Arbetsbelastningar som stöds av detaljerade delegerade administratörsbehörigheter (GDAP)
Lämpliga roller: Alla användare som är intresserade av Partnercenter
Den här artikeln innehåller uppgifter för arbetsbelastningar som stöds av detaljerade delegerade administratörsprivilegier (GDAP).
Följande arbetsbelastningar stöds:
- Arbetsbelastningar som stöds av detaljerade delegerade administratörsbehörigheter (GDAP)
- Microsoft Entra ID
- Administrationscenter för Exchange
- Microsoft 365-administrationscenter
- Microsoft Purview
- Microsoft 365 Lighthouse
- Windows 365
- Administrationscenter för Teams
- Microsoft Defender XDR
- Power BI
- SharePoint
- Dynamics 365 och Power Platform
- Dynamics 365 Business Central
- Dynamics Lifecycle Services
- Intune (Endpoint Manager)
- Azure-portalen
- Alternativ Vägledning för Azure GDAP (utan att använda administratörsagenten)
- Visual Studio
- Varför ser jag inte några DAP AOBO-länkar på GDAP-tjänsthanteringssidan?
- Nästa steg
Microsoft Entra ID
Alla Microsoft Entra-uppgifter stöds förutom följande funktioner:
| Ytdiagram | Funktioner | Problem |
|---|---|---|
| Grupphantering | Skapa Microsoft 365-grupp, Administration av regler för dynamiskt medlemskap | Stöds inte |
| Enheter | Administration av inställningar för Enterprise State Roaming | |
| Appar | Medgivande till ett företagsprogram infogat med inloggning, Administration av företagsprogram "Användarinställningar" | |
| Externa identiteter | Administration av externa identitetsfunktioner | |
| Övervakning | Logganalys, diagnostikinställningar, arbetsböcker och fliken Övervakning på översiktssidan för Microsoft Entra | |
| Översiktssidan | Mitt flöde – roller för inloggad användare | Kan visa felaktig rollinformation; påverkar inte faktiska behörigheter |
| Användarinställningar | Hanteringssida för användarfunktioner | Inte tillgänglig för vissa roller |
Kända problem:
- Partner som beviljas Entra-roller Säkerhetsläsare eller Global läsare via GDAP får felet "Ingen åtkomst" när de försöker komma åt Entra-roller och administratörer på en kundklientorganisation med PIM aktiverat. Fungerar med rollen Global administratör.
Exchange administrationscenter
För administrationscentret för Exchange stöds följande uppgifter av GDAP.
| Resurstyp | Resursundertyp | Stöds för närvarande | Problem |
|---|---|---|---|
| Mottagarhantering | Postlådor | Skapa delad postlåda, uppdatera postlåda, konvertera till delad/användarpostlåda, ta bort delad postlåda, hantera e-postflöde Inställningar, hantera postlådeprinciper, hantera postlådedelegering, hantera e-postadresser, hantera automatiska svar, hantera fler åtgärder, redigera kontaktinformation, grupphantering | Öppna en annan användares postlåda |
| Resurser | Skapa/lägg till en resurs [Utrustning/rum], Ta bort en resurs, Hantera dölj från GAL-inställning, Hantera inställningar för bokningsdelegater, Hantera inställningar för resursdelegater | ||
| Kontakter | Skapa/lägg till en kontakt [e-postanvändare/e-postkontakt], Ta bort en kontakt, redigera organisation Inställningar | ||
| E-postflöde | Meddelandespårning | Starta en meddelandespårning, Kontrollera standard-/anpassade/automatiskt sparade/nedladdningsbara frågor, regler | Aviseringar, aviseringsprinciper |
| Fjärrdomäner | Lägg till en fjärrdomän, ta bort en fjärrdomän, redigera meddelanderapportering, svarstyper | ||
| Godkända domäner | Hantera godkända domäner | ||
| Anslutningar | Lägg till en Anslut eller, Hantera begränsningar, Skickad e-postidentitet, Ta bort Anslut eller | ||
| Roller | Administratörsroller | Lägg till rollgrupp, ta bort rollgrupper som inte är inbyggda rollgrupper, redigera rollgrupper som inte är inbyggda rollgrupper, kopiera rollgrupp | |
| Migrering | Migrering | Lägg till Migreringsbatch, Prova Migrering av Google-arbetsyta, Godkänn migreringsbatch, Visa information om migreringsbatchen, Ta bort migreringsbatch | |
| Administrationscenter för Microsoft 365 länk | Länk för att gå till Administrationscenter för Microsoft 365 | ||
| Diverse | Ge feedbackwidget, stöd för central widget | ||
| Instrumentpanel | Rapporter |
RBAC-roller som stöds omfattar följande:
- Exchange-administratör
- Global administratör
- Supportadministratör
- Global läsare
- Säkerhetsadministratör
- Exchange-mottagaradministratör
Microsoft 365 administrationscenter
Viktigt!
