Compartir a través de

Configuración de GDAP en Microsoft 365 Lighthouse

  • Artículo

Los privilegios de administrador delegados pormenorizadas (GDAP) son un requisito previo para que los inquilinos del cliente estén totalmente incorporados a Lighthouse. Puede configurar todos los clientes con GDAP a través de Microsoft 365 Lighthouse. Al configurar GDAP para los inquilinos del cliente que administra, puede ayudar a proteger a los clientes y garantizar que los usuarios de su organización asociada tengan los permisos necesarios para realizar su trabajo.

Para ver cómo configurar GDAP en su organización asociada, complete la guía interactiva Microsoft 365 Lighthouse segura.

Si tiene algún problema durante la instalación de GDAP y necesita instrucciones, consulte Solución de problemas y mensajes de error en Microsoft 365 Lighthouse: configuración y administración de GDAP.

Antes de empezar

  • Debe tener roles específicos en Microsoft Entra ID o centro de partners, como se describe en la tabla Requisitos de rol de acceso delegado.

  • Los clientes que administra en Lighthouse deben configurarse en el Centro de partners con una relación de revendedor o una relación GDAP existente.

Configuración de GDAP

  1. En el panel de navegación izquierdo de Lighthouse, seleccione Inicio.

  2. En la tarjeta Configurar GDAP , seleccione Configurar GDAP.

  3. En la página Acceso delegado , seleccione la pestaña Plantillas GDAP y, a continuación, seleccione Crear una plantilla.

  4. En el panel Crear una plantilla , escriba un nombre para la plantilla y una descripción opcional.

  5. En Roles de soporte técnico, Lighthouse incluye cinco roles de soporte técnico predeterminados: administrador de cuentas, agente de service desk, especialista, ingeniero de escalación y administrador. Para cada rol de soporte técnico que quiera usar, haga lo siguiente:

    1. Seleccione Editar para abrir el panel Editar rol de soporte técnico.

    2. Actualice el nombre y la descripción del rol de soporte técnico, según sea necesario, para alinearse con los roles de soporte técnico de su organización asociada.

    3. En Roles de entra, seleccione los roles de Microsoft Entra que el rol de soporte técnico requiere en función de la función de trabajo del rol. Están disponibles las opciones siguientes:

      • Use los roles de Microsoft Entra que Recomienda Microsoft.
      • Establezca el filtro en Todos y seleccione los roles de Microsoft Entra preferidos.

      Para más información, consulte Microsoft Entra roles integrados.

    4. Haga clic en Guardar.

  6. Para cada rol de soporte técnico que quiera usar, seleccione el icono Agregar o crear un grupo de seguridad junto al rol de soporte técnico para abrir el panel Seleccionar o crear un grupo de seguridad . Si no desea usar un rol de soporte técnico determinado, no le asigne ningún grupo de seguridad.

    Nota:

    Cada plantilla de GDAP requiere que asigne al menos un grupo de seguridad a un rol de soporte técnico.

  7. Realiza una de las siguientes acciones:

    • Para usar un grupo de seguridad existente, seleccione Usar un grupo de seguridad existente, elija uno o varios grupos de seguridad de la lista y, a continuación, seleccione Guardar.

    • Para crear un nuevo grupo de seguridad, seleccione Crear un nuevo grupo de seguridad y haga lo siguiente:

      1. Escriba un nombre y una descripción opcional para el nuevo grupo de seguridad.

      2. Si procede, seleccione Crear una directiva de acceso Just-In-Time (JIT) para este grupo de seguridad y, a continuación, defina la expiración de idoneidad del usuario, la duración del acceso JIT y el grupo de seguridad del aprobador JIT.

        Nota:

        Para crear una directiva de acceso Just-In-Time (JIT) para un nuevo grupo de seguridad, debe tener una licencia Microsoft Entra ID P2. Si no puede activar la casilla para crear una directiva de acceso JIT, compruebe que tiene una licencia Microsoft Entra ID P2.

      3. Agregue usuarios al grupo de seguridad y, a continuación, seleccione Guardar.

        Nota:

        A los usuarios que forman parte de un grupo de seguridad del agente JIT no se les da acceso automáticamente a los roles de GDAP en Microsoft Entra ID. Estos usuarios primero deben solicitar acceso desde el portal Mi acceso y un miembro del grupo de seguridad del aprobador JIT debe revisar la solicitud de acceso JIT.

      4. Si ha creado una directiva de acceso JIT para el grupo de seguridad, puede revisar la directiva creada en el panel de gobernanza de identidades de la Centro de administración Microsoft Entra.

