Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Roles adecuados: todos los partners interesados en el Centro de partners
En este artículo se enumeran las tareas de las cargas de trabajo que admiten los privilegios de administrador delegados granulares (GDAP).
Microsoft Security Copilot (Asistente de seguridad de Microsoft)
Security Copilot admite el acceso GDAP a la plataforma independiente y a determinadas experiencias insertadas.
Roles de Microsoft Entra
Security Copilot tiene sus propios roles independientes de Entra que debe configurar. Los roles recomendados para solicitar el acceso de GDAP son Operador de seguridad o Lector de seguridad, aunque se admiten otros. El cliente debe realizar un paso adicional para asignar el rol de GDAP solicitado al rol de Security Copilot adecuado. Para obtener más información, consulte Asignación de roles para Security Copilot.
GDAP en Security Copilot proporciona acceso al portal independiente. Cada complemento necesita requisitos de autorización adicionales que podrían no admitir GDAP. Para más información, vea Complementos de Security Copilot que admiten GDAP.
Las experiencias insertadas agregan funcionalidades de Security Copilot a otras cargas de trabajo. Si esas cargas de trabajo admiten GDAP como Microsoft Defender XDR, las funcionalidades insertadas de Security Copilot admiten GDAP. Por ejemplo, Purview tiene una experiencia insertada de Security Copilot y también se muestra como una carga de trabajo que admite GDAP. Por lo tanto, en Purview, Security Copilot es compatible con GDAP.
Para más información, vea también Experiencias insertadas de Security Copilot.
Tareas de Microsoft Entra ID
Todas las tareas de Microsoft Entra se admiten excepto las siguientes funcionalidades:
| Área | Funciones | Problema |
|---|---|---|
| Administración de grupos | Creación de grupos de Microsoft 365, administración de reglas de pertenencia dinámica | No admitido |
| Dispositivos | Administración de configuraciones para Enterprise State Roaming | |
| APLICACIONES | Dar consentimiento a una aplicación empresarial simultáneamente con el inicio de sesión, Administración de la aplicación empresarial "Configuraciones de usuario" | |
| Identidades externas | Administración de características de identidad externa | |
| Supervisión | Análisis de registros, configuración de diagnóstico, libros y la pestaña “Supervisión” en la página de información general de Microsoft Entra | |
| Página de Información general | Mi fuente: roles para el usuario que ha iniciado sesión | Podría mostrar información de rol incorrecta; no afecta a los permisos reales |
| Configuración de usuario | Página de administración "Características de usuario" | No es accesible para determinados roles |
Problemas conocidos:
- A los partners se les han concedido roles de Microsoft Entra Lector de seguridad o Lector global a través de la experiencia de GDAP un error "Sin acceso" al intentar acceder a roles y administradores de Microsoft Entra en un inquilino de cliente con PIM habilitado. Funciona con el rol e Administrador global.
- El mantenimiento de Microsoft Entra Connect no admite GDAP.
Tareas del Centro de administración de Exchange
Para el Centro de administración de Exchange, GDAP admite las siguientes tareas.
