更細微的委派管理員權限 (GDAP) 所支援的工作負載
適當角色:對合作夥伴中心感興趣的所有使用者
本文列出細微委派系統管理員許可權 (GDAP) 所支援的工作負載工作。
支援下列工作負載:
- 更細微的委派管理員權限 (GDAP) 所支援的工作負載
- Microsoft Entra ID
- Exchange 系統管理中心
- Microsoft 365 系統管理中心
- Microsoft Purview
- Microsoft 365 Lighthouse
- Windows 365
- Teams 系統管理中心
- Microsoft Defender XDR
- Power BI
- SharePoint
- Dynamics 365 和 Power Platform
- Dynamics 365 Business Central
- Dynamics 生命周期服務
- Intune (端點管理員)
- Azure 入口網站
- 替代的 Azure GDAP 指引(不使用 管理員 代理程式)
- Visual Studio
- 為什麼我在 GDAP 服務管理頁面中看不到一些 DAP AOBO 連結?
- 後續步驟
Microsoft Entra ID
除了下列功能之外,支援所有 Microsoft Entra 工作:
| 區域 | 功能 | 問題 |
|---|---|---|
| 群組管理 | 建立 Microsoft 365 群組,管理員 動態成員資格規則 | 不支援 |
| 裝置 | 管理員 企業狀態漫遊的設定 | |
| 應用程式 | 同意企業應用程式內嵌登入,管理員 企業應用程式 「使用者設定」 | |
| 外部身分識別 | 外部身分識別功能的 管理員 | |
| 監視 | Microsoft Entra 概觀頁面上的 Log Analytics、診斷設定、活頁簿和 [監視] 索引標籤 | |
| 概觀分頁 | 我的摘要 - 登入使用者的角色 | 可能會顯示不正確的角色資訊;不會影響實際許可權 |
| 使用者設定 | [使用者功能] 管理頁面 | 無法存取特定角色 |
已知問題:
- 嘗試在已啟用 PIM 的客戶租使用者上存取 Entra 角色和系統管理員時,透過 GDAP 授與 Entra 角色安全性讀取者或全域讀取器的合作夥伴遇到「無存取」錯誤。 使用全域 管理員 istrator 角色。
Exchange 系統管理中心
針對 Exchange 系統管理中心,GDAP 支援下列工作。
| 資源類型 | 資源子類型 | 目前支援 | 問題 |
|---|---|---|---|
| 收件者管理 | 信箱 | 建立共用信箱、更新信箱、轉換為共用/使用者信箱、刪除共用信箱、管理郵件流程 設定、管理信箱原則、管理信箱委派、管理電子郵件位址、管理自動回復、管理更多動作、編輯聯繫人資訊、群組管理 | 開啟其他使用者的信箱 |
| 資源 | 建立/新增資源 [設備/會議室], 刪除資源, 管理從 GAL 隱藏設定, 管理預約委派設定, 管理資源委派設定 | ||
| 連絡人 | 建立/新增連絡人 [信件使用者/郵件連絡人], 刪除連絡人, 編輯組織 設定 | ||
| 郵件流程 | 郵件追蹤 | 啟動訊息追蹤、檢查預設/自定義/自動儲存/可下載的查詢、規則 | 警示、警示原則 |
| 遠端網域 | 新增遠端網域、刪除遠端網域、編輯訊息報告、回復類型 | ||
| 接受的網域 | 管理接受的網域 | ||
| 連接器 | 新增 連線 or、管理限制、傳送電子郵件身分識別、刪除 連線 or | ||
| 角色 | 管理員角色 | 新增角色群組、刪除非內建角色群組的角色群組、編輯非內建角色群組的角色群組、複製角色群組 | |
| 遷移 | 遷移 | 新增移轉批次、試用Google工作區移轉、核准移轉批次、檢視移轉批次的詳細數據、刪除移轉批次 | |
| Microsoft 365 系統管理中心 連結 | 前往 Microsoft 365 系統管理 中心的連結 | ||
| 其他 | 提供意見反應小工具,支援中央小工具 | ||
| 儀表板 | 報表 |
支援的 RBAC 角色 包括下列各項:
- Exchange 系統管理員
- 全域管理員
- 服務台系統管理員
- 全域讀取者
- 安全性系統管理員
