Поделиться через

Настройка GDAP для клиентов в Microsoft 365 Lighthouse

  • Статья

Теперь вы можете настроить для всех клиентов детализированные делегированные права администратора (GDAP) через Microsoft 365 Lighthouse, независимо от их лицензий или размера. Настроив в организации GDAP для клиентов, которыми вы управляете, пользователи в вашей организации получают разрешения, необходимые для выполнения своей работы, обеспечивая безопасность клиентов. Lighthouse позволяет быстро перевести организацию на GDAP и начать переход к минимальным привилегиям для делегированного доступа клиентам.

Делегированный доступ через делегированные права администратора (DAP) или GDAP является необходимым условием для полного подключения клиентов к Lighthouse. Таким образом, создание отношений GDAP с клиентами может стать первым шагом в управлении клиентами в Lighthouse.

В процессе настройки GDAP вы создаете шаблоны GDAP, настраивая необходимые для вашей организации роли поддержки и группы безопасности. Затем вы назначаете клиентам клиентов шаблоны GDAP. Роли GDAP ограничены встроенными ролями Microsoft Entra. При настройке GDAP вы увидите рекомендации по набору ролей, необходимых для различных функций заданий.

Смотреть: Настройка GDAP

Ознакомьтесь с другими видео Microsoft 365 Lighthouse на нашем канале YouTube.

Подготовка к работе

  • У вас должны быть определенные разрешения в клиенте партнера:

    • Чтобы создать группы безопасности GDAP, добавить пользователей и создать шаблоны GDAP, необходимо быть глобальным администратором в клиенте партнера. Эту роль можно назначить в идентификаторе Microsoft Entra.

    • Чтобы создать и завершить отношения GDAP, необходимо быть членом группы агентов администрирования в Центре партнеров.

  • Клиенты, которыми вы управляете в Lighthouse, должны быть настроены в Центре партнеров с отношениями торгового посредника или существующими делегированными отношениями (DAP или GDAP).

Примечание.

Шаблоны GDAP Lighthouse используют группы безопасности с возможностью назначения ролей. Для добавления пользователей в эти группы требуется лицензия Microsoft Entra ID P1. Для включения JIT-ролей требуется управление IDE Microsoft Entra или лицензия Microsoft Entra ID P2.

Настройка GDAP в первый раз

При первой настройке GDAP необходимо выполнить следующие разделы по порядку. После завершения вы можете вернуться и изменить любой раздел по мере необходимости.

Если во время настройки GDAP возникают проблемы, ознакомьтесь с инструкциями в статье Устранение ошибок и проблем в Microsoft 365 Lighthouse: настройка GDAP и управление ими .

Для начала сделайте следующее:

  1. В области навигации слева в Lighthouse выберите Главная.

  2. На карточке Настройка GDAP выберите Настроить GDAP.

  3. Выполните следующие разделы по порядку.

    Шаг 1. Роли и разрешения

    Шаг 2. Шаблоны GDAP

    Шаг 3. Группы безопасности

    Шаг 4. Назначения клиентов

    Шаг 5. Проверка и завершение

Шаг 1. Роли и разрешения

Выберите необходимые роли Microsoft Entra в зависимости от рабочих функций ваших сотрудников.

  1. На странице Роли и разрешения выберите необходимые роли Microsoft Entra в зависимости от рабочих функций ваших сотрудников. Выполните одно из следующих действий.

    • Внедрение рекомендуемых ролей
    • Изменение ролей Microsoft Entra

    По умолчанию Lighthouse включает пять ролей поддержки: диспетчера учетных записей, агента службы поддержки, специалиста, инженера эскалации и JIT-агента. Вы можете переименовать роли поддержки в соответствии с предпочтениями организации, выбрав Изменить роли поддержки. Некоторые роли Microsoft Entra нельзя добавить в различные роли поддержки. Например, роли Microsoft Entra в роли поддержки JIT-агента нельзя добавить в другую роль поддержки.

    Если для настройки GDAP требуются не все роли поддержки, вы можете исключить одну или несколько из шаблонов GDAP на следующем шаге.

  2. Нажмите кнопку Далее.

  3. Выберите Сохранить и закрыть , чтобы сохранить параметры и выйти из программы установки GDAP.

Шаг 2. Шаблоны GDAP

Шаблон GDAP — это коллекция:

  • Роли поддержки
  • Группы безопасности
  • Пользователи в каждой группе безопасности

Чтобы создать шаблон GDAP, выполните приведенные далее действия.

  1. На странице Шаблоны GDAP выберите Создать шаблон.

  2. В области шаблона введите имя и описание шаблона в соответствующие поля.

  3. Выберите одну или несколько ролей поддержки в списке.

  4. Выберите Сохранить.

  5. Нажмите кнопку Далее.

  6. Выберите Сохранить и закрыть , чтобы сохранить параметры и выйти из программы установки GDAP.

