Preguntas frecuentes sobre GDAP
Roles adecuados: todos los usuarios interesados en el Centro de partners
Los permisos de administrador delegados granulares (GDAP) proporcionan a los asociados acceso a las cargas de trabajo de sus clientes de una manera más granular y limitada a tiempo, lo que puede ayudar a abordar los problemas de seguridad de los clientes.
Con el GDAP, los partners pueden proporcionar más servicios a los clientes que podrían estar incómodos con los altos niveles de acceso a los asociados.
GDAP también ayuda a los clientes que tienen requisitos normativos para proporcionar solo acceso con privilegios mínimos a los asociados.
Configuración de GDAP
¿Quién puede solicitar una relación de GDAP?
Alguien con el rol de agente de administración en una organización asociada puede crear una solicitud de relación de GDAP.
¿Expira una solicitud de relación de GDAP si el cliente no realiza ninguna acción?
Sí. Las solicitudes de relación de GDAP expiran después de 90 días.
¿Puedo hacer una relación de GDAP con un cliente permanente?
No. Las relaciones de GDAP permanentes con los clientes no son posibles por motivos de seguridad. La duración máxima de una relación de GDAP es de dos años. Puede establecer Extensión automática en Habilitado para ampliar una relación de administrador en seis meses, hasta que finalice o se establezca la extensión automática en Deshabilitado.
¿Admite la relación de GDAP el contrato enterprise?
No, la relación de GDAP no admite suscripciones compradas a través de contratos enterprise.
¿Puede ampliarse automáticamente una relación de GDAP con un cliente?
Sí. Una relación de GDAP puede extenderse automáticamente durante seis meses hasta que finalice o se extienda automáticamente establecido en Deshabilitado.
¿Qué hago cuando expira la relación de GDAP con un cliente?
Si la relación de GDAP con el cliente expira, vuelva a solicitar una relación de GDAP.
Puede usar el análisis de relaciones de GDAP para realizar un seguimiento de las fechas de expiración de las relaciones de GDAP y prepararse para su renovación.
¿Cómo puede un cliente ampliar o renovar una relación de GDAP?
Para ampliar o renovar una relación de GDAP, el asociado o el cliente deben establecer Extensión automática en Habilitado. Obtenga más información en Manage GDAP Auto extend and API (Administrar extensión automática de GDAP y API).
¿Se puede actualizar pronto una expiración de GDAP activa para extenderse automáticamente?
Sí, si el GDAP está activo, podría extenderse.
¿Cuándo se extiende automáticamente la acción?
Supongamos que se crea un GDAP durante 365 días con la extensión automática establecida en Habilitado. En el día 365, la fecha de finalización se actualizaría eficazmente en 180 días.
¿Se enviarían correos electrónicos cuando se alterna la extensión automática entre Habilitado o Deshabilitado?
No se enviará ningún correo electrónico al partner y al cliente.
¿Se puede ampliar automáticamente una GDAP creada con PLT (Herramienta dirigida por partners), MLT (Herramienta dirigida por Microsoft), la interfaz de usuario del Centro de partners, la API del Centro de partners?
Sí, cualquier GDAP activo se puede extender automáticamente.
¿Es necesario el consentimiento del cliente para establecer la extensión automática en los GDAP activos existentes?
No, el consentimiento del cliente no es necesario para establecer la extensión automática en Habilitado en un GDAP activo existente.
¿Se deben reasignar los permisos pormenorizados a los grupos de seguridad después de la extensión automática?
No, los permisos granulares asignados a los grupos de seguridad continúan tal como está.
¿Se puede ampliar automáticamente una relación de administrador con el rol de administrador global?
No, la relación de administrador con el rol de administrador global no se puede ampliar automáticamente.
¿Por qué no puedo ver la página Relaciones granulares de expiración en el área de trabajo Clientes?
La página Relaciones granulares de expiración solo está disponible para los usuarios asociados que tienen roles de administrador global y agente de administración.
Esta página ayuda a filtrar los GDAP que expiran en diferentes escalas de tiempo y ayuda a actualizar la extensión automática (habilitar o deshabilitar) para uno o varios GDAP.
Si expira una relación de GDAP, ¿se ven afectadas las suscripciones existentes del cliente?
No. No hay ningún cambio en las suscripciones existentes de un cliente cuando expira una relación de GDAP.
¿Cómo puede un cliente restablecer su contraseña y el dispositivo MFA si están bloqueados en su cuenta y no pueden aceptar una solicitud de relación de GDAP de un asociado?
Consulte Solución de problemas de autenticación multifactor de Microsoft Entra y No se puede usar la autenticación multifactor de Microsoft Entra para iniciar sesión en los servicios en la nube después de perder el teléfono o los cambios en el número de teléfono para obtener instrucciones.
¿Qué roles necesita un asociado para restablecer una contraseña de administrador y un dispositivo MFA si un administrador del cliente está bloqueado fuera de su cuenta y no puede aceptar una solicitud de relación de GDAP de un asociado?
El asociado debe solicitar el rol administrador de autenticación con privilegios Microsoft Entra al crear el primer GDAP para poder restablecer la contraseña y el método de autenticación de un usuario (administrador o no administrador). El rol Administrador de autenticación con privilegios forma parte de los roles configurados por MLT (Herramienta dirigida de Microsoft) y está previsto que esté disponible con GDAP predeterminado durante el flujo de creación de clientes (planeado para septiembre).
El asociado podría hacer que el administrador del cliente pruebe a restablecer la contraseña. Como medida de precaución, el asociado debe configurar SSPR (autoservicio de restablecimiento de contraseña) para sus clientes. Consulte Permitir que los usuarios restablezcan sus propias contraseñas.
¿Quién recibe un correo electrónico de notificación de terminación de relación de GDAP?
Dentro de una organización asociada , las personas con el rol de agente de administración reciben una notificación de terminación.
Dentro de una organización del cliente , los usuarios con el rol de administrador global reciben una notificación de terminación.
