Perguntas frequentes sobre GDAP

  • Artigo

Funções apropriadas: todos os usuários interessados no Partner Center

As permissões de administrador delegado granular (GDAP) dão aos parceiros acesso às cargas de trabalho de seus clientes de uma maneira mais granular e limitada no tempo, o que pode ajudar a resolver as preocupações de segurança do cliente.

Com o GDAP, os parceiros podem fornecer mais serviços aos clientes que podem estar desconfortáveis com os altos níveis de acesso do parceiro.

O GDAP também ajuda os clientes que têm requisitos normativos para fornecer apenas acesso com privilégios mínimos aos parceiros.

Configuração de GDAP

Quem pode solicitar uma relação GDAP?

Alguém com a função de agente Admin em uma organização parceira pode criar uma solicitação de relacionamento GDAP.

Uma solicitação de relacionamento GDAP expira se o cliente não tomar nenhuma ação?

Sim. As solicitações de relacionamento GDAP expiram após 90 dias.

Posso tornar permanente um relacionamento GDAP com um cliente?

Não. Relacionamentos GDAP permanentes com clientes não são possíveis por motivos de segurança. A duração máxima de uma relação GDAP é de dois anos. Você pode definir a extensão automática como Habilitada para estender uma relação de administrador por seis meses, até que a extensão automática seja encerrada ou a extensão automática seja definida como Desabilitada.

Um relacionamento GDAP com um cliente pode se estender pela renovação automática/automática?

Sim. Uma relação GDAP pode se estender automaticamente por seis meses até ser encerrada ou estender automaticamente definida como Desabilitada.

O que eu faço quando o relacionamento GDAP com um cliente expira?

Se o relacionamento GDAP com seu cliente expirar, solicite um relacionamento GDAP novamente.

Você pode usar a análise de relacionamento GDAP para acompanhar as datas de expiração do relacionamento GDAP e se preparar para sua renovação.

Como um cliente pode estender ou renovar um relacionamento GDAP?

Para estender ou renovar um relacionamento GDAP, o parceiro ou cliente deve definir Extensão automática como Habilitado.

Um GDAP ativo que expira em breve pode ser atualizado para estendido automaticamente?

Sim, se o GDAP estiver ativo, ele poderá ser estendido.

Quando a extensão automática entra em ação?

Digamos que um GDAP seja criado por 365 dias com a extensão automática definida como Habilitada. No 365º dia, a Data Final seria efetivamente atualizada em 180 dias.

Os e-mails seriam enviados quando a extensão automática é alternada entre Habilitado/Desabilitado?

Nenhum e-mail seria enviado para parceiro e cliente.

Um GDAP criado com PLT (Partner Led Tool), MLT (Microsoft Led Tool), interface do usuário do Partner Center, API do Partner Center pode ser estendido automaticamente?

Sim, qualquer GDAP ativo pode ser estendido automaticamente.

Não, o consentimento do cliente não é necessário para definir a extensão automática como Habilitado em relação a um GDAP ativo existente.

As permissões granulares devem ser reatribuídas aos grupos de segurança após a extensão automática?

Não, as permissões granulares atribuídas aos grupos de segurança continuam como estão.

Uma relação de administrador com a função de Administrador Global pode ser estendida automaticamente?

Não, a relação de administrador com a função de Administrador Global não pode ser estendida automaticamente.

Por que não consigo ver a página Expirando relações granulares em Espaço de trabalho Clientes?

A página Expirar Relações granulares ajuda na filtragem em GDAPs que expiram em diferentes linhas do tempo, ajuda na funcionalidade de atualizar um ou mais GDAPs para extensão automática (habilitar/desabilitar), está disponível apenas para usuários parceiros com funções de Administradores Globais e Agente Administrativo.

Se um relacionamento GDAP expirar, as assinaturas existentes do cliente serão afetadas?

Não. Não há alteração nas assinaturas existentes de um cliente quando um relacionamento GDAP expira.

Como um cliente pode redefinir sua senha e dispositivo MFA se estiver bloqueado de sua conta e não puder aceitar uma solicitação de relacionamento GDAP de um parceiro?

Consulte Solucionar problemas de autenticação multifator do Microsoft Entra e Não é possível usar a autenticação multifator do Microsoft Entra para entrar nos serviços de nuvem depois de perder o telefone ou as alterações do número de telefone para obter orientação.

De que funções um parceiro precisa para redefinir uma senha de administrador e um dispositivo MFA se um administrador de cliente estiver bloqueado de sua conta e não puder aceitar uma solicitação de relacionamento GDAP de um parceiro?

O parceiro deve solicitar a função de administrador de autenticação privilegiada do Microsoft Entra ao criar o primeiro GDAP, para poder redefinir a senha e o método de autenticação para um usuário (administrador ou não administrador). A função Administrador de Autenticação Privilegiada faz parte das funções que estão sendo configuradas pelo MLT (Microsoft Led Tool) e está planejada para estar disponível com GDAP Padrão durante o fluxo Criar Cliente (planejado para setembro).

O parceiro pode fazer com que o administrador do cliente tente Redefinir senha. Como precaução, o parceiro deve configurar o SSPR (Self-service password reset) para seus clientes. Consulte Permitir que as pessoas reponham as suas próprias palavras-passe.

Quem recebe um e-mail de notificação de término de relacionamento GDAP?

Em uma organização parceira , as pessoas com a função de agente Administrador recebem uma notificação de encerramento.

