 Lighthouse, le attività seguenti sono supportate da GDAP. Per altre informazioni sulle autorizzazioni necessarie per accedere a Microsoft 365 Lighthouse, vedere Panoramica delle autorizzazioni in Microsoft 365 Lighthouse.

Conto risorse Attualmente supportato
Home Incluso
Tenant Incluso
Utenti Incluso
Dispositivi Incluso
Gestione delle minacce Incluso
Previsioni Incluso
Windows 365 Incluso
Integrità dei servizi Incluso
Log di audit Incluso
Onboarding Per eseguire l'onboarding, i clienti devono avere una relazione gdAP e rivenditore indiretto o una relazione DAP.

I ruoli di controllo degli accessi in base al ruolo di Azure supportati includono quanto segue:

  • Amministratore dell'autenticazione
  • Amministratore di conformità
  • Amministratore accesso condizionale
  • Amministratore dispositivo cloud
  • Amministratore globale
  • Lettore globale
  • Amministratore supporto tecnico
  • Amministratore di Intune
  • Amministratore password
  • Amministratore autenticazione con privilegi
  • Amministratore della sicurezza
  • Operatore per la sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Amministratore servizio di supporto
  • Amministratore utenti

Windows 365

Per Windows 365, le attività seguenti sono supportate da GDAP.

Conto risorse Attualmente supportato
Cloud PC Elencare PC cloud, Ottieni PC cloud, Reprovision Cloud PC, Fine periodo di tolleranza, Reprovision Cloud PC remote action, Bulk reprovision Cloud PC remote action, Resize Cloud PC remote action, Get Cloud PC remote action results
Immagine del dispositivo Cloud PC Elencare le immagini del dispositivo, ottenere l'immagine del dispositivo, creare un'immagine del dispositivo, eliminare l'immagine del dispositivo, ottenere l'immagine di origine, ricaricare l'immagine del dispositivo
Connessione di rete locale a Cloud PC Elencare la connessione locale, Ottenere una connessione locale, Creare una connessione locale, Aggiornare la connessione locale, Eliminare una connessione locale, Eseguire controlli di integrità, Aggiornare la password del dominio di Active Directory
Criteri di provisioning di Cloud PC Elencare i criteri di provisioning, Ottenere i criteri di provisioning, Creare criteri di provisioning, Aggiornare i criteri di provisioning, Eliminare i criteri di provisioning, Assegnare i criteri di provisioning
Evento di controllo di Cloud PC Elencare gli eventi di controllo, ottenere l'evento di controllo, ottenere i tipi di attività di controllo
Impostazione utente di Cloud PC Elencare le impostazioni utente, Ottenere l'impostazione utente, Crea impostazione utente, Aggiorna impostazione utente, Elimina impostazione utente, Assegna
Area supportata da Cloud PC Elencare le aree supportate
Piani di servizio per PC cloud Elencare i piani di servizio

I ruoli controllo degli accessi in base al ruolo di Azure supportati includono quanto segue:

  • Amministratore globale
  • Amministratore di Intune
  • Amministratore della sicurezza
  • Operatore per la sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Ruolo con autorizzazioni di lettura globali
  • (In verifica) Windows 365 Amministrazione istrator

Risorse non supportate per l'anteprima:

  • N/D

Interfaccia di amministrazione di Teams

Per l'interfaccia di amministrazione di Teams, le attività seguenti sono supportate da GDAP.

Conto risorse Attualmente supportato
Utenti Assegnare criteri, impostazioni voce, chiamate in uscita, impostazioni di ritiro delle chiamate di gruppo, impostazioni di delega delle chiamate, Telefono numeri, impostazioni conferenza
Teams Criteri di Teams, Criteri di aggiornamento
Dispositivi Telefoni IP, Teams Rooms, barre di collaborazione, visualizzazioni di Teams, Pannello di Teams
Ubicazioni Etichette di report, indirizzi di emergenza, topologia di rete, reti e posizioni
Riunioni Bridge di conferenza, criteri riunione, impostazioni riunione, criteri eventi live, impostazioni eventi live
Criteri di messaggistica Criteri di messaggistica
Chiamata vocale Criteri di emergenza, dial plan, piani di routing vocale, code di chiamata, operatori automatici, criteri di parcheggio di chiamata, criteri di chiamata, criteri ID chiamante, Telefono numeri, instradamento diretto
Analisi e report Report sull'utilizzo
Impostazioni a livello di organizzazione Accesso esterno, accesso guest, impostazioni di Teams, aggiornamento di Teams, festività, account delle risorse
Pianificazione Network Planner
Modulo di PowerShell di Teams Tutti i cmdlet di PowerShell del modulo PowerShell di Teams (disponibili dal modulo PowerShell di Teams - versione di anteprima 3.2.0)

