Veelgestelde vragen over GDAP

Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum

Met de functie Granular Delegated Admin Permissions (GDAP) kunnen partners gedetailleerdere en tijdgebonden toegang tot de workloads van hun klanten beheren, wat betekent dat partners de beveiligingsproblemen van hun klanten beter kunnen aanpakken. Partners kunnen ook meer services bieden aan klanten die zich ongemakkelijk voelen bij de huidige niveaus van toegang tot partners en die wettelijke vereisten hebben om alleen minimale toegang tot partners te bieden.

Bekijk de gereedheidsverzameling voor meer informatie.

GDAP instellen

Wie kunt u een GDAP-uitnodigingsaanvraag maken?

De partnerbeheerderagent binnen de partnerorganisatie kan een GDAP-uitnodigingsaanvraag indienen.

Wanneer een partner een GDAP-relatieaanvraag naar een klant verzendt en de klant er geen actie op onderneemt, verloopt deze aanvraag dan op elk gewenst moment?

Ja. Relaties in behandeling verlopen na 90 dagen.

Wanneer verloopt de GDAP-relatie?

Het verstrijken van de GDAP-relatie wordt gedefinieerd door de partner. De standaardwaarde is twee jaar (maximaal), maar de partner kan dit bereik bijwerken en beperken tot minimaal één dag.

Is het mogelijk om de GDAP-relatie met de klant permanent te maken?

Nee. Permanente GDAP-relaties met klanten zijn niet mogelijk voor beveiligingsdoeleinden. De maximale duur voor een GDAP-relatie is twee jaar.

Hoe kan een klant de GDAP-relatie uitbreiden of verlengen?

Als u de GDAP-relatie wilt verlengen of verlengen, moeten partners de GDAP-relatieaanvraag opnieuw verzenden naar de klant.

Is het mogelijk om de GDAP-relatie met de klant automatisch te wijzigen?

Nee, het is niet mogelijk om GDAP-relaties met klanten automatisch te wijzigen voor beveiligingsdoeleinden.

Wat moet ik doen wanneer mijn GDAP-relatie met mijn klant verloopt? Is er een automatisch verlengingsproces?

Als de GDAP-relatie met uw klant verloopt, moet u de GDAP-relatie opnieuw maken. Er zijn analyses beschikbaar voor het bijhouden van de verloopdatums van de GDAP-relatie om de verlenging voor te bereiden. Er is momenteel geen proces voor automatische verlenging.

Als de GDAP-relatie verloopt, worden de bestaande abonnementen van de klant beïnvloed?

De bestaande abonnementen van de klant worden niet gewijzigd als de GDAP-relatie verloopt.

Hoe kan ik services voor mijn klanten blijven beheren als DAP voor inactieve klanten wordt verwijderd?

Hoewel DAP en GDAP naast elkaar bestaan, kunt u services voor uw klanten blijven beheren door een GDAP-relatie tot stand te brengen of de DAP-relatie met hen opnieuw te maken via partnercentrum. We raden u aan een GDAP-relatie tot stand te brengen om ervoor te zorgen dat u de veiligste en minst bevoegde toegang hebt tot de tenant van uw klant.

In de toekomst moet u een GDAP-relatie hebben met klanten aan wie u services wilt beheren.

Wie ontvangt de e-mail over beëindiging van de GDAP-relatie?

Binnen de partnerorganisatie ontvangt de rol van beheerderagent een melding. Binnen de organisatie van de klant ontvangt de rol van globale beheerderagent de melding.

Is het mogelijk om te zien wanneer de klant GDAP verwijdert in activiteitenlogboeken?

Ja, partners kunnen zien wanneer een klant GDAP verwijdert in de activiteitenlogboeken van het Partnercentrum.

Moet ik een GDAP-relatie maken met al mijn klanten?

Nee, GDAP is een optionele mogelijkheid voor partners die de services van hun klant op een gedetailleerd niveau willen beheren. Partners kunnen kiezen met welke klanten ze een GDAP-relatie willen maken.

Als ik meerdere klanten heb, moet ik meerdere beveiligingsgroepen hebben voor die klanten?

Dit hangt af van uw scenario. Als u wilt dat uw partnergebruikers alle klanten kunnen beheren, kunt u al uw partnergebruikers in één beveiligingsgroep plaatsen en die ene groep alle klanten kunnen beheren.

