Sdílet prostřednictvím


Nejčastější dotazy k GDAP

Příslušné role: Všichni uživatelé, kteří se zajímají o Partnerské centrum

Podrobná delegovaná oprávnění správce (GDAP) poskytují partnerům přístup k úlohám zákazníků způsobem, který je podrobnější a časově omezené, což může pomoct řešit problémy se zabezpečením zákazníků.

S GDAP můžou partneři poskytovat zákazníkům více služeb, kteří můžou být nepříjemní s vysokou úrovní přístupu k partnerům.

GDAP také pomáhá zákazníkům, kteří mají zákonné požadavky na poskytování pouze privilegovaného přístupu partnerům.

Nastavení GDAP

Kdo může požádat o vztah GDAP?

Někdo s rolí agenta správce v partnerské organizaci může vytvořit žádost o vztah GDAP.

Vyprší platnost žádosti o vztah GDAP, pokud zákazník neprovede žádnou akci?

Ano. Platnost žádostí o vztah GDAP vyprší po 90 dnech.

Můžu vytvořit vztah GDAP s trvalým zákazníkem?

Ne. Trvalé vztahy GDAP se zákazníky nejsou z bezpečnostních důvodů možné. Maximální doba trvání relace GDAP je dva roky. Automatické rozšíření na Povoleno můžete nastavit tak, aby se vztah správce rozšířil o šest měsíců, dokud se neukončí nebo automatické prodloužení nastaví na Zakázáno.

Podporuje smlouva Enterprise vztah GDAP?

Ne, vztah GDAP nepodporuje předplatná zakoupená prostřednictvím smluv Enterprise.

Může se vztah GDAP se zákazníkem automaticky rozšířit?

Ano. Relace GDAP se může automaticky prodloužit o šest měsíců do ukončení nebo automatického prodloužení nastaveného na Zakázáno.

Co mám dělat, když vyprší platnost vztahu GDAP se zákazníkem?

Pokud vyprší platnost relace GDAP s vaším zákazníkem, požádejte znovu o relaci GDAP.

Pomocí analýzy relací GDAP můžete sledovat data vypršení platnosti relací GDAP a připravit se na jejich prodloužení.

Jak může zákazník prodloužit nebo prodloužit vztah GDAP?

Pokud chcete prodloužit nebo prodloužit vztah GDAP, musí partner nebo zákazník nastavit automatické rozšíření na Povoleno. Přečtěte si další informace o správě rozšíření GDAP Auto a rozhraní API.

Je možné brzy aktualizovat aktivní vypršení platnosti GDAP, aby se automaticky rozšířilo?

Ano, pokud je GDAP aktivní, může se rozšířit.

Kdy se automatické rozšíření dostane do akce?

Řekněme, že se GDAP vytvoří po dobu 365 dnů s automatickým prodloužením nastaveným na Povoleno. 365. den by koncové datum bylo efektivně aktualizováno o 180 dní.

Budou se e-maily odesílat, když se automatické rozšíření přepíná mezi povolenou nebo zakázanou?

Partnerovi a zákazníkovi se neposílají žádné e-maily.

Je možné automaticky rozšířit GDAP vytvořený pomocí PLT (Partner Led Tool), MLT (Microsoft Led Tool), uživatelského rozhraní Partnerského centra, rozhraní API Partnerského centra?

Ano, všechny aktivní GDAP je možné automaticky rozšířit.

Ne, souhlas zákazníka není nutný k nastavení automatického rozšíření na Povoleno pro stávající aktivní GDAP.

Mají se podrobná oprávnění znovu přiřadit skupinám zabezpečení po automatickém rozšíření?

Ne, podrobná oprávnění přiřazená skupinám zabezpečení budou pokračovat tak, jak je.

Je možné automaticky rozšířit vztah správce s rolí globálního správce?

Ne, vztah správce s rolí globálního správce nejde automaticky rozšířit.

Proč v pracovním prostoru Zákazníci nevidím stránku Podrobné relace s vypršenou platností?

Stránka Podrobné vztahy s koncem platnosti je dostupná jenom pro uživatele partnera, kteří mají role globálních správců a agenta pro správu.

Tato stránka pomáhá filtrovat hodnoty GDAPs, jejichž platnost vyprší na různých časových osách, a pomáhá aktualizovat automatické rozšíření (povolení nebo zakázání) pro jednu nebo více GDAPs.

Pokud vyprší platnost relace GDAP, ovlivní to stávající předplatná zákazníka?

Ne. Když vyprší platnost relace GDAP, nedojde k žádné změně stávajících předplatných zákazníka.

Jak může zákazník resetovat svoje heslo a zařízení MFA, pokud je jeho účet uzamčený a nemůže od partnera přijmout žádost o vztah GDAP?

Informace o řešení potíží s vícefaktorovým ověřováním Microsoft Entra a nejde použít vícefaktorové ověřování Microsoft Entra k přihlášení ke cloudovým službám po ztrátě telefonu nebo změny telefonního čísla, kde najdete pokyny.

Jaké role potřebuje partner k resetování hesla správce a zařízení MFA, pokud je správce zákazníka uzamčený ze svého účtu a nemůže přijmout žádost o vztah GDAP od partnera?

Partner musí při vytváření prvního GDAP požadovat roli správce privilegovaného ověřování Microsoft Entra, aby mohl resetovat heslo a metodu ověřování pro uživatele (správce nebo správce). Role Správce privilegovaného ověřování je součástí rolí, které nastavuje MLT (Microsoft Led Tool) a plánuje se, aby byly během vytváření toku zákazníka (plánované na září) k dispozici s výchozím GDAP.

Partner může mít, aby správce zákazníka zkusil resetovat heslo. Partner musí pro své zákazníky nastavit samoobslužné resetování hesla (samoobslužné resetování hesla). Informace najdete v části Umožnit uživatelům resetovat svá vlastní hesla.

Kdo obdrží e-mail s oznámením o ukončení vztahu GDAP?

V rámci partnerské organizace dostanou lidé s rolí agenta správce oznámení o ukončení.

V rámci organizace zákazníka dostanou lidé s rolí globálního správce oznámení o ukončení.

