GDAP 角色指南
相应的角色:管理员代理
本文为合作伙伴提供了指导,介绍了哪些最低特权 Microsoft Azure Active Directory (Azure AD) 内置角色可用于各精细委派管理员特权 (GDAP) 功能。 例如,若要代表客户提交支持工单,则需要在客户的租户上请求服务支持管理员角色,这是最低特权 Azure AD 内置角色。
支持工单
根据云服务提供商 (CSP) 计划要求,间接经销商无法记录 Azure 的支持工单。 而是必须与间接提供商合作。
| 提交支持案例 | 直接计费合作伙伴和间接提供商需要以下最低特权角色: |
|---|---|
| 对于Microsoft 365 管理中心中的Microsoft 365 | 将 GDAP 角色分配给具有 Microsoft.office365.supportTickets/allEntities/allTasks 权限的角色,例如服务支持管理员 |
| 对于 Power Platform 管理中心中的 Dynamics 365 | 将 GDAP 角色分配给具有 Microsoft.office365.supportTickets/allEntities/allTasks 权限的角色,例如服务支持管理员 |
| 对于 Azure 门户中的 Azure 订阅资源 | 先决条件:若要代表客户使用客户的 Azure 订阅记录票证,合作伙伴需要与客户建立经销商关系,如云解决方案提供商区域授权中所述。 有关更多详细信息,请参阅 设置 Azure GDAP 的步骤。 将任何 GDAP 分配给 Azure AD 角色,例如目录读取者, AND 将 Azure 基于角色的访问控制 (RBAC) 角色分配给具有 Microsoft.Support/supportTickets/write 权限的角色,例如支持请求参与者 |
| 对于 Azure 门户中的 Azure AD | 替代 1 - 如果客户没有 Azure AD P1 或 P2先决条件:若要代表客户使用客户的 Azure 订阅记录票证,合作伙伴需要根据云解决方案提供商区域授权与客户建立经销商关系。 有关详细信息,请参阅 设置 Azure GDAP 的步骤。 将任何 GDAP 分配给 Azure AD 角色,例如目录读取者, AND 将 Azure RBAC 角色分配给具有 Microsoft.Support/supportTickets/write 权限的角色,例如支持请求参与者备选方案 2 - 如果客户具有 Azure AD P1 或 P2,则将任何 GDAP 分配给具有 microsoft.azure.supportTickets/allEntities/allTasks 权限的 Azure AD 角色,例如服务支持管理员 |
按合作伙伴类型划分的 GDAP 角色
间接提供商
建议间接提供商将以下角色用于交易和管理场景:
- 新建客户租户
- 设置经销商关系
- 购买
- 订阅管理
- 升级
- 转换
- 创建客户用户和分配许可证
- 客户服务请求(代表客户创建票证)
| 角色 | 说明 |
|---|---|
| 读取者角色: | |
| 目录读取者 | 可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限 |
| 全局读取者 | 可以读取全局管理员可以读取的所有内容,但不能更新任何内容 |
| 用户管理和许可证管理: | |
| 用户管理员 | 可以管理用户和组的所有方面,包括重置有限管理员的密码 |
| 许可证管理员 | 可以管理用户和组的产品许可证 |
| 服务支持管理员 | 可以读取服务运行状况信息和管理支持工单 |
| 技术支持: | |
| 技术支持管理员 | 可以为非管理员和技术支持管理员重置密码 |
直接计费合作伙伴、间接经销商和顾问
建议将以下角色用于间接经销商、顾问、直接计费合作伙伴,这些合作伙伴也充当 MSP 的角色,并且全部归类为作为外包 IT 部门完全管理客户环境的专业托管服务提供商 (MSP)。 本部分对特定任务所需的角色以及功能进行了分类。
托管服务中一级技术人员的典型任务
| 角色 | 任务 | Function |
|---|---|---|