¿Puedo ver cuándo un cliente quita el GDAP en los registros de actividad?
Sí. Los partners pueden ver cuándo un cliente quita el GDAP en los registros de actividad del Centro de partners.
¿Necesito crear una relación de GDAP con todos mis clientes?
No. GDAP es una funcionalidad opcional para los partners que desean administrar los servicios de sus clientes de forma más granular y limitada. Puede elegir con qué clientes desea crear una relación de GDAP.
Si tengo varios clientes, ¿es necesario tener varios grupos de seguridad para estos?
La respuesta depende de cómo quiera administrar sus clientes.
Si quiere que los usuarios asociados puedan administrar todos los clientes, puede colocar todos los usuarios asociados en un grupo de seguridad y ese grupo puede administrar todos los clientes.
Si prefiere tener varios usuarios asociados que administran varios clientes, asigne esos usuarios asociados a grupos de seguridad independientes para el aislamiento de los clientes.
¿Pueden los revendedores indirectos crear solicitudes de relación de GDAP en el Centro de partners?
Sí. Los revendedores indirectos (y proveedores indirectos y asociados de factura directa) pueden crear solicitudes de relación de GDAP en el Centro de partners.
¿Por qué no puede un usuario asociado con GDAP acceder a una carga de trabajo como AOBO (administrador en nombre de)?
Como parte de la configuración de GDAP, asegúrese de que los grupos de seguridad creados en el inquilino del asociado con los usuarios asociados estén seleccionados. Asegúrese también de que los roles deseados de Microsoft Entra se asignan al grupo de seguridad. Consulte Asignar roles de Microsoft Entra.
¿Cuál es el siguiente paso recomendado si la directiva de acceso condicional establecida por el cliente bloquea todo el acceso externo, incluido el acceso de CSP (AOBO) al inquilino del cliente?
Los clientes ahora pueden excluir los CSP de la directiva de acceso condicional para que los asociados puedan realizar la transición a GDAP sin bloquearse.
Incluir usuarios : esta lista de usuarios suele incluir a todos los usuarios que una organización tiene como destino en una directiva de acceso condicional.
Las siguientes opciones están disponibles para incluir al crear una directiva de acceso condicional:
- Seleccionar Usuarios y grupos
- Usuarios invitados o externos (versión preliminar)
- Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
- Usuarios del proveedor de servicios, por ejemplo, un Proveedor de soluciones en la nube (CSP).
- Se pueden especificar uno o varios inquilinos para los tipos de usuario seleccionados, o bien se pueden especificar todos los inquilinos.
- Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
- Usuarios invitados o externos (versión preliminar)
Acceso de asociado externo: las directivas de acceso condicional que tienen como destino los usuarios externos podrían interferir con el acceso del proveedor de servicios, por ejemplo, privilegios de administrador delegados pormenorizados. Para obtener más información, consulte Introducción a privilegios de administrador delegados pormenorizados (GDAP). Para las directivas destinadas a los inquilinos del proveedor de servicios de destino, use el tipo de usuario externo de Service provider user (Usuario del proveedor de servicios) disponible en las opciones de selección de Guest or external users (Usuarios invitados o externos).
Excluir usuarios : cuando las organizaciones incluyen y excluyen a un usuario o grupo, el usuario o grupo se excluye de la directiva, ya que una acción de exclusión invalida una acción de inclusión en la directiva.
Las siguientes opciones están disponibles para excluir al crear una directiva de acceso condicional:
- Usuarios invitados o externos
- Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
- Usuarios del proveedor de servicios, por ejemplo, un proveedor de soluciones en la nube (CSP)
- Se pueden especificar uno o varios inquilinos para los tipos de usuario seleccionados, o bien se pueden especificar todos los inquilinos.
- Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
Para más información, vea:
- Experiencia de Graph API: API beta con la nueva información de tipo de usuario externo
- Directiva de acceso condicional
- Usuarios externos de acceso condicional
¿Necesito una relación de GDAP para crear incidencias de soporte técnico aunque tengo soporte técnico Premier para partners?
Sí, independientemente del plan de soporte técnico que tenga, el rol con menos privilegios para que los usuarios asociados puedan crear incidencias de soporte técnico para su cliente es administrador de soporte técnico del servicio.
¿El asociado puede terminar el estado GDAP en aprobación pendiente ?
No, el asociado no puede finalizar actualmente un GDAP en el estado Aprobación pendiente . Expiraría en 90 días si el cliente no realiza ninguna acción.
Una vez finalizada una relación de GDAP, ¿puedo reutilizar el mismo nombre de relación de GDAP para crear una nueva relación?
Solo después de 365 días (limpieza) una vez finalizada o expirada la relación de GDAP, puede reutilizar el mismo nombre para crear una nueva relación de GDAP.
¿Un asociado de una región puede administrar sus clientes en regiones diferentes?
Sí, un asociado puede administrar sus clientes entre regiones sin crear nuevos inquilinos de asociado por región de cliente. Tenga en cuenta que esto solo es aplicable al rol de administración de clientes proporcionado por GDAP (relaciones de administrador). El rol de transacción y las funcionalidades todavía están limitados a su territorio autorizado
¿Puede el proveedor de servicios formar parte de la organización multiinquilino?
No, el proveedor de servicios no puede formar parte de la organización multiinquilino, que son mutuamente excluyentes.
API de GDAP
¿Están disponibles las API para crear una relación de GDAP con los clientes?
Para obtener información sobre las API y el GDAP, consulte la documentación para desarrolladores del Centro de partners.
¿Puedo usar las API de GDAP beta para producción?
Sí. Se recomienda que los asociados usen las API de GDAP beta para producción y, posteriormente, cambien a las API v.1 cuando estén disponibles.
Aunque hay una advertencia, "No se admite el uso de estas API en aplicaciones de producción", esa guía genérica es para cualquier API beta en Graph y no es aplicable a las API de Graph de GDAP beta.
¿Puedo crear varias relaciones de GDAP con distintos clientes a la vez?