Můžu se v protokolech aktivit podívat, kdy zákazník odebere GDAP?

Ano. Partneři můžou zjistit, kdy zákazník odebere GDAP v protokolech aktivit v Partnerském centru.

Musím vytvořit vztah GDAP se všemi svými zákazníky?

Ne. GDAP je volitelná možnost pro partnery, kteří chtějí spravovat služby zákazníka podrobnějším a časově ohraničeným způsobem. Můžete zvolit, se kterými zákazníky chcete vytvořit relaci GDAP.

Pokud mám více zákazníků, potřebuji pro tyto zákazníky mít více skupin zabezpečení?

Odpověď závisí na tom, jak chcete spravovat zákazníky.

  • Pokud chcete, aby vaši partneři mohli spravovat všechny zákazníky, můžete všechny své partnerské uživatele umístit do jedné skupiny zabezpečení a že jedna skupina může spravovat všechny vaše zákazníky.

  • Pokud dáváte přednost tomu, aby různí uživatelé partnerů spravovali různé zákazníky, přiřaďte tyto uživatele partnerů k oddělení skupin zabezpečení pro izolaci zákazníků.

Můžou nepřímí prodejci vytvářet žádosti o vztahy GDAP v Partnerském centru?

Ano. Nepřímí prodejci (a nepřímí poskytovatelé a partneři s přímým vyúčtováním) můžou vytvářet žádosti o vztahy GDAP v Partnerském centru.

Proč nemůže partner s GDAP přistupovat k úloze jako AOBO (správce jménem uživatele)?

V rámci nastavení GDAP se ujistěte, že jsou vybrané skupiny zabezpečení vytvořené v partnerském tenantovi s uživateli partnera. Ujistěte se také, že požadované role Microsoft Entra jsou přiřazené ke skupině zabezpečení. Projděte si přiřazení rolí Microsoft Entra.

Zákazníci teď můžou vyloučit poskytovatele cloudových služeb ze zásad podmíněného přístupu, aby partneři mohli přejít na GDAP bez blokování.

Zahrnout uživatele – Tento seznam uživatelů obvykle zahrnuje všechny uživatele, na které organizace cílí v zásadách podmíněného přístupu.

Při vytváření zásad podmíněného přístupu jsou k dispozici následující možnosti:

  • Výběr uživatelů a skupin
    • Host nebo externí uživatelé (Preview)
      • Tento výběr nabízí několik možností, které lze použít k cílení zásad podmíněného přístupu na konkrétní typy hostů nebo externích uživatelů a konkrétní tenanty obsahující tyto typy uživatelů. Existuje několik různých typů hosta nebo externích uživatelů, které je možné vybrat, a je možné vybrat několik možností:
        • Uživatelé poskytovatele služeb, například poskytovatel cloudových řešení (CSP).
      • Pro vybrané typy uživatelů je možné zadat jednoho nebo více tenantů nebo můžete zadat všechny tenanty.

Přístup externího partnera – zásady podmíněného přístupu, které cílí na externí uživatele, můžou kolidovat s přístupem poskytovatele služeb, například podrobná delegovaná oprávnění správce. Další informace najdete v tématu Úvod k podrobným delegovaným oprávněním správce (GDAP). Pro zásady určené pro tenanty poskytovatele cílových služeb použijte typ externího uživatele externího uživatele poskytovatele služeb, který je k dispozici v možnostech výběru hosta nebo externích uživatelů .

Snímek obrazovky se zásadami podmíněného přístupu, které cílí na typy hostů a externích uživatelů z konkrétních organizací Microsoft Entra

Vyloučit uživatele – Pokud organizace zahrnují i vylučují uživatele nebo skupinu, je uživatel nebo skupina ze zásad vyloučený, protože akce vyloučení přepíše akci zahrnutí do zásad.

Při vytváření zásad podmíněného přístupu můžete vyloučit následující možnosti:

  • Host nebo externí uživatelé
    • Tento výběr nabízí několik možností, které lze použít k cílení zásad podmíněného přístupu na konkrétní typy hostů nebo externích uživatelů a konkrétní tenanty obsahující tyto typy uživatelů. Existuje několik různých typů hosta nebo externích uživatelů, které je možné vybrat, a je možné vybrat několik možností:
      • Uživatelé poskytovatele služeb, například Poskytovatel cloudových řešení (CSP)
    • Pro vybrané typy uživatelů je možné zadat jednoho nebo více tenantů nebo můžete zadat všechny tenanty.

Snímek obrazovky se zásadami podmíněného přístupu

Další informace naleznete v tématu:

Potřebuji vztah GDAP k vytvoření lístků podpory, i když mám podporu Premier Support pro partnery?

Ano, bez ohledu na plán podpory, který máte, je nejnižší privilegovaná role pro uživatele partnera, aby mohli vytvářet lístky podpory pro zákazníka, je správce podpory služeb.

Může být GDAP ve stavu Čeká na schválení ukončen partnerem?

Ne, partner momentálně nemůže ukončit GDAP ve stavu Čeká na schválení . Pokud zákazník neudělá žádnou akci, vyprší za 90 dnů.

Po ukončení relace GDAP můžu znovu použít stejný název relace GDAP k vytvoření nové relace?

Až po 365 dnech (vyčištění) po ukončení relace GDAP nebo vypršení platnosti můžete znovu použít stejný název k vytvoření nové relace GDAP.

Může partner v jedné oblasti spravovat své zákazníky v různých oblastech?

Ano, partner může spravovat své zákazníky napříč oblastmi bez vytváření nových partnerských tenantů pro každou oblast zákazníka. Mějte na paměti, že to platí jenom pro roli správy zákazníků poskytovanou GDAP (vztahy správců). Role a možnosti transakcí jsou stále omezené na vaše autorizované území.

Může být poskytovatel služeb součástí organizace s více tenanty?

Ne, poskytovatel služeb nemůže být součástí organizace s více tenanty, vzájemně se vylučují.

Rozhraní GDAP API

Jsou k dispozici rozhraní API pro vytvoření vztahu GDAP se zákazníky?