Em uma organização do cliente , as pessoas com a função de administrador global recebem uma notificação de encerramento.

Posso ver quando um cliente remove o GDAP nos registros de atividades?

Sim. Os parceiros podem ver quando um cliente remove o GDAP nos registros de atividades do Partner Center.

Preciso criar um relacionamento GDAP com todos os meus clientes?

Não. O GDAP é um recurso opcional para parceiros que desejam gerenciar os serviços de seus clientes de forma mais granular e com limite de tempo. Você pode escolher com quais clientes deseja criar um relacionamento GDAP.

Se eu tiver vários clientes, preciso ter vários grupos de segurança para eles?

A resposta depende de como você deseja gerenciar seus clientes.

  • Se quiser que os usuários parceiros possam gerenciar todos os clientes, você pode colocar todos os usuários parceiros em um grupo de segurança e esse grupo pode gerenciar todos os clientes.

  • Se você preferir que vários usuários parceiros gerenciem vários clientes, atribua esses usuários parceiros a grupos de segurança separados para isolamento do cliente.

Os revendedores indiretos podem criar solicitações de relacionamento GDAP no Partner Center?

Sim. Revendedores indiretos (e provedores indiretos e parceiros de cobrança direta) podem criar solicitações de relacionamento GDAP no Partner Center.

Por que um usuário parceiro com GDAP não pode acessar uma carga de trabalho como AOBO (Admin em nome de)?

Como parte da configuração do GDAP, verifique se os grupos de segurança criados no locatário parceiro com usuários parceiros estão selecionados. Verifique também se as funções desejadas do Microsoft Entra estão atribuídas ao grupo de segurança. Consulte Atribuir funções do Microsoft Entra.

Os clientes agora podem excluir CSPs da política de acesso condicional para que os parceiros possam fazer a transição para o GDAP sem serem bloqueados.

Incluir usuários - Essa lista de usuários normalmente inclui todos os usuários que uma organização está direcionando em uma política de Acesso Condicional.

As seguintes opções estão disponíveis para incluir ao criar uma política de Acesso Condicional:

  • Selecionar Usuários e grupos
    • Usuários convidados ou externos (visualização)
      • Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
        • Usuários do provedor de serviços, por exemplo, um CSP (Provedor de Soluções na Nuvem).
      • Um ou mais locatários podem ser especificados para os tipos de usuário selecionados ou você pode especificar todos os locatários.

Acesso de parceiro externo - As políticas de acesso condicional destinadas a usuários externos podem interferir no acesso do provedor de serviços, por exemplo, privilégios de administrador delegados granulares. Para obter mais informações, consulte Introdução aos privilégios de administrador delegado granular (GDAP). Para políticas destinadas a locatários de provedores de serviços, use o tipo de usuário externo Usuário do provedor de serviços disponível nas opções de seleção Convidado ou usuários externos.

Captura de tela da política de autoridade de certificação UX direcionada a tipos de usuários externos e convidados de organizações específicas do Microsoft Entra.

Excluir usuários - Quando as organizações incluem e excluem um usuário ou grupo, o usuário ou grupo é excluído da política, pois uma ação de exclusão substitui uma ação de inclusão na política.

As seguintes opções estão disponíveis para exclusão ao criar uma política de Acesso Condicional:

  • Usuários convidados ou externos
    • Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
      • Usuários de provedores de serviços, por exemplo, um provedor de soluções em nuvem (CSP)
    • Um ou mais locatários podem ser especificados para os tipos de usuário selecionados ou você pode especificar todos os locatários.

Captura de tela da política de autoridade de certificação.

Para saber mais, veja:

Preciso de uma relação GDAP para criar tíquetes de suporte, embora eu tenha o Suporte Premier para Parceiros?

Sim, independentemente do plano de suporte que você tenha, a função menos privilegiada para que os usuários parceiros possam criar tíquetes de suporte para seus clientes é Administrador de suporte de serviço.

O status GDAP em Aprovação Pendente pode ser encerrado pelo parceiro?

Não, o parceiro não pode atualmente encerrar um GDAP no status Aprovação Pendente . Ele expiraria em 90 dias se o cliente não tomar nenhuma ação.

Depois que uma relação GDAP for encerrada, posso reutilizar o mesmo nome de relacionamento GDAP para criar uma nova relação?

Somente após 365 dias (limpeza) após a relação GDAP ser Encerrada ou Expirada, você poderá reutilizar o mesmo nome para criar uma nova relação GDAP.

API de GDAP

As APIs estão disponíveis para criar um relacionamento GDAP com os clientes?

Para obter informações sobre APIs e GDAP, consulte a documentação do desenvolvedor do Partner Center.

Posso usar as APIs GDAP beta para produção?

Sim. Recomendamos que os parceiros usem as APIs GDAP beta para produção e, posteriormente, alternem para APIs v.1 quando estiverem disponíveis.

Embora haja um aviso, "O uso dessas APIs em aplicativos de produção não é suportado", essa orientação genérica é para qualquer API beta no Graph e não é aplicável às APIs beta do GDAP Graph.

Posso criar vários relacionamentos de GDAP com clientes diferentes de uma só vez?

Sim. Os relacionamentos GDAP podem ser criados usando APIs, permitindo que os parceiros dimensionem esse processo. No entanto, a criação de vários relacionamentos GDAP não está disponível no Partner Center. Para obter informações sobre APIs e GDAP, consulte a documentação do desenvolvedor do Partner Center.