- Exchange 收件者系統管理員
Microsoft 365 系統管理中心
重要
Microsoft 365 系統管理中心的一些主要功能可能會受到服務事件和持續開發工作的影響。 您可以在 Microsoft 管理員 入口網站檢視作用中 Microsoft 365 系統管理中心 問題。
我們很高興宣布發行 GDAP 的 Microsoft 365 系統管理中心 支援。 在此預覽版本中,您將能夠使用目錄讀者以外的所有 Microsoft Entra 角色,登入系統管理中心。
此版本的功能有限,可讓您使用下列 Microsoft 365 系統管理中心 區域:
- 使用者 (包括指派授權)
- 為您的產品計費>
- 健全>狀況服務健康情況
- 支援中央>建立支援票證
已知問題:
- 無法在 Microsoft 365 系統管理中心 中匯出網站使用量產品報告。
Microsoft Purview
針對 Microsoft Purview,GDAP 支援下列工作。
| 解決方案 | 目前支援 | 問題 |
|---|---|---|
| Audit | Microsoft 365 稽核解決方案 - 設定基本/進階稽核 - 搜尋稽核記錄 - 使用 PowerShell 搜尋稽核記錄 - 匯出/設定/檢視稽核記錄 - 開啟和關閉稽核 - 管理稽核記錄保留原則 - 調查常見問題/遭入侵的帳戶 - 匯出/設定/檢視稽核記錄 |
|
| 合規性管理員 | 合規性管理員 - 建置和管理評量 - 建立/擴充/修改評定範本 - 指派和完成改進動作 - 設定用戶權力 |
|
| Mip | Microsoft Purview 資訊保護 了解數據分類 了解資料外洩防護 資料分類: - 建立和管理敏感性信息類型 - 建立和管理完全數據比對 - 使用活動總管監視使用標籤內容完成的工作 資訊保護: - 建立和發佈敏感度標籤和標籤原則 - 定義要套用至檔案和電子郵件的標籤 - 定義要套用至網站和群組的標籤 - 定義要套用至架構化數據資產的標籤 - 使用用戶端自動標籤和伺服器端自動套用標籤和架構化數據資產,自動將標籤套用至內容 - 使用加密限制對已標記內容的存取 - 針對套用至網站和群組的標籤設定隱私權和外部使用者存取和外部共用和條件式存取 - 設定標籤原則以包含預設、強制、降級控件,並將其套用至檔案和電子郵件、群組和網站和 Power BI 內容 DLP: - 建立、測試及調整 DLP 原則 - 執行警示和事件管理 - 在活動總管中檢視 DLP 規則比對事件 - 設定端點 DLP 設定 |
- 在內容總管中檢視已標記的內容 - 建立和管理可訓練分類器 - 群組和網站標籤支援 |
| Microsoft Purview 資料生命週期管理 | 瞭解 Microsoft 365 中的 Microsoft Purview 資料生命週期管理 - 建立和管理靜態和自適性保留原則 - 建立保留標籤 - 建立保留標籤原則 - 建立和管理調適型範圍 |
-歸檔 - 匯入 PST 檔案 |
| Microsoft Purview 記錄管理 | Microsoft Purview 記錄管理 - 將內容標記為記錄 - 將內容標記為法規記錄 - 建立和管理靜態和自適性保留標籤原則 - 建立和管理調適型範圍 - 使用檔案計劃移轉保留標籤及管理您的保留需求 - 使用保留標籤設定保留和刪除設定 - 以事件為基礎的保留發生事件時保留內容 |
- 處置管理 |
若要瞭解 Microsoft 365 合規性入口網站中支援的 Microsoft Entra 角色,請參閱 Microsoft Purview 中的許可權
Microsoft 365 Lighthouse
Microsoft 365 Lighthouse 是一個管理入口網站,可協助受控服務提供者(MSP)大規模保護及管理裝置、數據和使用者,供中小型企業客戶使用。
GDAP 角色會授與 Lighthouse 中相同的客戶存取權,就像使用這些 GDAP 角色個別存取客戶的系統管理入口網站時一樣。 Lighthouse 會根據使用者委派的許可權層級,跨使用者、裝置和數據提供多租用戶檢視。 如需所有 Lighthouse 多租使用者管理功能的概觀,請參閱 Lighthouse 檔。