Als u liever verschillende partnergebruikers wilt hebben die verschillende klanten beheren, moet u deze partnergebruikers toewijzen aan afzonderlijke beveiligingsgroepen voor isolatie per klant.

Ja, indirecte resellers (en indirecte providers en partners voor directe facturering) kunnen GDAP-relatieaanvragen maken vanuit partnercentrum.

GDAP-API

Zijn er API's beschikbaar om een GDAP-relatie met mijn klanten te maken?

Ja, API's zijn beschikbaar in de partnercentrum-documentatie voor ontwikkelaars.

Kan ik meerdere GDAP-relaties met verschillende klanten tegelijk maken?

Ja, maar deze functionaliteit is niet beschikbaar via het Partnercentrum. Het kan worden gemaakt met behulp van API's, zodat partners dit proces kunnen schalen.

Kan ik mijn klanten bulksgewijs migreren van DAP naar GDAP?

Ja, dit scenario is mogelijk met behulp van API's. Een partner kan het proces voor het maken van GDAP-relaties met hun klanten automatiseren.

Kunnen meerdere beveiligingsgroepen worden toegewezen in een GDAP-relatie met behulp van één API-aanroep?

De API werkt voor één beveiligingsgroep tegelijk, maar de UX kan meerdere beveiligingsgroepen aan meerdere rollen toewijzen.

Rollen

Welke GDAP-rollen zijn nodig voor toegang tot een Azure-abonnement?

De partner moet een beveiligingsgroep (zoals Azure-managers) maken voor het beheren van Azure en deze nesten onder Beheerdersagenten voor partitionering per klant. Dit is de aanbevolen aanbevolen procedure. Als u toegang wilt krijgen tot het Azure-abonnement als eigenaar voor de klant, moet elke Azure AD rol, zoals Directory Readers (minst bevoorrechte rol) worden toegewezen aan de Azure Managers-beveiligingsgroep. Zie [Door GDAP ondersteunde workloads](./gdap-supported-workloads.md] voor stappen voor het instellen van Azure GDAP.

Zijn er richtlijnen voor de rol met minimale bevoegdheden die ik aan gebruikers kan toewijzen voor specifieke taken?

Ja, u kunt naar dit artikel verwijzen voor informatie die nodig is om de beheerdersmachtigingen van een gebruiker te beperken door de minst bevoegde rollen toe te wijzen in Azure Active Directory (Azure AD).

Welke rol met minimale bevoegdheden moet ik worden toegewezen aan de tenant van de klant om ondersteuningstickets voor de klant te kunnen maken?

We raden u aan de rol Serviceondersteuningsbeheerder toe te wijzen. Meer informatie over Azure AD rollen.

Is het mogelijk om alle Azure AD rollen van de GDAP-relatie uit te sluiten en de partner nog steeds toe te staan ondersteuningstickets voor de klant te openen?

Nee. De minst bevoorrechte rol voor partnergebruikers om ondersteuningstickets voor hun klant te kunnen maken, is de serviceondersteuningsbeheerder. Als u daarom ondersteuningstickets voor de klant wilt kunnen maken, moet de partnergebruiker zich in een beveiligingsgroep bevinden en aan die klant met deze rol worden toegewezen.

Waar vind ik informatie over alle rollen en workloads die zijn opgenomen in GDAP?

Alle rollen zijn te vinden op Azure AD ingebouwde rollen. Hier vindt u informatie over werkbelastingen.

Welke GDAP-rol zou toegang bieden tot het Microsoft 365-beheer Center?

Er zijn veel rollen die door het Microsoft 365-beheer Center worden gebruikt. Hier vindt u de meest gebruikte Microsoft 365-beheer rollen.

Kunnen we aangepaste beveiligingsgroepen maken voor GDAP?

Ja, de partner moet een beveiligingsgroep maken, goedgekeurde rollen toewijzen en vervolgens tenantgebruikers van de partner toewijzen aan die beveiligingsgroep.

Welke GDAP-rol geeft alleen-lezentoegang tot de abonnementen van de klant, maar staat de gebruiker niet toe deze te beheren?

De rollen Global Reader, Partner Tier 2 en Directory Reader bieden alleen-lezentoegang tot abonnementen van klanten.

Welke rol moet ik toewijzen aan mijn partneragenten als ik wil dat ze de tenant van de klant beheren, maar de abonnementen van de klant niet wijzigen (momenteel beheerdersagenten)?

