GDAP 常见问题解答
相应的角色:对合作伙伴中心感兴趣的所有用户
精细委派的管理员权限(GDAP)使合作伙伴能够以更精细和更具时间限制的方式访问其客户的工作负载,这有助于解决客户安全问题。
借助 GDAP,合作伙伴可以为可能对合作伙伴访问级别较高的客户提供更多服务。
GDAP 还有助于要求仅向合作伙伴提供最低特权访问权限的客户。
设置 GDAP
谁可以请求 GDAP 关系?
在合作伙伴组织中具有管理员代理角色的人员可以创建 GDAP 关系请求。
如果客户未采取任何措施,GDAP 关系请求是否会过期?
是的。 GDAP 关系请求在 90 天后过期。
能否使 GDAP 与客户建立永久关系?
否。 出于安全原因,无法与客户建立永久 GDAP 关系。 GDAP 关系的最大持续时间为两年。 可以将“自动扩展”设置为“已启用”,以将管理员关系延长 6 个月,直到终止或自动扩展设置为“已禁用”。
GDAP 与客户自动重新更新/自动扩展关系吗?
是的。 GDAP 关系可以自动延长 6 个月,直到终止或自动扩展设置为“已禁用”。
当 GDAP 与客户的关系过期时,该怎么办?
如果与客户的 GDAP 关系过期,请 再次请求 GDAP 关系 。
可以使用 GDAP 关系分析 来跟踪 GDAP 关系到期日期并准备其续订。
客户如何扩展或续订 GDAP 关系?
若要扩展或续订 GDAP 关系,合作伙伴或客户必须将“自动扩展”设置为“已启用”。
活动 GDAP 即将过期是否可以更新为自动扩展?
是的,如果 GDAP 处于活动状态,可以扩展它。
自动扩展何时生效?
假设 GDAP 创建 365 天,自动扩展设置为“已启用”。 在第 365 天,结束日期将有效更新 180 天。
在启用/禁用之间切换自动扩展时,是否发送电子邮件?
不会向合作伙伴和客户发送电子邮件。
是否可以自动扩展使用 PLT(合作伙伴引导工具)、MLT(Microsoft Led 工具)、合作伙伴中心 UI、合作伙伴中心 API 创建的 GDAP?
是的,任何活动的 GDAP 都可以自动扩展。
是否需要客户同意才能针对现有活动 GDAP 设置自动扩展?
否,无需客户同意即可针对现有活动 GDAP 将自动扩展设置为“已启用”。
自动扩展后,是否应将精细权限重新分配给安全组?
否,分配给安全组的精细权限按原样继续。
是否可以自动扩展与全局管理员管理员角色的管理员关系?
否,无法自动扩展与 Global 管理员istrator 角色的管理员关系。
为什么在 “客户”工作区下看不到“即将过期的粒度关系 ”页?
“过期粒度关系”页有助于筛选跨不同时间线过期的 GDAP,有助于更新一个或多个用于自动扩展的 GDAP(启用/禁用),仅适用于具有全局管理员istrators 和 管理员 代理角色的合作伙伴用户。
如果 GDAP 关系过期,客户的现有订阅是否受到影响?
否。 GDAP 关系过期时,不会更改客户的现有订阅。
如果客户被锁定在帐户外且无法接受合作伙伴的 GDAP 关系请求,客户如何重置其密码和 MFA 设备?
请参阅 Microsoft Entra 多重身份验证问题疑难解答,在丢失手机或电话号码更改以获取指导后,无法使用 Microsoft Entra 多重身份验证登录到云服务。
如果客户管理员被锁定在其帐户中,并且无法接受合作伙伴的 GDAP 关系请求,合作伙伴需要哪些角色才能重置管理员密码和 MFA 设备?
合作伙伴必须在创建第一个 GDAP 时请求 特权身份验证管理员 Microsoft Entra 角色,才能重置用户(管理员或非管理员)的密码和身份验证方法。 Privileged Authentication 管理员istrator 角色是 MLT (Microsoft Led Tool) 设置的角色的一部分,计划在创建客户流期间(计划于 9 月)使用默认 GDAP。
合作伙伴可以让客户管理员尝试 重置密码。 作为预防措施,合作伙伴必须为客户设置 SSPR(自助密码重置)。 请参阅“让用户重置自己的密码”。
谁收到 GDAP 关系终止通知电子邮件?
在合作伙伴组织中,具有管理员代理角色的人员会收到终止通知。
在客户组织中,具有全局管理员角色的人员会收到终止通知。
是否可以查看客户何时在活动日志中删除 GDAP?
