Konfigurer GDAP i Microsoft 365 Lighthouse

GDAP (Granular delegated administrative privileges) er en forudsætning for, at kundelejere kan onboardes fuldt ud til Lighthouse. Du kan konfigurere alle dine kunder med GDAP via Microsoft 365 Lighthouse. Når du konfigurerer GDAP for de kundelejere, du administrerer, hjælper du med at beskytte dine kunder, samtidig med at du sikrer, at brugerne i din partnerorganisation har de nødvendige tilladelser til at udføre deres arbejde.

Hvis du vil se, hvordan du konfigurerer GDAP i din partnerorganisation, skal du fuldføre den interaktive vejledning secure Microsoft 365 Lighthouse.

Hvis du støder på problemer under konfiguration af GDAP og har brug for vejledning, skal du se Fejlfinding af fejlmeddelelser og problemer i Microsoft 365 Lighthouse: GDAP-konfiguration og -administration.

Før du begynder

• Du skal have specifikke roller i Microsoft Entra ID og/eller Partnercenter som beskrevet i tabellen Krav til delegerede adgangsroller.

• De kunder, du administrerer i Lighthouse, skal konfigureres i Partnercenter med enten en forhandlerrelation eller en eksisterende GDAP-relation.

Konfigurer GDAP

1. Vælg Hjem i navigationsruden til venstre i Lighthouse.

2. På kortet Konfigurer GDAP skal du vælge Konfigurer GDAP.

3. På siden Delegerede adgang skal du vælge fanen GDAP-skabeloner og derefter vælge Opret en skabelon.

4. Angiv et navn til skabelonen og en valgfri beskrivelse i ruden Opret en skabelon .

5. Under Supportroller indeholder Lighthouse fem standardsupportroller: Account Manager, Service desk agent, Specialist, Escalation Engineer og Administrator. For hver supportrolle, du vil bruge, skal du gøre følgende:

   1. Vælg Rediger for at åbne ruden Rediger supportrolle .

   2. Opdater navnet på og beskrivelsen af supportrollen efter behov for at justere med supportrollerne i din partnerorganisation.

   3. Under Entra-roller skal du vælge de Microsoft Entra roller, som supportrollen kræver, baseret på rollens jobfunktion. Der findes følgende indstillinger:

      • Brug de Microsoft Entra roller, som Microsoft anbefaler.
      • Angiv filteret til Alle, og vælg dine foretrukne Microsoft Entra roller.

      Du kan få mere at vide under Microsoft Entra indbyggede roller.

   4. Vælg Gem.

6. For hver supportrolle, du vil bruge, skal du vælge ikonet Tilføj eller opret en sikkerhedsgruppe ud for supportrollen for at åbne ruden Vælg eller opret en sikkerhedsgruppe . Hvis du ikke vil bruge en bestemt supportrolle, skal du ikke tildele den nogen sikkerhedsgrupper.

   Bemærk!

   Hver GDAP-skabelon kræver, at du tildeler mindst én sikkerhedsgruppe til en supportrolle.

7. Gør et af følgende:

   • Hvis du vil bruge en eksisterende sikkerhedsgruppe, skal du vælge Brug en eksisterende sikkerhedsgruppe, vælge en eller flere sikkerhedsgrupper på listen og derefter vælge Gem.

   • Hvis du vil oprette en ny sikkerhedsgruppe, skal du vælge Opret en ny sikkerhedsgruppe og derefter gøre følgende:

     1. Angiv et navn og en valgfri beskrivelse for den nye sikkerhedsgruppe.

     2. Hvis det er relevant, skal du vælge Opret en JIT-adgangspolitik (just-in-time) for denne sikkerhedsgruppe og derefter definere udløb af brugerberettigelse, JIT-adgangsvarighed og sikkerhedsgruppe for JIT-godkender.

        Bemærk!

        Hvis du vil oprette en JIT-adgangspolitik (just-in-time) for en ny sikkerhedsgruppe, skal du have en Microsoft Entra ID P2-licens. Hvis du ikke kan markere afkrydsningsfeltet for at oprette en JIT-adgangspolitik, skal du kontrollere, at du har en Microsoft Entra ID P2-licens.

     3. Føj brugere til sikkerhedsgruppen, og vælg derefter Gem.

        Bemærk!

        Brugere, der er en del af en JIT-agentsikkerhedsgruppe, får ikke automatisk adgang til GDAP-roller i Microsoft Entra ID. Disse brugere skal først anmode om adgang fra Portalen Min adgang , og et medlem af sikkerhedsgruppen JIT-godkender skal gennemse JIT-adgangsanmodningen.