Vissa viktiga funktioner i Administrationscenter för Microsoft 365 kan påverkas av tjänstincidenter och pågående utvecklingsarbete. Du kan visa aktiva Administrationscenter för Microsoft 365 problem på Microsofts administratörsportal.
Vi är glada över att kunna tillkännage lanseringen av Administrationscenter för Microsoft 365 stöd för GDAP. Med den här förhandsversionen har du möjlighet att logga in på administrationscentret med alla Microsoft Entra-roller som stöds av företagskunder utom katalogläsare.
Den här versionen har begränsade funktioner och gör att du kan använda följande områden i Administrationscenter för Microsoft 365:
- Användare (inklusive tilldelning av licenser)
- Fakturering>av dina produkter
- Hälsotjänsthälsa>
- Support Central>– Skapa supportbegäran
Kända problem:
- Det går inte att exportera produktrapporter för webbplatsanvändning i Administrationscenter för Microsoft 365.
Microsoft Purview
För Microsoft Purview stöds följande uppgifter av GDAP.
| Lösning | Stöds för närvarande | Problem |
|---|---|---|
| Audit | Microsoft 365-granskningslösningar – Konfigurera grundläggande/avancerad granskning – Sök granskningslogg – Använda PowerShell för att söka i granskningsloggen – Exportera/konfigurera/visa granskningslogg – Aktivera och inaktivera granskning – Hantera kvarhållningsprinciper för granskningsloggar – Undersöka vanliga problem/komprometterade konton – Exportera/konfigurera/visa granskningslogg |
|
| Compliance Manager (Efterlevnadshanteraren) | Compliance Manager (Efterlevnadshanteraren) – Skapa och hantera utvärderingar – Skapa/utöka/ändra utvärderingsmallar – Tilldela och slutföra förbättringsåtgärder – Ange användarbehörigheter |
|
| MIP | Microsoft Purview Information Protection Lär dig mer om dataklassificering Lär dig mer om att förhindra dataförlust Dataklassificering: – Skapa och hantera typer av känslig information – Skapa och hantera exakt datamatchning – Övervaka vad som görs med etiketterat innehåll med hjälp av Aktivitetsutforskaren Informationsskydd: – Skapa och publicera känslighetsetiketter och etikettprinciper – Definiera etiketter som ska tillämpas på filer och e-postmeddelanden – Definiera etiketter som ska tillämpas på webbplatser och grupper – Definiera etiketter som ska tillämpas på schematiserade datatillgångar – Använd automatiskt en etikett på innehåll med automatisk etikettering på klientsidan och automatisk etikettering på serversidan och schematiserade datatillgångar – Begränsa åtkomsten till etiketterat innehåll med kryptering – Konfigurera sekretess och extern användaråtkomst samt extern delning och villkorlig åtkomst för etiketter som tillämpas på webbplatser och grupper – Ange etikettprincip som standard, obligatorisk, nedgradera kontroller och tillämpa dem på filer och e-postmeddelanden, grupper och webbplatser och Power BI-innehåll DLP: – Skapa, testa och finjustera en DLP-princip – Utföra aviseringar och incidenthantering – Visa DLP-regelmatchningshändelser i aktivitetsutforskaren – Konfigurera DLP-inställningar för slutpunkt |
– Visa etiketterat innehåll i Innehållsutforskaren – Skapa och hantera träningsbara klassificerare – Stöd för grupp- och webbplatsetiketter |