| Tipo de recurso | Subtipo de recurso | Actualmente admitido | Problema |
|---|---|---|---|
| Administración de destinatarios | Buzones | Crear buzón compartido, actualizar buzón, convertir en buzón de usuario o compartido, Eliminar buzón compartido, Administrar configuración de flujo de correo, Administrar directivas de buzón, Administrar delegación de buzones, Administrar direcciones de correo electrónico, Administrar respuestas automáticas, Administrar más acciones, Editar información de contacto, Administración de grupos | Abrir el buzón de otro usuario |
| Recursos | Crear o agregar un recurso [Equipo/Sala], Eliminar un recurso, Administrar ocultar de GAL, Administrar la configuración de delegados de Booking, Administrar la configuración de delegados de reserva, Administrar la configuración de delegados de recursos | ||
| Contactos | Creación o agregación de un contacto [correo electrónico de usuario/contacto de correo], eliminación de un contacto, edición de la configuración de la organización | ||
| Flujo de correo | Seguimiento de mensajes | Iniciar un seguimiento de mensajes, Comprobar consultas predeterminadas, personalizadas, autoguardadas o descargables, Reglas | Alerta, directivas de alerta |
| Dominios remotos | Agregación de un dominio remoto, eliminación de un dominio remoto, edición de informes de mensajes, tipos de respuesta | ||
| Dominios aceptados | Administración de dominios aceptados | ||
| Conectores | Agregación de un conector, administración de restricciones, identidad de correo electrónico enviado, eliminación de conectores | ||
| Funciones | Roles de administrador | Agregar grupo de roles, Eliminar grupos de roles que no están integrados, Editar grupos de roles que no están integrados, Copiar grupo de roles | |
| Migración | Migración | Agregar lote de migración, Probar migración de Google Workspace, Aprobar lote de migración, Ver detalles del lote de migración, Eliminar lote de migración | |
| Vínculo al Centro de administración de Microsoft 365 | Vínculo para ir al Centro de Administración de Microsoft 365 | ||
| Varios | Enviar widget de comentarios, Widget central de soporte técnico | ||
| Panel | Informes |
Entre los roles de RBAC admitidos se incluyen los siguientes:
- Administrador de Exchange
- Administrador del departamento de soporte técnico
- Lector global
- Administrador de seguridad
- Administrador de destinatarios de Exchange
Centro de administración de Microsoft 365
Importante
Los incidentes de servicio y el trabajo de desarrollo continuo afectan a algunas características clave del Centro de administración de Microsoft 365. Puede ver los problemas activos del Centro de administración de Microsoft 365 en el Portal de administración de Microsoft.
Nos complace anunciar la incorporación de soporte para GDAP en el centro de administración de Microsoft 365. Con esta versión preliminar, puede iniciar sesión en el Centro de administración utilizando todos los roles de Microsoft Entra compatibles con los clientes empresariales, excepto Lectores de Directorio .
Esta versión tiene funcionalidades limitadas y le ayuda a usar las siguientes áreas del Centro de administración de Microsoft 365:
- Usuarios (como la asignación de licencias)
- Facturación>Licencias
- Salud>Salud del servicio
- Soporte técnico central>Creación de un ticket de soporte técnico
Nota:
A partir del 23 de septiembre de 2024, ya no puede acceder al menú >Compras de facturación o facturación> facturas y pagos por administrador en nombre de (AOBO) a páginas del Centro de administración de Microsoft 365
Problemas conocidos:
- No se pueden exportar informes de productos de uso del sitio.
- No se puede acceder a las aplicaciones integradas en el panel de navegación de la izquierda.
Tareas de Microsoft Purview
Para Microsoft Purview, GDAP admite las siguientes tareas.
| Solución | Actualmente admitido | Problema |
|---|---|---|
| Auditoría |
Soluciones de auditoría de Microsoft 365 - Configuración de la auditoría básica o avanzada - Uso de PowerShell para buscar en el registro de auditoría - Exportación, configuración y visualización del registro de auditoría - Activar y desactivar la auditoría - Administrar directivas de retención de registros de auditoría - Investigar problemas comunes o cuentas en peligro - Exportación, configuración y visualización de los registros de auditoría |
- Consultar registro de auditoría |
| Administrador de cumplimiento |
Administrador de cumplimiento - Creación y administración de evaluaciones - Creación, extensión y modificación de plantillas de evaluación - Asignar y completar acciones de mejora - Establecimiento de permisos de usuario |
|
| MIP |