是的。 合作伙伴可以查看客户何时在合作伙伴中心活动日志中删除 GDAP。
是否需要与所有客户创建 GDAP 关系?
否。 GDAP 是一项可选功能,适用于想要以更精细且具有时间限制的方式管理其客户服务的合作伙伴。 可以选择要为其创建 GDAP 关系的客户。
如果我有多个客户,是否需要为这些客户创建多个安全组?
答案取决于你希望如何管理客户。
如果希望合作伙伴用户能够管理所有客户,可以将所有合作伙伴用户放入一个安全组,一个组可以管理所有客户。
如果希望让各种合作伙伴用户管理各种客户,请将这些合作伙伴用户分配到单独的安全组进行客户隔离。
间接经销商是否可以在合作伙伴中心创建 GDAP 关系请求?
是的。 间接经销商(以及间接提供商和直接计费合作伙伴)可以在合作伙伴中心创建 GDAP 关系请求。
为什么具有 GDAP 的合作伙伴用户无法以 AOBO 身份(管理员代表)访问工作负荷?
作为 GDAP 设置的一部分,请确保在合作伙伴租户中创建的安全组与合作伙伴用户一起被选中。 此外,请确保将所需的 Microsoft Entra 角色分配给安全组。 请参阅 分配 Microsoft Entra 角色。
如果客户设置的条件访问策略阻止了所有外部访问(包括 CSP 对客户租户的访问(AOBO),建议下一步是什么?
客户现在可以从条件访问策略中排除 CSP,以便合作伙伴无需阻止即可过渡到 GDAP。
包括用户 - 此用户列表通常包括组织在条件访问策略中面向的所有用户。
创建条件访问策略时,可以包括以下选项:
- 选择“用户和组”
- 来宾或外部用户(预览版)
- 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
- 服务提供商用户,例如云解决方案提供商(CSP)。
- 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
- 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
- 来宾或外部用户(预览版)
外部合作伙伴访问 - 面向外部用户的条件访问策略可能会干扰服务提供商访问,例如精细的委派管理员权限。 有关详细信息,请参阅 细化委派管理员权限(GDAP)简介。 对于旨在面向服务提供商租户的策略,请使用“来宾或外部用户”选项中提供的“服务提供商用户”外部用户类型。
排除用户 - 当组织同时包括和排除用户或组时,用户或组将从策略中排除,因为排除操作会替代策略中的包含操作。
创建条件访问策略时,可以排除以下选项:
- 来宾或外部用户
- 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
- 服务提供商用户,例如云解决方案提供商 (CSP)
- 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
- 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
有关详细信息,请参阅:
我是否需要 GDAP 关系来创建支持票证,尽管我拥有合作伙伴的顶级支持?
是的,不管你拥有的支持计划,合作伙伴用户能够为其客户创建支持票证的最低特权角色是服务支持管理员。
合作伙伴是否可以终止处于审批挂起状态的 GDAP?
否,合作伙伴当前无法在审批挂起状态中终止 GDAP。 如果客户不采取任何操作,它将在 90 天内过期。
GDAP 关系终止后,是否可以重复使用相同的 GDAP 关系名称来创建新关系?
只有在 365 天(清理)后 GDAP 关系终止或过期后,才能重复使用同名创建新的 GDAP 关系。
GDAP API
API 是否可用于与客户创建 GDAP 关系?
有关 API 和 GDAP 的信息,请参阅 合作伙伴中心开发人员文档。
是否可以将 beta GDAP API 用于生产?
是的。 我们建议合作伙伴使用 beta 版 GDAP API 进行生产,并在它们可用时切换到 API v.1。
尽管存在警告,“不支持在生产应用程序中使用这些 API”,但通用指南适用于 Graph 下的任何 beta API,不适用于 beta GDAP 图形 API。
是否可以一次性与不同的客户建立多个 GDAP 关系?
是的。 可以使用 API 创建 GDAP 关系,使合作伙伴能够缩放此过程。 但是,创建多个 GDAP 关系在合作伙伴中心不可用。 有关 API 和 GDAP 的信息,请参阅 合作伙伴中心开发人员文档。
是否可以使用一个 API 调用在 GDAP 关系中分配多个安全组?
该 API 一次适用于一个安全组,但你可以将多个安全组映射到合作伙伴中心中的多个角色。
如何为应用程序请求多个资源权限?
为每个资源发出单独的调用。 发出单个 POST 请求时,仅传递一个资源及其相应的范围。
例如,若要请求两者 https://graph.windows.net/Directory.AccessAsUser.All 的权限,并 https://graph.microsoft.com/Organization.Read.All发出两个不同的请求,每个请求一个。
如何查找给定资源的资源 ID?