現在 MSP 可以使用 Lighthouse 為任何客戶租用戶設定 GDAP。 Lighthouse 會根據 MSP 的不同 MSP 作業功能提供角色建議,而 Lighthouse GDAP 範本可讓合作夥伴輕鬆儲存及重新套用啟用最低許可權客戶存取的設定。 如需詳細資訊,以及檢視示範,請參閱 Lighthouse GDAP 安裝精靈。
針對 Microsoft 365 Lighthouse,GDAP 支援下列工作。 如需存取 Microsoft 365 Lighthouse 所需許可權的詳細資訊,請參閱 Microsoft 365 Lighthouse 中的許可權概觀。
| 資源 | 目前支援 |
|---|---|
| 家用版 | 已包括 |
| 租用戶 | 已包括 |
| 使用者 | 已包括 |
| 裝置 | 已包括 |
| 威脅管理 | 已包括 |
| 基線 | 已包括 |
| Windows 365 | 已包括 |
| 服務健康情況 | 已包括 |
| 稽核記錄 | 已包括 |
| 登入 | 客戶必須具有 GDAP 和間接轉銷商關係,或要上線的 DAP 關聯性。 |
支援的 Azure 角色型存取控制 (Azure RBAC) 角色 包括下列各項:
- 驗證管理員
- 合規性系統管理員
- 條件式存取系統管理員
- 雲端裝置管理員
- 全域管理員
- 全域讀者
- 服務台系統管理員
- Intune 管理員
- 密碼管理員
- 特殊權限驗證管理員
- 安全性系統管理員
- 安全性操作員
- 安全性讀取者
- 服務支援管理員
- 使用者管理員
Windows 365
針對 Windows 365,GDAP 支援下列工作。
| 資源 | 目前支援 |
|---|---|
| 雲端電腦 | 列出雲端電腦、取得雲端計算機、重新布建雲端電腦、結束寬限期、重新布建雲端計算機遠端動作、大量重新布建雲端電腦遠端動作、重設大小雲端計算機遠端動作、取得雲端計算機遠端動作結果 |
| 雲端電腦裝置映像 | 列出裝置映像、取得裝置映像、建立裝置映像、刪除裝置映射、取得來源映像、重新載入裝置映像 |
| 雲端計算機內部部署網路連線 | 列出內部部署連線、取得內部部署連線、建立內部部署連線、更新內部部署連線、刪除內部部署連線、執行健康情況檢查、更新 AD 網域密碼 |
| 雲端電腦布建原則 | 列出布建原則、取得布建原則、建立布建原則、更新布建原則、刪除布建原則、指派布建原則 |
| 雲端電腦稽核事件 | 列出稽核事件、取得稽核事件、取得稽核活動類型 |
| 雲端電腦用戶設定 | 列出使用者設定、取得使用者設定、建立使用者設定、更新使用者設定、刪除使用者設定、指派 |
| 雲端電腦支援的區域 | 列出支持的區域 |
| 雲端計算機服務方案 | 列出服務方案 |
支援的 Azure RBAC 角色 包括下列各項:
- 全域管理員
- Intune 管理員
- 安全性系統管理員
- 安全性操作員
- 安全性讀取者
- 全域讀取者
- (驗證中)Windows 365 管理員 istrator
預覽版不支援的資源:
- N/A
Teams 系統管理中心
針對 Teams 系統管理中心,GDAP 支援下列工作。
| 資源 | 目前支援 |
|---|---|
| 使用者 | 指派原則、語音設定、輸出通話、群組通話接聽設定、通話委派設定、電話 號碼、會議設定 |
| Teams | Teams 原則、更新原則 |
| 裝置 | IP 電話、Teams 會議室、共同作業列、Teams 顯示器、Teams 面板 |
| 位置 | 報告卷標、緊急位址、網路拓撲、網路和位置 |
| 會議 | 會議網橋、會議原則、會議設定、即時活動原則、即時活動設定 |
| 訊息原則 | 訊息原則 |
| 語音 | 緊急原則、撥號方案、語音路由方案、通話佇列、自動語音應答、通話駐留原則、通話原則、來電者標識符原則、電話 號碼、直接路由 |
| 分析和報告 | 使用方式報表 |
| 全組織設定 | 外部存取、來賓存取、Teams 設定、Teams 升級、假日、資源帳戶 |
| 規劃 | 網路規劃工具 |
| Teams PowerShell 模組 | Teams PowerShell 模組中的所有 PowerShell Cmdlet (可從 Teams PowerShell 模組 - 3.2.0 預覽版本取得) |
