Sdílet prostřednictvím

Nastavení GDAP v Microsoft 365 Lighthouse

  • Článek

Odstupňovaná delegovaná oprávnění správce (GDAP) jsou předpokladem pro úplné nasazení tenantů zákazníků do Služby Lighthouse. Pomocí GDAP můžete nastavit všechny zákazníky prostřednictvím Microsoft 365 Lighthouse. Nastavením GDAP pro tenanty zákazníků, které spravujete, pomáháte zajistit zabezpečení zákazníků a zároveň zajistit, aby uživatelé ve vaší partnerské organizaci měli oprávnění potřebná k práci.

Pokud si chcete projít, jak nastavit GDAP ve vaší partnerské organizaci, projděte si interaktivního průvodce zabezpečením Microsoft 365 Lighthouse.

Pokud při instalaci GDAP narazíte na nějaké problémy a potřebujete poradit, přečtěte si téma Řešení chybových zpráv a problémů v Microsoft 365 Lighthouse: Nastavení a správa GDAP.

Než začnete

  • V Microsoft Entra ID nebo Partnerském centru musíte mít určité role, jak je uvedeno v tabulce Požadavky na roli delegovaného přístupu.

  • Zákazníky, které spravujete v Lighthouse, je potřeba nastavit v Partnerském centru buď se vztahem prodejce, nebo existujícím vztahem GDAP.

Nastavení GDAP

  1. V levém navigačním podokně v Lighthouse vyberte Domů.

  2. Na kartě Set up GDAP (Nastavit GDAP ) vyberte Set up GDAP (Nastavit GDAP).

  3. Na stránce Delegovaný přístup vyberte kartu Šablony GDAP a pak vyberte Vytvořit šablonu.

  4. V podokně Vytvořit šablonu zadejte název šablony a volitelný popis.

  5. V části Role podpory obsahuje Lighthouse pět výchozích rolí podpory: account manager, servicedesk agent, specialista, inženýr eskalace a správce. Pro každou roli podpory, kterou chcete použít, postupujte takto:

    1. Výběrem možnosti Upravit otevřete podokno Upravit roli podpory .

    2. Podle potřeby aktualizujte název a popis role podpory tak, aby odpovídal rolím podpory ve vaší partnerské organizaci.

    3. V části Role Entra vyberte Microsoft Entra role, které role podpory vyžaduje na základě pracovní funkce role. Dostupné jsou následující možnosti:

      • Použijte Microsoft Entra role, které microsoft doporučuje.
      • Nastavte filtr na All (Vše) a vyberte preferované Microsoft Entra role.

      Další informace najdete v tématu Microsoft Entra předdefinovaných rolí.

    4. Vyberte Uložit.

  6. Pro každou roli podpory, kterou chcete použít, vyberte ikonu Přidat nebo vytvořit skupinu zabezpečení vedle role podpory a otevřete podokno Vybrat nebo vytvořit skupinu zabezpečení . Pokud nechcete použít konkrétní roli podpory, nepřiřazujte k ní žádné skupiny zabezpečení.

    Poznámka

    Každá šablona GDAP vyžaduje, abyste k roli podpory přiřadili alespoň jednu skupinu zabezpečení.

  7. Udělejte jedno z následujícího:

    • Pokud chcete použít existující skupinu zabezpečení, vyberte Použít existující skupinu zabezpečení, zvolte jednu nebo více skupin zabezpečení ze seznamu a pak vyberte Uložit.

    • Pokud chcete vytvořit novou skupinu zabezpečení, vyberte Vytvořit novou skupinu zabezpečení a pak postupujte takto:

      1. Zadejte název a volitelný popis nové skupiny zabezpečení.

      2. Pokud je to možné, vyberte Vytvořit zásadu přístupu za běhu (JIT) pro tuto skupinu zabezpečení a pak definujte vypršení platnosti způsobilosti uživatele, dobu trvání přístupu JIT a skupinu zabezpečení schvalovatele JIT.

        Poznámka

        Pokud chcete vytvořit zásady přístupu za běhu (JIT) pro novou skupinu zabezpečení, musíte mít licenci Microsoft Entra ID P2. Pokud nemůžete zaškrtnutím políčka vytvořit zásady přístupu JIT, ověřte, že máte licenci Microsoft Entra ID P2.

      3. Přidejte uživatele do skupiny zabezpečení a pak vyberte Uložit.

        Poznámka

        Uživatelům, kteří jsou součástí skupiny zabezpečení agenta JIT, se v Microsoft Entra ID automaticky neudělí přístup k rolím GDAP. Tito uživatelé musí nejprve požádat o přístup z portálu Můj přístup a člen skupiny zabezpečení schvalovatele JIT musí žádost o přístup podle potřeby zkontrolovat.