Protección de la información de Microsoft Purview Más información sobre la clasificación de datos Más información sobre la prevención de pérdida de datos Clasificación de datos: - Creación y administración de tipos de información confidencial - Crear y administrar coincidencias exactas de datos - Supervisión de lo que se hace con contenido etiquetado mediante el Explorador de actividades Protección de la información: - Crear y publicar etiquetas de confidencialidad y directivas de etiquetas - Definir etiquetas que se van a aplicar a archivos y correos electrónicos - Definir etiquetas que se van a aplicar a sitios y grupos - Definición de etiquetas que se van a aplicar a los recursos de datos esquematizados - Aplicar automáticamente una etiqueta al contenido mediante el etiquetado automático del lado del cliente y del lado del servidor, así como los recursos de datos esquematizados. - Restringir el acceso al contenido etiquetado mediante cifrado - Configuración de la privacidad y el acceso de usuarios externos, el uso compartido externo y el acceso condicional para las etiquetas aplicadas a sitios y grupos - Establezca la directiva de etiquetas para incluir controles predeterminados, obligatorios y de reducción de nivel, y aplíquelos a archivos, correos electrónicos, grupos, sitios y contenido de Power BI. DLP: - Creación, prueba y optimización de una directiva DLP - Realización de alertas y administración de incidentes - Ver eventos de coincidencia de reglas DLP en el Explorador de actividades - Configurar la configuración de Prevención de pérdida de datos (DLP) del punto final |
- Ver contenido etiquetado en el Explorador de contenido - Creación y administración de clasificadores entrenables - Compatibilidad con etiquetas de grupos y sitios |
| Administración del ciclo de vida de los datos de Microsoft Purview |
Más información sobre la administración del ciclo de vida de los datos de Microsoft Purview en Microsoft 365 - Creación y administración de directivas de retención estáticas y adaptables - Creación de etiquetas de retención - Creación de directivas de etiquetas de retención - Creación y administración de ámbitos adaptables |
-Archivamiento - Importación de archivos PST |
| Administración de registros de Microsoft Purview |
Administración de registros de Microsoft Purview - Etiquetar contenido como registro - Etiquetar contenido como registro normativo - Creación y administración de directivas de etiquetas de retención estáticas y adaptables - Creación y administración de ámbitos adaptables - Migración de etiquetas de retención y administración de los requisitos de retención con el plan de archivos - Configuración de las opciones de retención y eliminación con etiquetas de retención - Conservación del contenido cuando se produce un evento con retención basada en eventos |
- Administración de eliminación |
Para obtener información acerca de los roles de Microsoft Entra admitidos en el portal de Microsoft Purview, consulte Permisos en Microsoft Purview
Tareas de Microsoft 365 Lighthouse
Microsoft 365 Lighthouse es un portal de administración que ayuda a los proveedores de servicios administrados (MSP) a proteger y administrar dispositivos, datos y usuarios a escala para clientes empresariales pequeños y medianos.
Los roles de GDAP conceden el mismo acceso de cliente en Lighthouse que cuando esos roles de GDAP se usan para acceder individualmente a los portales de administración de los clientes. Lighthouse proporciona una vista multiinquilino entre usuarios, dispositivos y datos en función del nivel de permisos delegados de los usuarios. Para obtener información general sobre todas las funcionalidades de administración multiinquilino de Lighthouse, consulte la documentación de Lighthouse.
Ahora los MSP pueden usar Lighthouse para configurar GDAP para cualquier inquilino del cliente. Lighthouse proporciona recomendaciones de roles basadas en diferentes funciones de trabajo msp para un MSP y las plantillas de GDAP de Lighthouse permiten a los asociados guardar y volver a aplicar fácilmente la configuración que habilita el acceso de los clientes con privilegios mínimos. Para obtener más información y ver una demostración, consulte el Asistente para la configuración de GDAP de Lighthouse.
Para Microsoft 365 Lighthouse, GDAP admite las siguientes tareas. Para obtener más información sobre los permisos necesarios para acceder a Microsoft 365 Lighthouse, consulte Introducción a los permisos en Microsoft 365 Lighthouse.
| Recurso | Actualmente admitido |
|---|---|
| Inicio | Incluido |
| Inquilinos | Incluido |
| Usuarios | Incluido |
| Dispositivos | Incluido |
| Administración de amenazas | Incluido |
| Líneas base | Incluido |
| Windows 365 | Incluido |
| Estado del servicio | Incluido |
| Registros de auditoría | Incluido |
| Incorporación | Los clientes deben tener una relación de GDAP o con un revendedor indirecto, o una relación de DAP para ser incorporados. |
Los roles compatibles de control de acceso basado en roles de Azure (Azure RBAC) incluyen los siguientes:
- Administrador de autenticación
- Administrador de cumplimiento
- Administrador de acceso condicional
- Administrador de dispositivos en la nube
- Lector global
- Administrador del departamento de soporte técnico
- Administrador de Intune
- Administrador de contraseñas
- Administrador de autenticación con privilegios
- Administrador de seguridad
- Operador de seguridad
- Lector de seguridad
- Administrador de soporte técnico del servicio
- Administrador de usuarios
Tareas de Windows 365
Para Windows 365, GDAP admite las siguientes tareas.
