GDAP frequentemente fez perguntas
Funções apropriadas: Todos os utilizadores interessados no Partner Center
A capacidade de permissão de Administração delegado granular (GDAP) permitirá aos parceiros controlar o acesso mais granular e com tempo às cargas de trabalho dos seus clientes, o que significa que os parceiros serão mais capazes de resolver as preocupações de segurança dos seus clientes. Os parceiros também poderão prestar mais serviços aos clientes que se sentem desconfortáveis com os níveis atuais de acesso aos parceiros e que têm requisitos regulamentares para fornecer apenas acesso menos privilegiado aos parceiros.
Para mais informações, consulte a recolha de prontidão.
Criação do GDAP
Quem pode criar um pedido de convite do GDAP?
O agente administrativo parceiro dentro da organização parceira pode levantar um pedido de convite do GDAP.
Quando um Parceiro envia um pedido de relacionamento GDAP a um cliente, e o cliente não toma qualquer medida sobre ele, este pedido em si expira a qualquer momento?
Sim. As relações pendentes expiram após 90 dias.
Quando é o termo da relação GDAP?
A caducidade da relação GDAP é definida pelo parceiro. O padrão é de dois anos (máximo), no entanto o parceiro pode atualizar esta gama e reduzi-la a um mínimo de um dia.
É possível tornar permanente a relação do GDAP com o cliente?
N.º As relações permanentes do GDAP com os clientes não são possíveis por razões de segurança. A duração máxima para uma relação GDAP é de dois anos.
Como pode um cliente prolongar ou renovar a relação GDAP?
Para prolongar ou renovar a relação do GDAP, os parceiros terão de reencamender o pedido de relacionamento do GDAP ao cliente.
É possível mudar a relação do GDAP com o cliente?
Não, não é possível auto-autorizar novas relações do GDAP com os clientes por razões de segurança.
O que faço quando a minha relação com o GDAP com o meu cliente expira? Existe um processo de renovação automática?
Se a relação do GDAP com o seu cliente expirar, terá de recriar novamente a relação GDAP. Existem análises disponíveis para acompanhar as datas de validade da relação do GDAP para se preparar para a sua renovação. Não há nenhum processo de renovação automática.
Se a relação com o GDAP expirar, as assinaturas existentes do cliente serão afetadas?
Não haverá alteração nas subscrições existentes do cliente se a relação do GDAP expirar.
Como posso continuar a administrar serviços para os meus clientes se o DAP para clientes inativos é removido?
Enquanto o DAP e o GDAP coexistem, pode continuar a administrar serviços para os seus clientes, estabelecendo uma relação GDAP ou recriando a relação da DAP com eles através do Partner Center. Recomendamos estabelecer uma relação GDAP para garantir que tem o acesso mais seguro e menos privilegiado ao inquilino do seu cliente.
No futuro, terá de ter uma relação GDAP com quaisquer clientes a quem deseje administrar serviços.
Quem receberá o e-mail de notificação de rescisão de relacionamento do GDAP?
Dentro da organização Partner, o papel de agente administrativo receberá uma notificação. Dentro da organização do cliente, o papel de agente administrativo global receberá a notificação.
É possível ver quando o cliente remove o GDAP nos registos de atividade?
Sim, os parceiros podem ver quando um cliente remove GDAP nos registos de atividade do Partner Center.
Tenho de criar uma relação GDAP com todos os meus clientes?
Não, o GDAP é uma capacidade opcional para parceiros que querem gerir os serviços dos seus clientes a nível granular. Os parceiros podem escolher com que clientes querem criar uma relação GDAP.
Se tenho vários clientes, preciso de vários grupos de segurança para esses clientes?
Depende do seu cenário. Se quer que os utilizadores do seu parceiro sejam capazes de gerir todos os clientes, então pode colocar todos os utilizadores do seu parceiro num só grupo de segurança e que um grupo pode gerir todos os clientes.
Se preferir ter diferentes utilizadores parceiros a gerir clientes diferentes, então deve atribuir esses utilizadores parceiros a grupos de segurança separados por cada isolamento do cliente.
