共用方式為

在 Microsoft 365 Lighthouse 中為客戶設定 GDAP

  • 發行項

您現在可以透過 Microsoft 365 Lighthouse (GDAP) ,以更細微的委派系統管理員許可權來設定所有客戶,無論其授權或大小為何。 藉由為您管理的客戶租使用者使用 GDAP 設定您的組織,您組織中的使用者具有執行其工作,同時保護客戶租使用者安全所需的許可權。 Lighthouse 可讓您快速地將組織轉換為 GDAP,並開始為客戶委派的存取權進行最低許可權的旅程。

透過 DAP) 或 GDAP (委派的系統管理員許可權來委派存取權,是客戶租使用者完全上線到 Lighthouse 的必要條件。 因此,建立與客戶的 GDAP 關聯性,可能是在 Lighthouse 中管理客戶租使用者的第一個步驟。

在 GDAP 安裝程式期間,您可以設定組織所需的支援角色和安全組來建立 GDAP 範本。 然後,您會將客戶租使用者指派給 GDAP 範本。 GDAP 角色的範圍是 Microsoft Entra 內建角色,而當您設定 GDAP 時,您會看到不同作業函式所需的一組角色建議。

觀看:設定 GDAP

查看 YouTube 頻道上的其他 Microsoft 365 Lighthouse 影片

開始之前

  • 您必須在合作夥伴租使用者中擁有特定權限:

    • 若要建立 GDAP 安全組、新增使用者及建立 GDAP 範本,您必須是合作夥伴租使用者中的全域管理員。 此角色可在 Microsoft Entra ID 中指派。

    • 若要建立並完成 GDAP 關聯性,您必須是合作夥伴中心管理代理程式群組的成員。

  • 您在 Lighthouse 中管理的客戶必須在合作夥伴中心內設定轉銷商關係或現有委派的關聯性, (DAP 或 GDAP) 。

注意事項

Lighthouse GDAP 範本會使用可指派角色的安全組。 需要 Microsoft Entra ID P1 授權,才能將使用者新增至這些群組。 若要啟用 Just-in-Time (JIT) 角色,則需要 Microsoft Entra IDE 控管或 Microsoft Entra ID P2 授權。

第一次設定 GDAP

當您第一次設定 GDAP 時,必須依序完成下列各節。 完成後,您可以視需要返回並編輯任何區段。

如果您在 GDAP 安裝期間遇到任何問題,請參閱 針對 Microsoft 365 Lighthouse 中的錯誤訊息和問題進行疑難解答:GDAP 設定和管理 以取得指引。

若要開始使用:

  1. Lighthouse 的左側瀏覽窗格中,選取 [ 首頁]

  2. 在 [ 設定 GDAP ] 卡片上,選取 [設定 GDAP]

  3. 依序完成下列各節。

    步驟 1:角色和許可權

    步驟 2:GDAP 範本

    步驟 3:安全組

    步驟 4:租使用者指派

    步驟 5:檢閱並完成

步驟 1:角色和許可權

根據員工的工作功能,選擇所需的 Microsoft Entra 角色。

  1. 在 [ 角色和許可權] 頁面上,根據員工的工作功能選取所需的 Microsoft Entra 角色。 執行下列其中一項:

    • 採用建議的角色
    • 編輯 Microsoft Entra 角色選取專案

    根據預設,Lighthouse 包含五個支援角色:帳戶管理員、服務台代理程式、專家、呈報工程師和 JIT 代理程式。 您可以選取 [編輯支援角色],以重新命名支援角色,以符合組織的喜好 設定。 某些 Microsoft Entra 角色無法新增至不同的支援角色,例如,JIT 代理程式支援角色中的 Microsoft Entra 角色無法新增至任何其他支援角色。

    如果 GDAP 設定並非所有支援角色都需要,您可以在下一個步驟中從 GDAP 範本排除一或多個支援角色。

  2. 選取 [下一步]

  3. 取 [儲存並關閉 ] 以儲存您的設定並結束 GDAP 安裝程式。

步驟 2:GDAP 範本

GDAP 樣本是下列專案的集合:

  • 支援角色
  • 安全性群組
  • 每個安全組中的使用者

若要建立 GDAP 樣本:

  1. [GDAP 範本 ] 頁面上,選取 [ 建立範本]

  2. 在範本窗格中,在適當的欄位中輸入範本名稱和描述。

  3. 從清單中選取一或多個支援角色。

  4. 選取 [儲存]

  5. 選取 [下一步]