Vários grupos de segurança podem ser atribuídos em um relacionamento de GDAP usando uma chamada à API?

A API funciona para um grupo de segurança por vez, mas você pode mapear vários grupos de segurança para várias funções no Partner Center.

Como posso solicitar permissões de vários recursos para meu aplicativo?

Faça chamadas individuais para cada recurso. Ao fazer uma única solicitação POST, passe apenas um recurso e seus escopos correspondentes.

Por exemplo, para solicitar permissões para ambos https://graph.windows.net/Directory.AccessAsUser.All e https://graph.microsoft.com/Organization.Read.All, faça duas solicitações diferentes, uma para cada.

Como posso encontrar a ID do recurso para um determinado recurso?

Use o link fornecido para procurar o Nome do recurso: Verificar aplicativos primários da Microsoft em relatórios de entrada - Active Directory. Exemplo:

Para localizar a ID do recurso (exemplo: 00000003-0000-0000-c000-000000000000000 para graph.microsoft.com):

Captura de tela da tela Manifesto de um aplicativo de exemplo, com sua ID de recurso realçada.

O que devo fazer se encontrar o erro "Request_UnsupportedQuery" com a mensagem: "Cláusula de filtro de consulta sem suporte ou inválida especificada para a propriedade 'appId' do recurso 'ServicePrincipal'"?

Esse erro geralmente ocorre quando um identificador incorreto é usado no filtro de consulta.

Para resolvê-lo, verifique se você está usando a propriedade enterpriseApplicationId com a ID de recurso correta, não o nome do recurso.

  • Solicitação incorreta

    Para enterpriseApplicationId, não use um nome de recurso como graph.microsoft.com.

    Captura de tela de uma solicitação incorreta, onde o enterpriseApplicationId usa graph.microsoft.com.

  • Solicitação correta

    Em vez disso, para enterpriseApplicationId, use a ID do recurso, como 00000003-0000-0000-c000-000000000000000.

    Captura de tela de uma solicitação correta, onde o enterpriseApplicationId usa um GUID.

Como posso adicionar novos escopos ao recurso de um aplicativo que já foi consentido no locatário do Cliente?

Exemplo: anteriormente em graph.microsoft.com recurso apenas o escopo "perfil" era consentido. Agora queremos adicionar perfil e user.read também.

Para adicionar novos escopos a um aplicativo previamente consentido:

  1. Use o método DELETE para revogar o consentimento do aplicativo existente do locatário do cliente.

  2. Use o método POST para criar novo consentimento de aplicativo com os escopos adicionais.

    Observação

    Se seu aplicativo exigir permissões para vários recursos, execute o método POST separadamente para cada recurso.

Como especificar vários escopos para um único recurso (enterpriseApplicationId)?

Concatena os escopos necessários usando uma vírgula seguida de um espaço. Exemplo: "scope": "profile, User.Read"

O que devo fazer se receber um erro "400 Bad Request" com a mensagem "Unsupported token. Não é possível inicializar o contexto de autorização"?

  1. Confirme se as propriedades 'displayName' e 'applicationId' no corpo da solicitação são precisas e correspondem ao aplicativo que você está tentando consentir no locatário do cliente.

  2. Verifique se você está usando o mesmo aplicativo para gerar o token de acesso que está tentando consentir no locatário do cliente.

    Exemplo: Se o ID do aplicativo for "12341234-1234-1234-12341234", a declaração "appId" no token de acesso também deverá ser "12341234-1234-1234-12341234".

  3. Verifique se uma das seguintes condições é atendida:

    • Você tem um DAP (Privilégio de Administrador Dedelegado) ativo e o usuário também é membro do grupo Segurança de Agentes de Administração no locatário parceiro.

    • Você tem um relacionamento GDAP (Privilégio de Administrador Delegado Granular) ativo com o locatário Cliente com pelo menos uma das três funções GDAP a seguir e concluiu a Atribuição de Acesso:

      • Função de administrador global, administrador de aplicativos ou administrador de aplicativos na nuvem.
      • O usuário parceiro é membro do Grupo de Segurança especificado na Atribuição de Acesso.

Funções

Quais funções de GDAP são necessárias para acessar uma assinatura do Azure?
Existe orientação sobre as funções menos privilegiadas que posso atribuir aos usuários para tarefas específicas?

Sim. Para obter informações sobre como restringir as permissões de administrador de um usuário atribuindo funções menos privilegiadas no Microsoft Entra, consulte Funções menos privilegiadas por tarefa no Microsoft Entra.

Qual é a função menos privilegiada que posso atribuir ao locatário de um cliente e ainda poder criar tíquetes de suporte para o cliente?

Recomendamos atribuir a função de administrador de suporte de serviço. Para saber mais, consulte Funções menos privilegiadas por tarefa no Microsoft Entra.

Posso abrir tíquetes de suporte para um cliente em um relacionamento GDAP do qual todas as funções do Microsoft Entra foram excluídas?

Não. A função menos privilegiada para que os usuários parceiros possam criar tíquetes de suporte para seus clientes é o administrador de suporte do serviço. Portanto, para poder criar tíquetes de suporte para o cliente, um usuário parceiro deve estar em um grupo de segurança e atribuído a esse cliente com essa função.

Onde posso encontrar informações sobre todas as funções e cargas de trabalho incluídas no GDAP?

Para obter informações sobre todas as funções, consulte Funções internas do Microsoft Entra.

