Einrichten von GDAP für Ihre Kunden in Microsoft 365 Lighthouse

  • Artikel

Sie können jetzt alle Ihre Kunden mit differenzierten delegierten Administratorrechten (GDAP) über Microsoft 365 Lighthouse einrichten, unabhängig von ihren Lizenzen oder ihrer Größe. Indem Sie Ihre organization mit GDAP für die von Ihnen verwalteten Kundenmandanten einrichten, verfügen Benutzer in Ihrem organization über die erforderlichen Berechtigungen, um ihre Arbeit zu erledigen und gleichzeitig die Sicherheit der Kundenmandanten zu gewährleisten. Mit Lighthouse können Sie Ihre organization schnell auf GDAP umstellen und den Weg zu den geringsten Rechten für Ihren delegierten Kundenzugriff beginnen.

Delegierter Zugriff über delegierte Administratorrechte (DELEGIERTE Administratorrechte, DAP) oder GDAP ist eine Voraussetzung für das vollständige Onboarding von Kundenmandanten in Lighthouse. Daher kann das Erstellen von GDAP-Beziehungen mit Ihren Kunden der erste Schritt bei der Verwaltung Ihrer Kundenmandanten in Lighthouse sein.

Während des GDAP-Setupprozesses erstellen Sie GDAP-Vorlagen, indem Sie konfigurieren, welche Supportrollen und Sicherheitsgruppen für Ihre organization benötigt werden. Anschließend weisen Sie GDAP-Vorlagen Kundenmandanten zu. GDAP-Rollen sind auf Microsoft Entra integrierten Rollen ausgerichtet, und wenn Sie GDAP einrichten, werden Empfehlungen für eine Reihe von Rollen angezeigt, die für verschiedene Auftragsfunktionen erforderlich sind.

Ansehen: Einrichten von GDAP

Sehen Sie sich die anderen Microsoft 365 Lighthouse Videos auf unserem YouTube-Kanal an.

Bevor Sie beginnen

  • Sie benötigen bestimmte Berechtigungen im Partnermandanten:

    • Um GDAP-Sicherheitsgruppen einzurichten, Benutzer hinzuzufügen und GDAP-Vorlagen zu erstellen, müssen Sie ein globaler Administrator im Partnermandanten sein. Diese Rolle kann in Microsoft Entra-ID zugewiesen werden.

    • Zum Erstellen und Abschließen von GDAP-Beziehungen müssen Sie Mitglied der Gruppe Admin Agents in Partner Center sein.

  • Die Kunden, die Sie in Lighthouse verwalten, müssen im Partner Center entweder mit einer Handelspartnerbeziehung oder einer vorhandenen delegierten Beziehung (DAP oder GDAP) eingerichtet werden.

Hinweis

Lighthouse GDAP-Vorlagen verwenden rollenzuweisungsfähige Sicherheitsgruppen. Zum Hinzufügen von Benutzern zu diesen Gruppen ist eine Microsoft Entra ID P1-Lizenz erforderlich. Zum Aktivieren von Just-in-Time-Rollen (JIT) ist Microsoft Entra IDE-Governance oder eine Microsoft Entra ID P2-Lizenz erforderlich.

Erstmaliges Einrichten von GDAP

Wenn Sie GDAP zum ersten Mal einrichten, müssen Sie die folgenden Abschnitte in der richtigen Reihenfolge ausführen. Nach Abschluss des Vorgangs können Sie zurückkehren und einen beliebigen Abschnitt nach Bedarf bearbeiten.

Wenn während der GDAP-Einrichtung Probleme auftreten, finden Sie unter Behandeln von Fehlermeldungen und Problemen in Microsoft 365 Lighthouse: GDAP-Einrichtung und -Verwaltung eine Anleitung.

Erste Schritte:

  1. Wählen Sie im linken Navigationsbereich in Lighthousedie Option Start aus.

  2. Wählen Sie im Karte GDAP einrichten die Option GDAP einrichten aus.

  3. Füllen Sie die folgenden Abschnitte in der richtigen Reihenfolge aus.

    Schritt 1: Rollen und Berechtigungen

    Schritt 2: GDAP-Vorlagen

    Schritt 3: Sicherheitsgruppen

    Schritt 4: Mandantenzuweisungen

    Schritt 5: Überprüfen und Beenden

Schritt 1: Rollen und Berechtigungen

Wählen Sie die Microsoft Entra Rollen aus, die basierend auf den Aufgabenfunktionen Ihrer Mitarbeiter erforderlich sind.

  1. Wählen Sie auf der Seite Rollen und Berechtigungen die Microsoft Entra Rollen aus, die basierend auf den Stellenfunktionen Ihrer Mitarbeiter erforderlich sind. Führen Sie einen der folgenden Schritte aus:

    • Empfohlene Rollen übernehmen
    • Bearbeiten Microsoft Entra Rollenauswahl

    Standardmäßig umfasst Lighthouse fünf Supportrollen: Konto-Manager, Service Desk-Agent, Spezialist, Eskalationstechniker und JIT-Agent. Sie können Supportrollen so umbenennen, dass sie den Einstellungen Ihrer organization entsprechen, indem Sie Supportrollen bearbeiten auswählen. Bestimmte Microsoft Entra Rollen können verschiedenen Supportrollen nicht hinzugefügt werden, z. B. können die Microsoft Entra Rollen in der JIT-Agent-Supportrolle keiner anderen Supportrolle hinzugefügt werden.

    Wenn nicht alle Supportrollen für Ihr GDAP-Setup erforderlich sind, können Sie im nächsten Schritt eine oder mehrere von Ihren GDAP-Vorlagen ausschließen.

  2. Wählen Sie Weiter aus.

  3. Wählen Sie Speichern und schließen aus, um Ihre Einstellungen zu speichern und DAS GDAP-Setup zu beenden.

Schritt 2: GDAP-Vorlagen

Eine GDAP-Vorlage ist eine Sammlung von:

  • Supportrollen
  • Sicherheitsgruppen
  • Benutzer in jeder Sicherheitsgruppe

So erstellen Sie eine GDAP-Vorlage:

  1. Wählen Sie auf der Seite GDAP-Vorlagendie Option Vorlage erstellen aus.

  2. Geben Sie im Vorlagenbereich den Vorlagennamen und die Beschreibung in die entsprechenden Felder ein.

  3. Wählen Sie eine oder mehrere Supportrollen aus der Liste aus.

  4. Klicken Sie auf Speichern.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie Speichern und schließen aus, um Ihre Einstellungen zu speichern und DAS GDAP-Setup zu beenden.

Schritt 3: Sicherheitsgruppen

Sie benötigen mindestens eine Sicherheitsgruppe pro Supportrolle für jede Vorlage. Für die erste Vorlage erstellen Sie eine neue Sicherheitsgruppe, aber für nachfolgende Vorlagen können Sie bei Bedarf Gruppen wiederverwenden.

  1. Wählen Sie auf der Seite Sicherheitsgruppen die Option Sicherheitsgruppe erstellen aus.

  2. Geben Sie im Sicherheitsgruppenbereich einen Namen und eine Beschreibung ein.

  3. Wählen Sie Benutzer hinzufügen aus.

  4. Wählen Sie in der Liste Benutzer hinzufügen die Benutzer aus, die Sie in diese Sicherheitsgruppe aufnehmen möchten.

  5. Wählen Sie Speichern aus.

  6. Wählen Sie noch mal Speichern aus.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie Speichern und schließen aus, um Ihre Einstellungen zu speichern und DAS GDAP-Setup zu beenden.

Benutzer der JIT-Agent-Sicherheitsgruppe sind berechtigt, Zugriff auf GDAP-Rollen mit hohen Berechtigungen anzufordern. sie erhalten keinen automatischen Zugriff darauf. Wählen Sie im Rahmen des GDAP-Setups eine Sicherheitsgruppe für jit-genehmigende Personen aus Ihrem Mandanten aus, um Zugriffsanforderungen von JIT-Agents zu genehmigen.

Die Sicherheitsgruppe der jit-genehmigenden Person muss rollenzuweisbar sein. Wenn im GDAP-Setup keine Sicherheitsgruppe angezeigt wird, vergewissern Sie sich, dass die Sicherheitsgruppe rollenzuweisbar ist. Weitere Informationen zum Verwalten von Rollenzuweisungen finden Sie unter Verwenden von Microsoft Entra Gruppen zum Verwalten von Rollenzuweisungen.

Nach Abschluss des GDAP-Setups wird eine JIT-Zugriffsrichtlinie erstellt, damit JIT-Agents Zugriff anfordern können. Sie können die im Microsoft Entra ID Governance-Portal erstellte Richtlinie überprüfen, und JIT-Agents können zugriff auf ihre Rollen über das Portal "Mein Zugriff" anfordern. Weitere Informationen dazu, wie JIT-Agents Zugriff anfordern können, finden Sie unter Verwalten des Zugriffs auf Ressourcen. Weitere Informationen dazu, wie genehmigende Personen Anforderungen genehmigen können, finden Sie unter Genehmigen oder Ablehnen von Anforderungen.

Schritt 4: Mandantenzuweisungen

Weisen Sie jeder Vorlage Kundengruppen zu. Jeder Kunde kann nur einer Vorlage zugewiesen werden. Nach der Auswahl wird dieser Kundenmandant in nachfolgenden Vorlagen nicht mehr als Option angezeigt. Wenn Sie das GDAP-Setup erneut ausführen, werden Ihre Mandantenzuweisungen pro GDAP-Vorlage gespeichert.

  • Führen Sie das GDAP-Setup erneut aus, um einer GDAP-Vorlage neue Mandanten hinzuzufügen. Behalten Sie gespeicherte Mandantenzuweisungen bei, und wählen Sie neue Mandanten aus, die der GDAP-Vorlage zugewiesen werden sollen. Neue GDAP-Beziehungen werden nur für die neu zugewiesenen Mandanten erstellt.

  • Führen Sie das GDAP-Setup erneut aus, um Mandanten aus einer GDAP-Vorlage zu entfernen. Entfernen Sie die Mandantenzuweisung. Wenn Sie die Mandantenzuweisung entfernen, wird die GDAP-Beziehung, die aus einer vorherigen Zuweisung erstellt wurde, nicht entfernt, aber Sie können den Kundenmandanten bei Bedarf einer anderen GDAP-Vorlage zuweisen.

Stellen Sie sicher, dass alle Mandanten, die Sie einer GDAP-Vorlage zuweisen möchten, ausgewählt sind, bevor Sie Weiter auswählen. Sie können die Liste der Mandanten mithilfe des Suchfelds in der oberen rechten Ecke filtern.

  1. Wählen Sie auf der Seite Mandantenzuweisungen die Mandanten aus, die Sie der von Ihnen erstellten GDAP-Vorlage zuweisen möchten.

  2. Wählen Sie Weiter aus, um zum nächsten Abschnitt zu wechseln, oder wählen Sie Speichern und schließen aus, um Ihre Einstellungen zu speichern und DAS GDAP-Setup zu beenden.

Schritt 5: Überprüfen und Beenden

  1. Überprüfen Sie auf der Seite Einstellungen überprüfen die von Ihnen erstellten Einstellungen, um zu bestätigen, dass sie korrekt sind.

  2. Klicken Sie auf Fertigstellen.

Es kann ein oder zwei Minuten dauern, bis die von Ihnen konfigurierten Einstellungen angewendet werden. Wenn Sie die Daten aktualisieren müssen, folgen Sie den Anweisungen. Das Setup ist unvollständig, wenn Sie das GDAP-Setup beenden, ohne Fertig stellen auszuwählen.

Hinweis

Für Kunden mit einer vorhandenen DAP-Beziehung werden diese Einstellungen automatisch angewendet. Kunden mit einer aktiven status auf der letzten Seite des GDAP-Setups werden Rollen und Sicherheitsgruppen zugewiesen, wie in der GDAP-Vorlage definiert.

Hinweis

Für Kunden ohne vorhandene DAP-Beziehung wird für jeden Kunden auf der letzten Seite des GDAP-Setups ein Link zur Anforderung einer Administratorbeziehung generiert. Von dort aus können Sie den Link an den globalen Administrator Ihres Kunden senden, damit dieser die Administratorbeziehung genehmigen kann. Sobald die Beziehung genehmigt wurde, werden die GDAP-Vorlageneinstellungen angewendet. Es kann bis zu einer Stunde nach der Genehmigung der Beziehung dauern, bis Änderungen in Lighthouse angezeigt werden.

Nachdem Sie das GDAP-Setup abgeschlossen haben, können Sie zu verschiedenen Schritten navigieren, um Rollen, Sicherheitsgruppen oder Vorlagen zu aktualisieren oder zu ändern. GDAP-Beziehungen sind jetzt im Partner Center sichtbar, und die Sicherheitsgruppen werden jetzt in Microsoft Entra ID angezeigt.

Verwandte Inhalte

Übersicht über Berechtigungen (Artikel)
Behandeln von Fehlermeldungen und Problemen (Artikel)
Konfigurieren der Portalsicherheit (Artikel)
Einführung in granulare delegierte Administratorrechte (GDAP) (Artikel)
Microsoft Entra integrierten Rollen (Artikel)
Informationen zu Gruppen und Zugriffsrechten in Microsoft Entra ID (Artikel)
Was ist Microsoft Entra Berechtigungsverwaltung? (Artikel)