使用提供的链接搜索资源名称: 验证登录报告中的第一方 Microsoft 应用程序 - Active Directory。 示例:
若要查找资源 ID(例如:00000003-0000-0000-c000-00000000000000000,for graph.microsoft.com):
如果遇到错误“Request_UnsupportedQuery”,消息为资源“ServicePrincipal”的属性“appId”指定的查询筛选器子句不受支持或无效,该怎么办?
在查询筛选器中使用不正确的标识符时,通常会发生此错误。
若要解决此问题,请确保使用 enterpriseApplicationId 属性和正确的 资源 ID,而不是资源名称。
请求不正确
对于 enterpriseApplicationId,请勿使用资源名称,如 graph.microsoft.com。
正确的请求
相反,对于 enterpriseApplicationId,请使用资源 ID,例如 00000003-0000-0000-c000-0000000000000。
如何将新范围添加到已许可到客户租户的应用程序的资源中?
示例:之前 graph.microsoft.com 资源“profile”范围已获得同意。 现在,我们还希望添加配置文件和 user.read。
若要向以前许可的应用程序添加新范围,请执行以下操作:
使用 DELETE 方法可撤销客户租户的现有应用程序同意。
使用 POST 方法创建具有其他作用域的新应用程序同意。
注意
如果应用程序需要多个资源的权限,请为每个资源单独执行 POST 方法。
如何实现为单个资源(enterpriseApplicationId)指定多个范围?
使用逗号后跟空格连接所需的范围。 示例:“scope”:“profile, User.Read”
如果收到“400 错误请求”错误,出现消息“不支持的令牌”,该怎么办。 无法初始化授权上下文“?
确认请求正文中的“displayName”和“applicationId”属性准确无误,并匹配你尝试许可到客户租户的应用程序。
确保使用相同的应用程序生成尝试许可到客户租户的访问令牌。
示例:如果应用程序 ID 为“12341234-1234-1234-12341234”,则访问令牌中的“appId”声明还应为“12341234-1234-1234-12341234”。
验证是否满足以下条件之一:
你有一个有效的委派管理员特权(DAP),并且用户也是合作伙伴租户中管理员代理安全组的成员。
你与客户租户有一个有效的粒度委派管理员特权(GDAP)关系,其中包含以下三个 GDAP 角色中的至少一个,并且已完成访问分配:
- 全局管理员istrator、应用程序管理员istrator 或云应用程序管理员istrator 角色。
- 合作伙伴用户是访问分配中指定的安全组的成员。
角色
访问 Azure 订阅需要哪些 GDAP 角色?
若要使用按客户访问分区(这是建议的最佳做法)管理 Azure,请创建安全组(例如 Azure 经理),并将其嵌套在管理员代理下。
若要以客户的所有者身份访问 Azure 订阅,可以将任何 Microsoft Entra 内置角色 (例如 目录读取者、最低特权角色)分配给 Azure 经理 安全组。
有关设置 Azure GDAP 的步骤,请参阅精细委派管理员权限支持的工作负荷(GDAP)。
是否有关于可分配给用户执行特定任务的最小特权角色的指导?
是的。 有关如何通过在 Microsoft Entra 中分配最低特权角色来限制用户的管理员权限的信息,请参阅 Microsoft Entra 中的任务划分的最小特权角色。
我可以分配给客户的租户的最低特权角色是什么,仍可为客户创建支持票证?
建议分配 服务支持管理员 角色。 若要了解详细信息,请参阅 Microsoft Entra 中的任务中的最低特权角色。
是否可以在已排除所有 Microsoft Entra 角色的 GDAP 关系中为客户开具支持票证?
否。 合作伙伴用户能够为其客户创建支持票证的最低特权角色是 服务支持管理员。 因此,若要为客户创建支持票证,合作伙伴用户必须位于安全组中,并分配给具有该角色的客户。
在哪里可以找到有关 GDAP 中包含的所有角色和工作负荷的信息?
有关所有角色的信息,请参阅 Microsoft Entra 内置角色。
有关工作负荷的信息,请参阅 粒度委派管理员特权(GDAP)支持的工作负荷。
哪些 GDAP 角色允许访问 Microsoft 365 管理 中心?
许多角色用于Microsoft 365 管理中心。 有关详细信息,请参阅常用 Microsoft 365 管理中心角色。
是否可以为 GDAP 创建自定义安全组?
是的。 创建安全组,分配已批准的角色,然后将合作伙伴租户用户分配到该安全组。
哪些 GDAP 角色授予对客户的订阅的只读访问权限,因此不允许用户管理这些订阅?