| Recurso | Actualmente admitido |
|---|---|
| PC en la nube | Enumerar Pc en la nube, Obtener PC en la nube, Volver a aprovisionar PC en la nube, Finalizar período de gracia, Reaprovisionar acción remota Pc en la nube, Reaprovisionamiento masivo de pc remoto, Cambio de tamaño de Pc en la nube acción remota, Obtener resultados de la acción remota Pc en la nube |
| Imagen de dispositivo de PC en la nube | Lista de imágenes de dispositivo, obtención de imágenes de dispositivo, creación de imágenes de dispositivo, eliminación de imágenes de dispositivo, obtención de imágenes de origen, recarga de imágenes de dispositivo |
| Conexión de red local de PC en la nube | Lista de conexiones locales, obtención de conexiones locales, creación de conexiones local, actualización de conexiones locales, eliminación de conexiones locales, ejecución de comprobaciones de estado, actualización de contraseñas de dominio de AD |
| Directiva de aprovisionamiento de PC en la nube | Lista de directivas de aprovisionamiento, obtención de directivas de aprovisionamiento, creación de directivas de aprovisionamiento, actualización de directivas de aprovisionamiento, eliminación de directivas de aprovisionamiento, asignación de directivas de aprovisionamiento |
| Evento de auditoría de PC en la nube | Listar eventos de auditoría, Obtener evento de auditoría, Obtener tipos de actividad de auditoría |
| Configuración de usuario de PC en la nube | Listar configuraciones de usuario, Obtener configuración de usuario, Crear configuración de usuario, Actualizar configuración de usuario, Eliminar configuración de usuario, Asignar |
| Región compatible para PC en la nube | Lista de regiones admitidas |
| Planes de servicio de PC en la nube | Lista de planes de servicio |
Entre los roles de RBAC de Azure admitidos se incluyen los siguientes:
- Administrador de Intune
- Administrador de seguridad
- Operador de seguridad
- Lector de seguridad
- Lector global
- (En proceso de comprobación) administrador de Windows 365
Recursos que no están admitidos en su versión preliminar:
- N/D
Tareas del Centro de administración de Teams
Para el Centro de administración de Teams, GDAP admite las siguientes tareas.
| Recurso | Actualmente admitido |
|---|---|
| Usuarios | Asignación de directivas, configuración de voz, llamadas salientes, configuración de recogida de llamadas grupales, configuración de delegación de llamadas, números de teléfono, configuración de conferencias |
| Equipos | Directivas de Teams, Directivas de actualización |
| Dispositivos | Teléfonos IP, salas de Teams, barras de colaboración, pantallas de Teams, paneles de Teams |
| Ubicaciones | Etiquetas de informes, direcciones de emergencia, topología de red, redes y ubicaciones |
| Reuniones | Puentes de conferencia, Directivas de reunión, Configuración de reuniones, Directivas de eventos en directo, Configuración de eventos en directo |
| Directivas de mensajería | Directivas de mensajería |
| Voz | Directivas de emergencia, Planes de marcado, Planes de enrutamiento de voz, Colas de llamadas, Operadores automáticos, Directivas de estacionamiento de llamadas, Directivas de llamadas, Directivas de identificador de llamada, Números de teléfono, Enrutamiento directo |
| Análisis e informes | Informes de uso |
| Configuración para toda la organización | Acceso externo, acceso de invitados, configuración de Teams, actualización de Teams, días festivos, cuentas de recursos |
| Planificación | Planeamiento de red |
| Módulo de PowerShell de Teams | Todos los cmdlets de PowerShell del módulo de PowerShell de Teams (disponibles en el módulo de PowerShell de Teams: versión preliminar 3.2.0) |
Entre los roles de RBAC admitidos se incluyen los siguientes:
- Administrador de Teams
- Administrador de comunicaciones de Teams
- Ingeniero de soporte técnico de comunicaciones de Teams
- Especialista de soporte técnico de comunicaciones de Teams
- Administrador de dispositivos de Teams
- Lector global
Entre los recursos no admitidos para el acceso de GDAP se incluyen los siguientes:
- Administración de equipos
- Plantillas de equipos
- Aplicaciones de Teams
- Paquetes de directivas
- Asesor para Teams
- Panel de calidad de llamadas
- Conexión con operador
Microsoft Defender XDR
XDR de Microsoft Defender es un conjunto de defensa empresarial unificado previo y posterior a la vulneración. Coordina de forma nativa la detección, prevención, investigación y respuesta entre puntos de conexión, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques sofisticados.