Sí. Las relaciones de GDAP se pueden crear mediante API, lo que permite a los asociados escalar este proceso. Sin embargo, la creación de varias relaciones de GDAP no está disponible en el Centro de partners. Para obtener información sobre las API y el GDAP, consulte la documentación para desarrolladores del Centro de partners.
¿Pueden asignarse varios grupos de seguridad en una relación de GDAP mediante una llamada API?
La API funciona para un grupo de seguridad a la vez, pero puede asignar varios grupos de seguridad a varios roles en el Centro de partners.
¿Cómo puedo solicitar varios permisos de recursos para mi aplicación?
Realice llamadas individuales para cada recurso. Al realizar una única solicitud POST, pase solo un recurso y sus ámbitos correspondientes.
Por ejemplo, para solicitar permisos para y https://graph.windows.net/Directory.AccessAsUser.All
https://graph.microsoft.com/Organization.Read.All
, realice dos solicitudes diferentes, una para cada una.
¿Cómo puedo encontrar el identificador de recurso de un recurso determinado?
Use el vínculo proporcionado para buscar el nombre del recurso: Comprobar las aplicaciones de Microsoft de primera entidad en los informes de inicio de sesión : Active Directory. Ejemplo:
Para buscar el identificador de recurso (ejemplo: 00000003-0000-0000-c000-000000000000 para graph.microsoft.com):
¿Qué debo hacer si encuentro el error "Request_UnsupportedQuery" con el mensaje: "Cláusula de filtro de consulta no admitida o no válida especificada para la propiedad "appId" del recurso "ServicePrincipal"?
Este error suele producirse cuando se usa un identificador incorrecto en el filtro de consulta.
Para resolverlo, asegúrese de que usa la propiedad enterpriseApplicationId con el identificador de recurso correcto, no el nombre del recurso.
Solicitud incorrecta
Para enterpriseApplicationId, no use un nombre de recurso como graph.microsoft.com.
Solicitud correcta
En su lugar, para enterpriseApplicationId, use el identificador de recurso, como 00000003-0000-0000-c000-00000000000000.
¿Cómo puedo agregar nuevos ámbitos al recurso de una aplicación que ya se ha consentido en el inquilino del cliente?
Ejemplo: anteriormente en graph.microsoft.com ámbito de recurso solo se consienteba el ámbito de "perfil". Ahora también queremos agregar el perfil y user.read.
Para agregar nuevos ámbitos a una aplicación con consentimiento anterior:
Use el método DELETE para revocar el consentimiento de la aplicación existente del inquilino del cliente.
Use el método POST para crear el consentimiento de la aplicación con los ámbitos adicionales.
Nota:
Si la aplicación requiere permisos para varios recursos, ejecute el método POST por separado para cada recurso.
Cómo especificar varios ámbitos para un único recurso (enterpriseApplicationId)?
Concatene los ámbitos necesarios mediante una coma seguida de un espacio. Ejemplo: "scope": "profile, User.Read"
¿Qué debo hacer si recibo un error "400 solicitud incorrecta" con el mensaje "Token no admitido". ¿No se puede inicializar el contexto de autorización"?
Confirme que las propiedades "displayName" y "applicationId" del cuerpo de la solicitud son precisas y coinciden con la aplicación que intenta dar su consentimiento en el inquilino del cliente.
Asegúrese de que usa la misma aplicación para generar el token de acceso que está intentando dar su consentimiento en el inquilino del cliente.
Ejemplo: Si el identificador de la aplicación es "12341234-1234-1234-12341234", la notificación "appId" del token de acceso también debe ser "12341234-1234-1234-12341234".
Compruebe que se cumple una de las condiciones siguientes:
Tiene un privilegio de administrador delegado activo (DAP) y el usuario también es miembro del grupo Seguridad de agentes de administración en el inquilino del asociado.
Tiene una relación activa con privilegios de administrador delegados pormenorizados (GDAP) con el inquilino del cliente con al menos uno de los tres roles de GDAP siguientes y ha completado la asignación de acceso:
- Administrador global, Administrador de aplicaciones o Rol administrador de aplicaciones en la nube.
- El usuario asociado es miembro del grupo de seguridad especificado en la asignación de acceso.
Roles
¿Qué roles de GDAP son necesarios para acceder a una suscripción de Azure?
Para administrar Azure con particiones de acceso por cliente (que es el procedimiento recomendado), cree un grupo de seguridad (como Administradores de Azure) y anidarlo en Agentes de administración.
Para acceder a una suscripción de Azure como propietario de un cliente, puede asignar cualquier rol integrado de Microsoft Entra (como lectores de directorio, el rol con menos privilegios) al grupo de seguridad Administradores de Azure.
Para conocer los pasos para configurar GDAP de Azure, consulte Cargas de trabajo compatibles con privilegios de administrador delegados pormenorizados (GDAP).
¿Hay instrucciones sobre los roles con privilegios mínimos que puedo asignar a los usuarios para tareas específicas?
Sí. Para obtener información sobre cómo restringir los permisos de administrador de un usuario mediante la asignación de roles con privilegios mínimos en Microsoft Entra, consulte Roles con privilegios mínimos por tarea en Microsoft Entra.
¿Cuál es el rol con menos privilegios que puedo asignar al inquilino de un cliente y seguir siendo capaz de crear incidencias de soporte técnico para el cliente?
Se recomienda asignar el rol de administrador de soporte técnico del servicio . Para obtener más información, consulte Roles con privilegios mínimos por tarea en Microsoft Entra.
¿Qué roles de Microsoft Entra estaban disponibles en la interfaz de usuario del Centro de partners en julio de 2024?
Para reducir la brecha entre los roles de Microsoft Entra disponibles a través de. La API del Centro de partners frente a la interfaz de usuario, debajo de la lista de 9 roles se puso a disposición en la interfaz de usuario del Centro de partners en julio de 2024.