全局读取者、目录读取者和合作伙伴第 2 层支持角色提供对客户的订阅的只读访问权限。
如果希望合作伙伴代理(当前管理员代理)管理客户租户,但不能修改客户的订阅,我应分配什么角色?
建议从管理员代理角色中删除合作伙伴代理,并仅将其添加到 GDAP 安全组。 这样,他们就可以管理服务(例如,服务管理和日志服务请求),但无法购买和管理订阅(更改数量、取消、计划更改等)。
如果客户向合作伙伴授予 GDAP 角色,然后删除角色或分拆 GDAP 关系,会发生什么情况?
分配给关系的安全组无法访问该客户。 如果客户终止 DAP 关系,则会发生同样的事情。
合作伙伴能否在删除与客户的所有 GDAP 关系后继续与客户交易?
是的,删除与客户的 GDAP 关系不会终止合作伙伴与客户的经销商关系。 合作伙伴仍然可以为客户购买产品并管理 Azure 预算和其他相关活动。
我的 GDAP 关系中的某些角色能否比其他人有更长的到期时间?
否。 GDAP 关系中的所有角色都具有相同的到期时间:创建关系时选择的持续时间。
是否需要拥有 GDAP 才能在合作伙伴中心履行新客户和现有客户的订单?
否。 无需 GDAP 即可为新客户和现有客户履行订单。 你可以继续使用相同的过程在合作伙伴中心履行客户订单。
我是否必须向所有客户分配一个合作伙伴代理角色,或者是否可以仅向一个客户分配合作伙伴代理角色?
GDAP 关系是每个客户。 可为每个客户建立多个关系。 每个 GDAP 关系可以具有不同的角色,并在 CSP 租户中使用不同的 Microsoft Entra 组。
在合作伙伴中心,角色分配在客户到 GDAP 关系级别工作。 若要分配多客户角色,可以使用 API 将此过程自动化。
合作伙伴用户是否可以拥有 GDAP 角色和来宾帐户?
GDAP 支持来宾帐户,但不支持 DAP 关系。
是否需要 DAP/GDAP 进行 Azure 订阅预配?
否,无需 DAP 或 GDAP 才能购买 Azure 计划并为客户预配 Azure 订阅。 为客户创建 Azure 订阅的过程记录在 为合作伙伴的客户创建订阅 - Microsoft 成本管理 + 计费。 默认情况下,合作伙伴租户中的管理员代理组将成为为客户预配的 Azure 订阅的所有者。 使用合作伙伴中心 ID 登录到Azure 门户。
若要预配对客户的访问,需要 GDAP 关系。 GDAP 关系必须至少包含目录读取器的 Microsoft Entra 角色。 若要在 Azure 中预配访问权限,请使用访问控制(IAM)页。 对于 AOBO,请登录到合作伙伴中心,并使用 “服务管理 ”页来预配对客户的访问。
GDAP 支持哪些 Microsoft Entra 角色?
GDAP 目前仅支持 Microsoft Entra 内置角色。 不支持自定义 Microsoft Entra 角色。
为什么 GDAP 管理员 + B2B 用户无法在 aka.ms/mysecurityinfo 中添加身份验证方法?
GDAP 来宾管理员无法在“我的安全信息”中管理自己的安全信息。 相反,他们将需要作为来宾的租户管理员的帮助,以便进行任何安全信息注册、更新或删除。 组织可以配置跨租户访问策略,以信任受信任的 CSP 租户中的 MFA。 否则,GDAP 来宾管理员将仅限于租户管理员(即短信或语音)可注册的方法。 若要了解详细信息,请参阅 跨租户访问策略。
DAP 和 GDAP
GDAP 是否替换 DAP?
是的。 在过渡期间,DAP 和 GDAP 将共存,GDAP 权限优先于 Microsoft 365、Dynamics 365 和 Azure 工作负载的 DAP 权限。
是否可以继续使用 DAP,或者是否必须将所有客户转换为 GDAP?
在过渡期间,DAP 和 GDAP 共存。 但是,GDAP 最终将取代 DAP,以确保我们为合作伙伴和客户提供更安全的解决方案。 建议尽快将客户过渡到 GDAP,以确保连续性。
当 DAP 和 GDAP 共存时,DAP 关系的创建方式是否有任何变化?
当 DAP 和 GDAP 共存时,现有 DAP 关系流没有变化。
作为创建客户的一部分,将为默认 GDAP 授予哪些 Microsoft Entra 角色?