Os revendedores indiretos são capazes de criar links de pedido de relacionamento GDAP do seu Partner Center?
Sim, os revendedores indiretos (e fornecedores indiretos e parceiros de contas diretas) podem criar pedidos de relacionamento GDAP do Partner Center.
API do GDAP
Existem APIs disponíveis para criar uma relação GDAP com os meus clientes?
Sim, as APIs estarão disponíveis na documentação do desenvolvedor do Partner Center.
Posso criar várias relações GDAP com clientes diferentes ao mesmo tempo?
Sim, no entanto esta funcionalidade não está disponível através da experiência do Partner Center. Pode ser criado usando APIs, permitindo aos parceiros escalar este processo.
Posso migrar em massa os meus clientes do DAP para o GDAP?
Sim, este cenário é possível usando APIs. Um parceiro pode automatizar o processo de criação de relações GDAP com os seus clientes.
Vários grupos de segurança podem ser designados numa relação GDAP usando uma chamada API?
A API trabalha para um grupo de segurança de cada vez, mas o UX pode fazer vários grupos de segurança para mapeamento de várias funções.
Posso usar as APIs beta do GDAP para produção?
Sim. Recomenda-se que os parceiros utilizem as APIs beta GDAP para produção e, posteriormente, mudem para APIs v.1 quando ficarem disponíveis no futuro. Embora exista um aviso, "A utilização destas APIs em aplicações de produção não é suportada", esta é uma orientação genérica para qualquer API beta sob gráfico e não é aplicável às APIs beta Graph.
Funções
Quais as funções do GDAP necessárias para aceder a uma subscrição do Azure?
O parceiro deve criar um grupo de segurança (como a Azure Managers) para gerir o Azure e nidificá-lo sob Administração Agentes para a partilha de acesso por cliente, que é a melhor prática recomendada. Para aceder à subscrição da Azure como proprietária do cliente, qualquer Azure AD papel como o Diretoria Readers (papel menos privilegiado) deve ser atribuído ao grupo de segurança Azure Managers. Consulte [cargas de trabalho suportadas pelo GDAP](./gdap-supported-workloads.md] para as medidas de criação do Azure GDAP.
Existe alguma orientação sobre o papel de menor privilégio que posso atribuir aos utilizadores para tarefas específicas?
Sim, pode consultar este artigo para obter informações necessárias para restringir as permissões de administrador de um utilizador, atribuindo funções menos privilegiadas em Azure Ative Directory (Azure AD).
Que função de privilégio menos devo atribuir ao inquilino do cliente para poder criar bilhetes de apoio para o cliente?
Recomendamos a atribuição da função de Administrador de Suporte de Serviço. Saiba mais sobre Azure AD papéis.
É possível excluir todas as funções Azure AD da relação do GDAP e ainda permitir que o parceiro abra bilhetes de apoio ao cliente?
N.º O papel menos privilegiado para os utilizadores parceiros poderem criar bilhetes de apoio para o seu cliente é o Administrador de Suporte de Serviço. Portanto, para poder criar bilhetes de apoio para o cliente, o utilizador parceiro teria de estar num grupo de segurança e atribuído a esse cliente com esta função.
Onde posso encontrar informações sobre todas as funções e cargas de trabalho incluídas no GDAP?
Todos os papéis podem ser encontrados em Azure AD papéis incorporados. Informações sobre a carga de trabalho podem ser encontradas aqui.
Que papel do GDAP daria acesso ao Centro de Administração Microsoft 365?
Há muitos papéis que o Administração Microsoft 365 Center usa, você pode encontrar os papéis de Administração Microsoft 365 mais usados aqui.
Podemos criar grupos de segurança personalizados para o GDAP?
Sim, o parceiro terá de criar um grupo de segurança, atribuir funções aprovadas e, em seguida, atribuir utilizadores de inquilinos parceiros a esse grupo de segurança.
Qual a função GDAP que dará acesso apenas à leitura das subscrições do cliente, mas não permitirá que o utilizador as gere?
As funções Global Reader, Partner Tier 2 e Directory Reader fornecerão acesso apenas de leitura às subscrições do cliente.
Que papel devo atribuir aos meus agentes parceiros se eu quiser que eles gerem o inquilino do cliente, mas não modifiquem as assinaturas do cliente (atualmente agentes administrativos)?
Recomendamos remover os agentes parceiros da função de Agente Administração e adicioná-los apenas a um grupo de segurança GDAP. Desta forma, podem administrar serviços (por exemplo, gestão de serviços, pedidos de serviços de registo), mas não podem comprar e gerir subscrições (alterar quantidade, cancelar, alterar o horário, etc.).
O que acontece se o cliente tiver concedido funções de GDAP a parceiro e, em seguida, remover funções/cortar a relação GDAP?
Os grupos de segurança afetados a essa relação perderão o acesso ao cliente. Este comportamento é o mesmo se um cliente terminar a relação DAP.
Alguns papéis na minha relação com o GDAP com o meu cliente podem ter mais tempo para expirar do que outros?
Não, não é possível ter alguns papéis numa relação GDAP com um cliente para ter um tempo mais longo para expirar do que outros. Todas as funções dentro da relação GDAP terão o mesmo tempo de validade que é escolhida quando a relação é criada.
Preciso que o GDAP cumpra as encomendas de clientes novos e existentes no Partner Center?
Não, não precisa do GDAP para cumprir encomendas de clientes novos e existentes. Pode continuar a utilizar o mesmo processo para cumprir as encomendas dos clientes no Partner Center.
Tenho de atribuir um papel de agente parceiro a todos os clientes ou posso atribuir um papel de agente parceiro apenas a um cliente?
As relações com o GDAP são por cliente. Pode ter múltiplas relações por cliente. Cada Relacionamento GDAP pode ter diferentes funções e usar diferentes grupos de Azure AD dentro do seu CSP Tenant.
A atribuição de funções funciona no nível de relacionamento do cliente para o GDAP através da interface partner Center. Se quiser uma atribuição de funções multi-cliente, pode automatizar usando APIs.
DAP e GDAP
Tenho de transitar todos os meus clientes para o GDAP, ou posso continuar a usar o DAP?
Enquanto o DAP e o GDAP coexistirão durante o período de transição, o GDAP irá eventualmente substituir o DAP para garantir que fornecemos uma solução mais segura para os nossos parceiros e clientes. É aconselhável que transite os seus clientes para o GDAP o mais rapidamente possível para garantir a continuidade.
Como é que o GDAP vai trabalhar com Privileged Identity Management em Azure AD?
Os parceiros podem implementar Privileged Identity Management (PIM) num grupo de segurança GDAP no arrendatário do parceiro para elevar o acesso de alguns utilizadores de alto privilégio, mesmo a tempo (JIT) para lhes conceder funções de alto privilégio, como administradores de passwords com remoção automática de acesso. Para ativar esta implementação, a Microsoft irá oferecer uma licença de plano de Azure AD Premium gratuito 2 que é atualmente exigida pela PIM.
O GDAP vai substituir o DAP?
Sim. Durante o período de transição, tanto o DAP como o GDAP coexistirão, com permissões do GDAP a prevalecerem sobre as permissões da DAP para Microsoft 365, Dinâmica 365 e cargas de Azure.
Enquanto o DAP e o GDAP coexistem, haverá alterações na forma como uma relação DAP é criada?
Não há alterações no fluxo de relacionamento existente do DAP enquanto o DAP e o GDAP coexistem.
Como posso transitar do DAP para o GDAP se tenho uma grande base de clientes (por exemplo, 10.000 contas de clientes)?
Esta ação pode atualmente ser levada a cabo pelas APIs.
Haverá algum impacto nos meus ganhos do PEC se eu passar do DAP para o GDAP? Algum impacto no PAL?
Não, não haverá impacto nos seus ganhos de PEC quando passar para o GDAP. Não haverá alterações feitas ao PAL com a transição, garantindo que continue a ganhar PEC.