El portal de Microsoft Defender también es el hogar de otros productos de la pila de seguridad de Microsoft 365, como Microsoft Defender para punto de conexión y Microsoft Defender para Office 365.
La documentación de todas las funcionalidades y productos de seguridad está disponible en el portal de Microsoft Defender:
Microsoft Defender para punto de conexión:
- Microsoft Defender para punto de conexión
- Funcionalidades de Microsoft Defender para Endpoint P1
- Microsoft Defender para Empresas
Microsoft Defender para Office 365:
- Exchange Online Protection (EOP)
- Plan 1 de Microsoft Defender para Office 365
- Plan 2 de Microsoft Defender para Office 365
Gobernanza de aplicaciones:
A continuación se muestran las funcionalidades disponibles para los inquilinos que acceden al portal de Microsoft Defender mediante un token de GDAP.
| Tipo de recurso | Actualmente admitido |
|---|---|
| Características de XDR de Microsoft Defender | Todas las características de Microsoft Defender XDR (como se muestran en la documentación vinculada anterior): incidentes, búsqueda avanzada de amenazas, centro de actividades, análisis de amenazas, conexión de las siguientes cargas de trabajo de seguridad en Microsoft Defender XDR: Microsoft Defender para punto de conexión, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps |
| Características de Microsoft Defender para punto de conexión | Todas las características de Microsoft Defender para punto de conexión que aparecen en la documentación vinculada anteriormente, consulte los detalles por SKU P1/SMB en la tabla. |
| Microsoft Defender para Office 365 | Todas las características de Microsoft Defender para Office 365 enumeradas en la documentación vinculada anterior. Consulte los detalles de cada licencia en la siguiente tabla: Seguridad de Office 365 incluidos Microsoft Defender para Office 365 y Protección en línea de Exchange |
| Gobernanza de aplicaciones | La autenticación funciona para el token de GDAP (token de aplicación y usuario), las directivas de autorización se aplican en función de los roles del usuario como antes |
Roles admitidos de Microsoft Entra en el portal de Microsoft Defender:
Documentación de roles admitidos en el portal de Microsoft Defender
Nota:
No todos los roles se pueden aplicar a todos los productos de seguridad. Para obtener información sobre qué roles se admiten en un producto específico, consulte su documentación.
Características de MDE en el portal de Microsoft Defender por SKU
| Capacidades de punto de conexión por SKU | Microsoft Defender para Empresas | Plan 1 de Microsoft Defender para punto de conexión | Plan 2 de Microsoft Defender para punto de conexión |
|---|---|---|---|
| Administración centralizada | X | X | X |
| Configuración del cliente simplificada | X | ||
| Administración de amenazas y vulnerabilidades | X | X | |
| Reducción de la superficie expuesta a ataques | X | X | X |
| Protección de última generación | X | X | X |
| Detección de puntos de conexión y respuesta | X | X | |
| Investigación y respuesta automatizadas | X | X | |
| Búsqueda de amenazas y retención de datos durante seis meses | X | ||
| Análisis de amenazas | X | X | |
| Compatibilidad entre plataformas con Windows, MacOS, iOS y Android | X | X | X |
| Expertos en amenazas de Microsoft | X | ||
| APIs de socios | X | X | X |
| Microsoft 365 Lighthouse para ver incidentes de seguridad entre clientes | X |
Tareas de Power BI
Para la carga de trabajo de Power BI, GDAP admite las siguientes tareas.