We raden u aan om de partneragenten te verwijderen uit de rol Beheerderagent en deze alleen toe te voegen aan een GDAP-beveiligingsgroep. Op deze manier kunnen ze services beheren (bijvoorbeeld servicebeheer, logboekserviceaanvragen), maar kunnen ze geen abonnementen aanschaffen en beheren (wijzigingshoeveelheid, annuleren, planningswijzigingen, enzovoort).

Wat gebeurt er als de klant GDAP-rollen aan de partner heeft verleend en vervolgens rollen/serveren de GDAP-relatie verwijdert?

De beveiligingsgroepen die aan die relatie zijn toegewezen, hebben geen toegang meer tot die klant. Dit gedrag is hetzelfde als een klant de DAP-relatie beëindigt.

Kunnen sommige rollen in mijn GDAP-relatie met mijn klant langer verlopen dan andere?

Nee, het is niet mogelijk om bepaalde rollen in een GDAP-relatie met een klant te hebben voor een langere verlooptijd dan andere. Alle rollen binnen de GDAP-relatie hebben dezelfde tijd om te verlopen die wordt gekozen wanneer de relatie wordt gemaakt.

Heb ik GDAP nodig om bestellingen voor nieuwe en bestaande klanten in partnercentrum uit te voeren?

Nee, u hebt GDAP niet nodig om orders voor nieuwe en bestaande klanten uit te voeren. U kunt hetzelfde proces blijven gebruiken om klantorders in partnercentrum te vervullen.

Moet ik één partneragentrol toewijzen aan alle klanten of kan ik een partneragentrol alleen toewijzen aan één klant?

GDAP-relaties zijn per klant. U kunt meerdere relaties per klant hebben. Elke GDAP-relatie kan verschillende rollen hebben en verschillende Azure AD Groepen binnen uw CSP-tenant gebruiken.

Roltoewijzing werkt op klant-naar-GDAP-relatieniveau via de partnercentrum-interface. Als u roltoewijzing voor meerdere gebruikers wilt gebruiken, kunt u automatiseren met behulp van API's.

DAP en GDAP

Moet ik al mijn klanten overstappen naar GDAP of kan ik DAP blijven gebruiken?

Hoewel DAP en GDAP tijdens de overgangsperiode naast elkaar bestaan, zal GDAP uiteindelijk DAP vervangen om ervoor te zorgen dat we een veiligere oplossing bieden voor onze partners en klanten. Het is raadzaam dat u uw klanten zo snel mogelijk overdraalt naar GDAP om continuïteit te garanderen.

Hoe werkt GDAP met Privileged Identity Management in Azure AD?

Partners kunnen Privileged Identity Management (PIM) implementeren op een GDAP-beveiligingsgroep in de tenant van de partner om de toegang van een paar gebruikers met hoge bevoegdheden te verhogen, just-in-time (JIT) om ze rollen met hoge bevoegdheden, zoals wachtwoordbeheerders, te verlenen met automatische verwijdering van toegang. Om dit in te schakelen, biedt Microsoft een gratis Azure AD Premium Abonnement 2-licentie aan die momenteel vereist is door PIM.

Gaat GDAP DAP vervangen?

Ja. Tijdens de overgangsperiode worden zowel DAP als GDAP naast elkaar gebruikt, waarbij GDAP-machtigingen voorrang hebben op DAP-machtigingen voor Microsoft 365- en Dynamics 365-workloads. Azure is nog niet binnen het bereik voor GDAP. Uiteindelijk vervangt GDAP DAP.

Hoewel DAP en GDAP naast elkaar bestaan, zijn er wijzigingen in de manier waarop een DAP-relatie wordt gemaakt?

Er zijn geen wijzigingen in de bestaande DAP-relatiestroom terwijl DAP en GDAP naast elkaar bestaan.

Hoe kan ik overstappen van DAP naar GDAP als ik een groot klantenbestand heb (bijvoorbeeld 10.000 klantaccounts)?

Deze actie kan momenteel worden uitgevoerd door API's.

Heeft dit gevolgen voor mijn PEC-inkomsten als ik overstap van DAP naar GDAP? Enig effect op PAL?

Nee, er is geen invloed op uw PEC-inkomsten wanneer u overstapt naar GDAP. Er worden geen wijzigingen aangebracht in PAL met de overgang, zodat u PEC blijft verdienen.

Hoe hebben GDAP-machtigingen voorrang op DAP-machtigingen terwijl DAP en GDAP naast elkaar bestaan?