I ruoli controllo degli accessi in base al ruolo supportati includono quanto segue:

  • Amministratore di Teams
  • Amministratore globale
  • Amministratore delle comunicazioni di Teams
  • Tecnico supporto comunicazioni Teams
  • Specialista supporto comunicazioni Teams
  • Teams Device Amministrazione istrator
  • Lettore globale

Le risorse non supportate per l'accesso GDAP includono quanto segue:

  • Gestire Teams
  • Modelli di team
  • App di Teams
  • Pacchetti di criteri
  • Teams Advisor
  • Dashboard Qualità della chiamata

Microsoft Defender XDR

Microsoft Defender XDR è una suite unificata di difesa aziendale pre-violazione e post-violazione. Coordina in modo nativo il rilevamento, la prevenzione, l'indagine e la risposta tra endpoint, identità, posta elettronica e applicazioni per garantire una protezione integrata da attacchi sofisticati.

Il portale di Microsoft Defender è anche la casa di altri prodotti nello stack di sicurezza di Microsoft 365, ad esempio Microsoft Defender per endpoint e Microsoft Defender per Office 365.

La documentazione di tutte le funzionalità e i prodotti per la sicurezza è disponibile nel portale di Microsoft Defender:

Microsoft Defender per endpoint:

Microsoft Defender per Office 365:

Governance delle app:

Di seguito sono riportate le funzionalità disponibili per i tenant che accedono al portale di Microsoft Defender usando un token GDAP.

Tipo di risorsa Attualmente supportato
Funzionalità di Microsoft Defender XDR Tutte le funzionalità di Microsoft Defender XDR (elencate nella documentazione precedente): Eventi imprevisti, Ricerca avanzata, Centro notifiche, Analisi delle minacce, Connessione ion dei carichi di lavoro di sicurezza seguenti in Microsoft Defender XDR: Microsoft Defender per endpoint, Microsoft Defender per identità, app Microsoft Defender per il cloud
Microsoft Defender per endpoint funzionalità Tutte le Microsoft Defender per endpoint funzionalità elencate nella documentazione precedente, vedere i dettagli per SKU P1/SMB nella tabella seguente.
Microsoft Defender per Office 365 Tutte le Microsoft Defender per Office 365 funzionalità elencate nella documentazione precedente. Vedere i dettagli per ogni licenza in questa tabella: Sicurezza di Office 365, tra cui Microsoft Defender per Office 365 ed Exchange Online Protection
Governance delle app L'autenticazione funziona per il token GDAP (token app+utente), i criteri di autorizzazione funzionano in base ai ruoli utente come prima

Ruoli di Microsoft Entra supportati nel portale di Microsoft Defender:

Documentazione dei ruoli supportati nel portale di Microsoft Defender

Nota

Non tutti i ruoli sono applicabili a tutti i prodotti di sicurezza. Per informazioni sui ruoli supportati in un prodotto specifico, vedere la documentazione del prodotto.

Funzionalità mde supportate nel portale di Microsoft Defender per SKU

Funzionalità degli endpoint per SKU Microsoft Defender for Business Microsoft Defender per endpoint piano 1 Microsoft Defender per endpoint (piano 2)
Gestione centralizzata X X X
Configurazione client semplificata X
Gestione di minacce e vulnerabilità X X
Riduzione della superficie di attacco X X X
Protezione di nuova generazione X X X
Rilevamento e reazione dagli endpoint X X
Indagine e reazione automatizzate X X
Ricerca delle minacce e conservazione dei dati di sei mesi X
Analisi delle minacce X X
Supporto multipiattaforma per Windows, MacOS, iOS e Android X X X
Esperti di minacce Microsoft X
API partner X X X
Microsoft 365 Lighthouse per la visualizzazione degli eventi imprevisti di sicurezza tra i clienti X

Power BI

Per il carico di lavoro di Power BI, le attività seguenti sono supportate da GDAP.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore - Tutte le voci di menu in "portale Amministrazione" ad eccezione di "Connessioni di Azure"

Ruoli di Microsoft Entra supportati nell'ambito:

  • Infrastruttura Amministrazione istrator
  • Amministratore globale

Proprietà di Power BI fuori ambito:

  • Non tutte le attività non amministrative sono garantite per il funzionamento
  • "Connessioni di Azure" nel portale di Amministrazione

SharePoint

Per SharePoint, le attività seguenti sono supportate da GDAP.