| Tipo de recurso | Actualmente admitido |
|---|---|
| Tareas de administrador | - Todos los elementos de menú en "Portal de administración" excepto "Conexiones de Azure" |
Roles admitidos de Microsoft Entra en el ámbito:
- Administrador de Fabric
Propiedades de Power BI fuera del ámbito:
- No se garantiza que todas las tareas no administrativas funcionen
- «Conexiones de Azure» en el Portal de administración
Tareas de SharePoint
Para SharePoint, GDAP admite las siguientes tareas.
| Tipo de recurso | Actualmente admitido |
|---|---|
| Página principal | Las tarjetas se representan, pero es posible que los datos no se represente |
| Administración de sitios: sitios activos | Crear sitios: Sitio de grupo, Sitio de comunicación, Asignar o cambiar propietario del sitio, Asignar etiqueta de confidencialidad al sitio (si se ha configurado en microsoft Entra ID) durante la creación del sitio, Cambiar la etiqueta de confidencialidad del sitio, Asignar configuración de privacidad al sitio (si no está predefinida con una etiqueta de confidencialidad), Agregar o quitar miembros a un sitio, Editar configuración de uso compartido externo del sitio, Editar nombre del sitio, Editar dirección URL del sitio, Ver actividad del sitio, Editar límite de almacenamiento, Eliminar un sitio, Cambiar vistas integradas de sitios, Exportar lista de sitios a archivo CSV, Guardar vistas personalizadas de sitios, Asociar sitio a un centro, Registrar sitio como centro |
| Administración de sitios: sitios activos | Creación de otros sitios: centro de documentos, wiki empresarial, portal de publicación y centro de contenido |
| Administración de sitios: sitios eliminados | Restaurar sitio, Eliminar sitio permanentemente (excepto en los sitios de equipo conectados a grupos de Microsoft 365) |
| Directivas: uso compartido | Establecer directivas de uso compartido externo para SharePoint y OneDrive, Cambiar "Más configuración de uso compartido externo", Establecer directivas para vínculos de archivos y carpetas, Cambiar "Otras opciones" para compartir |
| Control de acceso | Establecer o cambiar la directiva de dispositivos no administrados, Establecer o cambiar las directivas de escala de tiempo de sesiones inactivas, Establecer o cambiar la directiva de ubicación de red (independiente de la directiva ip de Microsoft Entra, Establecer o cambiar la directiva de autenticación moderna, Establecer o cambiar el acceso de OneDrive |
| Configuración | SharePoint: sitio principal, SharePoint: notificaciones, SharePoint: páginas, SharePoint: creación de sitios, SharePoint: límites del almacenamiento de sitios, OneDrive: notificaciones, OneDrive: retención, OneDrive: límite del almacenamiento, OneDrive: sincronización |
| PowerShell | Para conectar un inquilino de cliente como administrador de GDAP, use un punto de conexión de autorización de inquilino (con el id. de inquilino del cliente) en el parámetro AuthenticanUrl en lugar del punto de conexión común predeterminado.Por ejemplo, Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize. |
Los roles en el ámbito incluyen lo siguiente:
- Administrador de SharePoint
- Lector global
Las siguientes están fuera del alcance de las propiedades del Centro de administración de SharePoint:
- Todas las características, funcionalidades y plantillas de administración clásicas están fuera del ámbito y no se garantiza que funcionen correctamente.
- Nota: Para los roles de GDAP compatibles con el Centro de administración de SharePoint, los partners no pueden editar archivos y permisos en archivos y carpetas en el sitio de SharePoint del cliente. Era un riesgo de seguridad para los clientes y ya se ha solucionado.
Tareas de Dynamics 365 y Power Platform
En el caso de las aplicaciones de involucración de clientes (Ventas, Servicio) de Power Platform y Dynamics 365, GDAP admite las siguientes tareas.
| Tipo de recurso | Actualmente admitido |
|---|---|
| Tareas de administrador | - Todos los elementos de menú del Centro de administración de Power Platform |
Entre los roles admitidos de Microsoft Entra en el ámbito se incluyen los siguientes:
- Administrador de Power Platform
- Administrador del departamento de soporte técnico (para ayuda y soporte técnico)
- Administrador de soporte técnico del servicio (para ayuda y soporte técnico)
Propiedades fuera del ámbito:
- https://make.powerapps.com no admite GDAP.
