GDAP 常见问题解答
相应的角色:对合作伙伴中心感兴趣的所有用户
利用精细委派管理特权 (GDAP) 功能,合作伙伴可以控制对其客户工作负载的更精细限时访问,意味着合作伙伴将能够更好地解决其客户的安全问题。 对于感到合作伙伴访问权限当前级别有问题的客户,以及对于有监管要求(向合作伙伴只提供最低访问特权)的客户,合作伙伴还将能够为他们提供更多服务。
有关更多信息,请查看就绪性集合。
设置 GDAP
谁可以创建 GDAP 邀请请求?
合作伙伴组织中的合作伙伴管理员代理可以提出 GDAP 邀请请求。
当合作伙伴向客户发送 GDAP 关系请求,并且客户不对此采取任何操作时,此请求是否随时过期?
是的。 待处理的关系将在 90 天后过期。
GDAP 关系何时过期?
GDAP 关系的过期时间由合作伙伴定义。 默认设置为两年(最长),但合作伙伴可以更新此范围,将此期限缩短为一天(最短)。
是否可以将与客户之间的 GDAP 关系永久化?
否。 出于安全考虑,无法与客户建立永久的 GDAP 关系。 GDAP 关系的最长持续时间为两年。
客户如何延长或续订 GDAP 关系?
若要要延长或续订 GDAP 关系,合作伙伴需要向客户重新发送 GDAP 关系请求。
是否可以自动续订与客户之间的 GDAP 关系?
不可以,出于安全考虑,无法自动续订与客户之间的 GDAP 关系。
当我与客户之间的 GDAP 关系过期时,我要采取哪种措施? 是否有自动续订过程?
如果与客户的 GDAP 关系过期,则必须再次重新创建 GDAP 关系。 可以使用分析来跟踪 GDAP 关系的过期日期,以便为续订关系做准备。 目前没有自动续订过程。
如果 GDAP 关系过期,客户现有的订阅是否会受影响?
如果 GDAP 关系过期,客户现有的订阅不会发生更改。
如果删除非活动客户的 DAP,我如何继续为客户管理服务?
虽然 DAP 和 GDAP 是共存的,但你可以通过建立 GDAP 关系或者通过合作伙伴中心与客户重新建立 DAP 关系,来继续为客户管理服务。 我们建议建立 GDAP 关系,以确保实现最高安全性并保持对客户租户的最低访问特权。
将来,需要与希望管理服务的任何客户建立 GDAP 关系。
谁会收到 GDAP 关系终止通知电子邮件?
在合作伙伴组织中,管理员代理角色将收到通知。 在客户组织中,全局管理员代理角色将收到通知。
是否可以在活动日志中查看客户何时删除了 GDAP?
是,合作伙伴可以在合作伙伴中心活动日志中查看客户何时删除了 GDAP。
我是否必须与我的所有客户建立 GDAP 关系?
否,GDAP 是让合作伙伴可以精细管理其客户服务的一项可选功能。 合作伙伴可以选择要与哪些客户建立 GDAP 关系。
如果我有多个客户,是否需要为这些客户创建多个安全组?
这取决于你的场景。 如果你希望合作伙伴用户能够管理所有客户,则可将所有合作伙伴用户放到一个安全组中,仅凭这一个组就能管理所有客户。
如果你希望让不同的合作伙伴用户管理不同的客户,则应该将这些合作伙伴用户分配到单独的安全组,以便按客户实现隔离。
间接经销商是否可以从其合作伙伴中心创建 GDAP 关系请求链接?
是,间接经销商(以及间接提供商和直接计费合作伙伴)可以从合作伙伴中心创建 GDAP 关系请求。
GDAP API
是否可以使用 API 来与我的客户建立 GDAP 关系?
是,API 将在合作伙伴中心开发人员文档中提供。
是否可以一次性与不同的客户建立多个 GDAP 关系?
可以,但无法通过合作伙伴中心体验使用此功能。 可以使用 API 建立这些关系,合作伙伴可以调整此过程。
是否可以将我的客户从 DAP 批量迁移到 GDAP?
是,此场景可通过使用 API 来实现。 合作伙伴可以自动化与其客户建立 GDAP 关系的过程。
是否可以使用一个 API 调用在 GDAP 关系中分配多个安全组?
API 每次只适用于一个安全组,但在 UX 中可将多个安全组映射到多个角色。
是否可以将 beta GDAP API 用于生产?