当前在创建新客户租户时会授予 DAP。 从 2023 年 9 月 25 日开始,Microsoft 将不再为新客户创建授予 DAP,而是向默认 GDAP 授予特定角色。 默认角色因合作伙伴类型而异,如下表所示:
| 为默认 GDAP 授予的 Microsoft Entra 角色 | 直接计费合作伙伴 | 间接提供商 | 间接经销商 | 域合作伙伴 | 控制面板供应商(CPV) | 顾问 | 选择退出默认 GDAP (无 DAP) |
|---|---|---|---|---|---|---|---|
| 1. 目录读取器。 可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限。 | x | X | X | X | x | ||
| 2. 目录编写器。 可以读取和写入基本目录信息。 用于授予对应用程序的访问权限,不针对用户。 | x | X | X | X | x | ||
| 3. 许可证管理员istrator。 可以管理用户和组的产品许可证。 | x | X | X | X | x | ||
| 4.服务支持管理员istrator。 可以读取服务运行状况信息和管理支持票证。 | x | X | X | X | x | ||
| 5. 用户管理员istrator。 可以管理用户和组的所有方面,包括重置有限管理员的密码。 | x | X | X | X | x | ||
| 6. 特权角色管理员istrator。 可以在 Microsoft Entra 中管理角色分配,以及 Privileged Identity Management 的各个方面。 | x | X | X | X | x | ||
| 7. 支持人员管理员istrator。 可以为非管理员和技术支持管理员重置密码。 | x | X | X | X | x | ||
| 8. 特权身份验证管理员istrator。 可以访问查看、设置和重置任何用户的身份验证方法信息(管理员或非管理员)。 | x | X | X | X | x | ||
| 9. 云应用程序管理员istrator。 可以创建和管理应用注册和企业应用的所有方面,应用代理除外。 | x | X | X | x | |||
| 10. 应用程序管理员istrator。 可以创建和管理应用注册和企业应用的所有方面。 | x | X | X | x | |||
| 11. 全局读取器。 可以读取全局管理员可以执行的所有操作,但无法更新任何内容。 | x | X | X | X | x | ||
| 12. 外部标识提供者管理员istrator。 可以管理 Microsoft Entra 组织和外部标识提供者之间的联合身份验证。 | x | ||||||
| 13. 域名管理员istrator。 可以管理云中和本地的域名。 | x |
GDAP 如何在 Microsoft Entra 中使用 Privileged Identity Management?
合作伙伴可以在合作伙伴租户中的 GDAP 安全组上实施 Privileged Identity Management (PIM), 以提升少数高特权用户的访问权限,实时(JIT)授予他们高特权角色,如密码管理员自动删除访问权限。
若要启用此实现,PIM 需要对 Microsoft Entra ID P2 的订阅是免费的。 Microsoft 合作伙伴可以 登录以获取详细信息。
直到 2023 年 1 月,每个特权访问组(组功能的 PIM 前名称)都必须位于可分配角色的组中。 此限制已被 删除。 鉴于此,可以在 PIM 中为每个租户启用 500 多个组,但最多只能分配 500 个组。
摘要:
合作伙伴可以在 PIM 中使用可 分配角色的组和非角色 分配组。 这有效地 消除了 PIM 中 500 个组/租户的限制。
通过最新更新,可以通过两种方法将组加入 PIM(UX-wise):从 PIM 菜单或“组”菜单。 无论选择哪种方式,净结果都是相同的。
可以通过 PIM 菜单加入可分配角色/不可分配角色的组的功能已可用。
可以通过“组”菜单载入可分配角色/不可分配角色的组的功能已可用。
有关详细信息,请参阅 组的 Privileged Identity Management (PIM) - Microsoft Entra。
如果客户购买 Microsoft Azure 和 Microsoft 365 或 Dynamics 365,DAP 和 GDAP 如何共存?
GDAP 已正式发布,支持所有 Microsoft 商业云服务(Microsoft 365、Dynamics 365、Microsoft Azure 和 Microsoft Power Platform 工作负载)。 有关 DAP 和 GDAP 如何共存以及如何 GDAP 优先的详细信息,请参阅 GDAP 如何优先于 DAP。
例如,我有一个大型客户群(例如 10,000 个客户帐户)。 如何实现从 DAP 转换到 GDAP?
此操作可由 API 执行。
当我从 DAP 过渡到 GDAP 时,我的合作伙伴赚取的信用额度(PEC)收入是否会受到影响? 合作伙伴管理员链接(PAL)是否会有任何影响?
否。 过渡到 GDAP 时,PEC 收益不会受到影响。 在过渡时,PAL 没有变化,确保你继续赢得 PEC。
删除 DAP/GDAP 时,PEC 是否受到影响?