Para obter informações sobre cargas de trabalho, consulte Cargas de trabalho suportadas por privilégios de administrador delegados granulares (GDAP).

Qual função GDAP dá acesso ao Centro de Administração do Microsoft 365?

Muitas funções são usadas para o Centro de Administração do Microsoft 365. Para obter mais informações, confira Funções do centro de administração do Microsoft 365 frequentemente usadas.

Posso criar grupos de segurança personalizados para GDAP?

Sim. Crie um grupo de segurança, atribua funções aprovadas e atribua usuários locatários parceiros a esse grupo de segurança.

Quais funções GDAP dão acesso somente leitura às assinaturas do cliente e, portanto, não permitem que o usuário as gerencie?

O acesso somente leitura às assinaturas do cliente é fornecido pelas funções de suporte Leitor global, Leitor de diretório e Parceiro de nível 2.

Que função devo atribuir aos meus agentes parceiros (atualmente agentes administradores) se eu quiser que eles gerenciem o locatário do cliente, mas não modifiquem as assinaturas do cliente?

Recomendamos remover os agentes parceiros da função Agente administrador e adicioná-los apenas a um grupo de segurança GDAP. Dessa forma, eles podem administrar serviços (gerenciamento de serviços e registrar solicitações de serviço, por exemplo), mas não podem comprar e gerenciar assinaturas (alterar quantidade, cancelar, agendar alterações e assim por diante).

O que acontece se um cliente conceder funções GDAP ao parceiro e, em seguida, remover funções ou cortar o relacionamento GDAP?

Os grupos de segurança atribuídos ao relacionamento perdem acesso a esse cliente. A mesma coisa acontece se um cliente encerrar um relacionamento DAP.

Um parceiro pode continuar a transacionar para um cliente depois de remover todo o relacionamento GDAP com o cliente?

Sim, remover os relacionamentos GDAP com um cliente não encerra o relacionamento de revendedor dos parceiros com o cliente. Os parceiros ainda podem comprar produtos para o cliente e gerenciar o orçamento do Azure e outras atividades relacionadas.

Algumas funções no meu relacionamento GDAP com meu cliente podem ter um tempo maior até a expiração do que outras?

Não. Todas as funções em uma relação GDAP têm o mesmo tempo de expiração: a duração que foi escolhida quando a relação foi criada.

Preciso do GDAP para atender a pedidos de clientes novos e existentes no Partner Center?

Não. Você não precisa do GDAP para atender pedidos de clientes novos e existentes. Você pode continuar usando o mesmo processo para atender aos pedidos de clientes no Partner Center.

Preciso atribuir uma função de agente de parceiro a todos os clientes ou posso atribuir uma função de agente de parceiro a apenas um cliente?

Os relacionamentos GDAP são por cliente. Você pode ter vários relacionamentos por cliente. Cada relação GDAP pode ter funções diferentes e usar diferentes grupos do Microsoft Entra em seu locatário CSP.

No Partner Center, a atribuição de função funciona no nível de relacionamento cliente-GDAP. Se quiser atribuir funções a vários clientes, você pode automatizar o uso de APIs.

Um usuário parceiro pode ter funções GDAP e uma conta de convidado?

As contas de convidado são suportadas pelo GDAP, mas não com a relação DAP.

Preciso de DAP/GDAP para provisionamento de assinatura do Azure?

Não, você não precisa de DAP ou GDAP para comprar Planos do Azure e provisionar assinaturas do Azure para um cliente. O processo para criar uma Assinatura do Azure para um cliente está documentado em Criar uma assinatura para o cliente de um parceiro - Gerenciamento de Custos da Microsoft + Cobrança. Por padrão, o grupo Agentes Administradores no locatário do Parceiro se torna o proprietário das Assinaturas do Azure provisionadas para o cliente. Entre no portal do Azure usando sua ID do Partner Center.

Para provisionar o acesso ao cliente, você precisa de um relacionamento GDAP. A relação GDAP deve incluir, no mínimo, a função Microsoft Entra de Leitores de Diretório. Para provisionar o acesso no Azure, use a página de controle de acesso (IAM). Para AOBO, entre no Partner Center e use a página Gerenciamento de Serviços para provisionar o acesso ao cliente.

Quais funções do Microsoft Entra são suportadas pelo GDAP?

Atualmente, o GDAP oferece suporte apenas a funções internas do Microsoft Entra. Não há suporte para funções personalizadas do Microsoft Entra.

Por que os administradores GDAP + usuários B2B não podem adicionar métodos de autenticação no aka.ms/mysecurityinfo?

Os administradores convidados do GDAP não conseguem gerenciar suas próprias informações de segurança em My Security-Info. Em vez disso, eles precisarão da assistência do administrador do locatário no qual são convidados para qualquer registro, atualização ou exclusão de informações de segurança. As organizações podem configurar políticas de acesso entre locatários para confiar na MFA do locatário CSP confiável. Caso contrário, os administradores convidados do GDAP serão limitados apenas a métodos registráveis pelo administrador dos locatários (que é SMS ou Voz). Para saber mais, consulte Políticas de acesso entre locatário.

DAP e GDAP

O GDAP está substituindo o DAP?

Sim. Durante o período de transição, DAP e GDAP coexistirão, com as permissões GDAP tendo precedência sobre as permissões DAP para cargas de trabalho do Microsoft 365, Dynamics 365 e Azure .

Posso continuar a usar o DAP ou tenho que fazer a transição de todos os meus clientes para o GDAP?