| Microsoft Purview Data Lifecycle Management | Läs mer om Livscykelhantering av data i Microsoft Purview i Microsoft 365 – Skapa och hantera statiska och anpassningsbara kvarhållningsprinciper – Skapa kvarhållningsetiketter – Skapa principer för kvarhållningsetiketter – Skapa och hantera anpassningsbara omfång |
-Arkivering – Importera PST-filer |
| Microsoft Purview Records Management | Hantering av arkivhandlingar i Microsoft Purview – Etikettera innehåll som en post – Märka innehåll som en regelpost – Skapa och hantera principer för statiska och anpassningsbara kvarhållningsetiketter – Skapa och hantera anpassningsbara omfång – Migrera kvarhållningsetiketter och hantera dina kvarhållningskrav med filplan – Konfigurera inställningar för kvarhållning och borttagning med kvarhållningsetiketter – Behålla innehåll när en händelse inträffar med händelsebaserad kvarhållning |
– Borttagningshantering |
Mer information om Microsoft Entra-roller som stöds i Microsoft 365-efterlevnadsportalen finns i Behörigheter i Microsoft Purview
Microsoft 365 Lighthouse
Microsoft 365 Lighthouse är en administratörsportal som hjälper hanterade tjänstleverantörer att skydda och hantera enheter, data och användare i stor skala för små och medelstora företagskunder.
GDAP-roller ger samma kundåtkomst i Lighthouse som när dessa GDAP-roller används för att få åtkomst till kundernas administratörsportaler individuellt. Lighthouse ger en vy med flera klientorganisationer för användare, enheter och data baserat på användarnas nivå av delegerade behörigheter. En översikt över alla funktioner för hantering av lighthouse-multitenanter finns i Lighthouse-dokumentationen.
Nu kan MSP:er använda Lighthouse för att konfigurera GDAP för alla kundklientorganisationer. Lighthouse ger rollrekommendationer baserat på olika MSP-jobbfunktioner för en MSP, och Lighthouse GDAP-mallar gör det möjligt för partner att enkelt spara och tillämpa inställningar som möjliggör lägsta privilegierad kundåtkomst. Mer information och om du vill visa en demo finns i installationsguiden för Lighthouse GDAP.
För Microsoft 365 Lighthouse stöds följande uppgifter av GDAP. Mer information om behörigheter som krävs för åtkomst till Microsoft 365 Lighthouse finns i Översikt över behörigheter i Microsoft 365 Lighthouse.
| Resurs | Stöds för närvarande |
|---|---|
| Start | ingår |
| Klientorganisationer | ingår |
| Användare | ingår |
| Enheter | ingår |
| Hothantering | ingår |
| Originalplaner | ingår |
| Windows 365 | ingår |
| Service Health: | ingår |
| Granskningsloggar | ingår |
| Introduktion | Kunder måste ha antingen en GDAP- och indirekt reseller-relation eller en DAP-relation som ska registreras. |
Rollbaserade Azure-rollbaserade åtkomstkontrollroller (Azure RBAC) som stöds omfattar följande:
- Autentiseringsadministratör
- Efterlevnadsadministratör
- Administratör för villkorsstyrd åtkomst
- Molnenhetsadministratör
- Global administratör
- Global läsare
- Supportadministratör
- Intune-administratör
- Lösenordsadministratör
- Administratör av privilegierad autentisering
- Säkerhetsadministratör
- Säkerhetsoperator
- Säkerhetsläsare
- Tjänstsupportadministratör
- Användaradministratör
Windows 365
För Windows 365 stöds följande uppgifter av GDAP.