- 如果合作伙伴的客户只有 DAP 且 DAP 被删除,则 PEC 不会丢失。
- 如果合作伙伴的客户具有 DAP,并且同时迁移到 GDAP 进行 办公室 和 Azure,并且 DAP 被删除,PEC 不会丢失。
- 如果合作伙伴的客户具有 DAP,并且他们迁移到 GDAP 进行办公室但保留 Azure 原样(他们不会移动到 GDAP),并且 DAP 被删除,PEC 不会丢失,但 Azure 订阅访问权限将丢失。
- 如果删除了 RBAC 角色,PEC 将丢失,但删除 GDAP 不会删除 RBAC。
当 DAP 和 GDAP 共存时,GDAP 权限如何优先于 DAP 权限?
当用户同时属于 GDAP 安全组和 DAP 管理员代理组,并且客户具有 DAP 和 GDAP 关系时,GDAP 访问优先于合作伙伴、客户和工作负荷级别。
例如,如果合作伙伴用户登录给定的工作负荷,并且全局管理员角色有 DAP,并且全局读取者角色有 GDAP,则合作伙伴用户仅获取全局读取者权限。
如果有三个客户将 GDAP 角色分配给仅 GDAP 安全组(而不是管理员代理):
| 客户 | 与合作伙伴的关系 |
|---|---|
| 客户 1 | DAP(无 GDAP) |
| 客户 2 | DAP + GDAP 两者 |
| 客户 3 | GDAP(无 DAP) |
下表描述了用户何时登录到其他客户租户。
| 示例用户 | 示例客户租户 | 行为 | 评论 |
|---|---|---|---|
| 用户 1 | 客户 1 | DAP | 此示例按原样为 DAP。 |
| 用户 1 | 客户 2 | DAP | 管理员代理组没有 GDAP 角色分配,这会导致 DAP 行为。 |
| 用户 1 | 客户 3 | 无访问权限 | 没有 DAP 关系,因此管理员代理组无权访问客户 3。 |
| 用户 2 | 客户 1 | DAP | 此示例是 DAP 原样 |
| 用户 2 | 客户 2 | GDAP | GDAP 优先于 DAP,因为即使用户是管理员代理组的一部分,也会通过 GDAP 安全组将 GDAP 角色分配给用户 2。 |
| 用户 2 | 客户 3 | GDAP | 此示例是仅限 GDAP 的客户。 |
| 用户 3 | 客户 1 | 无访问权限 | 没有客户 1 的 GDAP 角色分配。 |
| 用户 3 | 客户 2 | GDAP | 用户 3 不属于管理员代理组,这会导致仅 GDAP 行为。 |
| 用户 3 | 客户 3 | GDAP | 仅限 GDAP 的行为 |
禁用 DAP 或过渡到 GDAP 是否会影响我取得的旧能力权益或解决方案合作伙伴指定?
DAP 和 GDAP 不符合解决方案合作伙伴指定条件的关联类型,并且禁用或从 DAP 转换到 GDAP 不会影响你的解决方案合作伙伴指定。 你的旧能力权益或解决方案合作伙伴权益的续订也不会受到影响。
转到 合作伙伴中心解决方案合作伙伴指定 ,查看其他合作伙伴关联类型是否符合解决方案合作伙伴指定条件。
GDAP 如何与 Azure Lighthouse 配合使用? GDAP 和 Azure Lighthouse 是否相互影响?
鉴于 Azure Lighthouse 和 DAP/GDAP 之间的关系,可将其视为 Azure 资源的解耦并行路径,因此切断其中一个不应影响另一个。
在 Azure Lighthouse 方案中,来自合作伙伴租户的用户永远不会登录到客户租户,并且客户租户中没有任何 Microsoft Entra 权限。 他们的 Azure RBAC 角色分配也保留在合作伙伴租户中。
在 GDAP 方案中,合作伙伴租户中的用户登录到客户租户,将 Azure RBAC 角色分配给管理员代理组也位于客户租户中。 当 Azure Lighthouse 路径不受影响时,可以阻止 GDAP 路径(用户无法再登录)。 反之,可以在不影响 GDAP 的情况下切断 Lighthouse 关系(投影)。 有关详细信息,请参阅 Azure Lighthouse 文档。
GDAP 如何与 Microsoft 365 Lighthouse 配合使用?
