Orientação de funções do GDAP
Funções adequadas: agente Administração
Este artigo fornece orientações aos parceiros sobre os quais podem ser utilizados Microsoft Azure Ative Directory (Azure AD) de função incorporada para cada capacidade de administração delegado granular (GDAP). Por exemplo, para submeter bilhetes de apoio em nome de um cliente requer a função de administrador de suporte de serviço, que é a função menos privilegiada Azure AD incorporada no inquilino do seu cliente.
Bilhetes de apoio
De acordo com os requisitos do programa Cloud Service Provider (CSP), os revendedores indiretos não conseguem registar bilhetes de suporte para o Azure. Em vez disso, têm de trabalhar com os seus fornecedores indiretos.
| Para arquivar um caso de apoio | Os parceiros de faturação direta e os fornecedores indiretos necessitam do seguinte papel menos privilegiado: |
|---|---|
| Para Microsoft 365 no centro de administração do Microsoft 365 | Atribuição de funções do GDAP a uma função que tem Microsoft.office365.supportTickets/allEntities/allTasks permissões, tais como administrador de suporte de serviço |
| Para a Dinâmica 365 na Plataforma de Energia Administração Center | Atribuição de funções do GDAP a uma função que tem Microsoft.office365.supportTickets/allEntities/allTasks permissões, tais como administrador de suporte de serviço |
| Para um recurso de subscrição Azure na portal do Azure | Pré-requisito: Para registar bilhetes em nome de clientes que utilizem a subscrição Azure de um cliente, os parceiros precisam de ter uma relação de revendedor com o cliente, conforme explicado na autorização regional da CSP. Para obter mais detalhes, consulte os Passos para configurar o Azure GDAP. Qualquer atribuição do GDAP a um papel Azure AD, como leitores de diretório, AND Atribuição de função de controlo de acesso baseado em funções (RBAC) para uma função com a Microsoft.Support/supportTickets/write permissões, tais como colaborador de pedido de suporte |
| Para Azure AD no portal do Azure | Alternativa 1 - Se o cliente não tiver Azure AD P1 ou P2Pré-requisito: Para registar bilhetes em nome de clientes que utilizem a subscrição Azure de um cliente, os parceiros precisam de ter uma relação de revendedor com o cliente de acordo com a autorização regional da CSP. Para mais informações, consulte Passos para configurar o Azure GDAP. Qualquer atribuição do GDAP a um papel Azure AD, como leitores de diretório, AND A azure RBAC atribuição de funções a uma função com Microsoft.Support/supportTickets/write permissões tais como Support Request Request Alternative2 – Se o cliente tiver Azure AD P1 ou P2 Qualquer atribuição de GDAP a uma função Azure AD que tenha: microsoft.azure.supportTickets/allEntities/allTasks permissões, tais como administrador de suporte de serviço, |
Funções GDAP por tipos de parceiros
Fornecedores indiretos
Recomenda-se as seguintes funções para os fornecedores indiretos para cenários de transação e gestão:
- Nova criação de inquilino de clientes
- Configuração da relação do revendedor
- Comprar
- Gestão de subscrições
- Atualizações
- Conversões
- Criação de clientes e atribuição de licença
- Pedidos de atendimento ao cliente (criação de bilhetes em nome do cliente)
| Role | Descrição |
|---|---|
| Funções de leitor: | |
| Leitores de diretório | Pode ler informações básicas de diretório. Comumente usado para conceder acesso de leitura de diretório a candidaturas e hóspedes |
| Leitor global | Pode ler tudo o que um administrador global pode, mas não pode atualizar nada |
| Gestão de utilizadores e gestão de licenças: | |
| Administrador de utilizadores | Pode gerir todos os aspetos dos utilizadores e grupos, incluindo a reposição de senhas para administradores limitados |
| Administrador de licenças | Pode gerir licenças de produtos em utilizadores e grupos |
| Administrador de suporte de serviços | Pode ler informações de saúde do serviço e gerir bilhetes de apoio |
| Mesa de Ajuda: | |
| Administrador do Help Desk | Pode redefinir palavras-passe para administradores não administradores e help desk |
Parceiros Direct Bill, revendedores e assessores indiretos
As seguintes funções são recomendadas para revendedores indiretos, conselheiros e parceiros de conta direta que também desempenham o papel de MSPs, todos categorizados como prestadores de serviços geridos especializados (MSPs) que gerem completamente o ambiente do cliente como departamento de TI subcontratado. Esta secção é classificada como funções requeridas por tarefas e funções específicas.