Como é que as permissões do GDAP terão precedência sobre as permissões do DAP enquanto o DAP e o GDAP coexistem?
Quando o utilizador faz parte do grupo de segurança GDAP e do grupo de agentes de Administração DAP e o cliente tem relações DAP e GDAP, o acesso ao GDAP tem precedência ao nível do parceiro, cliente, carga de trabalho.
Por exemplo, se um utilizador parceiro iniciar sessão para uma determinada carga de trabalho e houver DAP para o papel global Administração e GDAP para o papel De Leitor Global, o utilizador parceiro receberá apenas as permissões do Global Reader. Se houver três clientes com atribuições de funções GDAP apenas para o Grupo de Segurança GDAP (não Administração Agentes).
| Cliente | Relação com o parceiro |
|---|---|
| Cliente 1 | DAP (sem GDAP) |
| Cliente 2 | DAP + GDAP ambos |
| Cliente 3 | GDAP (sem DAP) |
A tabela seguinte descreve o comportamento em diferentes casos em que um utilizador está a iniciar sessão com um cliente inquilino diferente.
| Utilizador de exemplo | Exemplo inquilino cliente | Comportamento | Comentários |
|---|---|---|---|
| Utilizador 1 | Cliente 1 | DAP | Este é DAP como é |
| Utilizador 1 | Cliente 2 | DAP | Não há nenhuma atribuição de papel do GDAP para o grupo Administração Agentes, o que resulta no comportamento do DAP |
| Utilizador 1 | Cliente 3 | Sem acesso | Não há nenhuma relação com o DAP, por isso o grupo Administração Agentes não tem acesso ao cliente 3 |
| Utilizador 2 | Cliente 1 | DAP | Este é DAP como é |
| Utilizador 2 | Cliente 2 | GDAP | O GDAP tem precedência sobre o DAP porque há uma função GDAP atribuída ao cliente 2 através do grupo de segurança GDAP, mesmo que o utilizador faça parte do grupo Administração Agent |
| Utilizador 2 | Cliente 3 | GDAP | Este é um cliente só para GDAP |
| Utilizador 3 | Cliente 1 | Sem acesso | Não há atribuição de papel do GDAP ao cliente 1 |
| Utilizador 3 | Cliente 2 | GDAP | O utilizador não faz parte do grupo Administração Agent, o que resulta num comportamento apenas do GDAP |
| Utilizador 3 | Cliente 3 | GDAP | Comportamento apenas do GDAP |
Como é que o DAP e o GDAP coexistem se um cliente compra Azure e Microsoft 365 ou Dynamics 365?
O GDAP está geralmente disponível com suporte para todos os serviços de nuvem comercial da Microsoft (M365, Dynamics 365, Azure e Power platform workloads). Para obter mais informações sobre como o DAP e o GDAP podem coexistir e como o GDAP tem precedência, veja como é que o GDAP terá precedência sobre o DAP.
O PEC é impactado quando o DAP/GDAP é removido?
- Se o cliente do parceiro tiver apenas DAP e o DAP for removido, o PEC não se perde
- Se o cliente do parceiro tiver DAP, e se mudarem para o GDAP para Office e Azure simultaneamente, e o DAP for removido, o PEC não se perde.
- Se o cliente do parceiro tiver DAP, e se mudarem para o GDAP para Office mas manter o Azure como está (eles não se mudam para GDAP) e o DAP for removido, o PEC não será perdido, mas o acesso à subscrição do Azure será perdido.
- Se o papel do RBAC for removido, o PEC perde-se, mas note que remover o GDAP não removerá o RBAC
Irá desativar o DAP ou transitar para as competências de impacto do GDAP que atingi?
A sua competência pode ser afetada pela desativação do DAP. Vá às competências do Partner Center para ver que outros tipos de associação de parceiros são elegíveis para uso ativo mensal do cliente (MAU) para o cálculo do limiar de desempenho. Também pode ver as suas competências atualmente ativas.