Tipo di risorsa Attualmente supportato
Home page Rendering delle schede, ma il rendering dei dati potrebbe non essere eseguito
Gestione siti - Siti attivi Creare siti: Sito del team, Sito di comunicazione, Assegnare/modificare il proprietario del sito, Assegnare un'etichetta di riservatezza al sito (se configurata in MICROSOFT Entra ID) durante la creazione del sito, Modificare l'etichetta di riservatezza del sito, Assegnare le impostazioni di privacy al sito (se non predefinite con un'etichetta di riservatezza), Aggiungere/Rimuovere membri a un sito, Modificare le impostazioni di condivisione esterna del sito, Modificare il nome del sito, Modificare l'URL del sito, Visualizzare l'attività del sito, Modificare il limite di archiviazione, Eliminare un sito, Modificare le visualizzazioni predefinite dei siti, Esportare l'elenco di siti in un file CSV, Salvare visualizzazioni personalizzate dei siti, Associare il sito a un hub, Registrare un sito come hub
Gestione siti - Siti attivi Creare altri siti: Centro documenti, Wiki aziendale, Portale di pubblicazione, Centro contenuti
Gestione siti : siti eliminati Ripristinare il sito, eliminare definitivamente il sito (ad eccezione dei siti del team connessi al gruppo di Microsoft 365)
Criteri - Condivisione Impostare i criteri di condivisione esterna per SharePoint e OneDrive for Business, Modifica "Altre impostazioni di condivisione esterna", Impostare i criteri per i collegamenti file e cartelle, Modificare "Altre impostazioni" per la condivisione
Controllo di accesso Impostare/modificare i criteri dei dispositivi non gestiti, Impostare/modificare i criteri della sequenza temporale delle sessioni inattive, Impostare/modificare i criteri dei percorsi di rete (separati dai criteri IP di Microsoft Entra, Impostare/modificare i criteri di autenticazione moderni, Impostare/modificare l'accesso a OneDrive)
Impostazione SharePoint - Sito home, SharePoint - Notifiche, SharePoint - Pagine, SharePoint - Creazione del sito, SharePoint - Limiti di archiviazione del sito, OneDrive - Notifiche, OneDrive - Conservazione, OneDrive - limite Archiviazione, OneDrive - Sincronizzazione
PowerShell Per connettere un tenant del cliente come amministratore GDAP, usare un endpoint di autorizzazione tenant (con l'ID tenant del cliente) nel AuthenticanUrl parametro anziché l'endpoint comune predefinito.
Ad esempio: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize.

I ruoli nell'ambito includono quanto segue:

  • Amministratore SharePoint
  • Amministratore globale
  • Lettore globale

Le proprietà di SharePoint Amministrazione Center non rientrano nell'ambito seguenti:

  • Tutte le funzionalità/funzionalità/funzionalità/modelli di Amministrazione classica non rientrano nell'ambito e non è garantito il corretto funzionamento
  • Nota: per qualsiasi ruolo GDAP supportato da SharePoint Amministrazione Center, i partner non possono modificare file e autorizzazioni per file e cartelle nel sito di SharePoint del cliente. Si tratta di un rischio per la sicurezza per i clienti ed è stato risolto.

Dynamics 365 e Power Platform

Per le applicazioni Power Platform e Dynamics 365 customer engagement (Sales, Service), le attività seguenti sono supportate da GDAP.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore - Tutte le voci di menu nell'interfaccia di amministrazione di Power Platform

I ruoli Microsoft Entra supportati nell'ambito includono quanto segue:

  • Amministratore di Power Platform
  • Amministratore globale
  • Help Amministrazione istrator (per Guida e supporto)
  • Service Support Amministrazione istrator (per Guida e supporto)

Proprietà fuori ambito:

  • None

Dynamics 365 Business Central

Per Dynamics 365 Business Central, le attività seguenti sono supportate da GDAP.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore Tutte le attività*

* Alcune attività richiedono autorizzazioni assegnate all'utente amministratore all'interno dell'ambiente Dynamics 365 Business Central. Fare riferimento alla documentazione disponibile.