      4. Pokud jste pro skupinu zabezpečení vytvořili zásady přístupu JIT, můžete je zkontrolovat na řídicím panelu zásad správného řízení identit v Centrum pro správu Microsoft Entra.

        Další informace o tom, jak můžou agenti JIT požádat o přístup, najdete v tématu Vyžádání přístupu k přístupového balíčku ve správě nároků.

        Další informace o tom, jak můžou schvalovatelé schvalovat žádosti, najdete v tématu Schválení nebo zamítnutí žádostí o Microsoft Entra rolí v Privileged Identity Management.

  8. Po dokončení definování rolí podpory a skupin zabezpečení vyberte Uložit v podokně Vytvořit šablonu A uložte šablonu GDAP.

    Nová šablona se teď zobrazí v seznamu šablon na kartě Šablony GDAP na stránce Delegovaný přístup .

  9. Pokud chcete podle potřeby vytvořit další šablony GDAP, postupujte podle kroků 3 až 8.

  10. Na kartě Šablony GDAP na stránce Delegovaný přístup vyberte tři tečky (další akce) vedle šablony v seznamu a pak vyberte Přiřadit šablonu.

  11. V podokně Přiřadit tuto šablonu k tenantům zvolte jednoho nebo více tenantů zákazníků, ke kterým chcete šablonu přiřadit, a pak vyberte Další.

    Poznámka

    Každý tenant zákazníka může být najednou přidružený jenom k jedné šabloně GDAP. Pokud chcete zákazníkovi přiřadit novou šablonu, uloží se existující relace GDAP a vytvoří se pouze nové relace založené na nové šabloně.

  12. Zkontrolujte podrobnosti o přiřazení a pak vyberte Přiřadit.

    Použití přiřazení šablon GDAP může trvat minutu nebo dvě. Pokud chcete aktualizovat data na kartě Šablony GDAP , vyberte Aktualizovat.

  13. Postupujte podle kroků 10 až 12 a podle potřeby přiřaďte tenantům další šablony.

Získání souhlasu zákazníka se správou produktů

V rámci procesu nastavení GDAP se pro každého zákazníka, který nemá existující vztah GDAP s vaší partnerskou organizací, vygeneruje odkaz na žádost o vztah GDAP. Než pro ně budete moct spravovat produkty, musíte poslat odkaz správci v tenantovi zákazníka, aby ho mohl vybrat a schválit relaci GDAP.

  1. Na stránce Delegovaný přístup vyberte kartu Relace .

  2. Rozbalte tenanta zákazníka, jehož schválení požadujete.

  3. Výběrem relace GDAP, která zobrazuje stav Čeká na vyřízení, otevřete podokno podrobností relace.

  4. Vyberte Otevřít v e-mailu nebo Zkopírovat e-mail do schránky, v případě potřeby text upravte (ale neupravujte adresu URL odkazu, kterou musí vybrat, abyste získali oprávnění správce) a pak odešlete e-mail s žádostí o vztah GDAP správci v tenantovi zákazníka.

Jakmile správce v tenantovi zákazníka vybere odkaz ke schválení vztahu GDAP, použijí se nastavení šablony GDAP. Po schválení relace může trvat až hodinu, než se změny ve službě Lighthouse zobrazí.

Vztahy GDAP jsou viditelné v Partnerském centru a skupiny zabezpečení jsou viditelné v Microsoft Entra ID.

Úprava nastavení GDAP

Po dokončení instalace GDAP můžete kdykoli aktualizovat nebo změnit role, skupiny zabezpečení nebo šablony.

  1. V levém navigačním podokně v Lighthouse vyberte Oprávnění>Delegovaný přístup.

  2. Na kartě Šablony GDAP proveďte všechny potřebné změny v šablonách GDAP nebo jejich přidružených konfiguracích a pak změny uložte.

  3. Přiřaďte aktualizované šablony GDAP příslušným tenantům zákazníka, aby tito tenanti měli aktualizované konfigurace ze šablon.

Související obsah

Přehled oprávnění v Microsoft 365 Lighthouse (článek)
Přehled stránky Delegovaný přístup v Microsoft 365 Lighthouse (článek)
Řešení chybových zpráv a problémů v Microsoft 365 Lighthouse (článek)
Konfigurace zabezpečení portálu Microsoft 365 Lighthouse (článek)
Úvod do podrobných delegovaných oprávnění správce (GDAP) – Partnerské centrum (článek)
Microsoft Entra předdefinovaných rolí (článek)
Informace o skupinách a přístupových právech v Microsoft Entra ID (článek)
Co je správa nároků Microsoft Entra? (článek)