Como é que o GDAP vai funcionar em conjunto com o Farol Azure? O GDAP e o Farol Azure têm impacto um no outro?
No que diz respeito à relação entre o Farol Azure e o DAP/GDAP, pense neles como caminhos paralelos dissociados para os recursos de Azure, por isso cortar um não deve afetar o outro. No cenário do Farol Azure, os utilizadores do inquilino parceiro nunca se inscrevem no inquilino do cliente e não têm quaisquer permissões Azure AD no arrendatário do cliente. As suas atribuições de funções Azure RBAC também são mantidas no inquilino parceiro.
No cenário do GDAP, os utilizadores do inquilino parceiro que se inscrevem para o inquilino do cliente, e a atribuição de funções do Azure RBAC ao grupo Administração Agentes também estão no cliente inquilino. Pode bloquear o caminho do GDAP (os utilizadores já não podem iniciar sação) enquanto o caminho do Farol de Azure não for afetado. Inversamente, pode cortar a relação do Farol (projeção) sem afetar o GDAP. Para mais informações, consulte a documentação do Farol Azure .
Qual é a melhor maneira de mudar para o GDAP e remover o DAP sem perder acesso às assinaturas da Azure se eu tiver clientes com a Azure?
A sequência correta a seguir para este cenário é:
- Crie uma relação GDAP tanto para Microsoft 365 como para o Azure.
- Atribua Azure AD papéis a grupos de segurança para Microsoft 365 e Azure.
- Configure o GDAP para ter precedência sobre o DAP.
- Remova o DAP.
Importante
Se estes passos não forem seguidos, os agentes de Administração existentes que gerem o Azure podem perder acesso às subscrições da Azure para o cliente.
A seguinte sequência pode resultar na perda de acesso às assinaturas Azure:
- Remova o DAP. Não perderá necessariamente o acesso à subscrição do Azure removendo o DAP. Mas, neste momento, não é possível navegar no diretório do cliente para fazer quaisquer atribuições de funções do Azure RBAC (como atribuir um novo utilizador de cliente como colaborador rbac de subscrição).
- Crie uma relação GDAP tanto para Microsoft 365 como para o Azure juntos. Pode perder o acesso à subscrição do Azure neste passo assim que o GDAP for configurado.
- Atribua Azure AD funções a grupos de segurança para Microsoft 365 e Azure, recuperará o acesso às subscrições do Azure após a configuração do Azure GDAP estar concluída.
Tenho clientes com assinaturas Azure sem DAP. Se os mudar para o GDAP para Microsoft 365, perderei o acesso à assinatura do Azure?
Se tiver subscrições Azure sem DAP que gere como proprietário, adicionando GDAP para Microsoft 365 a esse cliente, poderá perder o acesso à subscrição do Azure. Para evitar isso, é necessário deslocar o cliente para a Azure GDAP ao mesmo tempo que desloca o cliente para Microsoft 365 GDAP.
Importante
Se estes passos não forem seguidos, os agentes de Administração existentes que gerem o Azure podem perder acesso às subscrições da Azure para o cliente.
Ofertas
A gestão das assinaturas Azure está incluída nesta versão do GDAP?
Sim, o lançamento atual do GDAP suporta todos os produtos: Microsoft 365, Dynamics 365, Power Platform e Azure.
Como é que o GDAP vai trabalhar em conjunto com Microsoft 365 Lighthouse?
Ou granular delegado Administração Privileges (GDAP) mais uma relação de revendedor indireto ou uma relação delegada Administração Privileges (DAP) é necessária para a bordo de clientes para o Farol. Se o DAP e o GDAP coexistirem num inquilino de clientes, as permissões do GDAP têm precedência para os técnicos da MSP em grupos de segurança habilitados para O GDAP. Em breve, os clientes com relações só com GDAP (sem relações de revendedor indiretos) poderão embarcar no Farol. Para obter mais informações sobre os requisitos para Microsoft 365 Lighthouse, consulte os requisitos para Microsoft 365 Lighthouse.