I ruoli Microsoft Entra supportati nell'ambito includono quanto segue:

  • Amministratore di Dynamics 365
  • Amministratore globale
  • Amministratore help desk

Proprietà fuori ambito:

  • None

Dynamics Lifecycle Services

Per Dynamics Lifecycle Services, le attività seguenti sono supportate da GDAP.

Tipo di risorsa Attualmente supportato
Attività dell'amministratore Tutte le attività

I ruoli Microsoft Entra supportati nell'ambito includono quanto segue:

  • Amministratore di Dynamics 365
  • Amministratore globale

Proprietà fuori ambito:

  • None

Intune (Endpoint Manager)

Ruoli di Microsoft Entra supportati nell'ambito:

  • Amministratore di Intune
  • Amministratore globale
  • Lettore globale
  • Amministratore che legge i report
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Amministratore di conformità
  • Amministratore della sicurezza

Per controllare il livello di accesso per i ruoli precedenti, vedere la documentazione del controllo degli accessi in base al ruolo di Intune.

Il supporto per Intune non include l'uso di GDAP durante la registrazione dei server per Microsoft Tunnel o per la configurazione o l'installazione di uno dei connettori per Intune. Alcuni esempi di connettori di Intune includono, ad esempio, il Connessione or di Intune per Active Directory, il connettore Mobile Threat Defense e il connettore Microsoft Defender per endpoint.

Azure portal

Diagramma che mostra la relazione tra partner e clienti che usano GDAP.

Ruoli di Microsoft Entra nell'ambito:

  • Qualsiasi ruolo di Microsoft Entra, ad esempio Lettori directory (ruolo con privilegi minimi) per l'accesso alla sottoscrizione di Azure come proprietario

Indicazioni sui ruoli GDAP:

  • Il partner e il cliente devono avere una relazione reseller
  • Il partner deve creare un gruppo di sicurezza (ad esempio Manager di Azure) per la gestione di Azure e annidarlo in Amministrazione Agenti per il partizionamento degli accessi ai clienti come procedura consigliata.
  • Quando il partner acquista un piano di Azure per il cliente, viene effettuato il provisioning della sottoscrizione di Azure e Amministrazione gruppo Agenti viene assegnato il controllo degli accessi in base al ruolo di Azure come proprietario nella sottoscrizione di Azure
  • Poiché il gruppo di sicurezza Manager di Azure è membro del gruppo agenti di Amministrazione, gli utenti membri di Manager di Azure diventano il proprietario del controllo degli accessi in base al ruolo della sottoscrizione di Azure
  • Per accedere alla sottoscrizione di Azure come proprietario per il cliente, qualsiasi ruolo di Microsoft Entra, ad esempio Lettori directory (ruolo con privilegi minimi) deve essere assegnato al gruppo di sicurezza Manager di Azure

Indicazioni alternative su GDAP di Azure (senza usare Amministrazione Agent)

Prerequisiti:

  • Il partner e il cliente hanno una relazione Reseller .
  • Il partner ha creato un gruppo di sicurezza per la gestione di Azure e lo ha annidato nel gruppo HelpDeskAgents per ogni partizionamento dell'accesso ai clienti, come consigliato.
  • Il partner ha acquistato un piano di Azure per il cliente, viene effettuato il provisioning della sottoscrizione di Azure e il partner ha assegnato il controllo degli accessi in base al ruolo del gruppo agenti di Amministrazione come proprietario nella sottoscrizione di Azure, ma non è stata eseguita alcuna assegnazione di ruolo controllo degli accessi in base al ruolo per gli agenti del supporto tecnico.

Passaggi dell'amministratore del partner:

L'amministratore partner nella sottoscrizione esegue gli script seguenti usando PowerShell per creare FPO helpdesk nella sottoscrizione di Azure.

  • Connessione al tenant partner per ottenere l'oggetto object ID del gruppo HelpDeskAgents.