| Resurs | Stöds för närvarande |
|---|---|
| Molndator | Lista molndatorer, Hämta molndator, Ometablera molndator, Slut respitperiod, Återetablera fjärråtgärd för Cloud PC, Massreprovision cloud pc remote action, Resize Cloud PCs remote action, Get Cloud PC remote action results |
| Cloud PC-enhetsavbildning | Lista enhetsbilder, Hämta enhetsbild, Skapa enhetsbild, Ta bort enhetsbild, Hämta källbild, Ladda upp enhetsbild igen |
| Lokal molndatornätverksanslutning | Lista lokal anslutning, Hämta lokal anslutning, Skapa lokal anslutning, Uppdatera lokal anslutning, Ta bort lokal anslutning, Kör hälsokontroller, Uppdatera AD-domänlösenord |
| Etableringsprincip för molndatorer | Lista etableringsprinciper, Hämta etableringsprincip, Skapa etableringsprincip, Uppdatera etableringsprincip, Ta bort etableringsprincip, Tilldela etableringsprincip |
| Cloud PC-granskningshändelse | Lista granskningshändelser, Hämta granskningshändelse, Hämta granskningsaktivitetstyper |
| Användarinställning för Cloud PC | Lista användarinställningar, Hämta användarinställning, Skapa användarinställning, Uppdatera användarinställning, Ta bort användarinställning, Tilldela |
| Cloud PC-region som stöds | Lista regioner som stöds |
| Moln-PC-tjänstplaner | Lista tjänstplaner |
Azure RBAC-roller som stöds innehåller följande:
- Global administratör
- Intune-administratör
- Säkerhetsadministratör
- Säkerhetsoperator
- Säkerhetsläsare
- Global läsare
- (Vid verifiering) Windows 365-administratör
Resurser som inte stöds för förhandsversion:
- Ej tillämpligt
Administrationscenter för Teams
För administrationscentret för Teams stöds följande uppgifter av GDAP.
| Resurs | Stöds för närvarande |
|---|---|
| Användare | Tilldela principer, Röstinställningar, Utgående samtal, Inställningar för upphämtning av gruppsamtal, Inställningar för samtalsdelegering, Telefon nummer, Konferensinställningar |
| Teams | Teams-principer, Uppdateringsprinciper |
| Enheter | IP-telefoner, Teams Rum, samarbetsstaplar, Teams-skärmar, Teams-panel |
| Platser | Rapporteringsetiketter, nödsituationsadresser, nätverkstopologi, nätverk och platser |
| Möten | Konferensbroar, Mötesprinciper, Mötesinställningar, Principer för livehändelser, Inställningar för livehändelser |
| Meddelandeprinciper | Meddelandeprinciper |
| Röst | Nödprinciper, Uppringningsplaner, Röstdirigeringsplaner, Samtalsköer, Automatiska dirigeringar, Samtalsparksprinciper, Samtalsprinciper, Nummer-ID-principer, Telefon nummer, Direktdirigering |
| Analys och rapporter | Användningsrapporter |
| Organisationsomfattande inställningar | Extern åtkomst, Gäståtkomst, Teams-inställningar, Teams-uppgradering, Helgdagar, Resurskonton |
| Planerad | Nätverksplanering |
| Teams PowerShell-modul | Alla PowerShell-cmdletar från Teams PowerShell-modulen (tillgängliga från Teams PowerShell-modulen – förhandsversion 3.2.0) |
RBAC-roller som stöds omfattar följande:
- Teams-administratör
- Global administratör
- Teams kommunikationsadministratör
- Supporttekniker för Teams-kommunikation
- Supportspecialist för Teams-kommunikation
- Enhetsadministratör för Teams
- Global läsare
Resurser som inte stöds för GDAP-åtkomst omfattar följande:
- Hantera Teams
- Teammallar
- Teams-appar
- Princippaket
- Teams-rådgivare
- Instrumentpanel för samtalskvalitet
Microsoft Defender XDR
Microsoft Defender XDR är en enhetlig företagsförsvarssvit före och efter intrång. Den samordnar identifiering, förebyggande, undersökning och svar mellan slutpunkter, identiteter, e-post och program för att ge integrerat skydd mot avancerade attacker.