支援的 RBAC 角色 包括下列各項:
- Teams 系統管理員
- 全域管理員
- Teams 通訊系統管理員
- Microsoft Teams 通訊支援工程師
- Teams 通訊支援專家
- Teams 裝置 管理員 istrator
- 全域讀者
GDAP 存取 不支援的資源包括:
- 管理 Teams
- 團隊範本
- Teams 應用程式
- 原則套件
- Teams Advisor
- 通話品質儀表板
Microsoft Defender XDR
Microsoft Defender 全面偵測回應 是一個統一的入侵前和入侵后企業防禦套件。 它會原生協調端點、身分識別、電子郵件和應用程式的偵測、預防、調查和回應,以提供整合式保護,以防止複雜的攻擊。
Microsoft Defender 入口網站也是 Microsoft 365 安全性堆疊中其他產品的首頁,例如 適用於端點的 Microsoft Defender 和 適用於 Office 365 的 Microsoft Defender。
Microsoft Defender 入口網站提供所有功能和安全性產品的文件:
適用於端點的 Microsoft Defender:
適用於 Office 365 的 Microsoft Defender:
- Exchange Online Protection (EOP)
- 適用於 Office 365 的 Microsoft Defender 方案 1
- 適用於 Office 365 的 Microsoft Defender 方案 2
應用程式控管:
以下是使用 GDAP 令牌存取 Microsoft Defender 入口網站之租使用者可用的功能。
| 資源類型 | 目前支援 |
|---|---|
| Microsoft Defender 全面偵測回應 功能 | 所有 Microsoft Defender 全面偵測回應 功能(如上述檔所述):事件、進階搜捕、控制中心、威脅分析、下列安全性工作負載 連線 Microsoft Defender 全面偵測回應:適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender、適用於雲端的 Microsoft Defender Apps |
| 適用於端點的 Microsoft Defender 功能 | 上述檔所列的所有 適用於端點的 Microsoft Defender 功能,請參閱下表中每個 P1 / SMB SKU 的詳細數據。 |
| 適用於 Office 365 的 Microsoft Defender | 上述檔所列的所有 適用於 Office 365 的 Microsoft Defender 功能。 請參閱下表中每個授權的詳細數據:Office 365 安全性,包括 適用於 Office 365 的 Microsoft Defender 和 Exchange Online Protection |
| 應用程式治理 | 驗證適用於 GDAP 令牌 (App+使用者令牌),授權原則會依先前的使用者角色運作 |
Microsoft Defender 入口網站中支援的 Microsoft Entra 角色:
Microsoft Defender 入口網站中支援角色的檔
注意
並非所有角色都適用於所有安全性產品。 如需特定產品中支援哪些角色的資訊,請參閱產品檔。
每個 SKU 的 Microsoft Defender 入口網站中支援的 MDE 功能
| 每個 SKU 的端點功能 | 適用於企業的 Microsoft Defender | 適用於端點的 Microsoft Defender方案 1 | 適用於端點的 Microsoft Defender 方案 2 |
|---|---|---|---|
| 集中式管理 | X | X | X |
| 簡化的客戶端設定 | X | ||
| 威脅與弱點管理 | X | X | |
| 攻擊面縮減 | X | X | X |
| 下一代保護 | X | X | X |
| 端點偵測及回應 | X | X | |
| 自動化調查及回應 | X | X | |
| 威脅搜捕和六個月數據保留 | X | ||
| 威脅分析 | X | X | |
