GDAP-Rollenleitfaden
Geeignete Rollen: Administrator-Agent
Dieser Artikel enthält Anleitungen dazu, welche integrierte Microsoft Entra-Rolle für jede granulare delegierte Administratorberechtigung (GDAP) verwendet werden kann. Um z. B. Supportanfragen im Auftrag eines Kunden zu übermitteln, erfordert die Rolle des Dienstsupportadministrators , die die am wenigsten privilegierte Microsoft Entra-Rolle im Mandanten Ihres Kunden ist.
Erstellen von Supportanfragen
Indirekte Wiederverkäufer können keine Supportanfragen für Azure erstellen. Stattdessen müssen sie mit ihren indirekten Anbietern zusammenarbeiten.
| So erstellen Sie eine Supportanfrage für: | Direkte Rechnungspartner und indirekte Anbieter müssen die folgende Rolle mit den geringsten Rechten haben: |
|---|---|
| Microsoft 365 im Microsoft 365 Admin Center | GDAP-Rollenzuweisung zu einer Rolle, die über Microsoft.office365.supportTickets/allEntities/allTasks-Berechtigungen verfügt, z . B. Dienstsupportadministrator |
| Dynamics 365 im Power Platform Admin Center | GDAP-Rollenzuweisung zu einer Rolle, die über Microsoft.office365.supportTickets/allEntities/allTasks-Berechtigungen verfügt, z . B. Dienstsupportadministrator |
| Azure-Abonnementressource im Azure-Portal | Voraussetzung: Um Anforderungen im Auftrag von Kunden zu erstellen, die das Azure-Abonnement eines Kunden verwenden, müssen Partner über eine Vertriebspartnerbeziehung mit dem Kunden verfügen, wie in der regionalen CSP-Autorisierung erläutert. Weitere Informationen finden Sie in den Schritten zum Einrichten von Azure GDAP. Jede GDAP-Zuweisung zu einer Microsoft Entra-Rolle, z . B. Verzeichnisleser, -UND- Rollenzuweisung für die rollenbasierte Azure-Zugriffssteuerung (RBAC) zu einer Rolle mit Microsoft.Support/supportTickets/Schreibberechtigungen , z . B. Mitwirkender der Supportanfrage |
| Microsoft Entra ID im Azure-Portal | Alternative 1: Wenn ein Kunde nicht über die Microsoft Entra ID P1 oder P2 verfügt: Um Anforderungen im Auftrag von Kunden zu erstellen, die das Azure-Abonnement eines Kunden verwenden, müssen Partner über eine Vertriebspartnerschaft mit dem Kunden pro regionale CSP-Autorisierung verfügen. Weitere Informationen finden Sie in den Schritten zum Einrichten von Azure GDAP. Jede GDAP-Zuweisung zu einer Microsoft Entra-Rolle, z . B. Verzeichnisleser, -UND- Azure RBAC-Rollenzuweisung zu einer Rolle mit Microsoft.Support/supportTickets/Write-Berechtigungen, z. B. Supportanfrage Mitwirkender Alternative 2: Wenn Der Kunde über die Microsoft Entra ID P1 oder P2 Eine GDAP-Zuweisung zu einer Microsoft Entra-Rolle verfügt, die folgendes hat: microsoft.azure.supportTickets/allEntities/allTasks-Berechtigungen, z. B. Dienstsupportadministrator |
GDAP-Rollen nach Partnertypen
Indirekte Anbieter
Die folgenden Rollen werden für indirekte Anbieter empfohlen, um Transaktionen durchzuführen und zu verwalten:
- Mandantenerstellung für neue Kunden
- Einrichtung der Vertriebspartnerschaft
- Kaufen
- Abonnementverwaltung
- Upgrades
- Konvertierungen
- Erstellung und Lizenzzuweisung für Benutzer beim Kunden
- Kundendienstanfragen (Anfragen zur Erstellung im Auftrag des Kunden)
| Rolle | Beschreibung |
|---|---|
| Leser-Rollen: | |
| Verzeichnisleser | Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen. |
| Verzeichnis schreiben | Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen. |
| Globaler Leser | Kann alles lesen, was ein globaler Administrator kann, aber nichts aktualisieren kann |
| Benutzer- und -Lizenzverwaltung: | |
| Benutzeradministrator | Kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren. |
| Lizenzadministrator | Kann Produktlizenzen für Benutzer und Gruppen verwalten. |
| Dienstunterstützungsadministrator | Kann Dienststatusinformationen lesen und Supportanfragen verwalten |
| Helpdesk: | |
| Helpdesk-Administrator | Kann Kennwörter für Nicht-Administratoren und Helpdesk-Administratoren zurücksetzen. |
Direktrechnungspartner, indirekte Wiederverkäufer und Berater
Die folgenden Rollen werden für indirekte Wiederverkäufer, Berater und Direktrechnungspartner empfohlen, die auch die Rolle von MSPs spielen. Sie sind alle als spezialisierte Managed Service Providers (MSPs) kategorisiert, die die Umgebung des Kunden vollständig als ausgelagerte IT-Abteilung verwalten. Dieser Abschnitt ist kategorisierte Rollen, die von Aufgaben und Funktionen benötigt werden.