Microsoft Defender-portalen är också hem för andra produkter i Microsoft 365-säkerhetsstacken, till exempel Microsoft Defender för Endpoint och Microsoft Defender för Office 365.
Dokumentation om alla funktioner och säkerhetsprodukter finns i Microsoft Defender-portalen:
Microsoft Defender för Endpoint:
- Microsoft Defender för Endpoint
- Microsoft Defender för Endpoint P1-funktioner
- Microsoft Defender för företag
Microsoft Defender för Office 365:
- Exchange Online Protection (EOP)
- Microsoft Defender för Office 365 abonnemang 1
- Microsoft Defender för Office 365 Plan 2
Appstyrning:
Följande är funktioner som är tillgängliga för klienter som har åtkomst till Microsoft Defender-portalen med hjälp av en GDAP-token.
| Resurstyp | Stöds för närvarande |
|---|---|
| Microsoft Defender XDR-funktioner | Alla Microsoft Defender XDR-funktioner (som anges i dokumentationen ovan): Incidenter, Avancerad jakt, Åtgärdscenter, Hotanalys, Anslut ion av följande säkerhetsarbetsbelastningar i Microsoft Defender XDR: Microsoft Defender för Endpoint, Microsoft Defender för identitet, Microsoft Defender för molnet Apps |
| Microsoft Defender för Endpoint-funktioner | Alla Microsoft Defender för Endpoint-funktioner som anges i dokumentationen ovan finns i information per P1/SMB SKU i tabellen nedan. |
| Microsoft Defender for Office 365 | Alla Microsoft Defender för Office 365-funktioner som anges i dokumentationen ovan. Se information om varje licens i den här tabellen: Office 365 Security, inklusive Microsoft Defender för Office 365 och Exchange Online Protection |
| App Governance | Autentisering fungerar för GDAP-token (app+användartoken), auktoriseringsprinciper fungerar enligt användarrollerna som tidigare |
Microsoft Entra-roller som stöds i Microsoft Defender-portalen:
Dokumentation om roller som stöds i Microsoft Defender-portalen
Kommentar
Alla roller gäller inte för alla säkerhetsprodukter. Information om vilka roller som stöds i en specifik produkt finns i produktdokumentationen.
MDE-funktioner som stöds i Microsoft Defender-portalen per SKU
| Slutpunktsfunktioner per SKU | Microsoft Defender för företag | Microsoft Defender för Endpoint Plan 1 | Microsoft Defender för Endpoint Plan 2 |
|---|---|---|---|
| Centraliserad hantering | X | X | X |
| Förenklad klientkonfiguration | X | ||
| Hantering av hot och säkerhetsrisker | X | X | |
| Minskning av attackytan | X | X | X |
| Nästa generations skydd | X | X | X |
| Slutpunktsidentifiering och svar | X | X | |
| Automatiserad undersökning och svar | X | X | |
| Hotjakt och sex månaders datakvarhållning | X | ||
| Hotanalys | X | X | |
| Plattformsoberoende stöd för Windows, MacOS, iOS och Android | X | X | X |
| Microsofts hotexperter | X | ||
| Partner-API:er | X | X | X |
| Microsoft 365 Lighthouse för att visa säkerhetsincidenter mellan kunder | X |
Power BI
För Power BI-arbetsbelastningen stöds följande uppgifter av GDAP.