DAP e GDAP coexistem durante o período de transição. No entanto, o GDAP acabará substituindo o DAP para garantir que forneçamos uma solução mais segura para nossos parceiros e clientes. É aconselhável que você faça a transição de seus clientes para o GDAP o mais rápido possível para garantir a continuidade.

Ainda que o DAP e o GDAP coexistam, haverá alterações na forma como um relacionamento do DAP é criado?

Não haverá alterações no fluxo de relacionamento do DAP existente enquanto o DAP e o GDAP coexistirem.

Quais funções do Microsoft Entra seriam concedidas para GDAP padrão como parte do Create customer?

No momento, o DAP é concedido quando um locatário do cliente é criado. A partir de 25 de setembro de 2023, a Microsoft não concederá mais DAP para a criação de novos clientes e, em vez disso, concederá GDAP padrão com funções específicas. As funções padrão variam de acordo com o tipo de parceiro, conforme mostrado na tabela a seguir:

Funções do Microsoft Entra concedidas para GDAP padrão Parceiros de Cobrança Direta Fornecedores Indiretos Revendedores Indiretos Parceiros de domínio Fornecedores de Painel de Controle (CPVs) Supervisor Optou por não participar do GDAP padrão (sem DAP)
1. Leitores de diretório. Pode ler informações básicas do diretório. Normalmente usado para conceder acesso de leitura de diretório a aplicativos e convidados. x x x x x
2. Escritores de diretórios. Pode ler e gravar informações básicas do diretório. Para conceder acesso a aplicativos, não destinado a usuários. x x x x x
3. Administrador de licenças. Pode gerenciar licenças de produto em usuários e grupos. x x x x x
4. Administrador de Suporte de Serviços. Pode ler informações de integridade do serviço e gerenciar os tíquetes de suporte. x x x x x
5. Administrador de Usuários. Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados. x x x x x
6. Administrador de Função Privilegiada. Pode gerenciar atribuições de função no Microsoft Entra e todos os aspectos do Gerenciamento de Identidades Privilegiadas. x x x x x
7. Administrador de Helpdesk. Pode redefinir senhas para não administradores e administradores de Help Desk. x x x x x
8. Administrador de autenticação privilegiada. Pode acessar para exibir, definir e redefinir informações do método de autenticação para qualquer usuário (administrador ou não administrador). x x x x x
9. Administrador de Aplicações em Nuvem. Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais, exceto o Proxy de Aplicativo. x x x x
10. Administrador de Aplicações. Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais. x x x x
11. Leitor Global. Pode ler tudo o que um administrador global pode, mas não pode atualizar nada. x x x x x
12. Administrador Externo do Provedor de Identidade. Pode gerenciar a federação entre organizações do Microsoft Entra e provedores de identidade externos. x
13. Administrador de Nomes de Domínio. Pode gerenciar nomes de domínio na nuvem e no local. x
Como o GDAP funcionará com o Gerenciamento de Identidades Privilegiadas no Microsoft Entra?

Os parceiros podem implementar o Gerenciamento de Identidade Privilegiada (PIM) em um grupo de segurança GDAP no locatário do parceiro para elevar o acesso de alguns usuários de alto privilégio, just in time (JIT) para conceder a eles funções de alto privilégio, como administradores de senha com remoção automática de acesso.

Para habilitar essa implementação, a assinatura do Microsoft Entra ID P2 é exigida pelo PIM está disponível gratuitamente. Os parceiros da Microsoft podem entrar para obter os detalhes.

Até janeiro de 2023, era exigido que todo Grupo de Acesso Privilegiado (antigo nome do recurso PIM para Grupos ) tivesse que estar em um grupo atribuível por função. Essa restrição foi removida. Com isso, é possível habilitar mais de 500 grupos por locatário no PIM, mas apenas até 500 grupos podem ser atribuídos por função.

Resumo:

  • Os parceiros podem usar grupos atribuíveis e não atribuíveis por função no PIM. Isso efetivamente remove o limite de 500 grupos/locatário no PIM.

  • Com as atualizações mais recentes, haverá duas maneiras de integrar o grupo ao PIM (UX-wise): no menu PIM ou no menu Grupos. Independentemente da forma escolhida, o resultado líquido é o mesmo.

    • A capacidade de integrar grupos atribuíveis por função/não atribuíveis por função por meio do menu PIM já está disponível.

    • A capacidade de integrar grupos atribuíveis por função/não atribuíveis por função por meio do menu Grupos já está disponível.

  • Para obter mais informações, consulte Gerenciamento de identidade privilegiada (PIM) para grupos (visualização) - Microsoft Entra.

Como DAP e GDAP coexistem se um cliente comprar o Microsoft Azure e o Microsoft 365 ou o Dynamics 365?

O GDAP está disponível para o público em geral com suporte para todos os serviços de nuvem comerciais da Microsoft (cargas de trabalho do Microsoft 365, Dynamics 365, Microsoft Azure e Microsoft Power Platform ). Para obter mais informações sobre como o DAP e o GDAP podem coexistir e como o GDAP tem precedência, consulte Como o GDAP terá precedência sobre o DAP.

Tenho uma grande base de clientes (10.000 contas de clientes, por exemplo). Como faço a transição do DAP para o GDAP?

Essa ação pode ser realizada por APIs.

Não. Seus ganhos com PEC não serão afetados quando você fizer a transição para o GDAP. Não há mudanças no PAL com a transição, garantindo que você continue ganhando PEC.

