Pokyny k roli GDAP

Příslušné role: Správa agent

Tento článek obsahuje pokyny, které privilegované předdefinované role Microsoft Entra je možné použít pro každou podrobnou delegovanou oprávnění správce (GDAP). Pokud například chcete odeslat žádosti o podporu jménem zákazníka, musíte mít roli správce podpory služeb, což je nejméně privilegovaná role Microsoft Entra integrovaná v tenantovi zákazníka.

Vytváření žádostí o podporu

Nepřímí prodejci nemůžou vytvářet žádosti o podporu pro Azure. Místo toho musí pracovat se svými nepřímými poskytovateli.

Vytvoření žádosti o podporu pro:	Partneři s přímým vyúčtováním a nepřímí poskytovatelé musí mít následující nejméně privilegovanou roli:
Microsoft 365 v Centrum pro správu Microsoftu 365	Přiřazení role GDAP k roli, která má oprávnění Microsoft.office365.supportTickets/allEntities/allTasks , například správce podpory služeb
Dynamics 365 v Power Platform Správa Center	Přiřazení role GDAP k roli, která má oprávnění Microsoft.office365.supportTickets/allEntities/allTasks , například správce podpory služeb
Prostředek předplatného Azure na webu Azure Portal	Předpoklad: Pokud chcete vytvořit žádosti jménem zákazníků, kteří používají předplatné Azure zákazníka, musí partneři mít s zákazníkem vztah prodejce, jak je vysvětleno v regionální autorizaci CSP. Další informace najdete v tématu Postup nastavení azure GDAP. Jakékoli přiřazení GDAP k roli Microsoft Entra, jako jsou čtenáři adresáře, -A- Přiřazení role řízení přístupu na základě role (RBAC) Azure k roli s oprávněními Microsoft.Support/supportTickets/write , jako je přispěvatel žádostí o podporu
ID Microsoft Entra na webu Azure Portal	Alternativní 1: Pokud zákazník nemá požadavek Microsoft Entra ID P1 nebo P2 : Pokud chcete vytvořit žádosti jménem zákazníků používajících předplatné Azure zákazníka, musí mít partneři vztah prodejce se zákazníkem na regionální autorizaci CSP. Další informace najdete v tématu Postup nastavení azure GDAP. Jakékoli přiřazení GDAP k roli Microsoft Entra, jako jsou čtenáři adresáře, -A- Přiřazení role Azure RBAC k roli s oprávněními Microsoft.Support/supportTickets/write, jako je přispěvatel žádostí o podporu, alternativa 2: Pokud má zákazník Microsoft Entra ID P1 nebo P2 Jakékoli přiřazení GDAP k roli Microsoft Entra, která má: microsoft.azure.supportTickets/allEntities/allTasks oprávnění, například správce podpory služeb

Role GDAP podle typů partnerů

Nepřímí poskytovatelé

Pro nepřímé poskytovatele pro transakce a správu se doporučují následující role:

• Vytvoření nového tenanta zákazníka
• Nastavení vztahu prodejce
• Nákup
• Správa předplatného
• Upgrady
• Převody
• Vytvoření uživatele zákazníka a přiřazení licence
• Žádosti o služby zákazníkům (žádosti o vytvoření jménem zákazníka)

Role	Popis
Role čtenáře:
Čtenáři adresářů	Může číst základní informace o adresáři. Běžně se používá k udělení přístupu ke čtení adresáře aplikacím a hostům.
Zapisovače adresářů	Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele.
Globální čtenář	Může číst všechno, co může globální správce, ale nemůže nic aktualizovat.
Správa uživatelů a správa licencí:
Správce uživatelů	Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce.
Správce licencí	Může spravovat licence produktů pro uživatele a skupiny.
Správce podpory služeb	Může číst informace o stavu služby a spravovat žádosti o podporu.
Help Desk:
Správce helpdesku	Může resetovat hesla pro správce, kteří nejsou správci a správci helpdesku.

Partneři s přímým vyúčtováním, nepřímí prodejci a poradci

Následující role se doporučují pro nepřímé prodejce, poradce a partnery s přímým vyúčtováním, kteří hrají také roli poskytovatelů služeb pro správu služeb. Všechny jsou kategorizovány jako specializovaní poskytovatelé spravovaných služeb (MSP), kteří kompletně spravují prostředí zákazníka jako externí ODDĚLENÍ IT. Tato část je rozdělená do kategorií rolí vyžadovaných úlohami a funkcemi.

