Konfigurer GDAP til dine kunder i Microsoft 365 Lighthouse

Du kan nu konfigurere alle dine kunder med detaljeret delegerede administratorrettigheder (GDAP) via Microsoft 365 Lighthouse, uanset deres licenser eller størrelse. Når du konfigurerer din organisation med GDAP for de kundelejere, du administrerer, har brugerne i organisationen de tilladelser, der er nødvendige for at udføre deres arbejde, samtidig med at kundernes lejere er sikre. Lighthouse giver dig mulighed for hurtigt at overgå din organisation til GDAP og begynde rejsen til færrest mulige rettigheder for din delegerede adgang til kunder.

Uddelegeret adgang via delegerede administratorrettigheder (DAP) eller GDAP er en forudsætning for, at kundelejere kan onboardes fuldt ud til Lighthouse. Derfor kan oprettelse af GDAP-relationer med dine kunder være det første skridt i administrationen af dine kundelejere i Lighthouse.

Under GDAP-konfigurationsprocessen opretter du GDAP-skabeloner ved at konfigurere, hvilke supportroller og sikkerhedsgrupper der skal bruges til din organisation. Derefter kan du tildele kundelejere til GDAP-skabeloner. GDAP-roller er begrænset til Microsoft Entra indbyggede roller, og når du konfigurerer GDAP, får du vist anbefalinger til et sæt roller, der skal bruges til forskellige jobfunktioner.

Se: Konfigurer GDAP

Se de andre Videoer fra Microsoft 365 Lighthouse på vores YouTube-kanal.

Før du begynder

• Du skal have specifikke tilladelser i partnerlejer:

  • Hvis du vil oprette GDAP-sikkerhedsgrupper, tilføje brugere og oprette GDAP-skabeloner, skal du være global administrator i partnerlejer. Denne rolle kan tildeles i Microsoft Entra id.

  • Hvis du vil oprette og fuldføre GDAP-relationer, skal du være medlem af gruppen Administration Agenter i Partnercenter.

• De kunder, du administrerer i Lighthouse, skal konfigureres i Partnercenter med enten en forhandlerrelation eller en eksisterende delegeret relation (DAP eller GDAP).

Bemærk!

Lighthouse GDAP-skabeloner bruger sikkerhedsgrupper, der kan tildeles roller. Der kræves en P1-licens til Microsoft Entra-id for at føje brugere til disse grupper. Hvis du vil aktivere JIT-roller (Just-in-Time), skal du Microsoft Entra IDE-styring eller en P2-licens til Microsoft Entra-id.

Konfigurer GDAP første gang

Første gang du konfigurerer GDAP, skal du udfylde følgende afsnit i rækkefølge. Når du er færdig, kan du vende tilbage og redigere en hvilken som helst sektion efter behov.

Hvis du støder på problemer under konfiguration af GDAP, skal du se Fejlfinding af fejlmeddelelser og problemer i Microsoft 365 Lighthouse: GDAP-konfiguration og -administration for at få vejledning.

Sådan kommer du i gang:

1. Vælg Hjem i navigationsruden til venstre i Lighthouse.

2. På kortet Konfigurer GDAP skal du vælge Konfigurer GDAP.

3. Udfyld følgende afsnit i rækkefølge.

   Trin 1: Roller og tilladelser

   Trin 2: GDAP-skabeloner

   Trin 3: Sikkerhedsgrupper

   Trin 4: Lejertildelinger

   Trin 5: Gennemse, og afslut

Trin 1: Roller og tilladelser

Vælg de Microsoft Entra roller, der skal bruges, baseret på medarbejdernes jobfunktioner.

1. På siden Roller og tilladelser skal du vælge de Microsoft Entra roller, der skal bruges, baseret på medarbejdernes jobfunktioner. Gør et af følgende:

   • Anvend anbefalede roller
   • Rediger Microsoft Entra rollevalg

   Lighthouse indeholder som standard fem supportroller: Account Manager, Service Desk Agent, Specialist, Escalation Engineer og JIT Agent. Du kan omdøbe supportroller, så de stemmer overens med organisationens indstillinger, ved at vælge Rediger supportroller. Visse Microsoft Entra roller kan ikke føjes til forskellige supportroller – f.eks. kan de Microsoft Entra roller i JIT-agentens supportrolle ikke føjes til nogen anden supportrolle.

   Hvis ikke alle supportroller er nødvendige til din GDAP-konfiguration, kan du udelade en eller flere fra dine GDAP-skabeloner i næste trin.

2. Vælg Næste.

3. Vælg Gem og luk for at gemme indstillingerne og afslutte GDAP-installationsprogrammet.

Trin 2: GDAP-skabeloner

En GDAP-skabelon er en samling af:

• Supportroller
• Sikkerhedsgrupper
• Brugere i hver sikkerhedsgruppe

Sådan opretter du en GDAP-skabelon:

1. Vælg Opret skabelon på siden GDAP-skabeloner.

2. Angiv skabelonnavnet og beskrivelsen i de relevante felter i skabelonruden.

3. Vælg en eller flere supportroller på listen.

4. Vælg Gem.

5. Vælg Næste.

6. Vælg Gem og luk for at gemme indstillingerne og afslutte GDAP-installationsprogrammet.

Trin 3: Sikkerhedsgrupper

Du skal bruge mindst én sikkerhedsgruppe pr. supportrolle for hver skabelon. For den første skabelon skal du oprette en ny sikkerhedsgruppe, men for efterfølgende skabeloner kan du genbruge grupper, hvis det er nødvendigt.