Tarefas típicas de um técnico de nível 1 em serviços geridos
| Role | Tarefa | Function |
|---|---|---|
| Administrador de suporte de serviços | Submeta pedidos de apoio em nome do cliente. | O Help Desk cria e gere pedidos de suporte. |
| Leitor de segurança | Consulte as políticas relacionadas com a segurança em todos os Microsoft 365 serviços. | O Help Desk recolhe a descoberta no inquilino do cliente para resolver problemas ou atualizar políticas de segurança e portal de conformidade, tais como políticas de prevenção de perda de dados. |
| Administrador do Intune | Pode gerir todos os aspetos do produto Intune. | O Help Desk trata da inscrição do dispositivo do cliente e da resolução de problemas. |
| Administrador do SharePoint | Pode gerir todos os aspetos do serviço SharePoint. | O Help Desk gere as permissões do site SharePoint. |
| Especialista em apoio às comunicações Teams | Pode gerir o serviço de Microsoft Teams. | Os problemas do Help Desk chamam problemas de qualidade. |
| Administrador do Help Desk | Pode redefinir palavras-passe para não administradores e estes administradores: Leitores de Listas de Convidados Convidados Ajuda do administrador do centro de mensagens Do leitor de relatórios de passwords reader Reader Reader | O Help Desk repõe as palavras-passe. |
| Administrador de utilizadores | Pode bloquear o s indicador. | O Help Desk pode bloquear o acesso de um antigo colaborador ao serviço de Microsoft 365. |
| Administrador de análise de desktop | Pode aceder e gerir ferramentas e serviços de gestão de desktop. | O Help Desk pode gerir o serviço de análise de desktop visualizando o inventário de ativos e lendo propriedades padrão das políticas de autorização. |
| Administrador de autenticação | Tem acesso a visualização, definição e reposição de informações do método de autenticação para qualquer utilizador não administrado. | O Help Desk pode aceder à visualização, definição e reposição de informações do método de autenticação para qualquer utilizador não administrado (por exemplo, MFA e acesso condicional). |
| Administrador do Exchange | Os utilizadores com esta função têm permissões globais dentro de Microsoft Exchange Online, quando o serviço está presente. Tem também a capacidade de criar e gerir todos os grupos Microsoft 365, gerir bilhetes de apoio e monitorizar a saúde do serviço. Pode enviar OBO e gerir caixas de entrada | O Help Desk gere caixas de correio partilhadas, ajuda a resolver problemas de quota de caixa de correio e cria e gere as regras de transporte. |
| Administrador de licenças | Pode atribuir, remover e atualizar as atribuições de licença. | Durante a resolução de problemas, o Help Desk avalia e remedia se houver um problema de licenciamento com o bilhete de apoio. |
| Administrador de utilizadores | Pode gerir todos os aspetos dos utilizadores e grupos, incluindo a reposição de palavras-passe para administradores limitados. | O Help Desk gere todos os aspetos dos utilizadores e grupos, incluindo a reposição de palavras-passe para administradores limitados. |
| Administrador de grupos | Os membros desta função podem criar/gerir grupos, criar/gerir configurações de grupos como políticas de nomeação e expiração, e ver relatórios de atividade e auditoria de grupos. | O Help Desk adiciona os proprietários aos grupos e adiciona membros aos grupos. |
| Leitor de diretórios | Os utilizadores desta função podem ler informações básicas do diretório. | O Help Desk pode ler informações básicas do diretório como parte da resolução de problemas. |
| Leitor de centro de mensagens | Pode ler mensagens e atualizações para a sua organização apenas no Office 365 Message Center. | O Help Desk lê o Centro de Mensagens para resolver problemas de suporte. |