     4. Hvis du har oprettet en JIT-adgangspolitik for sikkerhedsgruppen, kan du gennemse den oprettede politik på dashboardet Identitetsstyring i Microsoft Entra-administrationscenter.

        Du kan få flere oplysninger om, hvordan JIT-agenter kan anmode om adgang, under Anmod om adgang til en adgangspakke i rettighedsstyring.

        Du kan få flere oplysninger om, hvordan godkendere kan godkende anmodninger, under Godkend eller afvis anmodninger om Microsoft Entra roller i Privileged Identity Management.

8. Når du er færdig med at definere supportrollerne og sikkerhedsgrupperne, skal du vælge Gem i ruden Opret en skabelon for at gemme GDAP-skabelonen.

   Den nye skabelon vises nu på listen over skabeloner på fanen GDAP-skabeloner på siden Delegerede adgang .

9. Følg trin 3 til 8 for at oprette flere GDAP-skabeloner efter behov.

10. På fanen GDAP-skabeloner på siden Uddelegeret adgang skal du vælge de tre prikker (flere handlinger) ud for en skabelon på listen og derefter vælge Tildel skabelon.

11. I ruden Tildel denne skabelon til lejere skal du vælge en eller flere kundelejere, du vil tildele skabelonen til, og derefter vælge Næste.

    Bemærk!

    Hver kundelejer kan kun knyttes til én GDAP-skabelon ad gangen. Hvis du vil tildele en ny skabelon til en kunde, gemmes de eksisterende GDAP-relationer, og der oprettes kun nye relationer baseret på den nye skabelon.

12. Gennemse tildelingsoplysningerne, og vælg derefter Tildel.

    Det kan tage et minut eller to, før GDAP-skabelontildelingerne kan anvendes. Hvis du vil opdatere dataene på fanen GDAP-skabeloner , skal du vælge Opdater.

13. Følg trin 10 til 12 for at tildele yderligere skabeloner til lejere efter behov.

Få kundegodkendelse for at administrere deres produkter

Som en del af GDAP-konfigurationsprocessen oprettes der et link til anmodning om GDAP-relationer for hver kunde, der ikke har en eksisterende GDAP-relation til din partnerorganisation. Før du kan administrere produkter for dem, skal du sende linket til en administrator i kundelejer, så de kan vælge linket for at godkende GDAP-relationen.

1. På siden Delegerede adgang skal du vælge fanen Relationer .

2. Udvid den kundelejer, hvis godkendelse du har brug for.

3. Vælg GDAP-relationen, der viser statussen Ventende for at åbne ruden med relationsoplysninger.

4. Vælg enten Åbn i mail eller Kopiér mail til Udklipsholder, rediger teksten, hvis det er nødvendigt (men rediger ikke den LINK-URL-adresse, de skal vælge for at give dig administrationstilladelser), og send derefter GDAP-relationsanmodningsmailen til en administrator i kundelejer.

Når administratoren i kundelejer vælger linket for at godkende GDAP-relationen, anvendes indstillingerne for GDAP-skabelonen. Det kan tage op til en time efter relationsgodkendelsen, før ændringer vises i Lighthouse.

GDAP-relationer er synlige i Partnercenter, og sikkerhedsgrupperne er synlige i Microsoft Entra ID.

Rediger GDAP-indstillinger

Når du har fuldført GDAP-konfigurationen, kan du til enhver tid opdatere eller ændre roller, sikkerhedsgrupper eller skabeloner.

1. Vælg Tilladelser>Uddelegeret adgang i navigationsruden til venstre i Lighthouse.

2. På fanen GDAP-skabeloner skal du foretage de nødvendige ændringer af GDAP-skabelonerne eller deres tilknyttede konfigurationer og derefter gemme dine ændringer.

3. Tildel de opdaterede GDAP-skabeloner til de relevante kundelejere, så disse lejere har de opdaterede konfigurationer fra skabelonerne.

Relateret indhold

Oversigt over tilladelser i Microsoft 365 Lighthouse (artikel)
Oversigt over siden Delegerede adgang i Microsoft 365 Lighthouse (artikel)
Foretag fejlfinding af fejlmeddelelser og problemer i Microsoft 365 Lighthouse (artikel)
Konfigurer Microsoft 365 Lighthouse portalsikkerhed (artikel)
Introduktion til detaljeret delegerede administratorrettigheder (GDAP) – Partnercenter (artikel)
Microsoft Entra indbyggede roller (artikel)
Få mere at vide om grupper og adgangsrettigheder i Microsoft Entra ID (artikel)
Hvad er Microsoft Entra rettighedsstyring? (artikel)