Typische Aufgaben eines Stufe-1-Technikers in Managed Services
| Rolle | Aufgabe | Funktion |
|---|---|---|
| Dienstunterstützungsadministrator | Übermittelt Supportanfragen im Namen des Kunden. | Helpdesk erstellt und verwaltet Supportanfragen. |
| Sicherheitsleseberechtigter | Kann sicherheitsrelevante Richtlinien in Microsoft 365-Diensten anyeigen. | Der Helpdesk sammelt Informationen über den Kundenmandanten, um Fehler zu beheben oder Richtlinien des Portals für Sicherheit und Compliance zu aktualisieren, z. B. Richtlinien zum Schutz vor Datenverlust. |
| Intune-Administrator | Verwalten sämtlicher Aspekte des Produkts Intune. | Der Helpdesk handhabt die Registrierung und Problembehandlung von Kundengeräten. |
| SharePoint-Administrator | Verwalten sämtlicher Aspekte des SharePoint-Diensts. | Der Helpdesk verwaltet SharePoint-Websiteberechtigungen. |
| Supportfachmann für die Teams-Kommunikation | Kann den Microsoft Teams-Dienst verwalten. | Der Helpdesk behandelt Probleme mit der Anrufqualität. |
| Helpdesk-Administrator | Kennwörter für Nichtadministratoren und diese Administratoren können zurückgesetzt werden: Administrator des Administratoradministrators für das Nachrichtencenter-Administrator des Nachrichtencenters: Leser von Kennwortadministratoren für Verzeichnisleser. | Der Helpdesk setzt Kennwörter zurück. |
| Desktop Analytics-Administrator | Kann auf Tools und Dienste zur Desktopverwaltung zugreifen und diese verwalten. | Der Helpdesk kann den Desktop Analytics-Dienst verwalten, indem er den Asset-Bestand anzeigt und die Standardeigenschaften der Autorisierungsrichtlinien liest. |
| Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer ohne Administratorrechte. | Der Helpdesk kann auf Informationen zu Authentifizierungsmethoden für jeden Benutzer ohne Administratorrechte (z. B. MFA, bedingter Zugriff) zugreifen, um sie anzuzeigen, festzulegen und zurückzusetzen. |
| Exchange-Administrator | Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst vorhanden ist. Außerdem hat die Möglichkeit, alle Microsoft 365-Gruppen zu erstellen und zu verwalten, Supportanfragen zu verwalten und den Dienststatus zu überwachen; kann OBO senden und Posteingänge verwalten. | Der Helpdesk verwaltet freigegebene Postfächer, hilft bei der Lösung von Postfachkontingentproblemen und erstellt und verwaltet Transportregeln. |
| Lizenzadministrator | Hat die Möglichkeit zum Zuweisen, Entfernen und Aktualisieren von Lizenzzuweisungen. | Während der Problembehandlung bewertet und korrigiert der Helpdesk, wenn ein Lizenzierungsproblem mit der Supportanfrage auftritt. |
| Benutzeradministrator | Kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich des Zurücksetzens von Kennwörtern für eingeschränkte Administratoren; kann die Benutzeranmeldung blockieren. | Der Helpdesk verwaltet alle Aspekte von Benutzern und Gruppen, einschließlich zurücksetzen von Kennwörtern für eingeschränkte Administratoren und sperrt den Zugriff eines ehemaligen Kundenmitarbeiters auf Microsoft 365-Dienste. |
| Gruppenadministrator | Mitglieder dieser Rolle können Gruppen erstellen/verwalten, Gruppeneinstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten sowie Aktivitäts- und Überwachungsberichte von Gruppen anzeigen. | Der Helpdesk fügt Besitzer zu Gruppen hinzu und fügt Mitglieder zu Gruppen hinzu. |
| Verzeichnisleseberechtigter | Benutzer in dieser Rolle können grundlegende Verzeichnisinformationen lesen. | Der Helpdesk kann, als Teil der Problembehandlung, einfache Verzeichnisinformationen lesen. |
| Nachrichtencenter-Leseberechtigter | Lesen von Nachrichten und Updates für die Organisation ausschließlich im Office 365-Nachrichtencenter. | Der Helpdesk liest das Nachrichtencenter, um Supportprobleme zu beheben. |
| Druckerverwaltung | Benutzer mit dieser Rolle können Drucker registrieren und alle Aspekte der gesamten Druckerkonfiguration in der Microsoft Universal Print-Lösung verwalten, einschließlich der Microsoft Universal Print Connector-Einstellungen. Sie können in alle delegierten Druckberechtigungsanforderungen einwilligen. Druckeradministratoren haben außerdem Zugriff auf Druckberichte. | Der Helpdesk verwaltet Druckerkonfigurationen und behebt Druckerprobleme. |
| Gasteinladender | Benutzer in dieser Rolle können Microsoft Entra B2B-Gastbenutzereinladungen verwalten. | Der Helpdesk kann Gastbenutzer unabhängig von der Einstellung Mitglieder können Gäste einladen einladen. |
Rolle mit geringstmöglichen Berechtigungen nach Aufgabe
In der folgenden Tabelle werden Aufgaben innerhalb jeder GDAP-Funktion zusammen mit der zum Ausführen jeweils erforderlichen Rolle mit den geringsten Berechtigungen.
| GDAP-Funktion | Aufgabe | Rolle mit den geringsten Berechtigungen |
|---|---|---|
| Support | Einreichen eines Supporttickets | Dienstunterstützungsadministrator |
| Benutzer | Hinzufügen von Benutzern zur Verzeichnisrolle | Administrator für privilegierte Rollen |
| Hinzufügen von Benutzern zur Gruppe | Benutzeradministrator | |
| Lizenz zuweisen | Lizenzadministrator | |
| Erstellen eines Gastbenutzers | Gasteinladender | |
| Zurücksetzen der Gastbenutzer-Einladung | Benutzeradministrator | |
| Benutzer erstellen | Benutzeradministrator | |
| Benutzer löschen | Benutzeradministrator | |
| Aktualisierungstoken eingeschränkter Administratoren ungültig machen | Benutzeradministrator | |
| Aktualisierungstoken von Nichtadministratoren ungültig machen | Kennwortadministrator | |
| Aktualisierungstoken privilegierter Administratoren ungültig machen | Administrator für privilegierte Authentifizierung | |
| Lesen einer Standardkonfiguration | Standardbenutzerrolle | |
| Zurücksetzen des Kennworts für eingeschränkte Administratoren | Benutzeradministrator | |
| Zurücksetzen des Kennworts für Nichtadministratoren | Kennwortadministrator | |
| Zurücksetzen des Kennworts für privilegierte Administratoren | Administrator für privilegierte Authentifizierung | |
| Widerrufen von Lizenzen | Lizenzadministrator | |
| Ändern aller Eigenschaften mit Ausnahme des Benutzerprinzipalnamens | Benutzeradministrator | |
| Ändern des Benutzerprinzipalnamens für eingeschränkte Administratoren | Benutzeradministrator | |
| Ändern des Benutzerprinzipalnamens für privilegierte Administratoren | Globaler Administrator | |
| Aktualisieren von Benutzereinstellungen | Globaler Administrator | |
| Aktualisieren von Authentifizierungsmethoden | Authentifizierungsadministrator | |
| Gruppen | Lizenz zuweisen | Benutzeradministrator |
| Erstellen einer Gruppe | Gruppenadministrator | |
| Erstellen, Ändern oder Löschen der Zugriffsüberprüfung einer Gruppe oder App | Benutzeradministrator | |
| Verwalten des Gruppenablaufs | Benutzeradministrator | |
| Verwalten von Gruppeneinstellungen | Gruppenadministrator | |
| Lesen der gesamten Konfiguration (mit Ausnahme der ausgeblendeten Mitgliedschaft) | Verzeichnisleser | |
| Lesen der ausgeblendeten Mitgliedschaft | Gruppenmitglied | |
| Lesen der Mitgliedschaft von Gruppen mit ausgeblendeter Mitgliedschaft | Helpdesk-Administrator | |
| Widerrufen von Lizenzen | Lizenzadministrator | |
| Aktualisieren der Gruppenmitgliedschaft | Gruppenbesitzer | |
| Aktualisieren von Gruppenbesitzern | Gruppenbesitzer | |
| Aktualisieren von Gruppeneigenschaften | Gruppenbesitzer | |
| Gruppe löschen | Gruppenadministrator | |
| Lizenzen | Lizenz zuweisen | Lizenzadministrator |
| Lesen aller Konfigurationen | Verzeichnisleser | |
| Widerrufen von Lizenzen | Lizenzadministrator |