| Administração de impressoras | Os utilizadores com esta função podem registar impressoras e gerir todos os aspetos de todas as configurações da impressora na solução Microsoft Universal Print, incluindo as definições do Conector de Impressão Universal. Podem consentir com todos os pedidos de autorização de impressão delegados. Os administradores da impressora também têm acesso a relatórios de impressão. | O Help Desk geriria as configurações da impressora e resolveria problemas com a impressora. |
| Convidado convidado | Os utilizadores desta função podem gerir Azure Ative Directory convites de utilizadores convidados B2B | O Help Desk pode convidar utilizadores convidados independentemente da definição "Os membros podem convidar os hóspedes". |
Papel menos privilegiado por tarefa
A tabela que se segue apresenta tarefas dentro de cada capacidade do GDAP, juntamente com a função menos privilegiada necessária para executar cada tarefa.
| Capacidade do GDAP | Tarefa | Papel menos privilegiado |
|---|---|---|
| Suporte | Envie bilhete de apoio | Administrador de suporte de serviços |
| Utilizadores | Adicione o utilizador ao papel de diretório | Administrador privilegiado |
| Adicionar utilizador ao grupo | Administrador de utilizadores | |
| Atribuir licença | Administrador de licenças | |
| Criar utilizador convidado | Convidado convidado | |
| Reset convite do utilizador convidado | Administrador de utilizadores | |
| Criar utilizador | Administrador de utilizadores | |
| Eliminar utilizador | Administrador de utilizadores | |
| Tokens de atualização invalidado de administrador limitado | Administrador de utilizadores | |
| Tokens de atualização invalidado de não-administração | Administrador de palavras-passe | |
| Tokens de atualização invalidado de administrador privilegiado | Administrador de autenticação privilegiada | |
| Ler configuração básica | Função de utilizador predefinido | |
| Redefinir palavra-passe para administrador limitado | Administrador de utilizadores | |
| Redefinir a palavra-passe para nonadmin | Administrador de palavras-passe | |
| Redefinir a palavra-passe para administração privilegiada | Administrador de autenticação privilegiada | |
| Revogar licença | Administrador de licenças | |
| Atualizar todas as propriedades, exceto o nome principal do utilizador | Administrador de utilizadores | |
| Atualizar o nome principal do utilizador para administrador limitado | Administrador de utilizadores | |
| Atualizar o nome principal do utilizador para administrador privilegiado | Administrador global | |
| Atualizar as definições do utilizador | Administrador global | |
| Atualizar métodos de autenticação | Administrador de autenticação | |
| Grupos | Atribuir licença | Administrador de utilizadores |
| Criar grupos | Administrador de grupos | |
| Criar, atualizar ou eliminar a revisão de acesso de um grupo ou app | Administrador de utilizadores | |
| Gerir a expiração do grupo | Administrador de utilizadores | |
| Gerir definições do grupo | Administrador de grupos | |
| Leia todas as configurações (exceto a adesão escondida) | Leitores de diretório | |
| Ler membros escondidos | Membro do grupo | |
| Ler membros de grupos com adesão oculta | Administrador do Help Desk | |
| Revogar licença | Administrador de licenças | |
| Atualizar a adesão ao grupo | Dono do grupo | |
| Atualizar os proprietários do grupo | Dono do grupo | |
| Atualizar propriedades de grupo | Dono do grupo | |
| Eliminar grupo | Administrador de grupos | |
| Licenças | Atribuir licença | Administrador de licenças |
| Leia todas as configurações | Leitores de diretório | |
| Revogar licença | Administrador de licenças |