Informace o rozhraních API a GDAP najdete v dokumentaci pro vývojáře v Partnerském centru.

Můžu pro produkční prostředí používat beta rozhraní API GDAP?

Ano. Doporučujeme, aby partneři používali beta rozhraní API GDAP pro produkční a pozdější přechod na rozhraní API v.1, jakmile budou k dispozici.

I když existuje upozornění, že použití těchto rozhraní API v produkčních aplikacích není podporované, platí obecné pokyny pro jakékoli beta rozhraní API v Graphu a neplatí pro rozhraní Graph API beta verze.

Můžu vytvořit více relací GDAP s různými zákazníky najednou?

Ano. Relace GDAP je možné vytvořit pomocí rozhraní API a umožnit partnerům škálovat tento proces. Vytváření více relací GDAP ale není k dispozici v Partnerském centru. Informace o rozhraních API a GDAP najdete v dokumentaci pro vývojáře v Partnerském centru.

Je možné v relaci GDAP přiřadit více skupin zabezpečení pomocí jednoho volání rozhraní API?

Rozhraní API funguje najednou pro jednu skupinu zabezpečení, ale v Partnerském centru můžete namapovat více skupin zabezpečení na více rolí.

Jak můžu pro aplikaci požádat o více oprávnění k prostředkům?

Proveďte jednotlivá volání pro každý prostředek. Při vytváření jednoho požadavku POST předejte pouze jeden prostředek a jeho odpovídající obory.

Pokud například chcete požádat o oprávnění pro obě https://graph.windows.net/Directory.AccessAsUser.All a https://graph.microsoft.com/Organization.Read.Allprovést dva různé žádosti, jednu pro každou.

Jak najdu ID prostředku pro daný prostředek?

Pomocí poskytnutého odkazu vyhledejte název prostředku: Ověřte aplikace Microsoftu v sestavách přihlašování – Active Directory. Příklad:

Pokud chcete najít ID prostředku (příklad: 00000003-0000-0000-c000-00000000000000 pro graph.microsoft.com):

Snímek obrazovky manifestu pro ukázkovou aplikaci se zvýrazněným ID prostředku

Co mám dělat, když se zobrazí chyba "Request_UnsupportedQuery" se zprávou: "Nepodporovaná nebo neplatná klauzule filtru dotazu zadaná pro vlastnost appId prostředku ServicePrincipal"?

K této chybě obvykle dochází při použití nesprávného identifikátoru ve filtru dotazu.

Pokud chcete tento problém vyřešit, ujistěte se, že používáte vlastnost enterpriseApplicationId se správným ID prostředku, nikoli názvem prostředku.

  • Nesprávný požadavek

    V případě enterpriseApplicationId nepoužívejte název prostředku, jako je graph.microsoft.com.

    Snímek obrazovky s nesprávným požadavkem, kde enterpriseApplicationId používá graph.microsoft.com

  • Správná žádost

    Místo toho pro enterpriseApplicationId použijte ID zdroje, například 00000003-0000-0000-c000-00000000000000.

    Snímek obrazovky se správným požadavkem, kde enterpriseApplicationId používá identifikátor GUID

Jak můžu do prostředku aplikace, která už byla udělena souhlasu do tenanta zákazníka, přidat nové obory?

Příklad: Dříve v graph.microsoft.com byl udělen pouze rozsah profilu prostředku. Teď chceme přidat také profil a user.read.

Přidání nových oborů do dříve odsouhlasené aplikace:

  1. K odvolání souhlasu stávající aplikace z tenanta zákazníka použijte metodu DELETE.

  2. Pomocí metody POST vytvořte nový souhlas aplikace s dalšími obory.

    Poznámka:

    Pokud vaše aplikace vyžaduje oprávnění pro více prostředků, spusťte pro každý prostředek metodu POST samostatně.

Návody zadat více oborů pro jeden prostředek (enterpriseApplicationId)?

Zřetězení požadovaných oborů pomocí čárky následované mezerou Příklad: "scope": "profile, User.Read"

Co mám dělat, když se zobrazí chyba 400 Chybný požadavek se zprávou "Nepodporovaný token". Nelze inicializovat kontext autorizace?
  1. Ověřte, že vlastnosti displayName a applicationId v textu požadavku jsou přesné a odpovídají aplikaci, se kterou se pokoušíte souhlasit s tenantem zákazníka.

  2. Ujistěte se, že používáte stejnou aplikaci k vygenerování přístupového tokenu, ke kterému se pokoušíte udělit souhlas s tenantem zákazníka.

    Příklad: Pokud je ID aplikace "12341234-1234-1234-12341234", pak deklarace identity "appId" v přístupovém tokenu by měla být také "12341234-1234-1234-12341234".

  3. Ověřte splnění jedné z následujících podmínek:

    • Máte aktivní oprávnění delegovaného správce (DAP) a uživatel je také členem skupiny zabezpečení Agenti pro správu v partnerském tenantovi.

    • Máte aktivní vztah oprávnění podrobného delegovaného správce (GDAP) s tenantem zákazníka s alespoň jednou z následujících tří rolí GDAP a dokončili jste přiřazení přístupu:

      • Role globálního správce, správce aplikací nebo správce cloudových aplikací
      • Partner uživatel je členem skupiny zabezpečení zadané v přiřazení přístupu.

Role

Které role GDAP jsou potřeba pro přístup k předplatnému Azure?
  • Pokud chcete spravovat Azure pomocí dělení na jednotlivé zákazníky (což je doporučeným postupem), vytvořte skupinu zabezpečení (například Azure Managers) a vnořete ji do agentů pro správu.

  • Pokud chcete získat přístup k předplatnému Azure jako vlastníka zákazníka, můžete ke skupině zabezpečení Azure Managers přiřadit libovolnou předdefinovanou roli Microsoft Entra (například čtenáři adresáře, nejméně privilegovaná role).

    Postup nastavení azure GDAP najdete v tématu Úlohy podporované podrobnými delegovanými oprávněními správce (GDAP).

Existují pokyny k nejméně privilegovaným rolím, které můžu přiřadit uživatelům pro konkrétní úlohy?