| Windows、MacOS、iOS 和 Android 的跨平台支援 | X | X | X |
| Microsoft 威脅專家 | X | ||
| 合作夥伴 API | X | X | X |
| Microsoft 365 Lighthouse,用於檢視客戶間的安全性事件 | X |
Power BI
針對 Power BI 工作負載,GDAP 支援下列工作。
| 資源類型 | 目前支援 |
|---|---|
| 管理員 istrator 工作 | - 「管理員 入口網站」下的所有功能表項,但「Azure 連線」除外 |
範圍中支援的 Microsoft Entra 角色:
- Fabric 管理員 istrator
- 全域管理員
範圍不足的 Power BI 屬性:
- 並非所有非系統管理員工作都保證能夠運作
- 管理員 入口網站底下的「Azure 連線」
SharePoint
針對 SharePoint,GDAP 支援下列工作。
| 資源類型 | 目前支援 |
|---|---|
| 首頁 | 卡片轉譯,但數據可能不會轉譯 |
| 網站管理 – 使用中網站 | 建立網站:小組網站、通訊網站、指派/變更網站擁有者、將敏感度標籤指派給網站(如果在網站建立期間於 Microsoft Entra ID 中設定),變更網站的敏感度標籤、將隱私權設定指派給網站(如果未預先定義敏感度卷標),將成員新增/移除至網站、編輯網站外部共用設定、編輯網站名稱、編輯網站 URL、 檢視網站活動、編輯儲存限制、刪除網站、變更網站內建檢視、將網站清單匯出至 CSV 檔案、儲存網站自定義檢視、將網站與中樞建立關聯、將網站註冊為中樞 |
| 網站管理 – 使用中網站 | 建立其他網站:檔中心、企業Wiki、發佈入口網站、內容中心 |
| 網站管理 – 已刪除的網站 | 還原網站、永久刪除網站(Microsoft 365 群組連線小組網站除外) |
| 原則 – 共用 | 設定 SharePoint 和 商務用 OneDrive 的外部共用原則、變更 [更多外部共用設定]、設定檔案和資料夾鏈接的原則、變更共用的 [其他設定] |
| 存取控制 | 設定/變更非受控裝置原則、設定/變更閑置會話時間軸原則、設定/變更網路位置原則(不同於 Microsoft Entra IP 原則、設定/變更新式驗證原則、設定/變更 OneDrive 存取權 |
| 設定 | SharePoint - 首頁網站、SharePoint - 通知、SharePoint - 頁面、SharePoint - 網站建立、SharePoint - 網站儲存限制、OneDrive - 通知、OneDrive - 保留、OneDrive - 儲存體 限制、OneDrive - 同步 |
| PowerShell | 若要將客戶租用戶連線為 GDAP 系統管理員,請在 參數中使用 AuthenticanUrl 租用戶授權端點(含客戶的租用戶標識符),而不是預設的通用端點。例如: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize 。 |
範圍 中的角色包括下列各項:
- Sharepoint 系統管理員
- 全域管理員
- 全域讀者
SharePoint 管理員 中心屬性範圍不足,包括下列專案:
- 所有傳統 管理員 功能/功能/範本都不在範圍中,不保證正常運作
- 注意:對於任何 SharePoint 管理員 中心支援的 GDAP 角色,合作夥伴無法編輯客戶 SharePoint 網站中檔案和資料夾的檔案和許可權。 這是客戶的安全性風險,且已解決。
Dynamics 365 和 Power Platform
針對 Power 平臺和 Dynamics 365 客戶參與應用程式 (Sales, Service),GDAP 支援下列工作。
| 資源類型 | 目前支援 |
|---|---|
| 管理員 istrator 工作 | - Power Platform 系統管理中心中的所有功能表項 |
範圍 中支援的 Microsoft Entra 角色包括下列各項:
- Power Platform 系統管理員
- 全域管理員
- Helpdesk 管理員 istrator (適用於說明 + 支援)