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of HelpDeskAgents group
Get-AzADGroup -DisplayName HelpDeskAgents

  • Assicurarsi che il cliente abbia:

    • Ruolo di proprietario o amministratore accesso utenti
    • Autorizzazioni per creare assegnazioni di ruolo a livello di sottoscrizione

Passaggi del cliente:

Per completare il processo, il cliente deve eseguire la procedura seguente usando PowerShell o l'interfaccia della riga di comando di Azure.

  1. Se si usa PowerShell, il cliente deve aggiornare il Az.Resources modulo.

    Update-Module Az.Resources

  2. Connessione al tenant in cui è presente la sottoscrizione CSP.

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  3. Connessione alla sottoscrizione.

    Nota

    Ciò è applicabile solo se l'utente dispone di autorizzazioni di assegnazione di ruolo su più sottoscrizioni nel tenant.

    Set-AzContext -SubscriptionID <"CSP Subscription ID">

    az account set --subscription <CSP Subscription ID>

  4. Creare l'assegnazione di ruolo.

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"

Visual Studio

Diagramma che mostra la relazione tra il gruppo manager di Visual Studio e il cliente tramite GDAP.

Ruoli di Microsoft Entra nell'ambito:

  • Qualsiasi ruolo di Microsoft Entra, ad esempio Lettori directory (ruolo con privilegi minimi) per l'accesso alla sottoscrizione di Azure come proprietario

Indicazioni sui ruoli GDAP per i partner:

  • Prerequisiti:
    • Il partner e il cliente devono avere una relazione Reseller
    • Il partner deve acquistare una sottoscrizione di Azure per il cliente
  • Il partner deve creare un gruppo di sicurezza (ad esempio, manager di Visual Studio) per l'acquisto e la gestione delle sottoscrizioni di Visual Studio e annidarlo in Amministrazione Agents for per ogni cliente access partitioning come procedura consigliata.
  • Il ruolo GDAP per l'acquisto e la gestione di Visual Studio è identico a quello di Azure GDAP.
  • Al gruppo di sicurezza dei manager di Visual Studio deve essere assegnato qualsiasi ruolo di Microsoft Entra, ad esempio Lettori directory (ruolo con privilegi minimi) per accedere alla sottoscrizione di Azure come proprietario
  • Gli utenti che fanno parte del gruppo di sicurezza dei manager di Visual Studio potranno acquistare una sottoscrizione di Visual Studio in Marketplacehttps://marketplace.visualstudio.com (a causa del membro annidato di Amministrazione Agents gli utenti avranno accesso alla sottoscrizione di Azure)
  • Gli utenti che fanno parte del gruppo di sicurezza manager di Visual Studio possono modificare la quantità di sottoscrizioni di Visual Studio

Screenshot che mostra le sottoscrizioni di Visual Studio disponibili.

  • Gli utenti che fanno parte del gruppo di sicurezza manager di Visual Studio possono annullare la sottoscrizione di Visual Studio (modificando la quantità in zero)
  • Gli utenti che fanno parte del gruppo di sicurezza manager di Visual Studio possono aggiungere sottoscrittori per gestire le sottoscrizioni di Visual Studio( ad esempio, esplorare la directory dei clienti e aggiungere l'assegnazione di ruolo di Visual Studio come sottoscrittore)

Proprietà di Visual Studio fuori ambito:

  • None

Perché non vengono visualizzati alcuni collegamenti AOBO DAP nella pagina di gestione del servizio GDAP?

Collegamenti AOBO DAP Motivo per cui manca nella pagina Di gestione dei servizi GDAP
Microsoft 365 Planner
https://portal.office.com/		 Si tratta di un duplicato del collegamento AOBO di Microsoft 365 già esistente.
Ondeggiare
https://portal.office.com/		 Si tratta di un duplicato del collegamento AOBO di Microsoft 365 già esistente.
Windows 10
https://portal.office.com/		 Si tratta di un duplicato del collegamento AOBO di Microsoft 365 già esistente.
Cloud App Security
https://portal.cloudappsecurity.com/		 Microsoft Defender per il cloud Le app verranno ritirati. Questo portale verrà unito a Microsoft Defender XDR, che supporta GDAP.
Azure IoT Central
https://apps.azureiotcentral.com/		 Attualmente non supportato. Fuori ambito per GDAP.
Windows Defender Advanced Threat Protection
https://securitycenter.windows.com		 Windows Defender Advanced Threat Protection verrà ritirato. I partner sono invitati a passare a Microsoft Defender XDR, che supporta GDAP.

Passaggi successivi