A PEC é afetada quando o DAP/GDAP é removido?
  • Se o cliente de um parceiro tiver apenas DAP e o DAP for removido, a PEC não será perdida.
  • Se o cliente de um parceiro tiver DAP e ele mudar para o GDAP para Office e Azure simultaneamente, e o DAP for removido, o PEC não será perdido.
  • Se o cliente do parceiro tiver DAP e ele mudar para o GDAP for Office, mas mantiver o Azure como está (ele não muda para o GDAP) e o DAP for removido, o PEC não será perdido, mas o acesso à assinatura do Azure será perdido.
  • Se uma função RBAC for removida, a PEC será perdida, mas a remoção do GDAP não removerá o RBAC.
Como as permissões GDAP têm precedência sobre as permissões DAP enquanto DAP e GDAP coexistem?

Quando o usuário faz parte do grupo de segurança GDAP e do grupo de agentes Administradores do DAP e o cliente tem relacionamentos DAP e GDAP, o acesso GDAP tem precedência no nível do parceiro, do cliente e da carga de trabalho.

Por exemplo, se um usuário parceiro entrar para uma determinada carga de trabalho e houver DAP para a função de administrador global e GDAP para a função de leitor global, o usuário parceiro só obterá permissões de leitor global.

Se houver três clientes com atribuições de funções GDAP somente ao grupo de segurança GDAP (não a agentes administradores):

Diagrama mostrando a relação entre diferentes usuários como membros dos grupos de segurança *Admin agent* e GDAP.

Customer Relacionamento com parceiro
Cliente 1 DAP (não GDAP)
Cliente 2 DAP e GDAP
Cliente 3 GDAP (não DAP)

A tabela a seguir descreve quando um usuário entra em um locatário de cliente diferente.

Usuário de exemplo Exemplo de locatário do cliente Comportamento Comentários
Usuário 1 Cliente 1 DAP Este exemplo é DAP no estado em que se encontra.
Usuário 1 Cliente 2 DAP Não há atribuição de função GDAP ao grupo de agentes Admin, o que resulta no comportamento do DAP.
Usuário 1 Cliente 3 Sem acesso Não há relação de DAP, portanto, o grupo de agentes Admin não tem acesso ao cliente 3.
Usuário 2 Cliente 1 DAP Este exemplo é DAP como está
Usuário 2 Cliente 2 GDAP O GDAP tem precedência sobre o DAP porque há uma função GDAP atribuída ao usuário 2 por meio do grupo de segurança GDAP, mesmo que o usuário faça parte do grupo de agentes Admin.
Usuário 2 Cliente 3 GDAP Este exemplo é um cliente somente GDAP.
Usuário 3 Cliente 1 Sem acesso Não há atribuição de função GDAP ao cliente 1.
Usuário 3 Cliente 2 GDAP O usuário 3 não faz parte do grupo de agentes Admin, o que resulta em comportamento somente GDAP.
Usuário 3 Cliente 3 GDAP Comportamento somente GDAP
A desativação do DAP ou a transição para o GDAP afetará meus benefícios de competência herdados ou as designações de Parceiro de Soluções que alcancei?

DAP e GDAP não são tipos de associação qualificados para designações de Parceiros de Soluções e desabilitar ou fazer a transição de DAP para GDAP não afetará a obtenção de designações de Parceiros de Soluções. Sua renovação de benefícios de competência legados ou benefícios de parceiro de soluções também não será afetada.

Vá para Designações de parceiros de soluções do Partner Center para ver quais outros tipos de associação de parceiros são qualificados para designações de parceiros de soluções.

Como o GDAP funciona com o Farol do Azure? O GDAP e o Farol do Azure afetam um ao outro?

Sobre o relacionamento entre o Azure Lighthouse e o DAP/GDAP, pense neles como caminhos paralelos desacoplados para os recursos do Azure, portanto, desativar um não deverá afetar o outro.

  • No cenário do Farol do Azure, os usuários do locatário parceiro nunca entram no locatário do cliente e não têm permissões do Microsoft Entra no locatário do cliente. As atribuições de função RBAC do Azure deles também são mantidas no locatário do parceiro.

  • No cenário GDAP, os usuários do locatário parceiro entram no locatário do cliente e a atribuição de função RBAC do Azure ao grupo de agentes Admin também estão no locatário do cliente. Você pode bloquear o caminho GDAP (os usuários não podem mais entrar) enquanto o caminho do Farol do Azure não é afetado. Por outro lado, você pode desativar o relacionamento com o Lighthouse (projeção) sem afetar o GDAP. Para obter mais informações, consulte a documentação do Farol do Azure.

Como o GDAP funciona com o Microsoft 365 Lighthouse?

Os MSPs (Provedores de Serviços Gerenciados) inscritos no programa CSP (Provedor de Soluções na Nuvem) como revendedores indiretos ou parceiros de cobrança direta agora podem usar o Microsoft 365 Lighthouse para configurar o GDAP para qualquer locatário do cliente. Como já há algumas maneiras pelas quais os parceiros estão gerenciando sua transição para o GDAP, esse assistente permite que os parceiros do Lighthouse adotem recomendações de função específicas para suas necessidades de negócios. Ele também permite que eles adotem medidas de segurança, como acesso just-in-time (JIT). Os MSPs também podem criar modelos GDAP por meio do Lighthouse para salvar e reaplicar facilmente as configurações que permitem o acesso de clientes com privilégios mínimos. Para obter mais informações e exibir uma demonstração, consulte o assistente de instalação do Lighthouse GDAP.