| Resurstyp | Stöds för närvarande |
|---|---|
| Administratörsuppgifter | – Alla menyalternativ under "Administratörsportal" utom "Azure-anslutningar" |
Microsoft Entra-roller som stöds i omfånget:
- Infrastrukturadministratör
- Global administratör
Power BI-egenskaper utanför omfånget:
- Det är inte säkert att alla icke-administratörsuppgifter fungerar
- "Azure-anslutningar" under administratörsportalen
SharePoint
För SharePoint stöds följande uppgifter av GDAP.
| Resurstyp | Stöds för närvarande |
|---|---|
| Startsida | Kort återges men data kanske inte återges |
| Webbplatshantering – aktiva webbplatser | Skapa webbplatser: Gruppwebbplats, Kommunikationswebbplats, Tilldela/ändra webbplatsägare, Tilldela känslighetsetikett till plats (om det konfigureras i Microsoft Entra-ID) när webbplatsen skapas, Ändra känslighetsetikett för webbplatsen, Tilldela sekretessinställningar till webbplatsen (om den inte är fördefinierad med en känslighetsetikett), Lägg till/ta bort medlemmar på en webbplats, Redigera externa delningsinställningar för webbplatsen, Redigera webbplatsnamn, Redigera webbplats-URL, Visa webbplatsaktivitet, Redigera lagringsgräns, Ta bort en webbplats, Ändra inbyggda vyer av webbplatser, Exportera webbplatslista till CSV-fil, Spara anpassade vyer av webbplatser, Associera plats med en hubb, Registrera plats som en hubb |
| Webbplatshantering – aktiva webbplatser | Skapa andra webbplatser: Dokumentcenter, Enterprise Wiki, Publiceringsportal, Innehållscenter |
| Webbplatshantering – Borttagna webbplatser | Återställningswebbplats, Permanent borttagningswebbplats (förutom gruppanslutna gruppwebbplatser i Microsoft 365) |
| Principer – delning | Ange externa delningsprinciper för SharePoint och OneDrive för företag, Ändra "Fler inställningar för extern delning", Ange principer för fil- och mapplänkar, Ändra "Andra inställningar" för delning |
| Åtkomstkontroll | Ange/ändra ohanterad enhetsprincip, Ange/ändra tidslinjeprinciper för inaktiva sessioner, Ange/ändra nätverksplatsprincip (separat från Microsoft Entra IP-princip, Ange/ändra modern autentiseringsprincip, Ange/ändra OneDrive-åtkomst |
| Inställningar | SharePoint – Startwebbplats, SharePoint – Meddelanden, SharePoint – Sidor, SharePoint – Skapa webbplats, SharePoint – Begränsningar för webbplatslagring, OneDrive – Meddelanden, OneDrive – Kvarhållning, OneDrive – Lagringsgräns, OneDrive – Synkronisering |
| PowerShell | Om du vill ansluta en kundklient som GDAP-administratör använder du en klientorganisationsauktoriseringsslutpunkt (med kundens klient-ID) i parametern AuthenticanUrl i stället för den vanliga standardslutpunkten.Exempel: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize |
Roller i omfånget omfattar följande:
- SharePoint-administratör
- Global administratör
- Global läsare
SharePoint Admin Center-egenskaper utanför omfånget omfattar följande:
- Alla klassiska administratörsfunktioner/funktioner/mallar ligger utanför omfånget och är inte garanterade att fungera korrekt
- Obs! För alla GDAP-roller som stöds i Administrationscenter för SharePoint kan partner inte redigera filer och behörigheter för filer och mappar på kundens SharePoint-webbplats. Detta var en säkerhetsrisk för kunderna och har åtgärdats.
