Erhalten delegierter Administratorrechte von einem Kunden

  • Artikel

Geeignete Rollen: Administrator-Agent | Vertriebsbeauftragter

Um den Dienst oder das Abonnement eines Kunden in seinem Auftrag zu verwalten, muss der Kunde Ihnen GDAP (Granular Delegierte Administratorrechte) für diesen Dienst gewähren. Um Administratorberechtigungen von einem Kunden zu erhalten, laden Sie einen Kunden ein, eine Administratorbeziehung (GDAP) mit Ihnen einzurichten. Nachdem der Kunde Ihre Anforderung genehmigt hat, müssen Sie präzise Berechtigungen für Sicherheitsgruppen erteilen. Melden Sie sich beim Verwaltungsportal des Diensts an, und verwalten Sie den Dienst in ihrem Namen.

Bereitstellen und Verwalten des Diensts für den Kunden

Nachdem der Kunde Ihre Anfrage angenommen hat, wird er auf Ihrer Kundenseite im Partner Center angezeigt. Sie können den Dienst für den Kunden von dort aus bereitstellen und verwalten.

Führen Sie die folgenden Schritte aus, um das Konto, die Dienste, Benutzer und Lizenzen des Kunden zu verwalten:

  1. Melden Sie sich bei Partner Center an, und wählen Sie Kunden aus.
  2. Wählen Sie "Verwalten" aus, und erweitern Sie dann den Datensatz des Kunden, indem Sie den Abwärtspfeil in der Nähe ihres Namens auswählen.
  3. Wählen Sie das Verwaltungsportal für den Dienst aus, den Sie verwalten möchten.

Wichtig

Kunden können Administratorberechtigungen im Verwaltungsportal eines Diensts neu zuweisen oder entfernen. Sie sollten sich bewusst sein (und Ihre Kunden darüber informieren), dass Sie, wenn ein Kunde Ihre Administratorberechtigungen entfernt, erst dann in ihrem Namen eine Serviceanfrage bei Microsoft öffnen können, wenn Sie Ihre Beziehung neu einrichten.

Azure-Abonnements und Ressourcenverwaltung

Jedes Azure-Abonnement verfügt über einen eigenen Satz von Ressourcenverwaltungsrollen. Bevor ein Cloud Solution Provider (CSP)-Partner das Azure-Abonnement eines Kunden verwalten kann, muss diesem Partner eine oder mehrere Rollen unter dem Azure-Abonnement zugewiesen werden. Speziell:

  1. Wenn der CSP-Partner ein neues Azure-Abonnement für den Kunden festlegt, wird der Administrator-Agents-Gruppe unter dem CSP-Partnermandanten automatisch die Rolle "Besitzer" unter dem Abonnement zugewiesen. Basierend auf dieser Rollenzuweisung können Mitglieder der Gruppe auf Ressourcen unter dem Abonnement zugreifen und diese verwalten.
  2. Wenn ein Kunde delegierte Administratorrechte von einem Partner mithilfe des Office 365-Portals entfernt, kann der Partner das Azure-Abonnement des Kunden weiterhin verwalten, solange der Partner noch einer oder mehreren Rollen unter dem Abonnement zugewiesen ist. Um die Verwaltung des Azure-Abonnements durch den Partner zu beenden, muss der Kunde die Rollenzuweisung entfernen.

Kunden können ermitteln, welche Partner über delegierte Administratorrechte verfügen.

Um herauszufinden, welche Partner über Administratorrechte für ihren Mandanten im Office 365-Verwaltungsportal verfügen, können Kunden die folgenden Schritte ausführen:

  1. sich als globaler Administrator beim Office 365-Verwaltungsportal anmelden.
  2. Wählen Sie Einstellungen>Partnerbeziehungen aus.
  3. Auf der Seite Partnerbeziehungen wird Ihnen eine Liste der Partner angezeigt, mit denen er zusammenarbeitet, sowie die Partner, denen delegierte Administratorrechte für den Mandanten erteilt wurden.