能。 建议合作伙伴在将来可用时使用 beta GDAP API 进行 生产 ,稍后切换到 API v.1。 尽管存在警告,但“不支持在生产应用程序中使用这些 API”,但这是图形下任何 beta API 的通用指南,不适用于 beta GDAP Graph API。
角色
访问 Azure 订阅需要哪些 GDAP 角色?
合作伙伴必须创建用于管理 Azure 的安全组(例如 Azure 管理员),并将其嵌套在管理员代理下,以便根据客户访问进行分区,这是推荐的最佳做法。 若要以所有者身份为客户访问 Azure 订阅,必须将任何 Azure AD 角色(例如目录读取者(最低特权角色))分配给 Azure 管理员安全组。 有关设置 Azure GDAP 的步骤,请参阅 [GDAP 支持的工作负载](./gdap-supported-workloads.md]。
你们是否提供有关可为用户分配哪种最低特权角色来完成特定任务的任何指导?
是的,可以参阅此文,其中提供了通过在 Azure Active Directory (Azure AD) 中分配最低特权角色来限制用户管理员权限所需的信息。
应该为客户的租户分配哪种最低特权角色才能为客户创建支持票证?
我们建议分配“服务支持管理员”角色。 详细了解 Azure AD 角色。
是否可以从 GDAP 关系中排除所有 Azure AD 角色,但仍允许合作伙伴为客户创建支持票证?
否。 使合作伙伴用户能够为其客户创建支持票证所需的最低特权角色是“服务支持管理员”。 因此,若要为客户创建支持票证,合作伙伴用户需是某个安全组的成员,并且在具有此角色的情况下分配到该客户。
在何处可以找到有关 GDAP 中包含的所有角色和工作负载的信息?
可以在 Azure AD 内置角色中找到所有角色。 可在此处找到工作负载信息。
哪个 GDAP 角色提供对 Microsoft 365 管理中心的访问权限?
Microsoft 365 管理中心使用许多角色,你可以在此处找到最常用的 Microsoft 365 管理员角色。
是否可为 GDAP 创建自定义安全组?
可以,合作伙伴需要创建一个安全组,分配已批准的角色,然后将合作伙伴租户用户分配到该安全组。
哪个 GDAP 角色授予对客户订阅的只读访问权限,但不允许用户管理这些订阅?
“全局读取者”、“合作伙伴二线支持人员”和“目录读取者”角色提供对客户订阅的只读访问权限。
如果我希望我的合作伙伴代理能够管理客户租户,但不允许他们修改客户的订阅(当前为管理员代理),我应该为他们分配哪种角色?
我们建议从“管理员代理”角色中删除合作伙伴代理,并仅将他们添加到 GDAP 安全组。 这样,他们就可以管理服务(例如服务管理、日志服务请求),但无法购买和管理订阅(更改数量、取消、计划更改等)。
如果客户向合作伙伴授予 GDAP 角色,然后又删除这些角色/切断 GDAP 关系,会发生什么情况?
分配到该关系的安全组将失去对该客户的访问权限。 如果客户终止 DAP 关系,也会发生与此相同的行为。
在我与客户建立的 GDAP 关系中,是否有某些角色的过期时间比其他角色更长?
否,在与客户建立的 GDAP 关系中,不可能存在某些角色的过期时间比其他角色更长的情况。 GDAP 关系中的所有角色具有相同的过期时间,该时间在创建这种关系时选择的。
是否需要拥有 GDAP 才能在合作伙伴中心履行新客户和现有客户的订单?
否,无需拥有 GDAP 即可履行新客户和现有客户的订单。 你可以继续使用相同的过程在合作伙伴中心履行客户订单。
是否必须为所有客户分配一个合作伙伴代理角色,或者说,是否可以只为一个客户分配一个合作伙伴代理角色?
GDAP 关系是为每个客户建立的。 可为每个客户建立多个关系。 每个 GDAP 关系可以使用不同的角色,并在你的 CSP 租户中使用不同的 Azure AD 组。
角色分配是通过合作伙伴中心界面在客户的 GDAP 关系级别完成的。 若要分配多客户角色,可以使用 API 将此过程自动化。
DAP 和 GDAP
是否必须将所有客户过渡到 GDAP,或者说,是否可以继续使用 DAP?