        Para obtener más información sobre cómo los agentes JIT pueden solicitar acceso, consulte Solicitud de acceso a un paquete de acceso en la administración de derechos.

        Para obtener más información sobre cómo los aprobadores pueden aprobar solicitudes, vea Aprobar o denegar solicitudes para roles de Microsoft Entra en Privileged Identity Management.

  8. Cuando haya terminado de definir los roles de soporte técnico y los grupos de seguridad, seleccione Guardar en el panel Crear una plantilla para guardar la plantilla GDAP.

    La nueva plantilla aparece ahora en la lista de plantillas de la pestaña Plantillas GDAP de la página Acceso delegado .

  9. Siga los pasos del 3 al 8 para crear más plantillas GDAP, según sea necesario.

  10. En la pestaña Plantillas de GDAP de la página Acceso delegado , seleccione los tres puntos (más acciones) junto a una plantilla de la lista y, a continuación, seleccione Asignar plantilla.

  11. En el panel Asignar esta plantilla a inquilinos , elija uno o varios inquilinos de cliente a los que desea asignar la plantilla y, a continuación, seleccione Siguiente.

    Nota:

    Cada inquilino de cliente solo se puede asociar a una plantilla GDAP a la vez. Si desea asignar una nueva plantilla a un cliente, se guardan las relaciones GDAP existentes y solo se crean nuevas relaciones basadas en la nueva plantilla.

  12. Revise los detalles de la asignación y, a continuación, seleccione Asignar.

    Las asignaciones de plantilla de GDAP pueden tardar uno o dos minutos en aplicarse. Para actualizar los datos en la pestaña Plantillas de GDAP , seleccione Actualizar.

  13. Siga los pasos del 10 al 12 para asignar plantillas adicionales a los inquilinos, según sea necesario.

Obtención de la aprobación del cliente para administrar sus productos

Como parte del proceso de configuración de GDAP, se genera un vínculo de solicitud de relación GDAP para cada cliente que no tiene una relación GDAP existente con su organización asociada. Para poder administrar los productos para ellos, debe enviar el vínculo a un administrador en el inquilino del cliente para que pueda seleccionar el vínculo para aprobar la relación GDAP.

  1. En la página Acceso delegado , seleccione la pestaña Relaciones .

  2. Expanda el inquilino del cliente cuya aprobación necesite.

  3. Seleccione la relación GDAP que muestra un estado Pendiente para abrir el panel de detalles de la relación.

  4. Seleccione Abrir en correo electrónico o Copiar correo electrónico en el Portapapeles, edite el texto si es necesario (pero no edite la dirección URL del vínculo que necesitan seleccionar para concederle permiso de administración) y, a continuación, envíe el correo electrónico de solicitud de relación GDAP a un administrador del inquilino del cliente.

Una vez que el administrador del inquilino del cliente selecciona el vínculo para aprobar la relación GDAP, se aplica la configuración de la plantilla de GDAP. Los cambios pueden tardar hasta una hora después de la aprobación de la relación en Aparecer en Lighthouse.

Las relaciones de GDAP son visibles en el Centro de partners y los grupos de seguridad son visibles en Microsoft Entra ID.

Edición de la configuración de GDAP

Una vez completada la configuración de GDAP, puede actualizar o cambiar roles, grupos de seguridad o plantillas en cualquier momento.

  1. En el panel de navegación izquierdo de Lighthouse, seleccione Permisos>de acceso delegado.

  2. En la pestaña Plantillas de GDAP , realice los cambios necesarios en las plantillas de GDAP o en sus configuraciones asociadas y, a continuación, guarde los cambios.

  3. Asigne las plantillas GDAP actualizadas a los inquilinos de cliente adecuados para que esos inquilinos tengan las configuraciones actualizadas de las plantillas.

Contenido relacionado

Introducción a los permisos en Microsoft 365 Lighthouse (artículo)
Información general de la página Acceso delegado en Microsoft 365 Lighthouse (artículo)
Solución de problemas y mensajes de error en Microsoft 365 Lighthouse (artículo)
Configuración de la seguridad del portal de Microsoft 365 Lighthouse (artículo)
Introducción a los privilegios de administrador delegados pormenorizadas (GDAP) (artículo)
Microsoft Entra roles integrados (artículo)
Más información sobre los grupos y los derechos de acceso en Microsoft Entra ID (artículo)
¿Qué es Microsoft Entra administración de derechos? (artículo)