Tareas de Dynamics 365 Business Central
Para Dynamics 365 Business Central, GDAP admite las siguientes tareas.
| Tipo de recurso | Actualmente admitido |
|---|---|
| Tareas de administrador | Todas las tareas* |
* Algunas tareas requieren permisos asignados al usuario administrador en el entorno de Dynamics 365 Business Central. Consulte la documentación disponible.
Entre los roles admitidos de Microsoft Entra en el ámbito se incluyen los siguientes:
- Administrador de Dynamics 365
- Administrador del departamento de soporte técnico
Propiedades fuera del ámbito:
- Ninguno
Tareas de Dynamics Lifecycle Services
Para Dynamics Lifecycle Services, GDAP admite las siguientes tareas.
| Tipo de recurso | Actualmente admitido |
|---|---|
| Tareas de administrador | Todas las tareas |
Entre los roles admitidos de Microsoft Entra en el ámbito se incluyen los siguientes:
- Administrador de Dynamics 365
Propiedades fuera del ámbito:
- Ninguno
Roles de Intune (Endpoint Manager)
Roles admitidos de Microsoft Entra en el ámbito:
- Administrador de Intune
- Lector global
- Lector de informes
- Lector de seguridad
- Administrador de cumplimiento
- Administrador de seguridad
Para comprobar el nivel de acceso de los roles anteriores, consulte la documentación de RBAC de Intune.
La compatibilidad con Intune no incluye el uso de GDAP al inscribir servidores para Microsoft Tunnel o para configurar o instalar cualquiera de los conectores para Intune. Entre los ejemplos de conectores de Intune se incluyen, entre otros, el conector de Intune para Active Directory, el conector de defensa contra amenazas móviles y el conector de Microsoft Defender para Endpoint.
Problema conocido: los socios que acceden a las directivas en las aplicaciones de Office ven "No se pudieron recuperar datos de 'OfficeSettingsContainer'". Use guid para notificar este problema a Microsoft".
Portal de Azure
Roles de Microsoft Entra en el ámbito:
- Cualquier rol de Microsoft Entra, como lectores de directorios (rol con privilegios mínimos) para acceder a la suscripción de Azure como propietario
Guía de roles de GDAP:
- El partner y el cliente deben tener una relación deRevendedor
- El partner debe crear un grupo de seguridad (p. ej., Administradores de Azure) para administrar Azure y anidarlo en Agentes de administración para crear particiones de acceso por cliente como procedimiento recomendado.
- Cuando el partner compra el plan de Azure para el cliente, se aprovisiona la suscripción de Azure y el grupo de agentes de administración se asigna aAzure RBAC como propietario en la suscripción de Azure
- Dado que el grupo de seguridad de administradores de Azure es miembro del grupo de agentes de administración, los usuarios que son miembros de Administradores de Azure se convierten en el propietario de RBAC de la suscripción de Azure.
- Para acceder a la suscripción de Azure como propietario del cliente, se debe asignar cualquier rol de Microsoft Entra, como Directory Readers (rol con privilegios mínimos), al grupo de seguridad "Administradores de Azure".
Guía alternativa de Azure GDAP (sin usar el agente de administración)
Requisitos previos:
- El socio y el cliente tienen una relación de revendedor.
- El partner crea un grupo de seguridad para administrar Azure y lo anida en el grupo HelpDeskAgents según la partición de acceso del cliente, ya que es una práctica recomendada.
- El asociado compra un plan de Azure para el cliente. La suscripción de Azure se aprovisiona y el asociado asigna al grupo Agentes de administración Control de acceso basado en roles (RBAC) de Azure como propietario en la suscripción de Azure, pero no se realiza ninguna asignación de roles de RBAC para Agentes del departamento de soporte técnico.
Pasos del administrador de partners:
El administrador asociado de la suscripción ejecuta los siguientes scripts mediante PowerShell para crear Helpdesk FPO en la suscripción de Azure.