Wanneer de gebruiker deel uitmaakt van zowel de GDAP-beveiligingsgroep als de groep DAP-beheerdersagenten en de klant zowel DAP- als GDAP-relaties heeft, heeft GDAP-toegang voorrang op partner-, klant-, workloadniveau.

Als een partnergebruiker zich bijvoorbeeld aanmeldt voor een bepaalde workload en er DAP is voor de rol Globale beheerder en GDAP voor de rol Globale lezer, krijgt de partnergebruiker alleen de machtigingen voor globale lezer. Als er drie klanten zijn met GDAP-rollentoewijzingen aan alleen GDAP-beveiligingsgroep (niet aan beheerdersagents).

Diagram showing the relationship between different users as members of Admin Agent and G D A P security groups.

Klant Relatie met partner
Klant 1 DAP (geen GDAP)
Klant 2 DAP + GDAP beide
Klant 3 GDAP (geen DAP)

In de volgende tabel wordt het gedrag beschreven in verschillende gevallen waarin een gebruiker zich aanmeldt bij een andere tenant van de klant.

Voorbeeldgebruiker Voorbeeld van klanttenant Gedrag Opmerkingen
Gebruiker 1 Klant 1 DAP Dit is DAP zoals-is
Gebruiker 1 Klant 2 DAP Er is geen GDAP-roltoewijzing aan de groep Beheerdersagenten, wat resulteert in DAP-gedrag
Gebruiker 1 Klant 3 Geen toegang Er is geen DAP-relatie, dus de groep Beheerdersagenten heeft geen toegang tot klant 3
Gebruiker 2 Klant 1 DAP Dit is DAP zoals-is
Gebruiker 2 Klant 2 GDAP GDAP heeft voorrang op DAP omdat er een GDAP-rol is toegewezen aan klant 2 via de GDAP-beveiligingsgroep, zelfs als de gebruiker deel uitmaakt van de groep Beheeragent
Gebruiker 2 Klant 3 GDAP Dit is een alleen-GDAP-klant
Gebruiker 3 Klant 1 Geen toegang Er is geen GDAP-roltoewijzing voor klant 1
Gebruiker 3 Klant 2 GDAP Gebruiker maakt geen deel uit van de groep Admin Agent, wat resulteert in GDAP-gedrag
Gebruiker 3 Klant 3 GDAP GDAP-gedrag

Hoe bestaat DAP en GDAP naast elkaar als een klant Azure en Microsoft 365 of Dynamics 365 koopt?

Tijdens de overgangsperiode, wanneer GDAP voor Azure niet beschikbaar is, maar GDAP voor Microsoft 365 en Dynamics 365 beschikbaar is, kunt u DAP-relaties met uw klanten maken. Voor klanten die Azure en Microsoft 365 of Dynamics 365 aanschaffen, kunt u DAP voor Azure blijven gebruiken en het beheer van de Microsoft 365 en Dynamics 365-workloads verplaatsen naar GDAP.

Als u een GDAP-relatie met uw klant maakt, zien partnergebruikers GDAP-gedrag bij het beheren van Microsoft 365- en Dynamics 365-workloads en blijven dap-gedrag voor Azure zien.

Alle GDAP-machtigingen hebben voorrang op DAP-machtigingen.

Wordt PEC beïnvloed wanneer DAP/GDAP wordt verwijderd?

  • Als de klant van de partner alleen DAP heeft en DAP wordt verwijderd, gaat PEC niet verloren
  • Als de klant van de partner DAP heeft en deze tegelijkertijd naar GDAP gaat voor Office en Azure, en DAP wordt verwijderd, gaat PEC niet verloren
  • Als de klant van de partner DAP heeft en ze overstappen naar GDAP voor Office maar Azure as-is behouden (ze worden niet verplaatst naar GDAP) en DAP wordt verwijderd, gaat PEC niet verloren, maar gaat de toegang tot het Azure-abonnement verloren
  • Als de RBAC-rol wordt verwijderd, gaat PEC verloren, maar houd er rekening mee dat het verwijderen van GDAP geen RBAC verwijdert

Wordt DAP uitgeschakeld of overgestapt op GDAP-impactcompetenties die ik heb bereikt?

Uw competentie kan worden beïnvloed door het uitschakelen van DAP. Ga naar Competenties van partnercentrum om te bekijken welke aanvullende partnerkoppelingstypen in aanmerking komen voor maandelijks actief gebruik (MAU) van de klant voor de berekening van de prestatiedrempel. U kunt ook uw huidige actieve competenties zien.