Os MSPs podem configurar o GDAP para qualquer locatário do cliente no Lighthouse. Para acessar os dados de carga de trabalho do cliente no Lighthouse, é necessário um relacionamento GDAP ou DAP. Se GDAP e DAP coexistirem em um locatário do cliente, as permissões GDAP terão precedência para técnicos MSP em grupos de segurança habilitados para GDAP. Para obter mais informações sobre os requisitos do Microsoft 365 Lighthouse, consulte Requisitos para o Microsoft 365 Lighthouse.

Qual é a melhor maneira de migrar para o GDAP e remover o DAP sem perder o acesso às assinaturas do Azure se eu tenho clientes com o Azure?

A sequência correta a seguir para este cenário é:

  1. Crie um relacionamento com o GDAP para Microsoft 365 e para o Azure.
  2. Atribua funções do Microsoft Entra a grupos de segurança para o Microsoft 365 e o Azure.
  3. Configure o GDAP para ter precedência sobre o DAP.
  4. Remova o DAP.

Importante

Se você não seguir essas etapas, os agentes administradores existentes que gerenciam o Azure poderão perder o acesso às assinaturas do Azure para o cliente.

A sequência a seguir pode resultar na perda de acesso às assinaturas do Azure:

  1. Remova o DAP.

    Você não necessariamente perderá o acesso a uma assinatura do Azure removendo o DAP. Mas, no momento, você não pode navegar no diretório do cliente para fazer atribuições de função RBAC do Azure (como atribuir um novo usuário cliente como colaborador RBAC de assinatura).

  2. Crie uma relação GDAP para o Microsoft 365 e o Azure juntos.

    Você pode perder o acesso à assinatura do Azure nesta etapa assim que o GDAP for configurado.

  3. Atribuir funções do Microsoft Entra a grupos de segurança para o Microsoft 365 e o Azure

    Você recuperará o acesso às assinaturas do Azure após a conclusão da instalação do GDAP do Azure.

Tenho clientes com assinaturas do Azure sem DAP. Se eu movê-los para o GDAP para Microsoft 365, perderei o acesso às assinaturas do Azure?

Se você tiver assinaturas do Azure sem DAP que você gerencia como proprietário, adicionando GDAP para Microsoft 365 a esse cliente, você pode perder o acesso às assinaturas do Azure. Para evitar isso, mova o cliente para o Azure GDAP ao mesmo tempo em que você move o cliente para o Microsoft 365 GDAP.

Importante

Se essas etapas não forem seguidas, os agentes de administração existentes que gerenciam o Azure podem perder o acesso às assinaturas do Azure para o cliente.

Não. Os relacionamentos, uma vez aceitos, não são reutilizáveis.

Se eu tiver um relacionamento de revendedor com clientes sem DAP e que não têm nenhum relacionamento GDAP, posso acessar sua assinatura do Azure?

Se você tiver um relacionamento de revendedor existente com o cliente, ainda precisará estabelecer um relacionamento GDAP para poder gerenciar suas assinaturas do Azure.

  1. Crie um grupo de segurança (por exemplo, Gerentes do Azure) no Microsoft Entra.
  2. Crie uma relação GDAP com a função de leitor de diretório.
  3. Torne o grupo de segurança um membro do grupo Agente Administrador .

Feito isso, você poderá gerenciar a assinatura do Azure do cliente via AOBO. A assinatura não pode ser gerenciada via CLI/Powershell.

Posso criar um plano do Azure para clientes sem DAP e que não têm relação GDAP?

Sim, você pode criar um plano do Azure mesmo que não haja DAP ou GDAP com um relacionamento de revendedor existente; no entanto, para gerenciar essa assinatura, você precisará de DAP ou GDAP.

Por que a seção Detalhes da empresa na página Conta em Clientes não exibe mais detalhes quando o DAP é removido?

À medida que os parceiros fazem a transição do DAP para o GDAP, eles devem garantir que os seguintes itens estejam em vigor para ver os detalhes da empresa:

  • Uma relação GDAP ativa.
  • Qualquer uma das seguintes funções do Microsoft Entra são atribuídas: Administrador Global, Leitores de Diretório, Leitor Global. Consulte Conceder permissões granulares a grupos de segurança.
Por que meu nome de usuário é substituído por "user_somenumber" em portal.azure.com quando existe um relacionamento GDAP?

Quando um CSP faz logon no portal do Azure de seu cliente (portal.azure.come) usando suas credenciais CSP e existe uma relação GDAP, o CSP percebe que seu nome de usuário é "user_" seguido de algum número. Ele não exibe seu nome de usuário real como no DAP. Isso ocorre por design.

Captura de tela do nome de usuário mostrando a substituição.