作为间接经销商或直接计费合作伙伴注册云解决方案提供商(CSP)计划的托管服务提供商(MSP)现在可以使用 Microsoft 365 Lighthouse 为任何客户租户设置 GDAP。 由于合作伙伴已经通过几种方式管理其过渡到 GDAP,因此此向导允许 Lighthouse 合作伙伴采用特定于其业务需求的角色建议。 它还允许他们采取安全措施,如实时(JIT)访问。 MSP 还可以通过 Lighthouse 创建 GDAP 模板,以便轻松保存和重新应用启用最低特权客户访问的设置。 有关详细信息以及查看演示,请参阅 Lighthouse GDAP 设置向导。
MSP 可以为 Lighthouse 中的任何客户租户设置 GDAP。 若要访问 Lighthouse 中的客户工作负荷数据,需要 GDAP 或 DAP 关系。 如果 GDAP 和 DAP 在客户租户中共存,GDAP 权限优先于启用了 GDAP 的安全组中的 MSP 技术人员。 有关 Microsoft 365 Lighthouse 的要求的详细信息,请参阅 Microsoft 365 Lighthouse 的要求。
如果我有 Azure 客户,那么在不失去对 Azure 订阅的访问权限的情况下迁移到 GDAP 和删除 DAP 的最佳方法是什么?
此场景要遵循的正确顺序是:
- 为 Microsoft 365 和 Azure 创建 GDAP 关系。
- 将 Microsoft Entra 角色分配给 Microsoft 365 和 Azure 的安全组。
- 将 GDAP 配置为优先于 DAP。
- 删除 DAP。
重要
如果不执行这些步骤,管理 Azure 的现有管理员代理可能会失去对客户的 Azure 订阅的访问权限。
以下序列可能会导致 失去对 Azure 订阅的访问权限 :
删除 DAP。
删除 DAP 不会一定失去对 Azure 订阅的访问权限。 但目前无法浏览客户的目录以执行任何 Azure RBAC 角色分配(例如将新客户用户分配为订阅 RBAC 参与者)。
同时为 Microsoft 365 和 Azure 创建 GDAP 关系。
设置 GDAP 后,可能会立即失去对 Azure 订阅的访问权限。
将 Microsoft Entra 角色分配给 Microsoft 365 和 Azure 的 安全组
完成 Azure GDAP 设置后,你将重新获得对 Azure 订阅的访问权限。
我拥有没有 DAP 的 Azure 订阅客户。 如果我将其移动到适用于 Microsoft 365 的 GDAP,我是否会失去对 Azure 订阅的访问权限?
如果 Azure 订阅 没有作为所有者管理的 DAP ,则通过向该客户添加 GDAP for Microsoft 365,可能会失去对 Azure 订阅的访问权限。 为了避免这种情况,请同时将客户移动到 Azure GDAP ,同时 将客户移动到 Microsoft 365 GDAP。
重要
如果未遵循这些步骤,管理 Azure 的现有管理员代理可能会失去对客户的 Azure 订阅的访问权限。
单个关系链接是否可以与多个客户一起使用?
否。 一旦接受关系,就不能重复使用。
如果我与没有 DAP 且没有 GDAP 关系的客户有经销商关系,我是否可以访问其 Azure 订阅?
如果与客户建立了现有的经销商关系,则仍需建立 GDAP 关系才能管理其 Azure 订阅。
- 在 Microsoft Entra 中创建安全组(例如 Azure Manager)。
- 创建与目录读取者角色的 GDAP 关系。
- 使安全组成为管理员代理组的成员。
完成此操作后,你将能够通过 AOBO 管理客户的 Azure 订阅。 无法通过 CLI/Powershell 管理订阅。
是否可以为没有 DAP 且没有 GDAP 关系的客户创建 Azure 计划?
是的,即使没有具有现有经销商关系的 DAP 或 GDAP,也可以创建 Azure 计划;但是,为了管理该订阅,需要 DAP 或 GDAP。
为什么“客户”页的“公司详细信息”部分不再显示 DAP 删除时的详细信息?
随着合作伙伴从 DAP 过渡到 GDAP,他们必须确保满足以下条件才能查看公司详细信息:
- 活动的 GDAP 关系。
- 分配以下任何 Microsoft Entra 角色:全局管理员istrator、Directory Reader、Global Reader。 请参阅向 安全组授予精细权限。
为什么当 GDAP 关系存在时,我的用户名在 portal.azure.com 中替换为“user_somenumber” ?
当 CSP 使用 CSP 凭据登录到客户的Azure 门户(portal.azure.come),并且存在 GDAP 关系时,CSP 会注意到其用户名为“user_”,后跟一些数字。 它不会在 DAP 中显示其实际用户名。 这是设计的结果。
停止 DAP 和授予默认 GDAP 创建新客户的时间线是什么?