| 服务支持管理员 | 代表客户提交支持请求。 | 技术支持创建和管理支持请求。 |
| 安全读取者 | 跨 Microsoft 365 服务查看与安全相关的策略。 | 技术支持收集有关客户租户的发现,以排查或更新安全和合规性门户策略,例如数据丢失防护策略。 |
| Intune 管理员 | 可以管理 Intune 产品的所有方面。 | 技术支持处理客户设备注册和故障排除。 |
| SharePoint 管理员 | 可以管理 SharePoint 服务的所有方面。 | 技术支持管理 SharePoint 站点权限。 |
| Teams 通信支持专员 | 可以管理 Microsoft Teams 服务。 | 技术支持排查呼叫质量问题。 |
| 技术支持管理员 | 可以为非管理员和以下管理员重置密码:目录读取者、来宾邀请者、技术支持管理员、消息中心读取者、密码管理员、报告读取者 | 技术支持重置密码。 |
| 用户管理员 | 可以阻止用户登录。 | 技术支持可以阻止前客户员工访问 Microsoft 365 服务。 |
| 桌面分析管理员 | 可访问和管理桌面管理工具和服务。 | 技术支持可以通过查看资产清单和读取授权策略的标准属性来管理桌面分析服务。 |
| 身份验证管理员 | 可以访问并查看、设置和重置任何非管理员用户的身份验证方法信息。 | 技术支持可以访问并查看、设置和重置任何非管理员用户的身份验证方法信息(例如 MFA 和条件访问)。 |
| Exchange 管理员 | 具有此角色的用户具有 Microsoft Exchange Online 内的全局权限(如果该服务存在)。 另外还能够创建和管理所有 Microsoft 365 组,管理支持票证并监视服务运行状况。 可以发送 OBO 和管理收件箱 | 技术支持管理共享邮箱,帮助解决邮箱配额问题,并创建和管理传输规则。 |
| 许可证管理员 | 可以分配、删除和更新许可证作业。 | 在故障排除期间,如果支持工单存在许可问题,技术支持可进行评估和修正。 |
| 用户管理员 | 可以管理用户和组的所有方面,包括重置有限管理员的密码。 | 技术支持管理用户和组的所有方面,包括重置有限管理员的密码。 |
| 组管理员 | 此角色的成员可以创建/管理组、创建/管理组设置(如命名和过期策略)以及查看组活动和审核报告。 | 技术支持将所有者添加到组,并将成员添加到组。 |
| 目录读取者 | 充当此角色的用户可以读取基本的目录信息。 | 技术支持可以在故障排除过程中读取基本目录信息。 |
| 消息中心读取者 | 只能在 Office 365 消息中心查看其组织的消息和更新。 | 技术支持可查看消息中心以排查支持问题。 |
| 打印机管理 | 具有此角色的用户可以在 Microsoft 通用打印解决方案中注册打印机并管理所有打印机配置的各方面,其中包括“通用打印连接器”设置。 他们可以同意所有委托的打印权限请求。 打印机管理员还有权访问打印报告。 | 技术支持可管理打印机配置并排查打印机问题。 |
| 来宾邀请者 | 拥有此角色的用户可以管理 Azure Active Directory B2B 来宾用户邀请 | 技术支持可以邀请与“成员可邀请来宾”设置无关的来宾用户。 |
按任务分配的最低特权角色
下表显示了每个 GDAP 功能中的任务,以及执行每个任务所需的最低特权角色。
| GDAP 功能 | 任务 | 最低特权角色 |
|---|---|---|
| 支持 | 提交支持票证 | 服务支持管理员 |
| 用户 | 将用户添加到目录角色 | 特权角色管理员 |
| 将用户添加到组 | 用户管理员 | |
| 分配许可证 | 许可证管理员 | |
| 创建来宾用户 | 来宾邀请者 | |
| 重置来宾用户邀请 | 用户管理员 | |
| 创建用户 | 用户管理员 | |
| 删除用户 | 用户管理员 | |
| 使受限管理员的刷新令牌失效 | 用户管理员 | |
| 使非管理员的刷新令牌失效 | 密码管理员 | |
| 使特权管理员的刷新令牌失效 | 特权身份验证管理员 | |
| 读取基本配置 | 默认用户角色 | |
| 重置受限管理员的密码 | 用户管理员 | |
| 重置非管理员的的密码 | 密码管理员 | |