Conéctese al inquilino del asociado para obtener el
object IDdel grupo HelpDeskAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgentsAsegúrese de que el cliente tenga lo siguiente:
- El rol de propietario o administrador de acceso de usuario.
- Permisos para crear asignaciones de roles en el nivel de suscripción.
Pasos del cliente:
Para completar el proceso, el cliente debe realizar los pasos siguientes mediante PowerShell o la CLI de Azure.
Si usa PowerShell, el cliente debe actualizar el módulo
Az.Resources.Update-Module Az.ResourcesConéctese a la entidad en la que existe la suscripción CSP.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Conéctese a la suscripción.
Nota:
Esta conexión solo se aplica si el usuario tiene permisos de asignación de funciones sobre varias suscripciones en el inquilino.
Set-AzContext -SubscriptionID <"CSP Subscription ID">az account set --subscription <CSP Subscription ID>Cree la asignación de rol.
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
Roles de Microsoft Entra en el ámbito:
- Cualquier rol de Microsoft Entra, como lectores de directorios (rol con privilegios mínimos) para acceder a la suscripción de Azure como propietario
Guía de roles de GDAP para partners:
- Requisitos previos:
- El partner y el cliente deben tener una relación de Revendedor
- El partner debe comprar la suscripción de Azure para el cliente.
- El socio debe crear un grupo de seguridad (por ejemplo, Administradores de Visual Studio) para comprar y administrar las suscripciones de Visual Studio y anidarlo bajo los Agentes Administradores para la partición de acceso por cliente, como práctica recomendada.
- El rol de GDAP para comprar y administrar Visual Studio es el mismo que Azure GDAP.
- El grupo de seguridad Visual Studio Managers debe estar asignado a cualquier rol de Microsoft Entra, como Directory Readers (rol con privilegios mínimos) para acceder a la suscripción de Azure como propietario.
- Los usuarios que forman parte del grupo de seguridad Administradores de Visual Studio pueden compraruna suscripción de Visual Studio en Marketplacehttps://marketplace.visualstudio.com (debido a que los miembros anidados de los usuarios de agentes de administración tienen acceso a la suscripción de Azure)
- Los usuarios que forman parte del grupo de seguridad Administradores de Visual Studio pueden cambiar la cantidad de suscripciones de Visual Studio.
- Los usuarios que forman parte del grupo de seguridad Administradores de Visual Studio pueden cancelar la suscripción de Visual Studio (cambiando la cantidad a cero).
- Los usuarios que forman parte del grupo de seguridad Administradores de Visual Studio pueden agregar suscriptores para administrar las suscripciones de Visual Studio (por ejemplo, examinar el directorio del cliente y agregar la asignación de roles de Visual Studio como suscriptor).
Propiedades de Visual Studio fuera del ámbito:
- Ninguno
¿Por qué no veo algunos vínculos de AOBO de DAP en la página de administración del servicio GDAP?
En la tabla siguiente se muestra por qué es posible que no vea vínculos AOBO de DAP en la página de administración del servicio GDAP.
| Vínculos AOBO de DAP | Motivo por el que falta en la página GDAP Service Management |
|---|---|
| Planificador de Microsoft 365 https://portal.office.com/ |
Duplicado del vínculo AOBO de Microsoft 365 ya existente. |
| Sway https://portal.office.com/ |
Duplicado del vínculo AOBO de Microsoft 365 ya existente. |
| Windows 10 https://portal.office.com/ |
Duplicado del vínculo AOBO de Microsoft 365 ya existente. |
| Seguridad de aplicaciones en la nube https://portal.cloudappsecurity.com/ |
Microsoft Defender for Cloud Apps se ha retirado. Este portal se integra en Microsoft Defender XDR , que admite GDAP. |
| Azure IoT Central https://apps.azureiotcentral.com/ |
Actualmente no se admite. Fuera del ámbito del GDAP. |
| Protección contra amenazas avanzada de Windows Defender https://securitycenter.windows.com |
Protección contra amenazas avanzada de Windows Defender se ha retirado. Se recomienda a los partners pasar a XDR de Microsoft Defender, que admite GDAP. |