虽然 DAP 和 GDAP 在过渡期将会共存,但 GDAP 最终将取代 DAP,以确保我们为合作伙伴和客户提供更安全的解决方案。 建议尽快将客户过渡到 GDAP,以确保连续性。
GDAP 如何与 Azure AD 中的 Privileged Identity Management 配合工作?
合作伙伴可以在合作伙伴租户中的 GDAP 安全组上实现 Privileged Identity Management (PIM),以提升一些高特权用户的访问权限,及时 (JIT) 授予他们高特权角色(例如密码管理员),并自动删除访问权限。 若要启用此实现,Microsoft 将提供 PIM 当前所需的免费Azure AD Premium计划 2 许可证。
GDAP 将来是否会取代 DAP?
是的。 在过渡期间,DAP 和 GDAP 将共存,GDAP 权限优先于 Microsoft 365、Dynamics 365 和 Azure 工作负荷的 DAP 权限。
当 DAP 和 GDAP 共存时,DAP 关系的创建方式是否有任何变化?
当 DAP 和 GDAP 共存时,现有 DAP 关系流没有变化。
如果我的客户群体非常庞大(例如,有 10,000 个客户帐户),我如何从 DAP 过渡到 GDAP?
此操作目前可由 API 执行。
如果从 DAP 过渡到 GDAP,我的 PEC 收益是否会受到任何影响? 对 PAL 是否有影响?
否,过渡到 GDAP 时,你的 PEC 收益不会受到影响。 在过渡时 PAL 不会有任何变化,可确保你继续赚取 PEC。
当 DAP 和 GDAP 共存时,GDAP 权限优先于 DAP 权限体现在哪些方面?
如果用户同时属于 GDAP 安全组和 DAP 管理代理组,并且客户同时具有 DAP 和 GDAP 关系,GDAP 访问权限优先于合作伙伴、客户、工作负载级别。
例如,如果合作伙伴用户登录给定工作负荷,并且全局管理员角色有 DAP,而全局读取者角色的 GDAP 则合作伙伴用户将仅获取全局读取者权限。 如果有三个客户将 GDAP 角色仅分配给 GDAP 安全组(而不是管理员代理)。
| 客户 | 与合作伙伴的关系 |
|---|---|
| 客户 1 | DAP(无 GDAP) |
| 客户 2 | DAP + GDAP 两者 |
| 客户 3 | GDAP(无 DAP) |
下表描述了用户登录到不同客户租户的各种情况下的行为。
| 示例用户 | 示例客户租户 | 行为 | 注释 |
|---|---|---|---|
| 用户 1 | 客户 1 | DAP | 这是 DAP 的原样 |
| 用户 1 | 客户 2 | DAP | 管理员代理组没有 GDAP 角色分配,这会导致 DAP 行为 |
| 用户 1 | 客户 3 | 无访问权限 | 没有 DAP 关系,因此管理员代理组无权访问客户 3 |
| 用户 2 | 客户 1 | DAP | 这是 DAP 的原样 |
| 用户 2 | 客户 2 | GDAP | GDAP 优先于 DAP,因为即使用户是管理员代理组的一部分,也会通过 GDAP 安全组将 GDAP 角色分配给客户 2 |
| 用户 2 | 客户 3 | GDAP | 这是仅限 GDAP 的客户 |
| 用户 3 | 客户 1 | 无访问权限 | 客户 1 没有 GDAP 角色分配 |
| 用户 3 | 客户 2 | GDAP | 用户不属于管理员代理组,这会导致仅限 GDAP 的行为 |
| 用户 3 | 客户 3 | GDAP | 仅限 GDAP 的行为 |
如果客户购买 Azure 和 Microsoft 365 或 Dynamics 365,DAP 和 GDAP 如何共存?
GDAP 已正式发布,支持所有 Microsoft 商业云服务 (M365、Dynamics 365、Azure 和 Power 平台工作负载) 。 有关 DAP 和 GDAP 如何共存以及如何优先使用 GDAP 的详细信息,请参阅 GDAP 如何优先于 DAP。
删除 DAP/GDAP 时,PEC 是否会受到影响?