Ano. Informace o tom, jak omezit oprávnění správce uživatele přiřazením nejnižších privilegovaných rolí v Microsoft Entra, naleznete v tématu Nejméně privilegované role podle úlohy v Microsoft Entra.

Jaká je nejméně privilegovaná role, kterou můžu přiřadit k tenantovi zákazníka a stále je možné vytvořit lístky podpory pro zákazníka?

Doporučujeme přiřadit roli správce podpory služby. Další informace najdete v tématu Nejméně privilegované role podle úkolů v Microsoft Entra.

Které role Microsoft Entra byly zpřístupněny v uživatelském rozhraní Partnerského centra v červenci 2024?

Pokud chcete snížit mezeru mezi rolemi Microsoft Entra dostupnými prostřednictvím. Rozhraní API Partnerského centra vs. uživatelské rozhraní, níže uvedený seznam 9 rolí byl zpřístupněn v uživatelském rozhraní Partnerského centra v červenci 2024.

  • V části Spolupráce:

    • Správce Edge
    • Správce virtuálních návštěv
    • Viva Goals Administrator
    • Viva Pulse Administrator
    • Správce Yammeru
  • V části Identita:

    • Správce správy oprávnění
    • Správce pracovních postupů životního cyklu
  • V části Jiné:

    • Správce brandingu organizace
    • Schvalovatel zpráv organizace
Můžu otevřít lístky podpory pro zákazníka ve vztahu GDAP, ze kterého byly vyloučeny všechny role Microsoft Entra?

Ne. Nejmíň privilegovaná role pro uživatele partnera, aby mohli vytvářet lístky podpory pro zákazníka, je správce podpory služeb. Aby bylo možné vytvořit lístky podpory pro zákazníka, musí být partner uživatel ve skupině zabezpečení a přiřazený danému zákazníkovi s danou rolí.

Kde najdu informace o všech rolích a úlohách zahrnutých v GDAP?

Informace o všechrolích

Informace o úlohách najdete v tématu Úlohy podporované podrobnými delegovanými oprávněními správce (GDAP).

Jaká role GDAP poskytuje přístup k centru Správa Microsoftu 365?

Mnoho rolí se používá pro Správa Microsoftu 365 Center. Další informace najdete v části Běžně používané role v Centru pro správu Microsoftu 365.

Můžu pro GDAP vytvořit vlastní skupiny zabezpečení?

Ano. Vytvořte skupinu zabezpečení, přiřaďte schválené role a pak k této skupině zabezpečení přiřaďte uživatele partnerského tenanta.

Které role GDAP poskytují přístup jen pro čtení k předplatným zákazníka, a proto jim nedovolují, aby je uživatel spravoval?

Role podpory globální čtenáře, čtenáře adresáře a partnerské vrstvy 2 poskytuje přístup jen pro čtení k předplatným zákazníka.

Jakou roli mám přiřadit svým agentům partnerů (aktuálně agentům pro správu), pokud chci, aby spravovali tenanta zákazníka, ale neupravovali předplatná zákazníka?

Doporučujeme odebrat partnerské agenty z role agenta správce a přidat je jenom do skupiny zabezpečení GDAP. Tímto způsobem můžou spravovat služby (například správa služeb a žádosti o službu protokolů), ale nemůžou kupovat a spravovat předplatná (změna množství, zrušení, plánování změn atd.).

Co se stane, když zákazník partnerovi udělí role GDAP a pak odebere role nebo oddělí vztah GDAP?

Skupiny zabezpečení přiřazené k relaci ztratí přístup k danému zákazníkovi. Totéž se stane, když zákazník ukončí relaci DAP.

Může partner pokračovat v transakci pro zákazníka po odebrání veškerého vztahu GDAP se zákazníkem?

Ano, odebrání vztahů GDAP se zákazníkem neukončí vztah prodejce partnerů se zákazníkem. Partneři si stále můžou koupit produkty pro zákazníka a spravovat rozpočet Azure a další související aktivity.

Můžou některé role v mém vztahu GDAP s mým zákazníkem mít delší dobu na vypršení platnosti než jiné?

Ne. Všechny role v relaci GDAP mají stejnou dobu k vypršení platnosti: doba trvání zvolená při vytvoření relace.

Potřebuji GDAP k plnění objednávek pro nové a stávající zákazníky v Partnerském centru?

Ne. Ke splnění objednávek pro nové a stávající zákazníky nepotřebujete GDAP. Ke splnění objednávek zákazníků v Partnerském centru můžete dál používat stejný postup.

Musím přiřadit jednu roli agenta partnera všem zákazníkům, nebo můžu přiřadit roli agenta partnera jenom jednomu zákazníkovi?

Relace GDAP jsou pro jednotlivé zákazníky. Pro každého zákazníka můžete mít více vztahů. Každý vztah GDAP může mít různé role a používat různé skupiny Microsoft Entra v rámci vašeho tenanta CSP.

V Partnerském centru funguje přiřazení rolí na úrovni vztahu zákazníka k GDAP. Pokud chcete přiřazení role s vícecustomery automatizovat pomocí rozhraní API.

Může mít partner uživatel role GDAP a účet hosta?

Účty hostů nefungují s GDAP. Zákazníci musí odebrat všechny účty hostů, aby GDAP fungovaly.

Potřebuji pro zřizování předplatného Azure DAP/GDAP?

Ne, k nákupu plánů Azure a zřízení předplatných Azure pro zákazníka nepotřebujete DAP ani GDAP. Proces vytvoření předplatného Azure pro zákazníka je zdokumentovaný na stránce Vytvoření předplatného pro zákazníka partnera – Microsoft Cost Management + Billing. Ve výchozím nastavení se skupina Agenti pro správu v tenantovi partnera stane vlastníkem předplatných Azure zřízených pro zákazníka. Přihlaste se k webu Azure Portal pomocí ID Partnerského centra.