Typické úlohy technika vrstvy 1 ve spravovaných službách

Role	Úkol	Funkce
Správce podpory služeb	Odešlete žádosti o podporu jménem zákazníka.	Help Desk vytváří a spravuje žádosti o podporu.
Čtenář zabezpečení	Zobrazení zásad souvisejících se zabezpečením napříč službami Microsoftu 365	Help Desk shromažďuje zjišťování v tenantovi zákazníka za účelem řešení potíží nebo aktualizace zásad portálu zabezpečení a dodržování předpisů, jako jsou zásady ochrany před únikem informací.
Správce Intune	Může spravovat všechny aspekty produktu Intune.	Help Desk zpracovává registraci zařízení zákazníka a řešení potíží.
Správce SharePointu	Může spravovat všechny aspekty služby SharePoint.	Help Desk spravuje oprávnění sharepointového webu.
Specialista na podporu komunikace v Teams	Může spravovat službu Microsoft Teams.	HelpDesk řeší problémy s kvalitou hovorů.
Správce helpdesku	Může resetovat hesla pro uživatele, kteří nejsou správci a tito správci: Čtenáři helpdesku hostujícího zvoucího pracovníka správce Centra zpráv čtenáře hesel čtenáře.	Help Desk resetuje hesla.
Správce Desktop Analytics	Může přistupovat k nástrojům a službám pro správu plochy a spravovat je.	Help Desk může spravovat službu Desktop Analytics zobrazením inventáře prostředků a čtením standardních vlastností zásad autorizace.
Správce ověřování	Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro všechny uživatele bez oprávnění správce.	HelpDesk má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro všechny uživatele bez oprávnění správce (například vícefaktorové ověřování a podmíněný přístup).
Správce Exchange	Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Exchange Online, když je služba přítomna. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat žádosti o podporu a monitorovat stav služby; může odesílat OBO a spravovat doručené pošty.	Help Desk spravuje sdílené poštovní schránky, pomáhá řešit problémy s kvótami poštovních schránek a vytváří a spravuje pravidla přenosu.
Správce licencí	Může přiřazovat, odebírat a aktualizovat přiřazení licencí.	Během řešení potíží helpdesk posoudí a opraví, jestli došlo k problému s licencováním žádosti o podporu.
Správce uživatelů	Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce; může blokovat přihlášení uživatele.	Help Desk spravuje všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce a blokování přístupu bývalého zaměstnance zákazníka ke službám Microsoftu 365.
Správce skupin	Členové této role můžou vytvářet nebo spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat skupiny aktivity a sestavy auditu.	Help Desk přidá vlastníky do skupin a přidá členy do skupin.
Čtenář adresářů	Uživatelé v této roli mohou číst základní informace o adresáři.	Help Desk může číst základní informace o adresáři v rámci řešení potíží.
Čtenář centra zpráv	Může číst zprávy a aktualizace pro svou organizaci jenom v Centru zpráv Office 365.	Help Desk čte Centrum zpráv, které řeší problémy s podporou.
Správa tiskáren	Uživatelé s touto rolí můžou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskáren v řešení Microsoft Universal Print, včetně nastavení univerzálního tisku Připojení oru. Můžou souhlasit se všemi delegovanými žádostmi o oprávnění k tisku. Správci tiskárny mají také přístup k tisk sestavám.	HelpDesk by spravoval konfigurace tiskáren a vyřešoval problémy s tiskárnou.
Odesílatel pozvánky hostů	Uživatelé v této roli mohou spravovat pozvánky uživatelů typu host microsoft Entra B2B.	Help Desk může pozvat uživatele typu host nezávisle na nastavení Členové .

Nejméně privilegovaná role podle úlohy

Následující tabulka zobrazuje úlohy v rámci jednotlivých funkcí GDAP spolu s nejméně privilegovanou rolí potřebnou k provedení jednotlivých úloh.

