Configurar GDAP para los clientes en Microsoft 365 Lighthouse

  • Artículo

Ahora puede configurar todos los clientes con privilegios de administrador delegados pormenorizadas (GDAP) a través de Microsoft 365 Lighthouse, independientemente de sus licencias o tamaño. Al configurar su organización con GDAP para los inquilinos de cliente que administra, los usuarios de la organización tienen los permisos necesarios para realizar su trabajo y, al mismo tiempo, proteger a los inquilinos del cliente. Lighthouse le permite realizar la transición rápida de su organización a GDAP y comenzar el viaje a los privilegios mínimos para el acceso delegado a los clientes.

El acceso delegado a través de privilegios de administrador delegados (DAP) o GDAP es un requisito previo para que los inquilinos del cliente estén totalmente incorporados a Lighthouse. Por lo tanto, la creación de relaciones de GDAP con los clientes puede ser el primer paso para administrar los inquilinos de los clientes en Lighthouse.

Durante el proceso de configuración de GDAP, puede crear plantillas de GDAP mediante la configuración de los roles de soporte técnico y los grupos de seguridad necesarios para su organización. A continuación, asigne inquilinos de cliente a plantillas de GDAP. Los roles GDAP se limitan a Microsoft Entra roles integrados y, al configurar GDAP, verá recomendaciones para un conjunto de roles necesarios para diferentes funciones de trabajo.

Inspección: Configuración de GDAP

Echa un vistazo a los demás vídeos de Microsoft 365 Lighthouse en nuestro canal de YouTube.

Antes de empezar

  • Debe tener permisos específicos en el inquilino del asociado:

    • Para establecer grupos de seguridad de GDAP, agregar usuarios y crear plantillas de GDAP, debe ser administrador global en el inquilino del asociado. Este rol se puede asignar en Microsoft Entra identificador.

    • Para crear y completar relaciones de GDAP, debe ser miembro del grupo agentes de Administración en el Centro de partners.

  • Los clientes que administra en Lighthouse deben configurarse en el Centro de partners con una relación de revendedor o una relación delegada existente (DAP o GDAP).

Nota:

Las plantillas GDAP de Lighthouse usan grupos de seguridad asignables por roles. Se requiere una licencia Microsoft Entra ID P1 para agregar usuarios a estos grupos. Para habilitar roles Just-In-Time (JIT), se requiere Microsoft Entra la gobernanza del IDE o una licencia P2 de identificador de Microsoft Entra.

Configurar GDAP por primera vez

Al configurar GDAP por primera vez, debe completar las secciones siguientes en orden. Una vez completado, puede volver y editar cualquier sección según sea necesario.

Si tiene algún problema durante la instalación de GDAP, consulte Solución de problemas y mensajes de error en Microsoft 365 Lighthouse: configuración y administración de GDAP para obtener instrucciones.

Para empezar:

  1. En el panel de navegación izquierdo de Lighthouse, seleccione Inicio.

  2. En la tarjeta Configurar GDAP , seleccione Configurar GDAP.

  3. Complete las secciones siguientes en orden.

    Paso 1: Roles y permisos

    Paso 2: Plantillas de GDAP

    Paso 3: Grupos de seguridad

    Paso 4: Asignaciones de inquilinos

    Paso 5: Revisar y finalizar

Paso 1: Roles y permisos

Elija los roles de Microsoft Entra necesarios en función de las funciones de trabajo de los empleados.

  1. En la página Roles y permisos, seleccione los roles de Microsoft Entra necesarios en función de las funciones de trabajo de los empleados. Realiza una de las siguientes acciones:

    • Adopción de roles recomendados
    • Edición Microsoft Entra selecciones de roles

    De forma predeterminada, Lighthouse incluye cinco roles de soporte técnico: administrador de cuentas, agente de service desk, especialista, ingeniero de escalación y agente JIT. Para cambiar el nombre de los roles de soporte técnico para que coincidan con las preferencias de la organización, seleccione Editar roles de soporte técnico. No se pueden agregar determinados roles de Microsoft Entra a distintos roles de soporte técnico; por ejemplo, los roles de Microsoft Entra del rol de soporte técnico del agente JIT no se pueden agregar a ningún otro rol de soporte técnico.

    Si no se necesitan todos los roles de soporte técnico para la configuración de GDAP, puede excluir uno o varios de las plantillas de GDAP en el paso siguiente.

  2. Seleccione Siguiente.

  3. Seleccione Guardar y cerrar para guardar la configuración y salir del programa de instalación de GDAP.

Paso 2: Plantillas de GDAP

Una plantilla GDAP es una colección de:

  • Roles de soporte técnico
  • Grupos de seguridad
  • Usuarios de cada grupo de seguridad

Para crear una plantilla GDAP:

  1. En la página Plantillas de GDAP , seleccione Crear plantilla.

  2. En el panel de plantillas, escriba el nombre y la descripción de la plantilla en los campos adecuados.

  3. Seleccione uno o varios roles de soporte técnico en la lista.

  4. Seleccione Guardar.

  5. Seleccione Siguiente.

  6. Seleccione Guardar y cerrar para guardar la configuración y salir del programa de instalación de GDAP.

Paso 3: Grupos de seguridad

Necesita al menos un grupo de seguridad por rol de soporte técnico para cada plantilla. Para la primera plantilla, creará un nuevo grupo de seguridad, pero para las plantillas posteriores, puede reutilizar los grupos si lo desea.