En Colaboración:
- Administrador de Edge
- Virtual Visits Administrator (Administrador de visitas virtuales)
- Administrador de Viva Goals
- Administrador de Viva Pulse
- Administrador de Yammer
En Identidad:
- Administrador de la administración de permisos
- Administrador de flujos de trabajo del ciclo de vida
En Otros:
- Administrador de personalización de marca de la organización
- Aprobador de mensajes organizativos
¿Puedo abrir incidencias de soporte técnico para un cliente en una relación de GDAP de la que se han excluido todos los roles de Microsoft Entra?
No. El rol con privilegios mínimos para que los usuarios asociados puedan crear incidencias de soporte técnico para su cliente es el administrador de soporte técnico del servicio. Por lo tanto, para poder crear incidencias de soporte técnico para el cliente, un usuario asociado debe estar en un grupo de seguridad y asignarlo a ese cliente con ese rol.
¿Dónde puedo encontrar información sobre todos los roles y cargas de trabajo incluidos en GDAP?
Para obtener información sobre todos los roles, consulte Roles integrados de Microsoft Entra.
Para obtener información sobre las cargas de trabajo, consulte Cargas de trabajo compatibles con privilegios de administrador delegados pormenorizados (GDAP).
¿Qué rol de GDAP proporciona acceso al Centro de Administración de Microsoft 365?
Muchos roles se usan para Administración de Microsoft 365 Center. Para más información, consulte Roles comunes del centro de administración de Microsoft 365.
¿Puedo crear grupos de seguridad personalizados para GDAP?
Sí. Cree un grupo de seguridad, asigne roles aprobados y, a continuación, asigne usuarios de inquilino de asociados a ese grupo de seguridad.
¿Qué roles de GDAP proporcionan acceso de solo lectura a las suscripciones del cliente y, por tanto, no permiten al usuario administrarlas?
El lector global, el lector global, el lector de directorios y los roles de soporte técnico del nivel 2 de partner proporcionan acceso de solo lectura a las suscripciones del cliente.
¿Qué rol debo asignar a mis agentes asociados (actualmente agentes de administración) si me gustaría administrar el inquilino del cliente, pero no modificar las suscripciones del cliente?
Se recomienda quitar los agentes asociados del rol De agente de administración y agregarlos solo a un grupo de seguridad de GDAP. De este modo, pueden administrar servicios (solicitudes de servicio de administración y registro de servicios, por ejemplo), pero no pueden comprar y administrar suscripciones (cambiar cantidad, cancelar, programar cambios, etc.).
¿Qué ocurre si un cliente concede roles de GDAP al asociado y, a continuación, quita roles o interrumpe la relación de GDAP?
Los grupos de seguridad asignados a la relación pierden el acceso a ese cliente. Lo mismo sucede si un cliente finaliza una relación DAP.
¿Puede un asociado seguir realizando transacciones para un cliente después de quitar toda la relación de GDAP con el cliente?
Sí, quitar las relaciones de GDAP con un cliente no finaliza la relación de revendedor de los partners con el cliente. Los partners todavía pueden comprar productos para el cliente y administrar el presupuesto de Azure y otras actividades relacionadas.
¿Pueden algunos roles de mi relación de GDAP con mi cliente tener más tiempo de expiración que otros?
No. Todos los roles de una relación de GDAP tienen el mismo tiempo de expiración: la duración que se eligió cuando se creó la relación.
¿Necesito GDAP para cursar los pedidos de clientes nuevos y existentes en el Centro de partners?
No. No necesita GDAP para cumplir los pedidos de clientes nuevos y existentes. Puede seguir usando el mismo proceso para cursar los pedidos de los clientes en el Centro de partners.
¿Tengo que asignar un rol de agente de asociado a todos los clientes o puedo asignar un rol de agente de asociado solo a un cliente?
Las relaciones de GDAP son por cliente. Puede tener varias relaciones por cliente. Cada relación de GDAP puede tener roles diferentes y usar diferentes grupos de Microsoft Entra dentro del inquilino de CSP.
En el Centro de partners, la asignación de roles funciona en el nivel de relación de cliente a GDAP. Si quiere realizar una asignación de roles multicliente, puede automatizar el proceso mediante las API.
¿Un usuario asociado puede tener roles de GDAP y una cuenta de invitado?
Las cuentas de invitado no funcionan con GDAP. Los clientes deben quitar las cuentas de invitado para que el GDAP funcione.
¿Necesito DAP/GDAP para el aprovisionamiento de suscripciones de Azure?
No, no necesita DAP ni GDAP para comprar planes de Azure y aprovisionar suscripciones de Azure para un cliente. El proceso para crear una suscripción de Azure para un cliente se documenta en Creación de una suscripción para el cliente de un asociado: Microsoft Cost Management + Billing. De forma predeterminada, el grupo Agentes de administración del inquilino del partner se convierte en el propietario de las suscripciones de Azure aprovisionadas para el cliente. Inicie sesión en Azure Portal con el identificador del Centro de partners.
Para aprovisionar el acceso al cliente, necesita una relación de GDAP. La relación de GDAP debe incluir como mínimo el rol Entra de Microsoft de lectores de directorios. Para aprovisionar el acceso en Azure, use la página control de acceso (IAM). Para AOBO, inicie sesión en el Centro de partners y use la página Administración de servicios para aprovisionar el acceso al cliente.
¿Qué roles de Microsoft Entra son compatibles con GDAP?
GDAP actualmente solo admite roles integrados de Microsoft Entra. No se admiten los roles de Microsoft Entra personalizados.
¿Por qué los administradores de GDAP y los usuarios B2B no pueden agregar métodos de autenticación en aka.ms/mysecurityinfo?
Los administradores invitados de GDAP no pueden administrar su propia información de seguridad en My Security-Info. En su lugar, necesitarán la ayuda del administrador de inquilinos en el que son invitados para cualquier registro, actualización o eliminación de información de seguridad. Las organizaciones pueden configurar directivas de acceso entre inquilinos para confiar en MFA desde el inquilino de CSP de confianza. De lo contrario, los administradores invitados de GDAP solo se limitarán a los métodos registrados por el administrador de inquilinos (que es SMS o Voz). Para más información, consulte Directivas de acceso entre inquilinos.