Hoe werkt GDAP samen met Azure Lighthouse? Hebben GDAP en Azure Lighthouse invloed op elkaar?

Met betrekking tot de relatie tussen Azure Lighthouse en DAP/GDAP, kunt u deze beschouwen als ontkoppelde parallelle paden naar Azure-resources, zodat het scheiden van de ene niet van invloed mag zijn op de andere. In het Azure Lighthouse-scenario melden gebruikers van de partnertenant zich nooit aan bij de tenant van de klant en hebben ze geen AAD-machtigingen in de tenant van de klant. Hun Azure RBAC-roltoewijzingen worden ook bewaard in de partnertenant.

In het GDAP-scenario melden gebruikers van de partnertenant zich aan bij de tenant van de klant en bevindt de Azure RBAC-roltoewijzing aan de groep Beheerdersagenten zich ook in de tenant van de klant. U kunt het GDAP-pad blokkeren (gebruikers kunnen zich niet meer aanmelden) terwijl het Azure Lighthouse-pad volledig niet wordt beïnvloed. Omgekeerd kunt u de Lighthouse-relatie (projectie) verbreken zonder dat dit van invloed is op GDAP. Raadpleeg de Documentatie van Azure Lighthouse voor meer informatie.

Wat is de beste manier om over te stappen op GDAP en DAP te verwijderen zonder toegang tot Azure-abonnementen te verliezen als ik klanten heb met Azure?

De juiste volgorde die moet worden gevolgd voor dit scenario is:

  1. Maak een GDAP-relatie voor zowel Microsoft 365 als Azure.
  2. Wijs Azure AD rollen toe aan beveiligingsgroepen voor zowel Microsoft 365 als Azure.
  3. Configureer GDAP om voorrang te krijgen op DAP.
  4. DAP verwijderen.

Belangrijk

Als deze stappen niet worden gevolgd, hebben bestaande beheerders die Azure beheren mogelijk geen toegang meer tot Azure-abonnementen voor de klant.

De volgende reeks kan leiden tot verlies van toegang tot Azure-abonnementen:

  1. DAP verwijderen. U verliest niet noodzakelijkerwijs de toegang tot een Azure-abonnement door DAP te verwijderen. Op dit moment kunt u echter niet door de directory van de klant bladeren om azure RBAC-roltoewijzingen uit te voeren (zoals het toewijzen van een nieuwe klantgebruiker als inzender voor abonnements-RBAC).
  2. Maak samen een GDAP-relatie voor zowel Microsoft 365 als Azure. In deze stap hebt u mogelijk geen toegang meer tot een Azure-abonnement zodra GDAP is ingesteld.
  3. Wijs Azure AD rollen toe aan beveiligingsgroepen voor zowel Microsoft 365 als Azure U krijgt weer toegang tot Azure-abonnementen nadat de installatie van Azure GDAP is voltooid.

Ik heb klanten met Azure-abonnementen zonder DAP. Als ik ze voor Microsoft 365 naar GDAP verplaats, heb ik dan geen toegang meer tot het Azure-abonnement?

Als u Azure-abonnementen hebt zonder DAP die u als eigenaar beheert, door GDAP toe te voegen voor Microsoft 365 aan die klant, hebt u mogelijk geen toegang meer tot het Azure-abonnement. Om dat te voorkomen, moet u de klant verplaatsen naar Azure GDAP op hetzelfde moment dat u de klant verplaatst naar Microsoft 365 GDAP.

Belangrijk

Als deze stappen niet worden gevolgd, hebben bestaande beheerders die Azure beheren mogelijk geen toegang meer tot Azure-abonnementen voor de klant.

Aanbiedingen

Is het beheer van Azure-abonnementen opgenomen in deze release van GDAP?

Ja, de huidige release van GDAP ondersteunt alle producten: Microsoft 365, Dynamics 365, Power Platform en Azure.

Hoe werkt GDAP samen met Microsoft 365 Lighthouse?

Partners vereisen DAP om Microsoft 365 Lighthouse in te schakelen. In de toekomst is GDAP vereist om Microsoft 365 Lighthouse in te schakelen, wat betekent dat de partnergebruiker de juiste GDAP-machtigingen moet hebben voor de tenant van de klant als ze die klant in Microsoft 365 Lighthouse willen bekijken. Als de GDAP-relatie verloopt, is die klant niet meer zichtbaar in Microsoft 365 Lighthouse.