Dynamics 365 och Power Platform
För Power Platform- och Dynamics 365-program för kundengagemang (försäljning, tjänst) stöds följande uppgifter av GDAP.
| Resurstyp | Stöds för närvarande |
|---|---|
| Administratörsuppgifter | – Alla menyalternativ i administrationscentret för Power Platform |
Microsoft Entra-roller som stöds i omfånget omfattar följande:
- Power Platform-administratör
- Global administratör
- Supportadministratör (för hjälp + support)
- Tjänstsupportadministratör (för hjälp + support)
Egenskaper utanför omfånget:
- Ingen
Dynamics 365 Business Central
För Dynamics 365 Business Central stöds följande uppgifter av GDAP.
| Resurstyp | Stöds för närvarande |
|---|---|
| Administratörsuppgifter | Alla uppgifter* |
* Vissa uppgifter kräver behörigheter som tilldelats administratörsanvändaren i Dynamics 365 Business Central-miljön. Se den tillgängliga dokumentationen.
Microsoft Entra-roller som stöds i omfånget omfattar följande:
- Dynamics 365-administratör
- Global administratör
- Supportadministratör
Egenskaper utanför omfånget:
- Ingen
Dynamics Lifecycle Services
För Dynamics Lifecycle Services stöds följande uppgifter av GDAP.
| Resurstyp | Stöds för närvarande |
|---|---|
| Administratörsuppgifter | Alla uppgifter |
Microsoft Entra-roller som stöds i omfånget omfattar följande:
- Dynamics 365-administratör
- Global administratör
Egenskaper utanför omfånget:
- Ingen
Intune (Endpoint Manager)
Microsoft Entra-roller som stöds i omfånget:
- Intune-administratör
- Global administratör
- Global läsare
- Rapportläsare
- Säkerhetsläsare
- Efterlevnadsadministratör
- Säkerhetsadministratör
Information om hur du kontrollerar åtkomstnivån för ovanstående roller finns i Intune RBAC-dokumentationen.
Stöd för Intune omfattar inte användning av GDAP vid registrering av servrar för Microsoft Tunnel, eller för att konfigurera eller installera någon av anslutningsprogrammen för Intune. Exempel på Intune-anslutningsappar är men är inte begränsade till Intune-Anslut eller för Active Directory, Mobile Threat Defense Connector och Microsoft Defender för Endpoint-anslutningsappen.
Azure Portal
Microsoft Entra-roller i omfång:
- Alla Microsoft Entra-roller som katalogläsare (minst privilegierad roll) för åtkomst till Azure-prenumeration som ägare
Vägledning för GDAP-roll:
- Partner och kund måste ha en reseller-relation
- Partnern måste skapa en säkerhetsgrupp (t.ex. Azure Managers) för att hantera Azure och kapsla den under Administratörsagenter för partitionering per kundåtkomst enligt rekommenderad metod.
- När partner köper Azure-plan för kunden etableras Azure-prenumerationen och gruppen Administratörsagenter tilldelas Azure RBAC som ägare i En Azure-prenumeration
- Eftersom Azure Managers säkerhetsgrupp är medlem i gruppen Administratörsagenter blir användare som är medlemmar i Azure Managers RBAC-ägare för Azure-prenumerationen
- För att få åtkomst till Azure-prenumerationen som kund måste alla Microsoft Entra-roller, till exempel Katalogläsare (minst privilegierad roll) tilldelas till Azure Managers säkerhetsgrupp
Alternativ Vägledning för Azure GDAP (utan att använda administratörsagenten)
Förutsättningar:
- Partner och kund har en reseller-relation .
- Partnern har skapat en säkerhetsgrupp för att hantera Azure och kapslat den under gruppen HelpDeskAgents per kundåtkomstpartitionering, vilket är en rekommenderad metod.
- Partnern har köpt en Azure-plan för kunden, Azure-prenumerationen etableras och partnern har tilldelats gruppen Administratörsagenter Azure RBAC som ägare i Azure-prenumerationen, men ingen RBAC-rolltilldelning har gjorts för Supportagenter.
Partneradministratörssteg:
Partneradministratören för prenumerationen kör följande skript med Hjälp av PowerShell för att skapa supportavdelningens FPO i Azure-prenumerationen.