Pokud chcete zřídit přístup k zákazníkovi, potřebujete relaci GDAP. Relace GDAP musí obsahovat minimálně roli Microsoft Entra čtenáře adresáře. Pokud chcete zřídit přístup v Azure, použijte stránku řízení přístupu (IAM). V případě AOBO se přihlaste k Partnerskému centru a pomocí stránky Správa služeb zřiďte přístup k zákazníkovi.

Které role Microsoft Entra podporuje GDAP?

GDAP aktuálně podporuje jenom předdefinované role Microsoft Entra. Vlastní role Microsoft Entra se nepodporují.

Proč nemůžou správci GDAP + B2B přidávat metody ověřování v aka.ms/mysecurityinfo?

Správci hosta GDAP nemůžou spravovat své vlastní bezpečnostní informace na adrese Moje informace o zabezpečení. Místo toho bude potřebovat pomoc správce tenanta, ve kterém je hostem pro všechny registrace, aktualizace nebo odstranění bezpečnostních údajů. Organizace můžou nakonfigurovat zásady přístupu mezi tenanty tak, aby důvěřovaly vícefaktorovému ověřování z důvěryhodného tenanta CSP. V opačném případě budou správci hosta GDAP omezeni pouze na metody, které může zaregistrovat správce tenantů (což je SMS nebo Hlas). Další informace najdete v tématu Zásady přístupu mezi tenanty.

Jaké role může partner použít k povolení automatického rozšíření?

Sladění s principem guid nulová důvěra (Zero Trust): Použijte přístup s nejnižšími oprávněními:

DAP a GDAP

Nahrazuje GDAP DAP?

Ano. Během přechodného období bude DAP a GDAP existovat společně s oprávněními GDAP, která mají přednost před oprávněními DAP pro úlohy Microsoftu 365, Dynamics 365 a Azure .

Můžu dál používat DAP nebo musím převést všechny své zákazníky na GDAP?

DAP a GDAP existují společně během přechodného období. GDAP ale nakonec nahradí DAP, abychom zajistili bezpečnější řešení pro naše partnery a zákazníky. Doporučujeme, abyste zákazníky co nejdříve převést na GDAP, abyste zajistili kontinuitu.

Zatímco dap a GDAP spolu existují, budou existovat nějaké změny způsobu vytvoření relace DAP?

Stávající tok relace DAP se nijak nemění, zatímco daP a GDAP spolu existují.

Jaké role Microsoft Entra by byly uděleny pro výchozí GDAP jako součást vytvoření zákazníka?

DaP se v současné době uděluje při vytvoření nového tenanta zákazníka. Od 25. září 2023 už Microsoft neudělí daP pro vytvoření nového zákazníka a místo toho udělí výchozí GDAP s konkrétními rolemi. Výchozí role se liší podle typu partnera, jak je znázorněno v následující tabulce:

Role Microsoft Entra udělené pro výchozí GDAP Partneři s přímým vyúčtováním Nepřímí zprostředkovatelé Nepřímí prodejci Partneři domény dodavatelé Ovládací panely (CPV) Poradce Odhlášení z výchozího GDAP (bez DAP)
1. Čtenáři adresářů. Může číst základní informace o adresáři. Běžně se používá k udělení přístupu ke čtení adresáře aplikacím a hostům. linka x x x linka
2. Zapisovače adresářů. Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. linka x x x linka
3. Správce licencí. Může spravovat licence produktů pro uživatele a skupiny. linka x x x linka
4. Správce podpory služeb. Může číst informace o stavu služeb a spravovat lístky podpory. linka x x x linka
5. Správce uživatelů. Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. linka x x x linka
6. Správce privilegovaných rolí. Může spravovat přiřazení rolí v Microsoft Entra a všechny aspekty Privileged Identity Management. linka x x x linka
7. Správce helpdesku. Může resetovat hesla pro správce, kteří nejsou správci a správci helpdesku. linka x x x linka
8. Správce privilegovaného ověřování. Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo správce). linka x x x linka
9. Správce cloudových aplikací. Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací, kromě proxy aplikací. linka x x linka
10. Správce aplikace. Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací. linka x x linka
11. Globální čtenář. Může číst všechno, co může globální správce, ale nemůže nic aktualizovat. linka x x x linka
12. Externí správce zprostředkovatele identity. Může spravovat federaci mezi organizacemi Microsoft Entra a externími zprostředkovateli identit. linka
13. Správce názvu domény. Může spravovat názvy domén v cloudu a v místním prostředí. linka
Jak bude GDAP fungovat s Privileged Identity Management v Microsoft Entra?

Partneři můžou implementovat Privileged Identity Management (PIM) ve skupině zabezpečení GDAP v tenantovi partnera, aby zvýšili přístup několika uživatelů s vysokými oprávněními, a to za běhu (JIT), aby jim udělili role s vysokými oprávněními, jako jsou správci hesel, s automatickým odebráním přístupu.

Do ledna 2023 bylo nutné, aby každá skupina privilegovaného přístupu (bývalého názvu funkce PIM pro skupiny ) byla ve skupině s možností přiřazení role. Toto omezení bylo odebráno. Vzhledem k tomu je možné povolit více než 500 skupin na tenanta v PIM, ale pouze 500 skupin je možné přiřadit role.

Souhrn:

  • Partneři můžou v PIM používat skupiny, které je možné přiřadit jako role, i skupiny bez role. Tím se v PIM efektivně odebere limit 500 skupin nebo tenantů.

  • S nejnovějšími aktualizacemi existují dva způsoby, jak připojit skupinu k PIM (UX-wise): z nabídky PIM nebo z nabídky Skupiny . Bez ohledu na způsob, jakým zvolíte, je čistý výsledek stejný.

    • Možnost onboardingu skupin přiřazených rolí nebo skupin, které nejsou přiřazené rolí, prostřednictvím nabídky PIM je už dostupná.

    • Možnost onboardingu skupin přiřazených rolí nebo skupin, které nejsou přiřazené rolí, prostřednictvím nabídky Skupiny je už dostupná.

  • Další informace najdete v tématu Privileged Identity Management (PIM) pro skupiny (Preview) – Microsoft Entra.

Jak může DAP a GDAP existovat, pokud zákazník koupí Microsoft Azure a Microsoft 365 nebo Dynamics 365?