  6. 取 [儲存並關閉 ] 以儲存您的設定並結束 GDAP 安裝程式。

步驟 3:安全組

每個範本每個支援角色至少需要一個安全組。 針對第一個範本,您將建立新的安全組,但針對後續範本,您可以視需要重複使用群組。

  1. 在 [ 安全組] 頁面上,選取 [ 建立安全組]

  2. 在安全組窗格中,輸入名稱和描述。

  3. 選取 [新增使用者]

  4. 從 [新增使用者] 清單中,選取您要包含在此安全組中的使用者。

  5. 選取 [儲存]

  6. 再次選取 [儲存]

  7. 選取 [下一步]

  8. 取 [儲存並關閉 ] 以儲存您的設定並結束 GDAP 安裝程式。

JIT 代理程式安全組用戶有資格要求高許可權 GDAP 角色的存取權;系統不會自動授與使用者的存取權。 在 GDAP 安裝程式中,從您的租用戶中選取 JIT 核准者安全組,以核准來自 JIT 代理程式的存取要求。

JIT 核准者安全組必須是可指派角色的。 如果您沒有看到安全組出現在 GDAP 安裝程式中,請確認安全組可指派角色。 如需如何管理角色指派的詳細資訊,請 參閱使用 Microsoft Entra 群組來管理角色指派

完成 GDAP 設定之後,會為 JIT 代理程式建立 JIT 存取原則來要求存取權。 您可以檢閱在 Microsoft Entra ID Governance 入口網站中建立的原則,JIT 代理程式可以從我的存取入口網站要求其角色的存 取權。 如需 JIT 代理程式如何要求存取權的詳細資訊,請 參閱管理資源的存取權。 如需核准者如何核准要求的詳細資訊,請參閱 核准或拒絕要求

步驟 4:租使用者指派

將客戶群組指派給每個範本。 每個客戶只能指派給一個範本。 選取之後,該客戶租使用者將不會在後續範本上顯示為選項。 如果您重新執行 GDAP 安裝程式,將會儲存每個 GDAP 範本的租使用者指派。

  • 若要將新的租使用者新增至 GDAP 範本,請重新執行 GDAP 安裝程式。 保留已儲存的租使用者指派,並選取要指派給 GDAP 範本的新租使用者。 新的 GDAP 關聯性只會針對新指派的租使用者建立。

  • 若要從 GDAP 範本移除租使用者,請重新執行 GDAP 安裝程式。 拿掉租使用者指派。 拿掉租使用者指派並不會移除先前指派中建立的 GDAP 關聯性,但可讓您視需要將客戶租使用者重新指派給不同的 GDAP 範本。

選取 [下一步] 之前,請確定已選取您想要指派給 GDAP 範本的所有租使用者。 您可以使用右上角的搜尋方塊來篩選租使用者清單。

  1. 在 [ 租使用者指派] 頁面上,選取您想要指派給您所建立之 GDAP 範本的租使用者。

  2. 選取 [下一步 ] 以移至下一節,或選取 [ 儲存並關閉 ] 以儲存您的設定並結束 GDAP 安裝程式。

步驟 5:檢閱並完成

  1. 在 [ 檢閱設定] 頁面上,檢閱您建立的設定以確認其正確無誤。

  2. 選取 [完成]

您已設定要套用的設定可能需要一兩分鐘的時間。 如果您需要重新整理數據,請遵循提示。 如果您在未選取 [ 完成] 的情況下結束 GDAP 安裝程式,安裝程式將會不完整。

注意事項

對於具有現有 DAP 關聯性的客戶,會自動套用這些設定。 在 GDAP 安裝程式的最後一頁具有作用中狀態的客戶,會指派給 GDAP 範本中定義的角色和安全組。

注意事項

對於沒有現有 DAP 關聯性的客戶,系統會在 GDAP 安裝程式的最後一頁為每個客戶產生系統管理關聯性要求連結。 您可以從該處將連結傳送給客戶的全域管理員,讓他們可以核准系統管理員關係。 一旦核准關聯性,就會套用 GDAP 範本設定。 在關聯性核准之後,可能需要一小時的時間,變更才會出現在 Lighthouse 中。

完成 GDAP 安裝程式之後,您可以流覽至不同的步驟來更新或變更角色、安全組或範本。 GDAP 關聯性現在會顯示在合作夥伴中心,而安全組現在會顯示在 Microsoft Entra ID 中。

相關內容

許可權 (文章) 概觀
針對 (文章) 的錯誤訊息和問題進行疑難解答
設定入口網站安全 性 (文章)
GDAP) (文章 (細微 委派的系統管理員許可權簡介)
Microsoft Entra 內建角色 (文章)
瞭解 Microsoft Entra ID 中的群組和訪問權 限 (文章)
什麼是 Microsoft Entra 權利管理? (文章)