Шаг 3. Группы безопасности

Для каждого шаблона требуется по крайней мере одна группа безопасности для каждой роли поддержки. Для первого шаблона вы создадите новую группу безопасности, но для последующих шаблонов при необходимости можно повторно использовать группы.

  1. На странице Группы безопасности выберите Создать группу безопасности.

  2. В области группы безопасности введите имя и описание.

  3. Выберите Добавить пользователей.

  4. В списке Добавить пользователей выберите пользователей, которых вы хотите включить в эту группу безопасности.

  5. Нажмите кнопку Сохранить.

  6. Снова выберите Сохранить.

  7. Нажмите кнопку Далее.

  8. Выберите Сохранить и закрыть , чтобы сохранить параметры и выйти из программы установки GDAP.

Пользователи группы безопасности JIT-агента имеют право запрашивать доступ к привилегированным ролям GDAP; им не предоставляется доступ к ним автоматически. В рамках настройки GDAP выберите группу безопасности утверждающего JIT из клиента, чтобы утвердить запросы на доступ от JIT-агентов.

Группа безопасности утверждающего JIT-кода должна быть назначаемой ролью. Если группа безопасности не отображается в программе установки GDAP, убедитесь, что группа безопасности может назначаться ролям. Дополнительные сведения об управлении назначениями ролей см. в статье Использование групп Microsoft Entra для управления назначениями ролей.

После завершения настройки GDAP создается политика JIT-доступа для JIT-агентов для запроса доступа. Вы можете просмотреть политику, созданную на портале управления идентификаторами Microsoft Entra, и JIT-агенты могут запрашивать доступ к своим ролям на портале "Мой доступ". Дополнительные сведения о том, как JIT-агенты могут запрашивать доступ, см. в разделе Управление доступом к ресурсам. Дополнительные сведения о том, как утверждающие могут утверждать запросы, см. в разделе Утверждение или отклонение запроса.

Шаг 4. Назначения клиентов

Назначьте группы клиентов каждому шаблону. Каждому клиенту может быть назначен только один шаблон. После выбора этот клиент клиента не будет отображаться в качестве параметра в последующих шаблонах. При повторном запуске программы установки GDAP будут сохранены назначения клиентов для каждого шаблона GDAP.

  • Чтобы добавить новых клиентов в шаблон GDAP, повторно запустите программу установки GDAP. Сохраните сохраненные назначения клиентов и выберите новых клиентов для назначения шаблону GDAP. Новые связи GDAP будут созданы только для вновь назначенных клиентов.

  • Чтобы удалить клиентов из шаблона GDAP, повторно запустите программу установки GDAP. Удалите назначение клиента. Удаление назначения клиента не приведет к удалению связи GDAP, созданной из предыдущего назначения, но при необходимости позволяет переназначить клиент клиента другому шаблону GDAP.

Перед нажатием кнопки Далее убедитесь, что выбраны все клиенты, которые вы хотите назначить шаблону GDAP. Список клиентов можно отфильтровать с помощью поля поиска в правом верхнем углу.

  1. На странице Назначения клиентов выберите клиентов, которые вы хотите назначить созданному шаблону GDAP.

  2. Нажмите кнопку Далее , чтобы перейти к следующему разделу, или нажмите кнопку Сохранить и закрыть , чтобы сохранить параметры и выйти из программы установки GDAP.

Шаг 5. Проверка и завершение

  1. На странице Проверка параметров проверьте созданные параметры, чтобы убедиться в их правильности.

  2. Нажмите Готово.

Применение настроенных параметров может занять минуту или две. Если необходимо обновить данные, следуйте инструкциям. Установка будет неполной, если вы завершите установку GDAP без нажатия кнопки Готово.

Примечание.

Для клиентов с существующим отношением DAP эти параметры применяются автоматически. Клиентам с состоянием "Активный" на последней странице программы установки GDAP назначаются роли и группы безопасности, как определено в шаблоне GDAP.

Примечание.

Для клиентов без существующего отношения DAP для каждого клиента на последней странице настройки GDAP создается ссылка на запрос отношений администратора. После этого вы можете отправить ссылку глобальному администратору клиента, чтобы он смог утвердить отношения с администратором. После утверждения связи будут применены параметры шаблона GDAP. После утверждения отношений изменения могут появиться в Lighthouse до часа.

Завершив настройку GDAP, вы можете перейти к различным шагам по обновлению или изменению ролей, групп безопасности или шаблонов. Связи GDAP теперь отображаются в Центре партнеров, а группы безопасности — в идентификаторе Microsoft Entra.

Связанные материалы

Обзор разрешений (статья)
Устранение ошибок и проблем (статья)
Настройка безопасности портала (статья)
Введение в детализированные делегированные права администратора (GDAP) (статья)
Встроенные роли Microsoft Entra (статья)
Сведения о группах и правах доступа в Идентификаторе Microsoft Entra (статья)
Что такое управление правами Microsoft Entra? (статья)