Funkce GDAP	Úkol	Nejméně privilegovaná role
Podpora	Odeslat lístek podpory	Správce podpory služeb
Uživatelé	Přidání uživatele do role adresáře	Správce privilegovaných rolí
	Přidání uživatele do skupiny	Správce uživatelů
	Přiřazení licence	Správce licencí
	Vytvoření uživatele typu host	Pozvaný host
	Resetování pozvánky uživatele typu host	Správce uživatelů
	Vytvořit uživatele	Správce uživatelů
	Odstranění uživatele	Správce uživatelů
	Zneplatnění obnovovacích tokenů omezeného správce	Správce uživatelů
	Zneplatnění obnovovacích tokenů bez oprávnění správce	Správce hesel
	Zneplatnění obnovovacích tokenů privilegovaného správce	Správce privilegovaného ověřování
	Čtení základní konfigurace	Výchozí role uživatele
	Resetování hesla pro omezeného správce	Správce uživatelů
	Resetování hesla pro uživatele bez oprávnění správce	Správce hesel
	Resetování hesla pro privilegovaného správce	Správce privilegovaného ověřování
	Odvolání licence	Správce licencí
	Aktualizace všech vlastností kromě hlavního názvu uživatele	Správce uživatelů
	Aktualizace hlavního názvu uživatele pro omezeného správce	Správce uživatelů
	Aktualizace hlavního názvu uživatele pro privilegovaného správce	Globální správce
	Aktualizace uživatelských nastavení	Globální správce
	Aktualizace metod ověřování	Správce ověřování
Skupiny	Přiřazení licence	Správce uživatelů
	Vytvořit skupinu	Správce skupin
	Vytvoření, aktualizace nebo odstranění kontroly přístupu skupiny nebo aplikace	Správce uživatelů
	Správa vypršení platnosti skupiny	Správce uživatelů
	Správa nastavení skupin	Správce skupin
	Čtení všech konfigurací (s výjimkou skrytého členství)	Čtenáři adresářů
	Čtení skrytého členství	Člen skupiny
	Čtení členství ve skupinách se skrytým členstvím	Správce helpdesku
	Odvolání licence	Správce licencí
	Aktualizace členství ve skupině	Vlastník skupiny
	Aktualizace vlastníků skupin	Vlastník skupiny
	Aktualizace vlastností skupiny	Vlastník skupiny
	Odstranění skupiny	Správce skupin
Licence	Přiřazení licence	Správce licencí
	Čtení veškeré konfigurace	Čtenáři adresářů
	Odvolání licence	Správce licencí

Role podle složitosti

Role	Stručně	střední	Složité
Správce aplikací			linka
Vývojář aplikací			linka
Autor datové části útoku			linka
Správce simulace útoku			linka
Správce ověřování			linka
Místní správce zařízení připojeného k Microsoft Entra			linka
Správce Azure DevOps			linka
Správce služby Azure Information Protection			linka
Správce fakturace			linka
Správce cloudových aplikací		linka	linka
Správce cloudových zařízení			linka
Správce dodržování předpisů			linka
Správce podmíněného přístupu			linka
Správce Desktop Analytics			linka
Čtenáři adresářů	linka	linka	linka
Účty synchronizace adresářů			linka
Správce názvu domény			linka
Správce Dynamics 365		linka	linka
Správce Exchange		linka	linka
Správce příjemce Exchange			linka
Správce externího zprostředkovatele identity			linka
Globální čtenář	linka	linka	linka
Správce skupin			linka
Pozvaný host			linka
Správce helpdesku	linka	linka	linka
Hybridní identifikace správce			linka
správce Přehledy			linka
Správce Intune		linka	linka
Správce licencí	linka	linka	linka
Čtečka ochrany osobních údajů v Centru zpráv			linka
Čtečka Centra zpráv			linka
Správce sítě			linka
správce aplikace Office			linka
Správce hesel			linka
Správce Power BI		linka	linka
Správce Power Platform		linka	linka
Správce tiskárny			linka
Technik tiskárny			linka
Správce privilegovaného ověřování			linka
Správce privilegovaných rolí			linka
Čtenář sestav		linka	linka
Správce vyhledávání			linka
Editor vyhledávání			linka
Správce zabezpečení		linka	linka
Čtenář zabezpečení		linka	linka
Správce podpory služeb	linka	linka	linka
Správce SharePointu		linka	linka
správce Skype pro firmy			linka
Správce Teams		linka	linka
Správce komunikace Teams			linka
Technik podpory komunikace v Teams			linka
Specialista na podporu komunikace v Teams			linka
Správce zařízení Teams			linka
Správce uživatelů	linka	linka	linka
Správce Windows 365		linka	linka

Další kroky

• Jak ukončit vztah – pro partnery
• Jak ukončit vztah – pro zákazníky
• Oznámení o vypršení platnosti
• Protokoly aktivit