¿Qué roles pueden usar un asociado para habilitar la extensión automática?
Alineación con el principio guiding de Confianza cero: Use el acceso con privilegios mínimos:
- Se recomienda usar un rol con privilegios mínimos por tareas y tareas de carga de trabajo Cargas de trabajo compatibles con privilegios de administrador delegados pormenorizados (GDAP) compatibles con GDAP.
- Cuando sea necesario solucionar problemas conocidos enumerados, trabaje con el cliente para solicitar un rol de administrador global con límite de tiempo.
- No se recomienda reemplazar el rol de administrador global por todos los roles posibles de Microsoft Entra.
DAP y GDAP
¿El GDAP reemplaza DAP?
Sí. Durante el período de transición, coexistirán DAP y GDAP, con permisos de GDAP que tienen prioridad sobre los permisos daP para cargas de trabajo de Microsoft 365, Dynamics 365 y Azure .
¿Puedo seguir usando DAP o tengo que realizar la transición de todos mis clientes a GDAP?
DAP y GDAP coexisten durante el período de transición. Sin embargo, el GDAP reemplazará finalmente a DAP para asegurarnos de que proporcionamos una solución más segura para nuestros asociados y clientes. Se recomienda que realice la transición de los clientes a GDAP lo antes posible para garantizar la continuidad.
Durante la coexistencia de DAP y GDAP, ¿habrá algún cambio en la forma en que se crea una relación de DAP?
No hay ningún cambio en el flujo existente de las relaciones de DAP durante la coexistencia de DAP y GDAP.
¿Qué roles de Microsoft Entra se concederían para el GDAP predeterminado como parte de Create customer?
DAP se concede actualmente cuando se crea un nuevo inquilino de cliente. A partir del 25 de septiembre de 2023, Microsoft ya no concederá DAP para la creación de nuevos clientes y, en su lugar, concederá GDAP predeterminado con roles específicos. Los roles predeterminados varían según el tipo de asociado, como se muestra en la tabla siguiente:
Roles de Microsoft Entra concedidos para el GDAP predeterminado | Asociados de facturación directa | Proveedores indirectos | Revendedores indirectos | Asociados de dominio | proveedores de Panel de control (CPV) | Advisor | No participar en el GDAP predeterminado (sin DAP) |
---|---|---|---|---|---|---|---|
1. Lectores de directorio. Puede leer la información básica del directorio. Normalmente se usa para conceder acceso de lectura al directorio, a las aplicaciones e invitados. | x | x | x | x | x | ||
2. Escritores de directorios. Puede leer y escribir información básica del directorio. Para conceder acceso a aplicaciones; no pensado para los usuarios. | x | x | x | x | x | ||
3. Administrador de licencias. Puede administrar licencias de producto de usuarios y grupos. | x | x | x | x | x | ||
4. Administrador de soporte técnico del servicio. Puede leer la información de estado del servicio y administrar las incidencias de soporte técnico. | x | x | x | x | x | ||
5. Administrador de usuarios. Puede administrar todos los aspectos de usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados. | x | x | x | x | x | ||
6. Administrador de roles con privilegios. Puede administrar asignaciones de roles en Microsoft Entra y todos los aspectos de Privileged Identity Management. | x | x | x | x | x | ||
7. Administrador del departamento de soporte técnico. Puede restablecer contraseñas para administradores que no son administradores y administradores del departamento de soporte técnico. | x | x | x | x | x | ||
8. Administrador de autenticación con privilegios. Puede acceder a la información del método de autenticación para ver, establecer y restablecer la información del método de autenticación para cualquier usuario (administrador o no administrador). | x | x | x | x | x | ||
9. Administrador de aplicaciones en la nube. Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales, excepto el proxy de aplicación. | x | x | x | x | |||
10. Administrador de aplicaciones. Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales. | x | x | x | x | |||
11. Lector global. Puede leer todo lo que un administrador global puede, pero no puede actualizar nada. | x | x | x | x | x | ||
12. Administrador del proveedor de identidades externo. Puede administrar la federación entre las organizaciones de Microsoft Entra y los proveedores de identidades externos. | x | ||||||
13. Administrador de nombres de dominio. Puede administrar los nombres de dominio en la nube y en el entorno local. | x |
¿Cómo funcionará GDAP con Privileged Identity Management en Microsoft Entra?
Los partners pueden implementar Privileged Identity Management (PIM) en un grupo de seguridad de GDAP en el inquilino del asociado para elevar el acceso de algunos usuarios con privilegios elevados, just-in-time (JIT) para concederles roles con privilegios elevados, como administradores de contraseñas con eliminación automática del acceso.
Hasta enero de 2023, era necesario que todos los grupos de acceso con privilegios (nombre anterior de la característica PIM para grupos ) tuvieran que estar en un grupo asignable a roles. Esta restricción se ha quitado. Dado esto, es posible habilitar más de 500 grupos por inquilino en PIM, pero solo se pueden asignar roles a 500 grupos.
Resumen:
Los asociados pueden usar grupos a los que se pueden asignar roles y no se pueden asignar roles en PIM. Esto elimina eficazmente el límite de 500 grupos o inquilinos en PIM.
Con las actualizaciones más recientes, habrá dos maneras de incorporar el grupo a PIM (UX-wise): desde el menú PIM o desde el menú Grupos . Independientemente de la manera que elija, el resultado neto es el mismo.
La capacidad de incorporar grupos a los que se pueden asignar roles o no a roles a través del menú PIM ya está disponible.
La capacidad de incorporar grupos a los que se pueden asignar roles o no a roles a través del menú Grupos ya está disponible.
Para obtener más información, consulte Privileged Identity Management (PIM) for Groups (versión preliminar): Microsoft Entra.
¿Cómo coexisten DAP y GDAP si un cliente compra Microsoft Azure y Microsoft 365 o Dynamics 365?