Anslut till partnerklientorganisationen för att hämta
object IDgruppen HelpDeskAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgentsKontrollera att kunden har:
- Rollen ägare eller administratör för användaråtkomst
- Behörigheter för att skapa rolltilldelningar på prenumerationsnivån
Kundsteg:
För att slutföra processen måste kunden utföra följande steg med hjälp av antingen PowerShell eller Azure CLI.
Om du använder PowerShell måste kunden uppdatera modulen
Az.Resources.Update-Module Az.ResourcesAnslut till klientorganisationen där CSP-prenumerationen finns.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Anslut till prenumerationen.
Kommentar
Detta gäller endast om användaren har rolltilldelningsbehörigheter över flera prenumerationer i klientorganisationen.
Set-AzContext -SubscriptionID <"CSP Subscription ID">az account set --subscription <CSP Subscription ID>Skapa rolltilldelningen.
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
Microsoft Entra-roller i omfång:
- Alla Microsoft Entra-roller som katalogläsare (minst privilegierad roll) för åtkomst till Azure-prenumeration som ägare
GDAP-rollvägledning till partner:
- Förutsättningar:
- Partner och kund måste ha en reseller-relation
- Partnern måste köpa En Azure-prenumeration för kunden
- Partnern måste skapa en säkerhetsgrupp (till exempel Visual Studio-chefer) för att köpa och hantera Visual Studio-prenumerationer och kapsla den under Administratörsagenter för partitionering per kundåtkomst enligt rekommenderad metod.
- GDAP-rollen för att köpa och hantera Visual Studio är samma som Azure GDAP.
- Säkerhetsgrupp för Visual Studio-chefer måste tilldelas alla Microsoft Entra-roller, till exempel Katalogläsare (minst privilegierad roll) för åtkomst till Azure-prenumeration som ägare
- Användare som är en del av Visual Studio Managers Säkerhetsgrupp kommer att kunna köpaVisual Studio-prenumeration på Marketplacehttps://marketplace.visualstudio.com (på grund av kapslad medlem av administratörsagenter har användare åtkomst till Azure-prenumeration)
- Användare som ingår i Säkerhetsgruppen för Visual Studio-chefer kan ändra antalet Visual Studio-prenumerationer
- Användare som ingår i Visual Studio Managers säkerhetsgrupp kan avbryta Visual Studio-prenumerationen (genom att ändra kvantitet till noll)
- Användare som ingår i säkerhetsgruppen Visual Studio-chefer kan lägga till prenumeranter för att hantera Visual Studio-prenumerationer (till exempel bläddra i kundkatalogen och lägga till Visual Studio-rolltilldelning som prenumerant)
Visual Studio-egenskaper utanför omfånget:
- Ingen
Varför ser jag inte några DAP AOBO-länkar på GDAP-tjänsthanteringssidan?
| DAP AOBO-länkar | Orsak till att den saknas på sidan FÖR GDAP-tjänsthantering |
|---|---|
| Microsoft 365 Planner https://portal.office.com/ | Det här är en dubblett av Microsoft 365 AOBO-länken som redan finns. |
| Gunga https://portal.office.com/ | Det här är en dubblett av Microsoft 365 AOBO-länken som redan finns. |
| Windows 10 https://portal.office.com/ | Det här är en dubblett av Microsoft 365 AOBO-länken som redan finns. |
| Cloud App Security https://portal.cloudappsecurity.com/ | Microsoft Defender för molnet-appar dras tillbaka. Den här portalen sammanfogas med Microsoft Defender XDR, som stöder GDAP. |
| Azure IoT Central https://apps.azureiotcentral.com/ | Stöds inte för närvarande. Utanför omfånget för GDAP. |
| Windows Defender Advanced Threat Protection https://securitycenter.windows.com | Windows Defender Advanced Threat Protection kommer att dras tillbaka. Partner rekommenderas att flytta till Microsoft Defender XDR, som stöder GDAP. |
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för