GDAP je obecně dostupná s podporou všech komerčních cloudových služeb Microsoftu (Microsoft 365, Dynamics 365, Microsoft Azure a Microsoft Power Platform ). Další informace o tom, jak daP a GDAP mohou existovat společně a jak má GDAP přednost, najdete v tématu Jak bude GDAP mít přednost před DAP.

Mám velkou zákaznickou základnu (například 10 000 zákaznických účtů). Návody přechod z DAP na GDAP?

Tuto akci můžou provádět rozhraní API.

Ne. Vaše příjmy PEC nebudou ovlivněny při přechodu na GDAP. V rámci přechodu se v palu neprocházejí žádné změny, takže budete i nadále získávat PEC.

Je pec ovlivněná při odebrání DAP/GDAP?
  • Pokud má zákazník partnera jenom DAP a DAP se odebere, pec se neztratí.
  • Pokud má zákazník partnera DAP a současně přejde do GDAP pro Office a Azure a odebere se DAP, pec se neztratí.
  • Pokud má zákazník partnera DAP a přejde do GDAP pro Office, ale Ponechá Azure tak, jak je (nepřesunou se do GDAP) a DAP se odebere, pec se neztratí, ale přístup k předplatnému Azure se ztratí.
  • Pokud se role RBAC odebere, pec se ztratí, ale odebrání GDAP neodebere RBAC.
Jak mají oprávnění GDAP přednost před oprávněními DAP, zatímco existují oprávnění DAP a GDAP?

Pokud je uživatel součástí skupiny zabezpečení GDAP i skupiny agentů daP Admin a zákazník má vztahy DAP i GDAP, má přístup GDAP přednost na úrovni partnera, zákazníka a úlohy.

Pokud se například uživatel partnera přihlásí k dané úloze a má roli globálního správce a GDAP pro roli globálního čtenáře, získá uživatel partnera oprávnění globálního čtenáře.

Pokud existují tři zákazníci s přiřazením rolí GDAP jenom ke skupině zabezpečení GDAP (ne agentům pro správu):

Diagram znázorňující vztah mezi různými uživateli jako členy *Agenta pro správu* a skupinami zabezpečení GDAP

Zákazník Vztah s partnerem
Zákazník 1 DAP (bez GDAP)
Zákazník 2 DAP + GDAP oba
Zákazník 3 GDAP (bez DAP)

Následující tabulka popisuje, kdy se uživatel přihlásí k jinému tenantovi zákazníka.

Modelový uživatel Příklad tenanta zákazníka Chování Komentáře
Uživatel 1 Zákazník 1 ODSKOČIT Tento příklad je DAP tak, jak je.
Uživatel 1 Zákazník 2 ODSKOČIT Ke skupině agentů pro správu neexistuje přiřazení role GDAP, což vede k chování DAP.
Uživatel 1 Zákazník 3 Žádný přístup Neexistuje žádný vztah DAP, takže skupina agentů pro správu nemá přístup k zákazníkovi 3.
Uživatel 2 Zákazník 1 ODSKOČIT Tento příklad je DAP tak, jak je.
Uživatel 2 Zákazník 2 GDAP GDAP má přednost před DAP, protože je uživateli přiřazená role GDAP 2 prostřednictvím skupiny zabezpečení GDAP, i když je uživatel součástí skupiny agentů pro správu.
Uživatel 2 Zákazník 3 GDAP Tento příklad je pouze zákazník GDAP.
Uživatel 3 Zákazník 1 Žádný přístup Pro zákazníka 1 neexistuje přiřazení role GDAP.
Uživatel 3 Zákazník 2 GDAP Uživatel 3 není součástí skupiny agentů pro správu, což vede k chování jen GDAP.
Uživatel 3 Zákazník 3 GDAP Chování jen GDAP
Ovlivní zákaz DAP nebo přechod na GDAP výhody starších kompetencí nebo označení partnerů řešení, kterých jsem dosáhl?

DaP a GDAP nejsou vhodné typy přidružení pro označení partnerů řešení a zakázání nebo přechod z DAP na GDAP neovlivní vaše dosažení označení partnerů řešení. Na prodloužení platnosti výhod starších kompetencí nebo výhod partnerů řešení to také nebude mít vliv.

Přejděte na označení partnerů v Partnerském centru a podívejte se, jaké další typy přidružení partnerů mají nárok na označení partnerů řešení.

Jak GDAP funguje se službou Azure Lighthouse? Ovlivňují se GDAP a Azure Lighthouse navzájem?

Pokud jde o vztah mezi Azure Lighthousem a DAP/GDAP, představte si je jako oddělené paralelní cesty k prostředkům Azure, takže jejich rozdělení by nemělo mít vliv na druhý.

  • Ve scénáři Azure Lighthouse se uživatelé z partnerského tenanta nikdy nepřihlašují k tenantovi zákazníka a nemají v tenantovi zákazníka žádná oprávnění Microsoft Entra. Jejich přiřazení rolí Azure RBAC se také uchovávají v partnerském tenantovi.

  • Ve scénáři GDAP se uživatelé z partnerského tenanta přihlašují k tenantovi zákazníka a přiřazení role Azure RBAC ke skupině agentů pro správu je také v tenantovi zákazníka. Cestu GDAP (uživatelé už se nemůžou přihlásit) můžete zablokovat, i když cesta Azure Lighthouse nemá vliv. Naopak relace Lighthouse (projekce) můžete oddělit, aniž by to mělo vliv na GDAP. Další informace najdete v dokumentaci ke službě Azure Lighthouse .

Jak GDAP funguje s Microsoft 365 Lighthousem?

Poskytovatelé spravovaných služeb zaregistrovaní v programu Cloud Solution Provider (CSP) jako nepřímí prodejci nebo partneři s přímým vyúčtováním teď můžou k nastavení GDAP pro libovolného tenanta zákazníka používat Microsoft 365 Lighthouse. Vzhledem k tomu, že partneři už spravují svůj přechod na GDAP, tento průvodce umožňuje partnerům Lighthouse přijmout doporučení rolí specifická pro své obchodní potřeby. Umožňuje jim také přijmout bezpečnostní opatření, jako je přístup ZA běhu (JIT). Poskytovatelé cloudových služeb můžou také vytvářet šablony GDAP prostřednictvím Lighthouse, aby bylo možné snadno uložit a znovu použít nastavení, která umožňují přístup nejméně privilegovaných zákazníků. Další informace a zobrazení ukázky najdete v průvodci nastavením aplikace Lighthouse GDAP.