1. På siden Sikkerhedsgrupper skal du vælge Opret sikkerhedsgruppe.

2. Angiv et navn og en beskrivelse i ruden sikkerhedsgruppe.

3. Vælg Tilføj brugere.

4. Vælg de brugere, du vil medtage i denne sikkerhedsgruppe, på listen Tilføj brugere.

5. Vælg Gem.

6. Vælg Gem igen.

7. Vælg Næste.

8. Vælg Gem og luk for at gemme indstillingerne og afslutte GDAP-installationsprogrammet.

BRUGERE af JIT-agentsikkerhedsgruppen er berettiget til at anmode om adgang til GDAP-roller med mange rettigheder. De får ikke automatisk adgang til dem. Som en del af GDAP-konfiguration skal du vælge en JIT-godkendersikkerhedsgruppe fra din lejer for at godkende anmodninger om adgang fra JIT-agenter.

JIT-godkendersikkerhedsgruppen skal kunne tildeles roller. Hvis der ikke vises en sikkerhedsgruppe i GDAP-installationsprogrammet, skal du bekræfte, at sikkerhedsgruppen kan tildeles en rolle. Du kan få flere oplysninger om, hvordan du administrerer rolletildelinger, under Brug Microsoft Entra grupper til at administrere rolletildelinger.

Når GDAP-konfigurationen er fuldført, oprettes der en JIT-adgangspolitik, så JIT-agenter kan anmode om adgang. Du kan gennemse den politik, der er oprettet på Microsoft Entra ID-håndtering-portalen, og JIT-agenter kan anmode om adgang til deres roller fra Portalen Min adgang. Du kan få flere oplysninger om, hvordan JIT-agenter kan anmode om adgang, under Administrer adgang til ressourcer. Du kan få flere oplysninger om, hvordan godkendere kan godkende anmodninger, under Godkend eller afvis anmodning.

Trin 4: Lejertildelinger

Tildel grupper af kunder til hver skabelon. Hver kunde kan kun tildeles til én skabelon. Når denne kundelejer er valgt, vises den ikke som en indstilling på efterfølgende skabeloner. Hvis du kører GDAP Installation igen, gemmes dine lejertildelinger pr. GDAP-skabelon.

• Hvis du vil føje nye lejere til en GDAP-skabelon, skal du køre installationsprogrammet til GDAP igen. Bevar gemte lejertildelinger, og vælg nye lejere, der skal tildeles GDAP-skabelonen. Nye GDAP-relationer oprettes kun for de nyligt tildelte lejere.

• Hvis du vil fjerne lejere fra en GDAP-skabelon, skal du køre installationsprogrammet til GDAP igen. Fjern lejertildelingen. Hvis du fjerner lejertildelingen, fjernes den GDAP-relation, der er oprettet fra en tidligere tildeling, ikke, men du kan omfordele kundelejer til en anden GDAP-skabelon, hvis det er nødvendigt.

Sørg for, at alle lejere, du vil tildele til en GDAP-skabelon, vælges, før du vælger Næste. Du kan filtrere listen over lejere ved hjælp af søgefeltet i øverste højre hjørne.

1. På siden Lejertildelinger skal du vælge de lejere, du vil tildele til GDAP-skabelonen, som du har oprettet.

2. Vælg Næste for at gå til næste afsnit, eller vælg Gem og luk for at gemme dine indstillinger og afslutte GDAP-installationsprogrammet.

Trin 5: Gennemse, og afslut

1. Gennemse de indstillinger, du har oprettet, på siden Gennemse indstillinger for at bekræfte, at de er korrekte.

2. Vælg Udfør.

Det kan tage et minut eller to for de indstillinger, du har konfigureret til at anvende. Hvis du har brug for at opdatere dataene, skal du følge vejledningen. Installationen vil være ufuldstændig, hvis du afslutter GDAP-installationsprogrammet uden at vælge Udfør.

Bemærk!

For kunder med en eksisterende DAP-relation anvendes disse indstillinger automatisk. Kunder med statussen Aktiv på den sidste side i GDAP-installationen tildeles roller og sikkerhedsgrupper som defineret i GDAP-skabelonen.

Bemærk!

For kunder uden en eksisterende DAP-relation oprettes der et link til anmodning om administratorrelationer for hver kunde på den sidste side i GDAP-installationsprogrammet. Herfra kan du sende linket til din kundes globale administrator, så vedkommende kan godkende administratorrelationen. Når relationen er godkendt, anvendes indstillingerne for GDAP-skabelonen. Det kan tage op til en time efter relationsgodkendelsen, før ændringer vises i Lighthouse.

Når du har fuldført installationen af GDAP, kan du navigere til forskellige trin for at opdatere eller ændre roller, sikkerhedsgrupper eller skabeloner. GDAP-relationer er nu synlige i Partnercenter, og sikkerhedsgrupperne er nu synlige i Microsoft Entra id.

Relateret indhold

Oversigt over tilladelser (artikel)
Fejlfinding af fejlmeddelelser og problemer (artikel)
Konfigurer portalsikkerhed (artikel)
Introduktion til detaljeret delegerede administratorrettigheder (GDAP) (artikel)
Microsoft Entra indbyggede roller (artikel)
Få mere at vide om grupper og adgangsrettigheder i Microsoft Entra-id (artikel)
Hvad er Microsoft Entra rettighedsstyring? (artikel)