- 如果合作伙伴的客户只有 DAP 且 DAP 被删除,那么 PEC 不会丢失
- 如果合作伙伴的客户具有 DAP,同时对 Office 和 Azure 迁移到 GDAP,并且 DAP 被删除,那么 PEC 不会丢失
- 如果合作伙伴的客户具有 DAP,对 Office 迁移到 GDAP 但将 Azure 保持原样(即不迁移到 GDAP),并且 DAP 被删除,那么 PEC 不会丢失,但 Azure 订阅访问权限将丢失
- 如果 RBAC 角色被删除,PEC 将丢失,但请注意,删除 GDAP 不会删除 RBAC
是否会禁用 DAP 或转换为 GDAP 影响能力?
禁用 DAP 可能会影响你的能力。 转到 合作伙伴中心资格 ,查看其他合作伙伴关联类型有资格使用客户每月活动使用情况, (MAU) 进行性能阈值计算。 还可查看你当前有效的能力。
GDAP 如何与 Azure Lighthouse 配合工作? GDAP 和 Azure Lighthouse 是否会相互影响?
鉴于 Azure Lighthouse 和 DAP/GDAP 之间的关系,可将其视为 Azure 资源的解耦并行路径,因此切断其中一个不应影响另一个。 在 Azure Lighthouse 方案中,合作伙伴租户中的用户永远不会登录到客户租户,并且客户租户中没有任何 Azure AD 权限。 他们的 Azure RBAC 角色分配也保留在合作伙伴租户中。
在 GDAP 方案中,合作伙伴租户中的用户登录到客户租户,将 Azure RBAC 角色分配分配到管理员代理组也位于客户租户中。 可以阻止 GDAP 路径, (用户在 Azure Lighthouse 路径不受影响时无法再登录) 。 反之,可以在不影响 GDAP 的情况下切断 Lighthouse 关系(投影)。 有关详细信息,请参阅 Azure Lighthouse 文档。
如果我有 Azure 客户,那么在不失去对 Azure 订阅的访问权限的情况下迁移到 GDAP 和删除 DAP 的最佳方法是什么?
此场景要遵循的正确顺序是:
- 为 Microsoft 365 和 Azure 创建 GDAP 关系。
- 将 Azure AD 角色分配给 Microsoft 365 和 Azure 的安全组。
- 将 GDAP 配置为优先于 DAP。
- 删除 DAP。
重要
如果不遵循这些步骤,则管理 Azure 的现有管理员代理可能会失去客户对 Azure 订阅的访问权限。
以下顺序可能会导致无法访问 Azure 订阅:
- 删除 DAP。 删除 DAP 不一定会失去对 Azure 订阅的访问权限。 但此时无法浏览客户的目录来执行任何 Azure RBAC 角色分配(例如将新客户用户分配为订阅 RBAC 参与者)。
- 同时为 Microsoft 365 和 Azure 创建 GDAP 关系。设置 GDAP 后,可能会在此步骤失去对 Azure 订阅的访问权限。
- 将 Azure AD 角色分配到Microsoft 365和 Azure 的安全组,在 Azure GDAP 设置完成后,你将重新获得对 Azure 订阅的访问权限。
我拥有没有 DAP 的 Azure 订阅客户。 如果我将其移动到 Microsoft 365 的 GDAP,是否会失去对 Azure 订阅的访问权限?
如果你拥有以所有者身份管理的没有 DAP 的 Azure 订阅,通过将 Microsoft 365 的 GDAP 添加到该客户,你可能会失去对 Azure 订阅的访问权限。 为了避免这种情况,你需要在将客户迁移到 Microsoft 365 GDAP 的同时将客户迁移到 Azure GDAP。
重要
如果不遵循这些步骤,则管理 Azure 的现有管理员代理可能会失去客户对 Azure 订阅的访问权限。
产品
此 GDAP 版本是否包含 Azure 订阅管理?
是,当前版本的 GDAP 支持所有产品:Microsoft 365、Dynamics 365、Power Platform 和 Azure。
GDAP 如何与 Microsoft 365 Lighthouse 配合工作?
将客户加入 Lighthouse 需要精细委派管理员特权 (GDAP) 加上间接经销商关系或委托管理员特权 (DAP) 关系。 如果 DAP 和 GDAP 在客户租户中共存,GDAP 权限优先于启用了 GDAP 的安全组中的 MSP 技术人员。 很快,在没有间接经销商关系的情况下,GDAP 仅关系 (的客户) 将能够加入 Lighthouse。 有关Microsoft 365 Lighthouse要求的详细信息,请参阅Microsoft 365 Lighthouse要求。