Poskytovatelé cloudových služeb můžou nastavit GDAP pro libovolného tenanta zákazníka ve službě Lighthouse. Pro přístup k datům úloh zákazníka ve Lighthouse se vyžaduje vztah GDAP nebo DAP. Pokud GDAP a DAP existují společně v tenantovi zákazníka, mají oprávnění GDAP přednost pro techniky MSP ve skupinách zabezpečení s podporou GDAP. Další informace o požadavcích pro Microsoft 365 Lighthouse najdete v tématu Požadavky pro Microsoft 365 Lighthouse.

Jaký je nejlepší způsob, jak přejít na GDAP a odebrat DAP bez ztráty přístupu k předplatným Azure, pokud mám zákazníky s Azure?

Správná posloupnost, která se má v tomto scénáři provést, je:

  1. Vytvořte relaci GDAP pro Microsoft 365 i Azure.
  2. Přiřaďte role Microsoft Entra skupinám zabezpečení pro Microsoft 365 i Azure.
  3. Nakonfigurujte GDAP tak, aby přednost před DAP.
  4. Odeberte DAP.

Důležité

Pokud tyto kroky nepoužíváte, můžou stávající agenti pro správu Azure, kteří spravují Azure, ztratit přístup k předplatným Azure pro zákazníka.

Následující posloupnost může vést ke ztrátě přístupu k předplatným Azure:

  1. Odeberte DAP.

    Odebráním DAP nemusíte nutně ztratit přístup k předplatnému Azure. V tuto chvíli ale nemůžete procházet adresář zákazníka a provádět přiřazení rolí Azure RBAC (například přiřazení nového uživatele zákazníka jako přispěvatel RBAC předplatného).

  2. Vytvořte relaci GDAP pro Microsoft 365 i Azure společně.

    Po nastavení GDAP můžete v tomto kroku ztratit přístup k předplatnému Azure.

  3. Přiřazení rolí Microsoft Entra ke skupinám zabezpečení pro Microsoft 365 i Azure

    Po dokončení nastavení Azure GDAP znovu získáte přístup k předplatným Azure.

Mám zákazníky s předplatnými Azure bez DAP. Pokud je přesunu do GDAP pro Microsoft 365, ztratím přístup k předplatným Azure?

Pokud máte předplatná Azure bez DAP , která spravujete jako vlastníka, přidáním GDAP pro Microsoft 365 k ho zákazníkovi, může dojít ke ztrátě přístupu k předplatným Azure. Pokud tomu chcete zabránit, přesuňte zákazníka na GDAP Azure současně s přesunem zákazníka do GDAP Microsoftu 365.

Důležité

Pokud tyto kroky nejsou dodrženy, můžou stávající agenti pro správu Azure, kteří spravují Azure, ztratit přístup k předplatným Azure pro zákazníka.

Ne. Relace, po přijetí, nejsou opakovaně použitelné.

Pokud mám vztah prodejce se zákazníky bez DAP a kteří nemají žádný vztah GDAP, můžu získat přístup ke svému předplatnému Azure?

Pokud máte existující vztah prodejce se zákazníkem, budete muset vytvořit vztah GDAP, abyste mohli spravovat svá předplatná Azure.

  1. Vytvořte skupinu zabezpečení (například Azure Managers) v Microsoft Entra.
  2. Vytvořte relaci GDAP s rolí čtenáře adresáře.
  3. Nastavte skupinu zabezpečení jako člena skupiny agenta pro správu.

Jakmile to uděláte, budete moct spravovat předplatné Azure zákazníka prostřednictvím AOBO. Předplatné nejde spravovat pomocí rozhraní příkazového řádku nebo PowerShellu.

Můžu vytvořit plán Azure pro zákazníky bez DAP a kteří nemají žádný vztah GDAP?

Ano, plán Azure můžete vytvořit i v případě, že neexistuje žádný plán DAP nebo GDAP s existujícím vztahem prodejce; Ke správě předplatného ale budete potřebovat DAP nebo GDAP.

Proč se v části Podrobnosti o společnosti na stránce Účet v části Zákazníci už nezobrazují podrobnosti při odebrání DAP?

Když partneři přecházejí z DAP na GDAP, musí zajistit, aby se podrobnosti o společnosti zobrazily takto:

  • Aktivní relace GDAP.
  • Jsou přiřazeny některé z následujících rolí Microsoft Entra: globální správce, čtenáři adresářů, globální čtenář. Přečtěte si, jak udělit podrobná oprávnění skupinám zabezpečení.
Proč je moje uživatelské jméno nahrazeno znakem "user_somenumber" v portal.azure.com, když existuje relace GDAP?

Když se poskytovatel CSP přihlásí k webu Azure Portal zákazníka (portal.azure.come) pomocí svých přihlašovacích údajů CSP a existuje vztah GDAP, poskytovatel CSP si všimne, že jeho uživatelské jméno je "user_" následované určitým číslem. Nezobrazuje se jejich skutečné uživatelské jméno jako v DAP. Toto chování je úmyslné.