- 服務支援 管理員 istrator (如需說明 + 支援)
範圍外的屬性:
- 無
Dynamics 365 Business Central
針對 Dynamics 365 Business Central,GDAP 支援下列工作。
| 資源類型 | 目前支援 |
|---|---|
| 管理員 istrator 工作 | 所有工作* |
* 某些工作需要指派給 Dynamics 365 Business Central 環境中系統管理員用戶的許可權。 請參閱可用的檔案。
範圍 中支援的 Microsoft Entra 角色包括下列各項:
- Dynamics 365 管理員
- 全域管理員
- 技術支援中心管理員
範圍外的屬性:
- 無
Dynamics 生命周期服務
針對 Dynamics 生命週期服務,GDAP 支援下列工作。
| 資源類型 | 目前支援 |
|---|---|
| 管理員 istrator 工作 | 所有工作 |
範圍 中支援的 Microsoft Entra 角色包括下列各項:
- Dynamics 365 管理員
- 全域管理員
範圍外的屬性:
- 無
Intune (端點管理員)
範圍中支援的 Microsoft Entra 角色:
- Intune 管理員
- 全域管理員
- 全域讀取者
- 報告讀取者
- 安全性讀取者
- 合規性系統管理員
- 安全性系統管理員
若要檢查上述角色的存取層級,請參閱 Intune RBAC 檔。
Intune 的支援不包括在註冊 Microsoft Tunnel 的伺服器時使用 GDAP,或設定或安裝 Intune 的任何連接器。 Intune 連接器的範例包括,但不限於 Active Directory 的 Intune 連線 or、Mobile Threat Defense 連接器,以及 適用於端點的 Microsoft Defender 連接器。
Azure 入口網站
範圍中的 Microsoft Entra 角色:
- 以擁有者身分存取 Azure 訂用帳戶的任何 Microsoft Entra 角色,例如 目錄讀取者 (最低特殊許可權角色)
GDAP 角色指引:
- 合作夥伴和客戶必須有 轉銷商 關係
- 合作夥伴必須建立安全組(例如 Azure 管理員)來管理 Azure,並將它巢狀於每個客戶存取分割的 管理員 代理程式底下,作為建議的最佳做法。
- 當合作夥伴購買客戶的 Azure 方案時,會布建 Azure 訂用帳戶,並將 管理員 Agents 群組指派為 Azure 訂用帳戶的擁有者
- 由於 Azure 管理員安全組是 管理員 Agents 群組的成員,因此屬於 Azure Manager 成員的使用者會成為 Azure 訂用帳戶 RBAC 擁有者
- 若要以客戶擁有者身分存取 Azure 訂用帳戶,必須將任何 Microsoft Entra 角色,例如 目錄讀取者 (最低特殊許可權角色)指派給 Azure 管理員安全組
替代的 Azure GDAP 指引(不使用 管理員 代理程式)
先決條件:
- 合作夥伴和客戶有 轉銷商 關係。
- 合作夥伴已建立用來管理 Azure 的安全組,並將其巢狀放在每個客戶存取分割的 HelpDeskAgents 群組之下,這是建議的最佳做法。
- 合作夥伴已為客戶購買 Azure 方案、布建 Azure 訂用帳戶,且合作夥伴指派了 管理員 azure RBAC 群組 Azure RBAC 作為 Azure 訂用帳戶的擁有者,但尚未為技術服務人員代理程式指派任何 RBAC 角色指派。
合作夥伴系統管理員步驟:
訂用帳戶上的合作夥伴系統管理員會使用PowerShell執行下列腳本,在 Azure 訂用帳戶上建立 Helpdesk FPO。
連線 給合作夥伴租使用者,以取得
object IDHelpDeskAgents 群組的 。Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgents請確定您的客戶具有:
- 擁有者或使用者存取系統管理員的角色
- 在訂用帳戶層級建立角色指派的許可權
客戶步驟:
若要完成此程式,您的客戶必須使用PowerShell或 Azure CLI 執行下列步驟。
如果使用 PowerShell,客戶必須更新