  1. En la página Grupos de seguridad , seleccione Crear grupo de seguridad.

  2. En el panel del grupo de seguridad, escriba un nombre y una descripción.

  3. Seleccione Agregar usuarios.

  4. En la lista Agregar usuarios, seleccione los usuarios que desea incluir en este grupo de seguridad.

  5. Haga clic en Guardar.

  6. Seleccione Guardar nuevamente.

  7. Seleccione Siguiente.

  8. Seleccione Guardar y cerrar para guardar la configuración y salir del programa de instalación de GDAP.

Los usuarios del grupo de seguridad del agente JIT son aptos para solicitar acceso a roles GDAP con privilegios elevados; no se les da acceso automáticamente. Como parte del programa de instalación de GDAP, seleccione un grupo de seguridad de aprobador JIT del inquilino para aprobar las solicitudes de acceso de los agentes JIT.

El grupo de seguridad del aprobador JIT debe ser asignable a roles. Si no ve que un grupo de seguridad aparece en el programa de instalación de GDAP, confirme que el grupo de seguridad es asignable a roles. Para obtener más información sobre cómo administrar las asignaciones de roles, consulte Uso de grupos de Microsoft Entra para administrar las asignaciones de roles.

Después de completar la configuración de GDAP, se crea una directiva de acceso JIT para que los agentes JIT soliciten acceso. Puede revisar la directiva creada en el portal de Gobierno de Microsoft Entra ID y los agentes JIT pueden solicitar acceso a sus roles desde el portal Mi acceso. Para obtener más información sobre cómo los agentes JIT pueden solicitar acceso, consulte Administración del acceso a los recursos. Para obtener más información sobre cómo los aprobadores pueden aprobar solicitudes, consulte Aprobar o denegar la solicitud.

Paso 4: Asignaciones de inquilinos

Asigne grupos de clientes a cada plantilla. Cada cliente solo se puede asignar a una plantilla. Una vez seleccionado, ese inquilino de cliente no se mostrará como una opción en las plantillas posteriores. Si vuelve a ejecutar el programa de instalación de GDAP, se guardarán las asignaciones de inquilinos por plantilla de GDAP.

  • Para agregar nuevos inquilinos a una plantilla GDAP, vuelva a ejecutar el programa de instalación de GDAP. Mantenga las asignaciones de inquilinos guardadas y seleccione nuevos inquilinos para asignarlos a la plantilla GDAP. Solo se crearán nuevas relaciones GDAP para los inquilinos recién asignados.

  • Para quitar inquilinos de una plantilla GDAP, vuelva a ejecutar el programa de instalación de GDAP. Quite la asignación de inquilino. La eliminación de la asignación de inquilinos no quitará la relación GDAP creada a partir de una asignación anterior, pero le permite reasignar el inquilino del cliente a otra plantilla de GDAP si es necesario.

Asegúrese de que todos los inquilinos que desea asignar a una plantilla GDAP estén seleccionados antes de seleccionar Siguiente. Puede filtrar la lista de inquilinos mediante el cuadro de búsqueda de la esquina superior derecha.

  1. En la página Asignaciones de inquilinos , seleccione los inquilinos que desea asignar a GDAP con la plantilla que ha creado.

  2. Seleccione Siguiente para ir a la sección siguiente o seleccione Guardar y cerrar para guardar la configuración y salir del programa de instalación de GDAP.

Paso 5: Revisar y finalizar

  1. En la página Revisar configuración , revise la configuración que creó para confirmar que son correctas.

  2. Seleccione Finalizar.

La configuración que ha configurado para aplicar puede tardar uno o dos minutos. Si necesita actualizar los datos, siga las indicaciones. El programa de instalación estará incompleto si sale del programa de instalación de GDAP sin seleccionar Finalizar.

Nota:

Para los clientes con una relación DAP existente, esta configuración se aplica automáticamente. Los clientes con un estado Activo en la última página del programa de instalación de GDAP se asignan a roles y grupos de seguridad, tal como se define en la plantilla GDAP.

Nota:

Para los clientes sin una relación DAP existente, se genera un vínculo de solicitud de relación de administrador para cada cliente en la última página del programa de instalación de GDAP. Desde allí, puede enviar el vínculo al administrador global del cliente para que pueda aprobar la relación de administrador. Una vez aprobada la relación, se aplicará la configuración de plantilla de GDAP. Los cambios pueden tardar hasta una hora después de la aprobación de la relación en Aparecer en Lighthouse.

Una vez que haya completado el programa de instalación de GDAP, puede ir a diferentes pasos para actualizar o cambiar roles, grupos de seguridad o plantillas. Las relaciones de GDAP ahora están visibles en el Centro de partners y los grupos de seguridad ahora están visibles en Microsoft Entra identificador.

Contenido relacionado

Introducción a los permisos (artículo)
Solución de problemas y mensajes de error (artículo)
Configuración de la seguridad del portal (artículo)
Introducción a los privilegios de administrador delegados pormenorizadas (GDAP) (artículo)
Microsoft Entra roles integrados (artículo)
Más información sobre los grupos y los derechos de acceso en Microsoft Entra id. (artículo)
¿Qué es Microsoft Entra administración de derechos? (artículo)