GDAP está disponible con carácter general con compatibilidad con todos los servicios en la nube comerciales de Microsoft (Microsoft 365, Dynamics 365, Microsoft Azure y cargas de trabajo de Microsoft Power Platform ). Para obtener más información sobre cómo DAP y GDAP pueden coexistir y cómo GDAP tiene prioridad, consulte How will GDAP take precedence over DAP(Cómo tendrá prioridad GDAP sobre DAP).
Tengo una base de clientes grande (10 000 cuentas de cliente, por ejemplo). Cómo transición de DAP a GDAP?
Las API pueden llevar a cabo esta acción.
¿Se verán afectadas las ganancias del crédito obtenido por mi socio (PEC) al pasar de DAP a GDAP? ¿Habrá algún efecto en partner Admin Link (PAL)?
No. Las ganancias de PEC no se verán afectadas cuando realice la transición a GDAP. No hay ningún cambio en PAL con la transición, lo que garantiza que sigue ganando PEC.
¿El PEC se ve afectado cuando se quita DAP/GDAP?
- Si el cliente de un asociado solo tiene DAP y se quita DAP, pec no se pierde.
- Si el cliente de un asociado tiene DAP y se mueven a GDAP para Office y Azure simultáneamente, y DAP se quita, pec no se pierde.
- Si el cliente del asociado tiene DAP y se mueven a GDAP para Office, pero mantienen Azure tal como está (no se mueven a GDAP) y DAP se quita, pec no se perderá, pero se perderá el acceso a la suscripción de Azure.
- Si se quita un rol RBAC, se pierde pec, pero la eliminación de GDAP no quitará RBAC.
¿Cómo tienen prioridad los permisos de GDAP sobre los permisos DAP mientras coexisten DAP y GDAP?
Cuando el usuario forma parte del grupo de seguridad de GDAP y del grupo de agentes de administración de DAP y el cliente tiene relaciones entre DAP y GDAP, el acceso de GDAP tiene prioridad en el nivel de asociado, cliente y carga de trabajo.
Por ejemplo, si un usuario asociado inicia sesión para una carga de trabajo determinada y hay DAP para el rol de administrador global y GDAP para el rol lector global, el usuario asociado solo obtiene permisos de lector global.
Si hay tres clientes con asignaciones de roles de GDAP solo al grupo de seguridad de GDAP (no a los agentes de administración):
Customer | Relación con el asociado |
---|---|
Cliente 1 | DAP (GDAP no) |
Cliente 2 | DAP y GDAP |
Cliente 3 | GDAP (DAP no) |
En la tabla siguiente se describe cuándo un usuario inicia sesión en un inquilino de cliente diferente.
Usuario de ejemplo | Inquilino de cliente de ejemplo | Comportamiento | Comentarios |
---|---|---|---|
Usuario 1 | Cliente 1 | DAP | Este ejemplo es DAP tal como está. |
Usuario 1 | Cliente 2 | DAP | No hay ninguna asignación de roles de GDAP al grupo Agentes de administración, lo que da como resultado el comportamiento de DAP. |
Usuario 1 | Cliente 3 | Sin acceso | No hay ninguna relación DAP, por lo que el grupo Agentes de administración no tiene acceso al cliente 3. |
Usuario 2 | Cliente 1 | DAP | Este ejemplo es DAP tal como está |
Usuario 2 | Cliente 2 | GDAP | GDAP tiene prioridad sobre DAP porque hay un rol de GDAP asignado al usuario 2 a través del grupo de seguridad de GDAP incluso si el usuario forma parte del grupo de agentes de administración. |
Usuario 2 | Cliente 3 | GDAP | Este ejemplo es un cliente solo de GDAP. |
Usuario 3 | Cliente 1 | Sin acceso | No hay ninguna asignación de roles de GDAP al cliente 1. |
Usuario 3 | Cliente 2 | GDAP | El usuario 3 no forma parte del grupo de agentes de administración , lo que da como resultado un comportamiento de solo GDAP. |
Usuario 3 | Cliente 3 | GDAP | Comportamiento solo de GDAP |
¿Deshabilitará DAP o la transición a GDAP afectará a mis ventajas de competencia heredadas o las designaciones de asociados de soluciones que he alcanzado?
DAP y GDAP no son tipos de asociación aptos para designaciones de asociados de soluciones y deshabilitar o realizar la transición de DAP a GDAP no afectará a su logro de designaciones de asociados de soluciones. La renovación de las ventajas de competencia heredadas o las ventajas del asociado de soluciones tampoco se verán afectadas.
Vaya a Designaciones de asociados del Centro de partners para ver qué otros tipos de asociación de asociados son aptos para las designaciones de asociados de soluciones.
¿Cómo funciona GDAP con Azure Lighthouse? ¿Afecta GDAP y Azure Lighthouse entre sí?
Con respecto a la relación entre Azure Lighthouse y DAP/GDAP, piense en ellas como rutas de acceso paralelas desacopladas a los recursos de Azure, por lo que eliminar a una no debería afectar a la otra.
En el escenario de Azure Lighthouse, los usuarios del inquilino del asociado nunca inician sesión en el inquilino del cliente y no tienen permisos de Microsoft Entra en el inquilino del cliente. Sus asignaciones de roles de RBAC de Azure también se conservan en el inquilino del asociado.
En el escenario de GDAP, los usuarios del inicio de sesión del inquilino del asociado en el inquilino del cliente y la asignación de roles de RBAC de Azure al grupo agentes de administración también está en el inquilino del cliente. Puede bloquear la ruta de acceso de GDAP (los usuarios ya no pueden iniciar sesión) mientras la ruta de acceso de Azure Lighthouse no se ve afectada. Por el contrario, puede interrumpir la relación de Lighthouse (proyección) sin afectar al GDAP. Para más información, consulte la documentación de Azure Lighthouse .
¿Cómo funciona GDAP con Microsoft 365 Lighthouse?