Az.Resources模組。Update-Module Az.Resources連線 CSP 訂用帳戶所在的租使用者。
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>連線 至訂用帳戶。
注意
只有當使用者對租使用者中的多個訂用帳戶具有角色指派許可權時,才適用這項功能。
Set-AzContext -SubscriptionID <"CSP Subscription ID">az account set --subscription <CSP Subscription ID>建立角色指派。
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
範圍中的 Microsoft Entra 角色:
- 以擁有者身分存取 Azure 訂用帳戶的任何 Microsoft Entra 角色,例如 目錄讀取者 (最低特殊許可權角色)
合作夥伴的 GDAP 角色指引:
- 先決條件:
- 合作夥伴和客戶必須有 轉銷商 關係
- 合作夥伴必須為客戶購買 Azure 訂 用帳戶
- 合作夥伴必須建立安全組(例如 Visual Studio 管理員),才能購買和管理 Visual Studio 訂用帳戶,並將它巢狀於每個客戶存取分割的 管理員 代理程式底下,作為建議的最佳做法。
- 用於購買和管理 Visual Studio 的 GDAP 角色與 Azure GDAP 相同 。
- Visual Studio 管理員 安全組必須獲指派任何 Microsoft Entra 角色,例如 目錄讀取者 (最低特殊許可權角色),才能以擁有者身分存取 Azure 訂用帳戶
- Visual Studio 管理員安全組的使用者將能夠在 Marketplacehttps://marketplace.visualstudio.com 上購買Visual Studio 訂用帳戶(由於 管理員 代理程式使用者的巢狀成員,使用者可以存取 Azure 訂用帳戶)
- 屬於 Visual Studio 管理員安全組的使用者可以變更 Visual Studio 訂用帳戶的數量
- 屬於 Visual Studio 管理員安全組的使用者可以 取消 Visual Studio 訂用帳戶(將數量變更為零)
- 屬於 Visual Studio 管理員安全組的使用者可以 新增訂閱者 來管理 Visual Studio 訂閱 (例如,流覽客戶目錄,並將 Visual Studio 角色指派新增為訂閱者)
Visual Studio 屬性範圍不足:
- 無
為什麼我在 GDAP 服務管理頁面中看不到一些 DAP AOBO 連結?
| DAP AOBO 連結 | GDAP 服務管理頁面中遺漏的原因 |
|---|---|
| Microsoft 365 Planner https://portal.office.com/ | 這是已經存在的 Microsoft 365 AOBO 連結複本。 |
| 搖擺 https://portal.office.com/ | 這是已經存在的 Microsoft 365 AOBO 連結複本。 |
| Windows 10 https://portal.office.com/ | 這是已經存在的 Microsoft 365 AOBO 連結複本。 |
| 雲端 App 安全性 https://portal.cloudappsecurity.com/ | 適用於雲端的 Microsoft Defender 應用程式將會淘汰。 此入口網站將會合併至支援 GDAP 的 Microsoft Defender 全面偵測回應。 |
| Azure IoT Central https://apps.azureiotcentral.com/ | 目前不支援。 GDAP 的範圍不足。 |
| Windows Defender 進階威脅防護 https://securitycenter.windows.com | Windows Defender 進階威脅防護將會淘汰。 建議合作夥伴移至支援 GDAP 的 Microsoft Defender 全面偵測回應。 |
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: