GDAP-Rollenleitfaden

Geeignete Rollen: Administrator-Agent

Dieser Artikel enthält Anleitungen dazu, welche integrierte Microsoft Entra-Rolle für jede granulare delegierte Administratorberechtigung (GDAP) verwendet werden kann. Um z. B. Supportanfragen im Auftrag eines Kunden zu übermitteln, erfordert die Rolle des Dienstsupportadministrators , die die am wenigsten privilegierte Microsoft Entra-Rolle im Mandanten Ihres Kunden ist.

Erstellen von Supportanfragen

Indirekte Wiederverkäufer können keine Supportanfragen für Azure erstellen. Stattdessen müssen sie mit ihren indirekten Anbietern zusammenarbeiten.

So erstellen Sie eine Supportanfrage für:	Direkte Rechnungspartner und indirekte Anbieter müssen die folgende Rolle mit den geringsten Rechten haben:
Microsoft 365 im Microsoft 365 Admin Center	GDAP-Rollenzuweisung zu einer Rolle, die über Microsoft.office365.supportTickets/allEntities/allTasks-Berechtigungen verfügt, z . B. Dienstsupportadministrator
Dynamics 365 im Power Platform Admin Center	GDAP-Rollenzuweisung zu einer Rolle, die über Microsoft.office365.supportTickets/allEntities/allTasks-Berechtigungen verfügt, z . B. Dienstsupportadministrator
Azure-Abonnementressource im Azure-Portal	Voraussetzung: Um Anforderungen im Auftrag von Kunden zu erstellen, die das Azure-Abonnement eines Kunden verwenden, müssen Partner über eine Vertriebspartnerbeziehung mit dem Kunden verfügen, wie in der regionalen CSP-Autorisierung erläutert. Weitere Informationen finden Sie in den Schritten zum Einrichten von Azure GDAP. Jede GDAP-Zuweisung zu einer Microsoft Entra-Rolle, z . B. Verzeichnisleser, -UND- Rollenzuweisung für die rollenbasierte Azure-Zugriffssteuerung (RBAC) zu einer Rolle mit Microsoft.Support/supportTickets/Write-Berechtigungen, z. B. Supportanfrage Mitwirkender
Microsoft Entra-ID im Azure-Portal	Alternative 1: Wenn ein Kunde nicht über die Microsoft Entra ID P1 oder P2 verfügt: Um Anforderungen im Auftrag von Kunden zu erstellen, die das Azure-Abonnement eines Kunden verwenden, müssen Partner über eine Vertriebspartnerschaft mit dem Kunden pro regionale CSP-Autorisierung verfügen. Weitere Informationen finden Sie in den Schritten zum Einrichten von Azure GDAP. Jede GDAP-Zuweisung zu einer Microsoft Entra-Rolle, z . B. Verzeichnisleser, -UND- Azure RBAC-Rollenzuweisung zu einer Rolle mit Microsoft.Support/supportTickets/Schreibberechtigungen, z. B. Supportanfrage Mitwirkender Alternative 2: Wenn Der Kunde über die Microsoft Entra ID P1 oder P2 Eine GDAP-Zuweisung zu einer Microsoft Entra-Rolle verfügt, die folgendes hat: microsoft.azure.supportTickets/allEntities/allTasks permissions, z. B. Service Support Administrator

GDAP-Rollen nach Partnertypen

Indirekte Anbieter

Die folgenden Rollen werden für indirekte Anbieter empfohlen, um Transaktionen durchzuführen und zu verwalten:

• Mandantenerstellung für neue Kunden
• Einrichtung der Vertriebspartnerschaft
• Einkauf
• Abonnementverwaltung
• Upgrades
• Konvertierungen
• Erstellung und Lizenzzuweisung für Benutzer beim Kunden
• Kundendienstanfragen (Anfragen zur Erstellung im Auftrag des Kunden)

Rolle	Beschreibung
Leser-Rollen:
Verzeichnisleser	Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen.
Verzeichnis schreiben	Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen.
Globaler Leser	Kann alles lesen, was ein globaler Administrator kann, aber nichts aktualisieren kann
Benutzer- und -Lizenzverwaltung:
Benutzeradministrator	Kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren.
Lizenzadministrator	Kann Produktlizenzen für Benutzer und Gruppen verwalten.
Dienstunterstützungsadministrator	Kann Dienststatusinformationen lesen und Supportanfragen verwalten
Helpdesk:
Helpdesk-Administrator	Kann Kennwörter für Nicht-Administratoren und Helpdesk-Administratoren zurücksetzen.

Direktrechnungspartner, indirekte Wiederverkäufer und Berater

Die folgenden Rollen werden für indirekte Wiederverkäufer, Berater und Direktrechnungspartner empfohlen, die auch die Rolle von MSPs spielen. Sie sind alle als spezialisierte Managed Service Providers (MSPs) kategorisiert, die die Umgebung des Kunden vollständig als ausgelagerte IT-Abteilung verwalten. Dieser Abschnitt ist kategorisierte Rollen, die von Aufgaben und Funktionen benötigt werden.

Typische Aufgaben eines Stufe-1-Technikers in Managed Services

Rolle	Aufgabe	Function
Dienstunterstützungsadministrator	Übermittelt Supportanfragen im Namen des Kunden.	Helpdesk erstellt und verwaltet Supportanfragen.
Sicherheitsleseberechtigter	Kann sicherheitsrelevante Richtlinien in Microsoft 365-Diensten anyeigen.	Der Helpdesk sammelt Informationen über den Kundenmandanten, um Fehler zu beheben oder Richtlinien des Portals für Sicherheit und Compliance zu aktualisieren, z. B. Richtlinien zum Schutz vor Datenverlust.
Intune-Administrator	Verwalten sämtlicher Aspekte des Produkts Intune.	Der Helpdesk handhabt die Registrierung und Problembehandlung von Kundengeräten.
SharePoint-Administrator	Verwalten sämtlicher Aspekte des SharePoint-Diensts.	Der Helpdesk verwaltet SharePoint-Websiteberechtigungen.
Supportfachmann für die Teams-Kommunikation	Kann den Microsoft Teams-Dienst verwalten.	Der Helpdesk behandelt Probleme mit der Anrufqualität.
Helpdesk-Administrator	Kennwörter für Nichtadministratoren und diese Administratoren können zurückgesetzt werden: Administrator des Administratoradministrators für das Nachrichtencenter-Administrator des Nachrichtencenters: Leser von Kennwortadministratoren für Verzeichnisleser.	Der Helpdesk setzt Kennwörter zurück.
Desktop Analytics-Administrator	Kann auf Tools und Dienste zur Desktopverwaltung zugreifen und diese verwalten.	Der Helpdesk kann den Desktop Analytics-Dienst verwalten, indem er den Asset-Bestand anzeigt und die Standardeigenschaften der Autorisierungsrichtlinien liest.
Authentifizierungsadministrator	Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer ohne Administratorrechte.	Der Helpdesk kann auf Informationen zu Authentifizierungsmethoden für jeden Benutzer ohne Administratorrechte (z. B. MFA, bedingter Zugriff) zugreifen, um sie anzuzeigen, festzulegen und zurückzusetzen.
Exchange-Administrator	Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst vorhanden ist. Außerdem hat die Möglichkeit, alle Microsoft 365-Gruppen zu erstellen und zu verwalten, Supportanfragen zu verwalten und den Dienststatus zu überwachen; kann OBO senden und Posteingänge verwalten.	Der Helpdesk verwaltet freigegebene Postfächer, hilft bei der Lösung von Postfachkontingentproblemen und erstellt und verwaltet Transportregeln.
Lizenzadministrator	Hat die Möglichkeit zum Zuweisen, Entfernen und Aktualisieren von Lizenzzuweisungen.	Während der Problembehandlung bewertet und korrigiert der Helpdesk, wenn ein Lizenzierungsproblem mit der Supportanfrage auftritt.
Benutzeradministrator	Kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich des Zurücksetzens von Kennwörtern für eingeschränkte Administratoren; kann die Benutzeranmeldung blockieren.	Der Helpdesk verwaltet alle Aspekte von Benutzern und Gruppen, einschließlich zurücksetzen von Kennwörtern für eingeschränkte Administratoren und sperrt den Zugriff eines ehemaligen Kundenmitarbeiters auf Microsoft 365-Dienste.
Gruppenadministrator	Mitglieder dieser Rolle können Gruppen erstellen/verwalten, Gruppeneinstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten sowie Aktivitäts- und Überwachungsberichte von Gruppen anzeigen.	Der Helpdesk fügt Besitzer zu Gruppen hinzu und fügt Mitglieder zu Gruppen hinzu.
Verzeichnisleseberechtigter	Benutzer in dieser Rolle können grundlegende Verzeichnisinformationen lesen.	Der Helpdesk kann, als Teil der Problembehandlung, einfache Verzeichnisinformationen lesen.
Nachrichtencenter-Leseberechtigter	Lesen von Nachrichten und Updates für die Organisation ausschließlich im Office 365-Nachrichtencenter.	Der Helpdesk liest das Nachrichtencenter, um Supportprobleme zu beheben.
Druckerverwaltung	Benutzer mit dieser Rolle können Drucker registrieren und alle Aspekte der gesamten Druckerkonfiguration in der Microsoft Universal Print-Lösung verwalten, einschließlich der Microsoft Universal Print Connector-Einstellungen. Sie können in alle delegierten Druckberechtigungsanforderungen einwilligen. Druckeradministratoren haben außerdem Zugriff auf Druckberichte.	Der Helpdesk verwaltet Druckerkonfigurationen und behebt Druckerprobleme.
Gasteinladender	Benutzer in dieser Rolle können Microsoft Entra B2B-Gastbenutzereinladungen verwalten.	Der Helpdesk kann Gastbenutzer unabhängig von der Einstellung Mitglieder können Gäste einladen einladen.

Rolle mit geringstmöglichen Berechtigungen nach Aufgabe

In der folgenden Tabelle werden Aufgaben innerhalb jeder GDAP-Funktion zusammen mit der zum Ausführen jeweils erforderlichen Rolle mit den geringsten Berechtigungen.

GDAP-Funktion	Aufgabe	Rolle mit den geringsten Berechtigungen
Support	Einreichen eines Supporttickets	Dienstunterstützungsadministrator
Benutzer	Hinzufügen von Benutzern zur Verzeichnisrolle	Administrator für privilegierte Rollen
	Hinzufügen von Benutzern zur Gruppe	Benutzeradministrator
	Lizenz zuweisen	Lizenzadministrator
	Erstellen eines Gastbenutzers	Gasteinladender
	Zurücksetzen der Gastbenutzer-Einladung	Benutzeradministrator
	Benutzer erstellen	Benutzeradministrator
	Benutzer löschen	Benutzeradministrator
	Aktualisierungstoken eingeschränkter Administratoren ungültig machen	Benutzeradministrator
	Aktualisierungstoken von Nichtadministratoren ungültig machen	Kennwortadministrator
	Aktualisierungstoken privilegierter Administratoren ungültig machen	Administrator für privilegierte Authentifizierung
	Lesen einer Standardkonfiguration	Standardbenutzerrolle
	Zurücksetzen des Kennworts für eingeschränkte Administratoren	Benutzeradministrator
	Zurücksetzen des Kennworts für Nichtadministratoren	Kennwortadministrator
	Zurücksetzen des Kennworts für privilegierte Administratoren	Administrator für privilegierte Authentifizierung
	Widerrufen von Lizenzen	Lizenzadministrator
	Ändern aller Eigenschaften mit Ausnahme des Benutzerprinzipalnamens	Benutzeradministrator
	Ändern des Benutzerprinzipalnamens für eingeschränkte Administratoren	Benutzeradministrator
	Ändern des Benutzerprinzipalnamens für privilegierte Administratoren	Globaler Administrator
	Aktualisieren von Benutzereinstellungen	Globaler Administrator
	Aktualisieren von Authentifizierungsmethoden	Authentifizierungsadministrator
Gruppen	Lizenz zuweisen	Benutzeradministrator
	Erstellen einer Gruppe	Gruppenadministrator
	Erstellen, Ändern oder Löschen der Zugriffsüberprüfung einer Gruppe oder App	Benutzeradministrator
	Verwalten des Gruppenablaufs	Benutzeradministrator
	Verwalten von Gruppeneinstellungen	Gruppenadministrator
	Lesen der gesamten Konfiguration (mit Ausnahme der ausgeblendeten Mitgliedschaft)	Verzeichnisleser
	Lesen der ausgeblendeten Mitgliedschaft	Gruppenmitglied
	Lesen der Mitgliedschaft von Gruppen mit ausgeblendeter Mitgliedschaft	Helpdesk-Administrator
	Widerrufen von Lizenzen	Lizenzadministrator
	Aktualisieren der Gruppenmitgliedschaft	Gruppenbesitzer
	Aktualisieren von Gruppenbesitzern	Gruppenbesitzer
	Aktualisieren von Gruppeneigenschaften	Gruppenbesitzer
	Gruppe löschen	Gruppenadministrator
Lizenzen	Lizenz zuweisen	Lizenzadministrator
	Lesen aller Konfigurationen	Verzeichnisleser
	Widerrufen von Lizenzen	Lizenzadministrator