| 租户类型 | 可用性日期 | 合作伙伴中心 API 行为 (POST /v1/customers) enableGDAPByDefault: true |
合作伙伴中心 API 行为 (POST /v1/customers) enableGDAPByDefault: false |
合作伙伴中心 API 行为 (POST /v1/customers) 对请求或有效负载没有更改 |
合作伙伴中心 UI 行为 |
|---|---|---|---|---|---|
| 沙盒 | 2023 年 9 月 25 日(仅限 API) | DAP = 否。 默认 GDAP = 是 | DAP = 否。 默认 GDAP = 否 | DAP = 是。 默认 GDAP = 否 | 默认 GDAP = 是 |
| 生产 | 2023 年 10 月 10 日(API + UI) | DAP = 否。 默认 GDAP = 是 | DAP = 否。 默认 GDAP = 否 | DAP = 是。 默认 GDAP = 否 | 选择加入/退出可用:默认 GDAP |
| 生产 | 2023 年 11 月 27 日(GA 推出于 12 月 2 日完成) | DAP = 否。 默认 GDAP = 是 | DAP = 否。 默认 GDAP = 否 | DAP = 否。 默认 GDAP = 是 | 选择加入/退出可用:默认 GDAP |
合作伙伴必须显式向默认 GDAP 中的安全组授予精细权限。
截至 2023 年 10 月 10 日,DAP 不再可用于经销商关系。 更新的请求经销商关系链接在合作伙伴中心 UI 中可用,API 合同“/v1/customers/relationship requests”属性 URL 返回要发送给客户租户管理员的邀请 URL。
合作伙伴是否应向默认 GDAP 中的安全组授予精细权限?
是的,合作伙伴必须显式 授予默认 GDAP 中安全组 的精细权限才能管理客户。
合作伙伴与经销商关系可以执行哪些操作,但没有 DAP,也没有 GDAP 在合作伙伴中心执行?
只有没有 DAP 或 GDAP 的经销商关系合作伙伴才能创建客户、下单和管理订单、下载软件密钥、管理 Azure RI。 他们无法查看客户公司详细信息,无法查看用户或向用户分配许可证,不能代表客户记录票证,也无法访问和管理特定于产品的管理中心(例如 Teams 管理中心)。
合作伙伴必须执行哪些操作才能从 DAP 迁移到 GDAP,以同意?
若要使合作伙伴或 CPV 访问和管理客户租户,必须在客户租户中同意其应用的服务主体。 当 DAP 处于活动状态时,它们必须将应用的服务主体添加到合作伙伴租户中的 管理员 代理 SG。 借助 GDAP,合作伙伴必须确保其应用在客户租户中得到同意。 如果应用使用委派权限(应用 + 用户)和活动 GDAP,则可以使用以下三个角色中的任何一个(云应用程序管理员istrator、Application 管理员istrator、Global 管理员istrator)同意 API。 如果应用仅使用应用程序权限,则必须使用租户范围的管理员同意 URL(云应用程序管理员istrator、Application 管理员istrator、Global 管理员istrator)的合作伙伴或客户手动同意。
此服务不允许合作伙伴针对 715-123220 错误或匿名连接执行哪些操作?
如果看到以下错误:
“目前无法验证”创建新的 GDAP 关系“请求。 建议不允许使用此服务的匿名连接。 如果你认为你收到此消息时出错,请再次尝试你的请求。 单击可了解可执行的操作。 如果问题仍然存在,请联系支持部门和引用消息代码 715-123220 和事务 ID:guid。
更改连接到 Microsoft 的方式以允许我们的身份验证服务正常运行,因此我们可以确保你的帐户未被入侵,并且符合 Microsoft 必须遵守的法规。
可执行的操作:
- 清除浏览器缓存。
- 在浏览器上关闭跟踪防护,或将站点添加到例外/安全列表。
- 关闭可能正在使用的任何虚拟专用网络 (VPN) 程序或服务。
- 直接从本地设备而不是通过虚拟机 (VM) 连接。
尝试这些步骤后,仍无法连接,我们建议咨询 IT 技术支持,检查设置,查看它们是否可以帮助确定导致问题的原因。 有时,此问题位于公司的网络设置中,在这种情况下,IT 管理员需要通过安全列出站点或其他网络设置调整来解决该问题。
对于已卸载(受限、已暂停)的合作伙伴,允许执行哪些 GDAP 操作?
- 受限(直接帐单):无法创建新的 GDAP(管理员关系)。 可以更新现有 GDAP 及其角色分配。
- 已暂停(直接计费/间接提供商/间接经销商):无法创建新的 GDAP。 无法更新现有 GDAP 及其角色分配。
- 受限(直接帐单)+ 活动(间接经销商):可以创建新的 GDAP(管理员关系)。 可以更新现有 GDAP 及其角色分配。
产品
此 GDAP 版本是否包含 Azure 订阅管理?
是的。 GDAP 的当前版本支持所有产品: Microsoft 365、 Dynamics 365、 Microsoft Power Platform 和 Microsoft Azure。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