Quais são os prazos para Parar DAP e conceder GDAP Padrão com a criação de um novo cliente?
Tipo de locatário Data de disponibilidade Comportamento da API do Partner Center (POST /v1/customers)
enableGDAPByDefault: verdadeiro		 Comportamento da API do Partner Center (POST /v1/customers)
enableGDAPByDefault: false		 Comportamento da API do Partner Center (POST /v1/customers)
Nenhuma alteração na solicitação ou na carga útil		 Comportamento da interface do usuário do Partner Center
Área restrita 25 de setembro de 2023 (somente API) DAP = Não. GDAP padrão = Sim DAP = Não. GDAP padrão = Não DAP = Sim. GDAP padrão = Não GDAP padrão = Sim
Produção 10 de outubro de 2023 (API + UI) DAP = Não. GDAP padrão = Sim DAP = Não. GDAP padrão = Não DAP = Sim. GDAP padrão = Não Opt-in/out disponível: GDAP padrão
Produção 27 de novembro de 2023 (lançamento do GA concluído em 2 de dezembro) DAP = Não. GDAP padrão = Sim DAP = Não. GDAP padrão = Não DAP = Não. GDAP padrão = Sim Opt-in/out disponível: GDAP padrão

Os parceiros devem conceder explicitamente permissões granulares a grupos de segurança no GDAP Padrão.
A partir de 10 de outubro de 2023, o DAP não está mais disponível com relacionamentos de revendedor. O link Solicitar Relacionamento de Revendedor atualizado está disponível na interface do usuário do Partner Center e a URL da propriedade "/v1/customers/relationship requests" do contrato de API retorna a URL de convite a ser enviada ao administrador do locatário do cliente.

Um parceiro deve conceder permissões granulares a grupos de segurança no GDAP Padrão?

Sim, os parceiros devem conceder explicitamente permissões granulares a grupos de segurança no GDAP padrão para gerenciar o cliente.

Quais ações um parceiro com relacionamento de revendedor, mas sem DAP e sem GDAP, pode executar no Partner Center?

Parceiros com relacionamento de revendedor somente sem DAP ou GDAP podem criar clientes, fazer & gerenciar pedidos, baixar chaves de software, gerenciar o Azure RI. Eles não podem exibir detalhes da empresa do cliente, não podem exibir usuários ou atribuir licenças a usuários, não podem registrar tickets em nome dos clientes e não podem acessar os centros de administração específicos do produto (por exemplo, o Centro de administração do Teams.)

Para que um parceiro ou CPV acesse e gerencie um locatário do cliente, a entidade de serviço do aplicativo deve ser consentida no locatário do cliente. Quando o DAP está ativo, eles devem adicionar a entidade de serviço do aplicativo ao SG dos Agentes Administradores no locatário parceiro. Com o GDAP, o parceiro deve garantir que seu aplicativo seja consentido no locatário do cliente. Se o aplicativo usar permissões delegadas (Aplicativo + Usuário) e existir um GDAP ativo com qualquer uma das três funções (Administrador de Aplicativo na Nuvem, Administrador de Aplicativos, Administrador Global), a API de consentimento poderá ser usada. Se o aplicativo usar permissões somente de aplicativo, ele deverá ser consentido manualmente, seja pelo parceiro ou cliente que tenha qualquer uma das três funções (Administrador de Aplicativo de Nuvem, Administrador de Aplicativo, Administrador Global), usando a URL de consentimento de administrador em todo o locatário.

Que ação um parceiro deve executar para um erro 715-123220 ou conexões anônimas não são permitidas para este serviço?

Se você estiver vendo o seguinte erro:

"Não podemos validar sua solicitação 'Criar novo relacionamento GDAP' no momento. Esteja ciente de que conexões anônimas não são permitidas para este serviço. Se você acredita que recebeu esta mensagem por engano, tente sua solicitação novamente. Clique para saber mais sobre as ações que você pode tomar. Se o problema persistir, entre em contato com o suporte e o código de mensagem de referência 715-123220 e ID da transação: guid."

Altere a forma como você se conecta à Microsoft para permitir que nosso serviço de verificação de identidade funcione corretamente, para que possamos garantir que sua conta não foi comprometida e está em conformidade com os regulamentos que a Microsoft deve cumprir.

O que você pode fazer:

  • Limpar o cache do navegador.
  • Desativar a prevenção de rastreamento em seu navegador ou adicionar nosso site à sua lista de exceções/sites seguros.
  • Desativar qualquer programa ou serviço de rede privada virtual (VPN) que você possa estar usando.
  • Conectar-se diretamente do seu dispositivo local, em vez de por meio de uma máquina virtual (VM).

Depois de tentar essas etapas, você ainda não consegue se conectar, sugerimos consultar o Help Desk de TI para verificar suas configurações e ver se elas podem ajudar a identificar o que está causando o problema. Às vezes, o problema está nas configurações de rede da sua empresa, caso em que o administrador de TI precisaria resolver o problema, por exemplo, colocando nosso site na lista segura ou outros ajustes de configuração de rede.

Quais ações GDAP são permitidas para um parceiro que está desembarcado (restrito, suspenso)?
  • Restrito (Fatura Direta): Novo GDAP (Relacionamentos Administrativos) NÃO PODE ser criado. Os GDAPs existentes e suas atribuições de função PODEM ser atualizados.
  • Suspenso (Conta Direta/Provedor Indireto/Revendedor Indireto): Novo GDAP NÃO PODE ser criado. Os GDAPs existentes e suas atribuições de função NÃO PODEM ser atualizados.
  • Restrito (Conta Direta) + Ativo (Revendedor Indireto): Novo GDAP (Relacionamento com Administradores) PODE ser criado. Os GDAPs existentes e suas atribuições de função PODEM ser atualizados.

Ofertas

O gerenciamento de assinaturas do Azure está incluído nessa versão do GDAP?

Sim. A versão atual do GDAP oferece suporte a todos os produtos: Microsoft 365, Dynamics 365, Microsoft Power Platform e Microsoft Azure.