Los proveedores de servicios administrados (MSP) inscritos en el programa de Proveedor de soluciones en la nube (CSP) como revendedores indirectos o asociados de factura directa ahora pueden usar Microsoft 365 Lighthouse para configurar el GDAP para cualquier inquilino del cliente. Dado que ya hay varias maneras en que los asociados administran su transición a GDAP, este asistente permite a los asociados de Lighthouse adoptar recomendaciones de rol específicas de sus necesidades empresariales. También les permite adoptar medidas de seguridad como el acceso Just-In-Time (JIT). Los MSP también pueden crear plantillas de GDAP a través de Lighthouse para guardar y volver a aplicar fácilmente la configuración que habilita el acceso de los clientes con privilegios mínimos. Para obtener más información y ver una demostración, consulte el Asistente para la configuración de GDAP de Lighthouse.
Los MSP pueden configurar GDAP para cualquier inquilino de cliente en Lighthouse. Para acceder a los datos de carga de trabajo del cliente en Lighthouse, se requiere una relación de GDAP o DAP. Si los permisos de GDAP y DAP coexisten en un inquilino de cliente, los permisos de GDAP tienen prioridad para los técnicos de MSP en grupos de seguridad habilitados para GDAP. Para obtener más información sobre los requisitos de Microsoft 365 Lighthouse, consulte Requisitos de Microsoft 365 Lighthouse.
¿Cuál es la mejor manera de pasar a GDAP y quitar DAP sin perder el acceso a las suscripciones de Azure si tengo clientes con Azure?
La secuencia correcta que se debe seguir para este escenario es:
- Cree una relación de GDAP para Microsoft 365 y Azure.
- Asigne roles de Microsoft Entra a grupos de seguridad para Microsoft 365 y Azure.
- Configure GDAP para que tenga prioridad sobre DAP.
- Quite DAP.
Importante
Si no sigue estos pasos, los agentes de administración existentes que administran Azure podrían perder el acceso a las suscripciones de Azure para el cliente.
La siguiente secuencia podría dar lugar a la pérdida de acceso a las suscripciones de Azure:
Quite DAP.
No perderá necesariamente el acceso a una suscripción de Azure mediante la eliminación de DAP. Pero en este momento no puede examinar el directorio del cliente para realizar ninguna asignación de roles de RBAC de Azure (por ejemplo, asignar un nuevo usuario de cliente como colaborador de RBAC de suscripción).
Cree una relación de GDAP para Microsoft 365 y Azure juntas.
Es posible que pierda el acceso a la suscripción de Azure en este paso tan pronto como esté configurado el GDAP.
Asignación de roles de Microsoft Entra a grupos de seguridad para Microsoft 365 y Azure
Recuperará el acceso a las suscripciones de Azure una vez completada la configuración de Azure GDAP.
Tengo clientes con suscripciones de Azure sin DAP. Si los mudo a GDAP para Microsoft 365, ¿perderé el acceso a las suscripciones de Azure?
Si tiene suscripciones de Azure sin DAP que administra como propietario, agregando GDAP para Microsoft 365 a ese cliente, es posible que pierda el acceso a las suscripciones de Azure. Para evitarlo, mueva el cliente a Azure GDAP al mismo tiempo que mueva el cliente a GDAP de Microsoft 365.
Importante
Si no se siguen estos pasos, los agentes de administración existentes que administran Azure podrían perder el acceso a las suscripciones de Azure para el cliente.
¿Se puede usar un único vínculo de relación con varios clientes?
No. Las relaciones, una vez aceptadas, no son reutilizables.
Si tengo una relación de revendedor con clientes sin DAP y que no tienen ninguna relación de GDAP, ¿puedo acceder a su suscripción de Azure?
Si tiene una relación de revendedor existente con el cliente, deberá establecer una relación de GDAP para poder administrar sus suscripciones de Azure.
- Cree un grupo de seguridad (por ejemplo, Administradores de Azure) en Microsoft Entra.
- Cree una relación de GDAP con el rol lector de directorios.
- Convierta el grupo de seguridad en miembro del grupo Agente de administración.
Una vez hecho esto, podrá administrar la suscripción de Azure del cliente a través de AOBO. La suscripción no se puede administrar a través de la CLI o Powershell.
¿Puedo crear un plan de Azure para los clientes sin DAP y que no tienen ninguna relación con el GDAP?
Sí, puede crear un plan de Azure incluso si no hay ningún DAP o GDAP con una relación de revendedor existente; Sin embargo, para administrar esa suscripción, necesitará DAP o GDAP.
¿Por qué la sección Detalles de la empresa está en la página Cuenta en Clientes ya no muestra detalles cuando se quita DAP?
A medida que los partners pasan de DAP a GDAP, deben asegurarse de que están disponibles lo siguiente para ver los detalles de la empresa:
- Una relación de GDAP activa.
- Se asignan cualquiera de los siguientes roles de Microsoft Entra: Administrador global, Lectores de directorios, Lectores globales. Consulte concesión de permisos pormenorizados a grupos de seguridad.
¿Por qué mi nombre de usuario se reemplaza por "user_somenumber" en portal.azure.com cuando existe una relación de GDAP?
Cuando un CSP inicia sesión en Azure Portal de su cliente (portal.azure.come) con sus credenciales de CSP y existe una relación de GDAP, el CSP observa que su nombre de usuario es "user_" seguido de algún número. No muestra su nombre de usuario real como en DAP. es así por diseño.
¿Cuáles son las escalas de tiempo para Detener DAP y conceder el GDAP predeterminado con la creación de un nuevo cliente?