Rollen nach Komplexität

Role	Einfach	Medium	Complex
Anwendungsadministrator			w
Anwendungsentwickler			w
Autor der Angriffsnutzlast			w
Angriffssimulationsadministrator			w
Authentifizierungsadministrator			x
Microsoft Entra-Mitglied des lokalen Geräteadministrators			x
Azure DevOps-Administrator			w
Azure Information Protection-Administrator			w
Rechnungsadministrator			w
Cloudanwendungsadministrator		x	x
Cloudgeräteadministrator			w
Complianceadministrator			w
Administrator für bedingten Zugriff			w
Desktopanalyseadministrator			w
Verzeichnisleser	x	x	x
Verzeichnissynchronisierungskonten			w
Do Standard Name Administrator			w
Dynamics 365-Administrator		x	x
Exchange-Administrator		x	x
Exchange-Empfängeradministrator			w
Administrator des externen Identitätsanbieters			w
Globaler Leser	x	x	x
Gruppenadministrator			w
Gasteinladender			w
Helpdeskadministrator	x	x	x
Hybrid-Identifizierungsadministrator			x
Insights-Administrator			w
Intune-Administrator		x	x
Lizenzadministrator	x	x	x
Nachrichtencenter–Datenschutzleser			w
Nachrichtencenterleser			w
Netzwerkadministrator			w
Office-App s-Administrator			w
Kennwortadministrator			w
Power BI-Administrator		x	x
Power Platform Administrator		x	x
Druckeradministrator			w
Druckertechniker			w
Administrator für privilegierte Authentifizierung			w
Administrator für privilegierte Rollen			w
Berichtsleser		x	x
Suchadministrator			w
Such-Editor			w
Sicherheitsadministrator		x	x
Sicherheitsleseberechtigter		x	x
Dienstunterstützungsadministrator	x	x	x
SharePoint-Administrator		x	x
Skype for Business-Administrator			w
Teams-Administrator		x	x
Teams-Kommunikationsadministrator			w
Supporttechniker für Teams-Kommunikation			w
Teams-Kommunikationssupportspezialist			w
Teams-Geräteadministrator			w
Benutzeradministrator	x	x	x
Windows 365-Administrator		x	x

Nächste Schritte

• So beenden Sie eine Beziehung – für Partner
• So beenden Sie eine Beziehung – für Kunden
• Ablaufende Benachrichtigungen
• Aktivitätsprotokolle