| 重置特权管理员的密码 | 特权身份验证管理员 | |
| 撤销许可证 | 许可证管理员 | |
| 更新除用户主体名称之外的所有属性 | 用户管理员 | |
| 更新受限管理员的用户主体名称 | 用户管理员 | |
| 更新特权管理员的用户主体名称 | 全局管理员 | |
| 更新用户设置 | 全局管理员 | |
| 更新身份验证方法 | 身份验证管理员 | |
| 组 | 分配许可证 | 用户管理员 |
| 创建组 | 组管理员 | |
| 创建、更新或删除组或应用的访问评审 | 用户管理员 | |
| 管理组到期时间 | 用户管理员 | |
| 管理组设置 | 组管理员 | |
| 读取所有配置(隐藏成员身份除外) | 目录读取者 | |
| 读取隐藏成员身份 | 组成员 | |
| 读取具有隐藏成员身份的组的成员身份 | 技术支持管理员 | |
| 撤销许可证 | 许可证管理员 | |
| 更新组成员身份 | 组所有者 | |
| 更新组所有者 | 组所有者 | |
| 更新组属性 | 组所有者 | |
| 删除组 | 组管理员 | |
| 许可证 | 分配许可证 | 许可证管理员 |
| 读取所有配置 | 目录读取者 | |
| 撤销许可证 | 许可证管理员 |
按复杂性划分的角色
| 角色 | 简单 | 中型 | Complex |
|---|---|---|---|
| 应用程序管理员 | x | ||
| 应用程序开发人员 | x | ||
| 攻击有效负载作者 | x | ||
| 攻击模拟管理员 | x | ||
| 身份验证管理员 | x | ||
| 已加入 Azure AD 的设备的本地管理员 | x | ||
| Azure DevOps 管理员 | x | ||
| Azure 信息保护管理员 | x | ||
| 计费管理员 | x | ||
| 云应用程序管理员 | x | x | |
| 云设备管理员 | x | ||
| 合规性管理员 | x | ||
| 条件访问管理员 | x | ||
| 桌面分析管理员 | x | ||
| 目录读取者 | x | x | x |
| 目录同步帐户 | x | ||
| 域名管理员 | x | ||
| Dynamics 365 管理员 | x | x | |
| Exchange 管理员 | x | x | |
| Exchange 收件人管理员 | x | ||
| 外部标识提供者管理员 | x | ||
| 全局读取者 | x | x | x |
| 组管理员 | x | ||
| 来宾邀请者 | x | ||
| 支持管理员 | x | x | x |
| 混合标识管理员 | x | ||
| Insights 管理员 | x | ||
| Intune 管理员 | x | x | |
| 许可证管理员 | x | x | |
| 消息中心隐私读取者 | x | ||
| 消息中心读取者 | x | ||
| 网络管理员 | x | ||
| Office 应用管理员 | x | ||
| 密码管理员 | x | ||
| Power BI 管理员 | x | x | |
| Power Platform 管理员 | x | x | |
| 打印机管理员 | x | ||
| 打印机技术人员 | x | ||
| 特权身份验证管理员 | x | ||
| 特权角色管理员 | x | ||
| 报告读取者 | x | x | |
| 搜索管理员 | x | ||
| 搜索编辑员 | x | ||
| 安全管理员 | x | x | |
| 安全读取者 | x | x | |
| 服务支持管理员 | x | x | x |
| SharePoint 管理员 | x | x | |
| Skype for Business 管理员 | x | ||
| Teams 管理员 | x | x | |
| Teams 通信管理员 | x | ||
| Teams 通信支持工程师 | x | ||
| Teams 通信支持专家 | x | ||
| Teams 设备管理员 | x | ||
| 用户管理员 | x | x | |
| Windows 365 管理员 | x | x |