Tenant type | Fecha de disponibilidad | Comportamiento de la API del Centro de partners (POST /v1/customers) enableGDAPByDefault: true |
Comportamiento de la API del Centro de partners (POST /v1/customers) enableGDAPByDefault: false |
Comportamiento de la API del Centro de partners (POST /v1/customers) No hay ningún cambio en la solicitud o carga útil |
Comportamiento de la interfaz de usuario del Centro de partners |
---|---|---|---|---|---|
Espacio aislado | 25 de septiembre de 2023 (solo API) | DAP = No. GDAP predeterminado = Sí | DAP = No. GDAP predeterminado = No | DAP = Sí. GDAP predeterminado = No | GDAP predeterminado = Sí |
Producción | 10 de octubre de 2023 (API + INTERFAZ de usuario) | DAP = No. GDAP predeterminado = Sí | DAP = No. GDAP predeterminado = No | DAP = Sí. GDAP predeterminado = No | Participación o desactivación disponible: GDAP predeterminado |
Producción | 27 de noviembre de 2023 (lanzamiento de disponibilidad general completado el 2 de diciembre) | DAP = No. GDAP predeterminado = Sí | DAP = No. GDAP predeterminado = No | DAP = No. GDAP predeterminado = Sí | Participación o desactivación disponible: GDAP predeterminado |
Los asociados deben conceder explícitamente permisos granulares a los grupos de seguridad en el GDAP predeterminado.
A partir del 10 de octubre de 2023, DAP ya no está disponible con relaciones de revendedor. El vínculo De relación de revendedor de solicitudes actualizado está disponible en la interfaz de usuario del Centro de partners y la dirección URL de propiedad del contrato de API "/v1/customers/relationship requests" devuelve la dirección URL de invitación que se enviará al administrador del inquilino del cliente.
¿Un asociado debe conceder permisos pormenorizados a los grupos de seguridad en el GDAP predeterminado?
Sí, los partners deben conceder explícitamente permisos pormenorizados a los grupos de seguridad del GDAP predeterminado para administrar el cliente.
¿Qué acciones pueden realizar un asociado con la relación Reseller, pero no DAP ni GDAP en el Centro de partners?
Los asociados con la relación de revendedor solo sin DAP o GDAP pueden crear clientes, realizar y administrar pedidos, descargar claves de software, administrar Azure RI. No pueden ver los detalles de la empresa del cliente, no pueden ver usuarios ni asignar licencias a los usuarios, no pueden registrar incidencias en nombre de los clientes y no pueden acceder a los centros de administración específicos del producto (por ejemplo, centro de administración de Teams).
¿Qué acción debe realizar un asociado para pasar de DAP a GDAP con respecto al consentimiento?
Para que un asociado o CPV accedan y administren un inquilino de cliente, la entidad de servicio de su aplicación debe dar su consentimiento en el inquilino del cliente. Cuando DAP está activo, deben agregar la entidad de servicio de la aplicación al SG de agentes de administración en el inquilino del asociado. Con GDAP, el asociado debe asegurarse de que su aplicación está con consentimiento en el inquilino del cliente. Si la aplicación usa permisos delegados (Aplicación y usuario) y existe un GDAP activo con cualquiera de los tres roles (Administrador de aplicaciones en la nube, Administrador de aplicaciones, Administrador global) se puede usar la API de consentimiento. Si la aplicación solo usa permisos de aplicación, el asociado o el cliente deben dar su consentimiento manualmente, ya sea con cualquiera de los tres roles (Administrador de aplicaciones en la nube, Administrador de aplicaciones, Administrador global), mediante la dirección URL de consentimiento del administrador para todo el inquilino.
¿Qué acción debe realizar un asociado para un error 715-123220 o las conexiones anónimas no se permiten para este servicio?
Si ve el siguiente error:
"No podemos validar la solicitud "Crear nueva relación de GDAP" en este momento. Tenga en cuenta que no se permiten conexiones anónimas para este servicio. Si cree que recibió este mensaje de error, vuelva a intentar la solicitud. Haga clic para obtener información sobre la acción que puede realizar. Si el problema persiste, póngase en contacto con el código de mensaje de referencia y soporte técnico 715-123220 y id. de transacción: guid".
Cambie cómo se conecta a Microsoft para permitir que nuestro servicio de comprobación de identidad se ejecute correctamente, por lo que podemos asegurarnos de que su cuenta no se ha puesto en peligro y es compatible con las regulaciones que Microsoft debe cumplir.
Cosas que puede hacer:
- Borre la memoria caché del explorador.
- Desactive la prevención de seguimiento en el navegador o agregue nuestro sitio a su lista de excepciones o sitios seguros.
- Desactive cualquier programa o servicio de red privada virtual (VPN) que pueda usar.
- Conéctese directamente desde el dispositivo local en lugar de a través de una máquina virtual (VM).
Después de probar estos pasos, todavía no puede conectarse, se recomienda consultar con el departamento de soporte técnico de TI para comprobar la configuración para ver si pueden ayudar a identificar lo que está causando el problema. A veces, el problema se encuentra en la configuración de red de su empresa, en cuyo caso el administrador de TI tendría que solucionar el problema, por ejemplo, al incluir en la lista segura nuestro sitio u otros ajustes de configuración de red.
¿Qué acciones de GDAP se permiten para un asociado que está fuera de la pizarra (restringido, suspendido) y fuera de bordo?
- Restringido (factura directa): no se puede crear el nuevo GDAP (relaciones de administrador). Se pueden actualizar los GDAP existentes y sus asignaciones de roles.
- Suspendido (Proveedor indirecto de factura directa/revendedor indirecto): no se puede crear el nuevo GDAP. No se pueden actualizar los GDAP existentes y sus asignaciones de roles.
- Restringido (factura directa) + activo (revendedor indirecto): para factura directa restringida: no se puede crear un nuevo GDAP (relaciones de administrador). Se pueden actualizar los GDAP existentes y sus asignaciones de roles. Para revendedor indirecto activo: se puede crear un nuevo GDAP, se pueden actualizar los GDAP existentes y sus asignaciones de roles.
Cuando no se puede crear un GDAP nuevo fuera de la placa, no se pueden actualizar las asignaciones de roles y GDAP existentes.
Ofertas
¿Se incluye la administración de suscripciones de Azure en esta versión de GDAP?
Sí. La versión actual de GDAP admite todos los productos: Microsoft 365, Dynamics 365, Microsoft Power Platform y Microsoft Azure.