Snímek obrazovky s uživatelským jménem zobrazujícím nahrazení

Jaké jsou časové osy pro zastavení DAP a udělují výchozí GDAP vytvoření nového zákazníka?
Typ tenanta Datum dostupnosti Chování rozhraní API Partnerského centra (POST /v1/customers)
enableGDAPByDefault: true
Chování rozhraní API Partnerského centra (POST /v1/customers)
enableGDAPByDefault: false
Chování rozhraní API Partnerského centra (POST /v1/customers)
Žádná změna požadavku nebo datové části
Chování uživatelského rozhraní Partnerského centra
Pískoviště 25. září 2023 (jenom rozhraní API) DAP = Ne. Výchozí GDAP = Ano DAP = Ne. Výchozí GDAP = Ne DAP = Ano. Výchozí GDAP = Ne Výchozí GDAP = Ano
Produkční 10. října 2023 (ROZHRANÍ API a uživatelské rozhraní) DAP = Ne. Výchozí GDAP = Ano DAP = Ne. Výchozí GDAP = Ne DAP = Ano. Výchozí GDAP = Ne Přihlášení/odhlášení k dispozici: Výchozí GDAP
Produkční 27. listopadu 2023 (uvedení ga bylo dokončeno 2. prosince) DAP = Ne. Výchozí GDAP = Ano DAP = Ne. Výchozí GDAP = Ne DAP = Ne. Výchozí GDAP = Ano Přihlášení/odhlášení k dispozici: Výchozí GDAP

Partneři musí explicitně udělit podrobná oprávnění skupinám zabezpečení ve výchozím GDAP.
Od 10. října 2023 už není DAP k dispozici pro vztahy prodejců. Aktualizovaný odkaz Request Reseller Relationship je k dispozici v uživatelském rozhraní Partnerského centra a adresa URL vlastnosti "/v1/customers/customers/relationship requests" vrátí adresu URL pozvánky, která se odešle správci zákaznického tenanta.

Má partner udělit podrobná oprávnění skupinám zabezpečení ve výchozím GDAP?

Ano, partneři musí explicitně udělit podrobná oprávnění skupinám zabezpečení ve výchozím GDAP pro správu zákazníka.

Jaké akce může partner se vztahem prodejce, ale žádný DAP a žádný GDAP provádět v Partnerském centru?

Partneři, kteří mají vztah prodejce jenom bez DAP nebo GDAP, můžou vytvářet zákazníky, zadávat a spravovat objednávky, stahovat softwarové klíče, spravovat rezervované instance Azure. Nemůžou zobrazit podrobnosti o společnosti zákazníka, nemůžou zobrazit uživatele ani přiřazovat licence uživatelům, nemůžou protokolovat lístky jménem zákazníků a nemůžou přistupovat k centerm pro správu pro konkrétní produkty a spravovat je (například Centrum pro správu Teams).)

Aby partner nebo CPV měli přístup k tenantovi zákazníka a mohli ho spravovat, musí být instanční objekt aplikace v tenantovi zákazníka odsouhlasený. Když je DAP aktivní, musí přidat instanční objekt aplikace do skupiny agentů pro správu v partnerském tenantovi. U GDAP musí partner zajistit, aby jejich aplikace byla v tenantovi zákazníka odsouhlasený. Pokud aplikace používá delegovaná oprávnění (App + Uživatel) a aktivní GDAP existuje s některou ze tří rolí (správce cloudových aplikací, správce aplikací, globální správce), můžete použít rozhraní API pro vyjádření souhlasu. Pokud aplikace používá pouze oprávnění aplikace, musí s ní souhlasit ručně buď partner, nebo zákazník, který má některou ze tří rolí (správce cloudových aplikací, správce aplikací, globální správce), pomocí adresy URL souhlasu správce v rámci celého tenanta.

Jaká akce musí partner provést pro chybu 715–123220 nebo anonymní připojení nejsou pro tuto službu povolená?

Pokud se zobrazí následující chyba:

"V tuto chvíli nemůžeme ověřit vaši žádost o vytvoření nové relace GDAP. Doporučujeme, aby pro tuto službu nebyla povolena anonymní připojení. Pokud se domníváte, že se vám tato zpráva zobrazila omylem, zkuste žádost zopakovat. Kliknutím se dozvíte o akci, kterou můžete provést. Pokud problém přetrvává, obraťte se na kód podpory a referenční zprávy 715–123220 a ID transakce: guid.

Změňte způsob, jakým se připojujete k Microsoftu, aby naše služba ověřování identit fungovala správně, abychom zajistili, že váš účet nebyl ohrožen a vyhovuje předpisům, které microsoft musí dodržovat.

Co můžete udělat:

  • Vymažte mezipaměť prohlížeče.
  • Vypněte ochranu před sledováním v prohlížeči nebo přidejte náš web do seznamu výjimek nebo do seznamu bezpečných webů.
  • Vypněte všechny programy nebo služby virtuální privátní sítě (VPN), které používáte.
  • Připojte se přímo z místního zařízení, a ne přes virtuální počítač.

Po vyzkoušení těchto kroků se stále nemůžete připojit, doporučujeme vám poradit se se svým it helpdeskem a zkontrolovat nastavení a zjistit, jestli vám můžou pomoct zjistit, co je příčinou problému. Někdy se problém vyskytuje v nastavení sítě vaší společnosti, v takovém případě by váš správce IT potřeboval problém vyřešit například tak, že náš web nebo jiné úpravy nastavení sítě v seznamu bezpečných adres.

Jaké akce GDAP jsou povolené pro partnera, který je mimoboarding (omezený, pozastavený) a vypnutý?
  • Restricted (Direct Bill): New GDAP (Admin Relationships) cannot be created. Stávající GDAP a jejich přiřazení rolí je možné aktualizovat.
  • Pozastaveno (přímý účet/ nepřímý poskytovatel nebo nepřímý prodejce): Nový GDAP se nedá vytvořit. Stávající GDAP a jejich přiřazení rolí nelze aktualizovat.
  • Restricted (Direct Bill) + Active (Nepřímý prodejce): Pro omezený přímý účet: Nové relace GDAP (vztahy správců) nelze vytvořit. Stávající GDAP a jejich přiřazení rolí je možné aktualizovat. V případě aktivního nepřímého prodejce: Je možné vytvořit nové GDAP, stávající GDAP a jejich přiřazení rolí je možné aktualizovat.

Při vyřazení nového GDAP nelze vytvořit existující GDAP a jejich přiřazení rolí nelze aktualizovat.

Nabídky

Je správa předplatných Azure součástí této verze GDAP?

Ano. Aktuální verze GDAP podporuje všechny produkty: Microsoft 365, Dynamics 365, Microsoft Power Platform a Microsoft Azure.