Kunden können die delegierten Administratorrechte eines Partners verwalten

Kunden können Rechte und Berechtigungen für ihre Office 365-Konten auf der Seite "Partnerbeziehungen " im Microsoft Office 365 Admin Center verwalten. Auf dieser Seite können Kunden die folgenden Aktionen ausführen:

  1. Anzeigen, mit welchen Partnern eine Beziehung besteht und welche Partner über delegierte Administratorrechte verfügen
  2. Entfernen der delegierten Administratorrechte eines Partners aus dem Mandanten

Ihr Kunde kann sich entscheiden, Ihre delegierten Administratorrechte von ihrem Mandanten zu entfernen, aber die Beziehung zu Ihnen für Abonnement- und Lizenzverlängerungszwecke beizubehalten.

Um delegierte Administratorrechte von einem Partner zu entfernen, können Kunden die folgenden Schritte ausführen:

  1. Melden Sie sich beim Microsoft 365 Admin Center an.
  2. Wählen Sie die Zeile des zu entfernenden Partners aus.
  3. Wählen Sie Rollen entfernen aus.
  4. Wenn Sie aufgefordert werden, die Auswahl zu bestätigen, klicken Sie auf Ja.

Wichtig

Kunden können die Partner, denen eine Microsoft Entra-Rolle zugewiesen ist, nicht über das Microsoft Entra Admin Center/PowerShell/Graph finden. Stattdessen sollten sie die Seite "Partnerbeziehungen" im Office 365-Verwaltungsportal verwenden, um herauszufinden, ob einem Partner ein delegiertes Administratorrecht zugewiesen wurde.

Delegierte Administratorrechte in der Microsoft Entra-ID

Es gibt zwei Sicherheitsgruppen im Microsoft Entra-Mandanten des Partners, die für die delegierte Verwaltung verwendet werden: Administrator-Agents und Helpdesk-Agents.

Wenn ein Kunde einem Partner ein delegiertes Administratorrecht gewährt:

  1. Die Administrator-Agent-Gruppe wird der Rolle "Globaler Administrator " im Microsoft Entra-Mandanten des Kunden zugewiesen.
  2. Die Helpdesk-Agent-Gruppe wird der Helpdesk-Administratorrolle im Microsoft Entra-Mandanten des Kunden zugewiesen.

Basierend auf den zugewiesenen Verzeichnisrollen können sich Mitglieder beider Gruppen mit ihren Partneranmeldeinformationen beim Microsoft Entra-Mandanten und den Office 365-Diensten des Kunden anmelden und im Auftrag des Kunden verwalten.

Wenn Ihr Kunde delegierte Administratorrechte entfernt, werden die Rollenzuweisungen von Microsoft Entra entfernt, und Sie können den Microsoft Entra-Mandanten des Kunden nicht verwalten.

Windows Autopilot

Im Partner Center können CSP-Partner unter den folgenden Umständen Autopilot-Profile für ihre Kunden ohne delegierte Administratorrechte verwalten:

  • Wenn ein Kunde delegierte Administratorrechte entfernt, aber eine Vertriebspartnerbeziehung mit Ihnen aufrechterhält, können Sie die Autopilot-Profile für diesen Kunden weiterhin verwalten.
  • Sie können von Ihnen oder einem anderen Partner hinzugefügte Kundengeräte verwalten.
  • Sie können keine Geräte verwalten, die Ihr Kunde über die Microsoft Store für Unternehmen, Microsoft Store für Bildungseinrichtungen oder das Microsoft Intune-Portal hinzugefügt hat.

Weitere Informationen zu Autopilot finden Sie unter Vereinfachen der Geräteinstallation mit Windows Autopilot.

Wichtig

Die aktuelle Autopilot-Verwaltungsoberfläche im Partner Center kann weiterhin Änderungen unterliegen. Zum Zeitpunkt der Veröffentlichung dieses Artikels werden die folgenden Änderungen in Betracht gezogen: