Preguntas frecuentes sobre GDAP

  • Artículo

Roles adecuados: todos los usuarios interesados en el Centro de partners

Los permisos de administrador delegados granulares (GDAP) proporcionan a los asociados acceso a las cargas de trabajo de sus clientes de una manera más granular y limitada a tiempo, lo que puede ayudar a abordar los problemas de seguridad de los clientes.

Con el GDAP, los partners pueden proporcionar más servicios a los clientes que podrían estar incómodos con los altos niveles de acceso a los asociados.

GDAP también ayuda a los clientes que tienen requisitos normativos para proporcionar solo acceso con privilegios mínimos a los asociados.

Configuración de GDAP

Quién puede solicitar una relación de GDAP?

Alguien con el rol de agente de Administración en una organización asociada puede crear una solicitud de relación de GDAP.

¿Expira una solicitud de relación de GDAP si el cliente no realiza ninguna acción?

Sí. Las solicitudes de relación de GDAP expiran después de 90 días.

¿Puedo hacer una relación de GDAP con un cliente permanente?

No. Las relaciones de GDAP permanentes con los clientes no son posibles por motivos de seguridad. La duración máxima de una relación de GDAP es de dos años. Puede establecer Extensión automática en Habilitado para ampliar una relación de administrador en seis meses, hasta que finalice o se establezca la extensión automática en Deshabilitado.

¿Puede ampliarse automáticamente una relación de GDAP con un cliente?

Sí. Una relación de GDAP puede extenderse automáticamente durante seis meses hasta que finalice o se extienda automáticamente establecido en Deshabilitado.

¿Qué hago cuando expira la relación de GDAP con un cliente?

Si la relación de GDAP con el cliente expira, vuelva a solicitar una relación de GDAP.

Puede usar el análisis de relaciones de GDAP para realizar un seguimiento de las fechas de expiración de las relaciones de GDAP y prepararse para su renovación.

¿Cómo puede un cliente ampliar o renovar una relación de GDAP?

Para ampliar o renovar una relación de GDAP, el asociado o el cliente deben establecer Extensión automática en Habilitado.

¿Se puede actualizar pronto una expiración de GDAP activa para extenderse automáticamente?

Sí, si el GDAP está activo, podría extenderse.

¿Cuándo se extiende automáticamente la acción?

Supongamos que se crea un GDAP durante 365 días con la extensión automática establecida en Habilitado. En el día 365, la fecha de finalización se actualizaría eficazmente en 180 días.

¿Se enviarían correos electrónicos cuando se alterna la extensión automática entre Habilitado o Deshabilitado?

No se enviará ningún correo electrónico al partner y al cliente.

¿Se puede ampliar automáticamente una GDAP creada con PLT (Herramienta dirigida por partners), MLT (Herramienta dirigida por Microsoft), la interfaz de usuario del Centro de partners, la API del Centro de partners?

Sí, cualquier GDAP activo se puede extender automáticamente.

No, el consentimiento del cliente no es necesario para establecer la extensión automática en Habilitado en un GDAP activo existente.

¿Se deben reasignar los permisos pormenorizados a los grupos de seguridad después de la extensión automática?

No, los permisos granulares asignados a los grupos de seguridad continúan tal como está.

¿Se puede ampliar automáticamente una relación de administrador con el rol Global Administración istrator?

No, la relación de administrador con el rol Global Administración istrator no se puede ampliar automáticamente.

¿Por qué no puedo ver la página Relaciones granulares de expiración en el área de trabajo Clientes?

La página Relaciones granulares de expiración ayuda a filtrar los GDAP que expiran en diferentes escalas de tiempo, ayuda con la funcionalidad de actualizar uno o varios GDAP para la extensión automática (habilitar o deshabilitar), solo está disponible para los usuarios asociados que tienen roles globales de Administración istrators y Administración Agent.

Si expira una relación de GDAP, ¿se ven afectadas las suscripciones existentes del cliente?

No. No hay ningún cambio en las suscripciones existentes de un cliente cuando expira una relación de GDAP.

¿Cómo puede un cliente restablecer su contraseña y el dispositivo MFA si están bloqueados en su cuenta y no pueden aceptar una solicitud de relación de GDAP de un asociado?

Consulte Solución de problemas de autenticación multifactor de Microsoft Entra y No se puede usar la autenticación multifactor de Microsoft Entra para iniciar sesión en los servicios en la nube después de perder el teléfono o los cambios en el número de teléfono para obtener instrucciones.

¿Qué roles necesita un asociado para restablecer una contraseña de administrador y un dispositivo MFA si un administrador del cliente está bloqueado fuera de su cuenta y no puede aceptar una solicitud de relación de GDAP de un asociado?

El asociado debe solicitar el rol administrador de autenticación con privilegios Microsoft Entra al crear el primer GDAP para poder restablecer la contraseña y el método de autenticación de un usuario (administrador o no administrador). El rol de autenticación con privilegios Administración istrator forma parte de los roles configurados por MLT (herramienta de Microsoft Led) y está previsto que esté disponible con el GDAP predeterminado durante el flujo de creación de clientes (planeado para septiembre).

El asociado podría hacer que el administrador del cliente pruebe a restablecer la contraseña. Como medida de precaución, el asociado debe configurar SSPR (autoservicio de restablecimiento de contraseña) para sus clientes. Consulte Permitir que los usuarios restablezcan sus propias contraseñas.

Quién recibe un correo electrónico de notificación de terminación de relación de GDAP?

Dentro de una organización asociada, las personas con el rol de agente de Administración reciben una notificación de terminación.

Dentro de una organización del cliente , los usuarios con el rol de administrador global reciben una notificación de terminación.

¿Puedo ver cuándo un cliente quita el GDAP en los registros de actividad?

Sí. Los partners pueden ver cuándo un cliente quita el GDAP en los registros de actividad del Centro de partners.

¿Necesito crear una relación de GDAP con todos mis clientes?

No. GDAP es una funcionalidad opcional para los partners que desean administrar los servicios de sus clientes de forma más granular y limitada. Puede elegir con qué clientes desea crear una relación de GDAP.

Si tengo varios clientes, ¿es necesario tener varios grupos de seguridad para estos?

La respuesta depende de cómo quiera administrar sus clientes.

  • Si quiere que los usuarios asociados puedan administrar todos los clientes, puede colocar todos los usuarios asociados en un grupo de seguridad y ese grupo puede administrar todos los clientes.

  • Si prefiere tener varios usuarios asociados que administran varios clientes, asigne esos usuarios asociados a grupos de seguridad independientes para el aislamiento de los clientes.

¿Pueden los revendedores indirectos crear solicitudes de relación de GDAP en el Centro de partners?

Sí. Los revendedores indirectos (y proveedores indirectos y asociados de factura directa) pueden crear solicitudes de relación de GDAP en el Centro de partners.

¿Por qué no puede un usuario asociado con GDAP acceder a una carga de trabajo como AOBO (Administración en nombre de)?

Como parte de la configuración de GDAP, asegúrese de que los grupos de seguridad creados en el inquilino del asociado con los usuarios asociados estén seleccionados. Asegúrese también de que los roles deseados de Microsoft Entra se asignan al grupo de seguridad. Consulte Asignar roles de Microsoft Entra.

Los clientes ahora pueden excluir los CSP de la directiva de acceso condicional para que los asociados puedan realizar la transición a GDAP sin bloquearse.

Incluir usuarios : esta lista de usuarios suele incluir a todos los usuarios que una organización tiene como destino en una directiva de acceso condicional.

Las siguientes opciones están disponibles para incluir al crear una directiva de acceso condicional:

  • Seleccionar Usuarios y grupos
    • Usuarios invitados o externos (versión preliminar)
      • Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
        • Usuarios del proveedor de servicios, por ejemplo, un Proveedor de soluciones en la nube (CSP).
      • Se pueden especificar uno o varios inquilinos para los tipos de usuario seleccionados o puede especificar todos los inquilinos.

Acceso de asociado externo: las directivas de acceso condicional que tienen como destino los usuarios externos podrían interferir con el acceso del proveedor de servicios, por ejemplo, privilegios de administrador delegados pormenorizados. Para obtener más información, consulte Introducción a privilegios de administrador delegados pormenorizados (GDAP). Para las directivas destinadas a los inquilinos del proveedor de servicios de destino, use el tipo de usuario externo de Service provider user (Usuario del proveedor de servicios) disponible en las opciones de selección de Guest or external users (Usuarios invitados o externos).

Captura de pantalla de la experiencia de usuario de directiva de CA dirigida a tipos de usuario invitado y externo de organizaciones específicas de Microsoft Entra.

Excluir usuarios : cuando las organizaciones incluyen y excluyen a un usuario o grupo, el usuario o grupo se excluye de la directiva, ya que una acción de exclusión invalida una acción de inclusión en la directiva.

Las siguientes opciones están disponibles para excluir al crear una directiva de acceso condicional:

  • Usuarios invitados o externos
    • Esta selección proporciona varias opciones que se pueden usar para dirigir las directivas de acceso condicional a tipos específicos de usuarios invitados o externos e inquilinos específicos que contienen esos tipos de usuarios. Se pueden elegir varios tipos diferentes de usuarios invitados o externos y se pueden realizar varias selecciones:
      • Usuarios del proveedor de servicios, por ejemplo, un proveedor de soluciones en la nube (CSP)
    • Se pueden especificar uno o varios inquilinos para los tipos de usuario seleccionados o puede especificar todos los inquilinos.

Captura de pantalla de la directiva de CA.

Para más información, vea:

¿Necesito una relación de GDAP para crear incidencias de soporte técnico aunque tengo soporte técnico Premier para partners?

Sí, independientemente del plan de soporte técnico que tenga, el rol con menos privilegios para que los usuarios asociados puedan crear incidencias de soporte técnico para su cliente es administrador de soporte técnico del servicio.

¿El asociado puede terminar el estado GDAP en aprobación pendiente ?

No, el asociado no puede finalizar actualmente un GDAP en el estado Aprobación pendiente . Expiraría en 90 días si el cliente no realiza ninguna acción.

Una vez finalizada una relación de GDAP, ¿puedo reutilizar el mismo nombre de relación de GDAP para crear una nueva relación?

Solo después de 365 días (limpieza) una vez finalizada o expirada la relación de GDAP, puede reutilizar el mismo nombre para crear una nueva relación de GDAP.

API de GDAP

¿Están disponibles las API para crear una relación de GDAP con los clientes?

Para obtener información sobre las API y el GDAP, consulte la documentación para desarrolladores del Centro de partners.

¿Puedo usar las API de GDAP beta para producción?

Sí. Se recomienda que los asociados usen las API de GDAP beta para producción y, posteriormente, cambien a las API v.1 cuando estén disponibles.

Aunque hay una advertencia, "No se admite el uso de estas API en aplicaciones de producción", esa guía genérica es para cualquier API beta en Graph y no es aplicable a las API de Graph de GDAP beta.

¿Puedo crear varias relaciones de GDAP con distintos clientes a la vez?

Sí. Las relaciones de GDAP se pueden crear mediante API, lo que permite a los asociados escalar este proceso. Sin embargo, la creación de varias relaciones de GDAP no está disponible en el Centro de partners. Para obtener información sobre las API y el GDAP, consulte la documentación para desarrolladores del Centro de partners.

¿Pueden asignarse varios grupos de seguridad en una relación de GDAP mediante una llamada API?

La API funciona para un grupo de seguridad a la vez, pero puede asignar varios grupos de seguridad a varios roles en el Centro de partners.

¿Cómo puedo solicitar varios permisos de recursos para mi aplicación?

Realice llamadas individuales para cada recurso. Al realizar una única solicitud POST, pase solo un recurso y sus ámbitos correspondientes.

Por ejemplo, para solicitar permisos para y https://graph.windows.net/Directory.AccessAsUser.Allhttps://graph.microsoft.com/Organization.Read.All, realice dos solicitudes diferentes, una para cada una.

¿Cómo puedo encontrar el identificador de recurso de un recurso determinado?

Use el vínculo proporcionado para buscar el nombre del recurso: Comprobar las aplicaciones de Microsoft de primera entidad en los informes de inicio de sesión : Active Directory. Ejemplo:

Para buscar el identificador de recurso (ejemplo: 00000003-0000-0000-c000-000000000000 para graph.microsoft.com):

Captura de pantalla de la pantalla Manifiesto de una aplicación de ejemplo, con su identificador de recurso resaltado.

¿Qué debo hacer si encuentro el error "Request_UnsupportedQuery" con el mensaje: "Cláusula de filtro de consulta no admitida o no válida especificada para la propiedad "appId" del recurso "ServicePrincipal"?

Este error suele producirse cuando se usa un identificador incorrecto en el filtro de consulta.

Para resolverlo, asegúrese de que usa la propiedad enterpriseApplicationId con el identificador de recurso correcto, no el nombre del recurso.

  • Solicitud incorrecta

    Para enterpriseApplicationId, no use un nombre de recurso como graph.microsoft.com.

    Captura de pantalla de una solicitud incorrecta, donde enterpriseApplicationId usa graph.microsoft.com.

  • Solicitud correcta

    En su lugar, para enterpriseApplicationId, use el identificador de recurso, como 00000003-0000-0000-c000-00000000000000.

    Captura de pantalla de una solicitud correcta, donde enterpriseApplicationId usa un GUID.

¿Cómo puedo agregar nuevos ámbitos al recurso de una aplicación que ya se ha consentido en el inquilino del cliente?

Ejemplo: anteriormente en graph.microsoft.com ámbito de recurso solo se consienteba el ámbito de "perfil". Ahora también queremos agregar el perfil y user.read.

Para agregar nuevos ámbitos a una aplicación con consentimiento anterior:

  1. Use el método DELETE para revocar el consentimiento de la aplicación existente del inquilino del cliente.

  2. Use el método POST para crear el consentimiento de la aplicación con los ámbitos adicionales.

    Nota:

    Si la aplicación requiere permisos para varios recursos, ejecute el método POST por separado para cada recurso.

Cómo especificar varios ámbitos para un único recurso (enterpriseApplicationId)?

Concatene los ámbitos necesarios mediante una coma seguida de un espacio. Ejemplo: "scope": "profile, User.Read"

¿Qué debo hacer si recibo un error "400 solicitud incorrecta" con el mensaje "Token no admitido". ¿No se puede inicializar el contexto de autorización"?

  1. Confirme que las propiedades "displayName" y "applicationId" del cuerpo de la solicitud son precisas y coinciden con la aplicación que intenta dar su consentimiento en el inquilino del cliente.

  2. Asegúrese de que usa la misma aplicación para generar el token de acceso que está intentando dar su consentimiento en el inquilino del cliente.

    Ejemplo: Si el identificador de la aplicación es "12341234-1234-1234-12341234", la notificación "appId" del token de acceso también debe ser "12341234-1234-1234-12341234".

  3. Compruebe que se cumple una de las condiciones siguientes:

    • Tiene un Administración Privilegio delegado activo (DAP) y el usuario también es miembro del grupo de seguridad de agentes de Administración en el inquilino del asociado.

    • Tiene una relación de privilegio Administración s delegados pormenorizados (GDAP) activos con el inquilino del cliente con al menos uno de los tres roles de GDAP siguientes y ha completado la asignación de acceso:

      • Rol global Administración istrator, Application Administración istrator o Cloud Application Administración istrator.
      • El usuario asociado es miembro del grupo de seguridad especificado en la asignación de acceso.

Roles

¿Qué roles de GDAP son necesarios para acceder a una suscripción de Azure?
¿Hay instrucciones sobre los roles con privilegios mínimos que puedo asignar a los usuarios para tareas específicas?

Sí. Para obtener información sobre cómo restringir los permisos de administrador de un usuario mediante la asignación de roles con privilegios mínimos en Microsoft Entra, consulte Roles con privilegios mínimos por tarea en Microsoft Entra.

¿Cuál es el rol con menos privilegios que puedo asignar al inquilino de un cliente y seguir siendo capaz de crear incidencias de soporte técnico para el cliente?

Se recomienda asignar el rol de administrador de soporte técnico del servicio . Para obtener más información, consulte Roles con privilegios mínimos por tarea en Microsoft Entra.

¿Puedo abrir incidencias de soporte técnico para un cliente en una relación de GDAP de la que se han excluido todos los roles de Microsoft Entra?

No. El rol con privilegios mínimos para que los usuarios asociados puedan crear incidencias de soporte técnico para su cliente es el administrador de soporte técnico del servicio. Por lo tanto, para poder crear incidencias de soporte técnico para el cliente, un usuario asociado debe estar en un grupo de seguridad y asignarlo a ese cliente con ese rol.

¿Dónde puedo encontrar información sobre todos los roles y cargas de trabajo incluidos en GDAP?

Para obtener información sobre todos los roles, consulte Roles integrados de Microsoft Entra.

Para obtener información sobre las cargas de trabajo, consulte Cargas de trabajo compatibles con privilegios de administrador delegados pormenorizados (GDAP).

¿Qué rol de GDAP proporciona acceso al Centro de Administración de Microsoft 365?

Muchos roles se usan para Administración de Microsoft 365 Center. Para más información, consulte Roles comunes del centro de administración de Microsoft 365.

¿Puedo crear grupos de seguridad personalizados para GDAP?

Sí. Cree un grupo de seguridad, asigne roles aprobados y, a continuación, asigne usuarios de inquilino de asociados a ese grupo de seguridad.

¿Qué roles de GDAP proporcionan acceso de solo lectura a las suscripciones del cliente y, por tanto, no permiten al usuario administrarlas?

El lector global, el lector global, el lector de directorios y los roles de soporte técnico del nivel 2 de partner proporcionan acceso de solo lectura a las suscripciones del cliente.

¿Qué rol debo asignar a mis agentes asociados (actualmente Administración agentes) si me gustaría que administren el inquilino del cliente pero no modifiquen las suscripciones del cliente?

Se recomienda quitar los agentes asociados del rol de agente de Administración y agregarlos solo a un grupo de seguridad de GDAP. De este modo, pueden administrar servicios (solicitudes de servicio de administración y registro de servicios, por ejemplo), pero no pueden comprar y administrar suscripciones (cambiar cantidad, cancelar, programar cambios, etc.).

¿Qué ocurre si un cliente concede roles de GDAP al asociado y, a continuación, quita roles o interrumpe la relación de GDAP?

Los grupos de seguridad asignados a la relación pierden el acceso a ese cliente. Lo mismo sucede si un cliente finaliza una relación DAP.

¿Puede un asociado seguir realizando transacciones para un cliente después de quitar toda la relación de GDAP con el cliente?

Sí, quitar las relaciones de GDAP con un cliente no finaliza la relación de revendedor de los partners con el cliente. Los partners todavía pueden comprar productos para el cliente y administrar el presupuesto de Azure y otras actividades relacionadas.

¿Pueden algunos roles de mi relación de GDAP con mi cliente tener más tiempo de expiración que otros?

No. Todos los roles de una relación de GDAP tienen el mismo tiempo de expiración: la duración que se eligió cuando se creó la relación.

¿Necesito GDAP para cursar los pedidos de clientes nuevos y existentes en el Centro de partners?

No. No necesita GDAP para cumplir los pedidos de clientes nuevos y existentes. Puede seguir usando el mismo proceso para cursar los pedidos de los clientes en el Centro de partners.

¿Tengo que asignar un rol de agente de asociado a todos los clientes o puedo asignar un rol de agente de asociado solo a un cliente?

Las relaciones de GDAP son por cliente. Puede tener varias relaciones por cliente. Cada relación de GDAP puede tener roles diferentes y usar diferentes grupos de Microsoft Entra dentro del inquilino de CSP.

En el Centro de partners, la asignación de roles funciona en el nivel de relación de cliente a GDAP. Si quiere realizar una asignación de roles multicliente, puede automatizar el proceso mediante las API.

¿Un usuario asociado puede tener roles de GDAP y una cuenta de invitado?

Las cuentas de invitado son compatibles con GDAP, pero no con la relación DAP.

¿Necesito DAP/GDAP para el aprovisionamiento de suscripciones de Azure?

No, no necesita DAP ni GDAP para comprar planes de Azure y aprovisionar suscripciones de Azure para un cliente. El proceso para crear una suscripción de Azure para un cliente se documenta en Creación de una suscripción para el cliente de un asociado: Microsoft Cost Management + Billing. De forma predeterminada, el grupo agentes de Administración del inquilino del asociado se convierte en el propietario de las suscripciones de Azure aprovisionadas para el cliente. Inicie sesión en Azure Portal con el identificador del Centro de partners.

Para aprovisionar el acceso al cliente, necesita una relación de GDAP. La relación de GDAP debe incluir como mínimo el rol Entra de Microsoft de lectores de directorios. Para aprovisionar el acceso en Azure, use la página control de acceso (IAM). Para AOBO, inicie sesión en el Centro de partners y use la página Administración de servicios para aprovisionar el acceso al cliente.

¿Qué roles de Microsoft Entra son compatibles con GDAP?

GDAP actualmente solo admite roles integrados de Microsoft Entra. No se admiten los roles de Microsoft Entra personalizados.

¿Por qué los administradores de GDAP y los usuarios B2B no pueden agregar métodos de autenticación en aka.ms/mysecurityinfo?

Los administradores invitados de GDAP no pueden administrar su propia información de seguridad en My Security-Info. En su lugar, necesitarán la ayuda del administrador de inquilinos en el que son invitados para cualquier registro, actualización o eliminación de información de seguridad. Las organizaciones pueden configurar directivas de acceso entre inquilinos para confiar en MFA desde el inquilino de CSP de confianza. De lo contrario, los administradores invitados de GDAP solo se limitarán a los métodos registrados por el administrador de inquilinos (que es SMS o Voz). Para más información, consulte Directivas de acceso entre inquilinos.

DAP y GDAP

¿El GDAP reemplaza DAP?

Sí. Durante el período de transición, coexistirán DAP y GDAP, con permisos de GDAP que tienen prioridad sobre los permisos DAP para las cargas de trabajo de Microsoft 365, Dynamics 365 y Azure .

¿Puedo seguir usando DAP o tengo que realizar la transición de todos mis clientes a GDAP?

DAP y GDAP coexisten durante el período de transición. Sin embargo, el GDAP reemplazará finalmente a DAP para asegurarnos de que proporcionamos una solución más segura para nuestros asociados y clientes. Se recomienda que realice la transición de los clientes a GDAP lo antes posible para garantizar la continuidad.

Durante la coexistencia de DAP y GDAP, ¿habrá algún cambio en la forma en que se crea una relación de DAP?

No hay ningún cambio en el flujo existente de las relaciones de DAP durante la coexistencia de DAP y GDAP.

¿Qué roles de Microsoft Entra se concederían para el GDAP predeterminado como parte de Create customer?

DAP se concede actualmente cuando se crea un nuevo inquilino de cliente. A partir del 25 de septiembre de 2023, Microsoft ya no concederá DAP para la creación de nuevos clientes y, en su lugar, concederá GDAP predeterminado con roles específicos. Los roles predeterminados varían según el tipo de asociado, como se muestra en la tabla siguiente:

Roles de Microsoft Entra concedidos para el GDAP predeterminado Asociados de facturación directa Proveedores indirectos Revendedores indirectos Asociados de dominio proveedores de Panel de control (CPV) Advisor No participar en el GDAP predeterminado (sin DAP)
1. Lectores de directorio. Puede leer la información básica del directorio. Normalmente se usa para conceder acceso de lectura al directorio, a las aplicaciones e invitados. x x x x x
2. Escritores de directorios. Puede leer y escribir información básica del directorio. Para conceder acceso a aplicaciones; no pensado para los usuarios. x x x x x
3. Licencia Administración istrator. Puede administrar licencias de producto de usuarios y grupos. x x x x x
4. Soporte de servicio Administración istrator. Puede leer la información de estado del servicio y administrar las incidencias de soporte técnico. x x x x x
5. Usuario Administración istrator. Puede administrar todos los aspectos de usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados. x x x x x
6. Rol con privilegios Administración istrator. Puede administrar asignaciones de roles en Microsoft Entra y todos los aspectos de Privileged Identity Management. x x x x x
7. Departamento de soporte técnico Administración istrator. Puede restablecer contraseñas para administradores que no son administradores y administradores del departamento de soporte técnico. x x x x x
8. Autenticación con privilegios Administración istrator. Puede acceder a la información del método de autenticación para ver, establecer y restablecer la información del método de autenticación para cualquier usuario (administrador o no administrador). x x x x x
9. Cloud Application Administración istrator. Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales, excepto el proxy de aplicación. x x x x
10. Aplicación Administración istrator. Puede crear y administrar todos los aspectos de los registros de aplicaciones y de las aplicaciones empresariales. x x x x
11. Lector global. Puede leer todo lo que un administrador global puede, pero no puede actualizar nada. x x x x x
12. Proveedor de identidades externo Administración istrator. Puede administrar la federación entre las organizaciones de Microsoft Entra y los proveedores de identidades externos. x
13. Nombre de dominio Administración istrator. Puede administrar los nombres de dominio en la nube y en el entorno local. x
¿Cómo funcionará GDAP con Privileged Identity Management en Microsoft Entra?

Los partners pueden implementar Privileged Identity Management (PIM) en un grupo de seguridad de GDAP en el inquilino del asociado para elevar el acceso de algunos usuarios con privilegios elevados, just-in-time (JIT) para concederles roles con privilegios elevados, como administradores de contraseñas con eliminación automática del acceso.

Para habilitar esta implementación, PIM requiere la suscripción a Microsoft Entra ID P2 de forma gratuita. Los asociados de Microsoft pueden iniciar sesión para obtener los detalles.

Hasta enero de 2023, era necesario que todos los grupos de acceso con privilegios (nombre anterior de la característica PIM para grupos ) tuvieran que estar en un grupo asignable a roles. Esta restricción se ha quitado. Dado esto, es posible habilitar más de 500 grupos por inquilino en PIM, pero solo se pueden asignar roles a 500 grupos.

Resumen:

  • Los asociados pueden usar grupos a los que se pueden asignar roles y no se pueden asignar roles en PIM. Esto elimina eficazmente el límite de 500 grupos o inquilinos en PIM.

  • Con las actualizaciones más recientes, habrá dos maneras de incorporar el grupo a PIM (UX-wise): desde el menú PIM o desde el menú Grupos . Independientemente de la manera que elija, el resultado neto es el mismo.

    • La capacidad de incorporar grupos a los que se pueden asignar roles o no a roles a través del menú PIM ya está disponible.

    • La capacidad de incorporar grupos a los que se pueden asignar roles o no a roles a través del menú Grupos ya está disponible.

  • Para obtener más información, consulte Privileged Identity Management (PIM) for Groups (versión preliminar): Microsoft Entra.

¿Cómo coexisten DAP y GDAP si un cliente compra Microsoft Azure y Microsoft 365 o Dynamics 365?

GDAP está disponible con carácter general con compatibilidad con todos los servicios en la nube comerciales de Microsoft (Microsoft 365, Dynamics 365, Microsoft Azure y Microsoft Power Platform ). Para obtener más información sobre cómo DAP y GDAP pueden coexistir y cómo GDAP tiene prioridad, consulte How will GDAP take precedence over DAP(Cómo tendrá prioridad GDAP sobre DAP).

Tengo una base de clientes grande (10 000 cuentas de cliente, por ejemplo). Cómo transición de DAP a GDAP?

Las API pueden llevar a cabo esta acción.

No. Las ganancias de PEC no se verán afectadas cuando realice la transición a GDAP. No hay ningún cambio en PAL con la transición, lo que garantiza que sigue ganando PEC.

¿El PEC se ve afectado cuando se quita DAP/GDAP?
  • Si el cliente de un asociado solo tiene DAP y se quita DAP, pec no se pierde.
  • Si el cliente de un asociado tiene DAP y se mueven a GDAP para Office y Azure simultáneamente, y DAP se quita, pec no se pierde.
  • Si el cliente del asociado tiene DAP y se mueven a GDAP para Office, pero mantienen Azure tal como está (no se mueven a GDAP) y DAP se quita, pec no se perderá, pero se perderá el acceso a la suscripción de Azure.
  • Si se quita un rol RBAC, se pierde pec, pero la eliminación de GDAP no quitará RBAC.
¿Cómo tienen prioridad los permisos de GDAP sobre los permisos DAP mientras coexisten DAP y GDAP?

Cuando el usuario forma parte del grupo de seguridad de GDAP y del grupo de agentes de Administración DAP y el cliente tiene relaciones daP y GDAP, el acceso de GDAP tiene prioridad en el nivel de asociado, cliente y carga de trabajo.

Por ejemplo, si un usuario asociado inicia sesión para una carga de trabajo determinada y hay DAP para el rol de administrador global y GDAP para el rol lector global, el usuario asociado solo obtiene permisos de lector global.

Si hay tres clientes con asignaciones de roles de GDAP solo para el grupo de seguridad de GDAP (no Administración agentes):

Diagrama que muestra la relación entre distintos usuarios como miembros de *Administración agente* y grupos de seguridad de GDAP.

Customer Relación con el asociado
Cliente 1 DAP (GDAP no)
Cliente 2 DAP y GDAP
Cliente 3 GDAP (DAP no)

En la tabla siguiente se describe cuándo un usuario inicia sesión en un inquilino de cliente diferente.

Usuario de ejemplo Inquilino de cliente de ejemplo Comportamiento Comentarios
Usuario 1 Cliente 1 DAP Este ejemplo es DAP tal como está.
Usuario 1 Cliente 2 DAP No hay ninguna asignación de roles de GDAP al grupo de agentes de Administración, lo que da como resultado el comportamiento de DAP.
Usuario 1 Cliente 3 Sin acceso No hay ninguna relación DAP, por lo que el grupo de agentes de Administración no tiene acceso al cliente 3.
Usuario 2 Cliente 1 DAP Este ejemplo es DAP tal como está
Usuario 2 Cliente 2 GDAP GDAP tiene prioridad sobre DAP porque hay un rol de GDAP asignado al usuario 2 a través del grupo de seguridad de GDAP incluso si el usuario forma parte del grupo de agentes de Administración.
Usuario 2 Cliente 3 GDAP Este ejemplo es un cliente solo de GDAP.
Usuario 3 Cliente 1 Sin acceso No hay ninguna asignación de roles de GDAP al cliente 1.
Usuario 3 Cliente 2 GDAP El usuario 3 no forma parte del grupo de agentes de Administración, lo que da como resultado un comportamiento de solo GDAP.
Usuario 3 Cliente 3 GDAP Comportamiento solo de GDAP
¿Deshabilitará DAP o la transición a GDAP afectará a mis ventajas de competencia heredadas o las designaciones de asociados de soluciones que he alcanzado?

DAP y GDAP no son tipos de asociación aptos para designaciones de asociados de soluciones y deshabilitar o realizar la transición de DAP a GDAP no afectará a su logro de designaciones de asociados de soluciones. La renovación de las ventajas de competencia heredadas o las ventajas del asociado de soluciones tampoco se verán afectadas.

Vaya a Designaciones de asociados del Centro de partners para ver qué otros tipos de asociación de asociados son aptos para las designaciones de asociados de soluciones.

¿Cómo funciona GDAP con Azure Lighthouse? ¿Afecta GDAP y Azure Lighthouse entre sí?

Con respecto a la relación entre Azure Lighthouse y DAP/GDAP, piense en ellas como rutas de acceso paralelas desacopladas a los recursos de Azure, por lo que eliminar a una no debería afectar a la otra.

  • En el escenario de Azure Lighthouse, los usuarios del inquilino del asociado nunca inician sesión en el inquilino del cliente y no tienen permisos de Microsoft Entra en el inquilino del cliente. Sus asignaciones de roles de RBAC de Azure también se conservan en el inquilino del asociado.

  • En el escenario de GDAP, los usuarios del inicio de sesión del inquilino del asociado en el inquilino del cliente y la asignación de roles de RBAC de Azure al grupo de agentes de Administración también está en el inquilino del cliente. Puede bloquear la ruta de acceso de GDAP (los usuarios ya no pueden iniciar sesión) mientras la ruta de acceso de Azure Lighthouse no se ve afectada. Por el contrario, puede interrumpir la relación de Lighthouse (proyección) sin afectar al GDAP. Para más información, consulte la documentación de Azure Lighthouse .

¿Cómo funciona GDAP con Microsoft 365 Lighthouse?

Los proveedores de servicios administrados (MSP) inscritos en el programa de Proveedor de soluciones en la nube (CSP) como revendedores indirectos o asociados de factura directa ahora pueden usar Microsoft 365 Lighthouse para configurar el GDAP para cualquier inquilino del cliente. Dado que ya hay varias maneras en que los asociados administran su transición a GDAP, este asistente permite a los asociados de Lighthouse adoptar recomendaciones de rol específicas de sus necesidades empresariales. También les permite adoptar medidas de seguridad como el acceso Just-In-Time (JIT). Los MSP también pueden crear plantillas de GDAP a través de Lighthouse para guardar y volver a aplicar fácilmente la configuración que habilita el acceso de los clientes con privilegios mínimos. Para obtener más información y ver una demostración, consulte el Asistente para la configuración de GDAP de Lighthouse.

Los MSP pueden configurar GDAP para cualquier inquilino de cliente en Lighthouse. Para acceder a los datos de carga de trabajo del cliente en Lighthouse, se requiere una relación de GDAP o DAP. Si los permisos de GDAP y DAP coexisten en un inquilino de cliente, los permisos de GDAP tienen prioridad para los técnicos de MSP en grupos de seguridad habilitados para GDAP. Para obtener más información sobre los requisitos de Microsoft 365 Lighthouse, consulte Requisitos de Microsoft 365 Lighthouse.

¿Cuál es la mejor manera de pasar a GDAP y quitar DAP sin perder el acceso a las suscripciones de Azure si tengo clientes con Azure?

La secuencia correcta que se debe seguir para este escenario es:

  1. Cree una relación de GDAP para Microsoft 365 y Azure.
  2. Asigne roles de Microsoft Entra a grupos de seguridad para Microsoft 365 y Azure.
  3. Configure GDAP para que tenga prioridad sobre DAP.
  4. Quite DAP.

Importante

Si no sigue estos pasos, los agentes de Administración existentes que administran Azure podrían perder el acceso a las suscripciones de Azure para el cliente.

La siguiente secuencia podría dar lugar a la pérdida de acceso a las suscripciones de Azure:

  1. Quite DAP.

    No perderá necesariamente el acceso a una suscripción de Azure mediante la eliminación de DAP. Pero en este momento no puede examinar el directorio del cliente para realizar ninguna asignación de roles de RBAC de Azure (por ejemplo, asignar un nuevo usuario de cliente como colaborador de RBAC de suscripción).

  2. Cree una relación de GDAP para Microsoft 365 y Azure juntas.

    Es posible que pierda el acceso a la suscripción de Azure en este paso tan pronto como esté configurado el GDAP.

  3. Asignación de roles de Microsoft Entra a grupos de seguridad para Microsoft 365 y Azure

    Recuperará el acceso a las suscripciones de Azure una vez completada la configuración de Azure GDAP.

Tengo clientes con suscripciones de Azure sin DAP. Si los mudo a GDAP para Microsoft 365, ¿perderé el acceso a las suscripciones de Azure?

Si tiene suscripciones de Azure sin DAP que administra como propietario, agregando GDAP para Microsoft 365 a ese cliente, es posible que pierda el acceso a las suscripciones de Azure. Para evitarlo, mueva el cliente a Azure GDAP al mismo tiempo que mueva el cliente a GDAP de Microsoft 365.

Importante

Si no se siguen estos pasos, los agentes de Administración existentes que administran Azure podrían perder el acceso a las suscripciones de Azure para el cliente.

No. Las relaciones, una vez aceptadas, no son reutilizables.

Si tengo una relación de revendedor con clientes sin DAP y que no tienen ninguna relación de GDAP, ¿puedo acceder a su suscripción de Azure?

Si tiene una relación de revendedor existente con el cliente, deberá establecer una relación de GDAP para poder administrar sus suscripciones de Azure.

  1. Cree un grupo de seguridad (por ejemplo, Administradores de Azure) en Microsoft Entra.
  2. Cree una relación de GDAP con el rol lector de directorios.
  3. Convierta el grupo de seguridad en miembro del grupo agente de Administración.

Una vez hecho esto, podrá administrar la suscripción de Azure del cliente a través de AOBO. La suscripción no se puede administrar a través de la CLI o Powershell.

¿Puedo crear un plan de Azure para los clientes sin DAP y que no tienen ninguna relación con el GDAP?

Sí, puede crear un plan de Azure incluso si no hay ningún DAP o GDAP con una relación de revendedor existente; Sin embargo, para administrar esa suscripción, necesitará DAP o GDAP.

¿Por qué la sección Detalles de la empresa está en la página Cuenta en Clientes ya no muestra detalles cuando se quita DAP?

A medida que los partners pasan de DAP a GDAP, deben asegurarse de que están disponibles lo siguiente para ver los detalles de la empresa:

  • Una relación de GDAP activa.
  • Se asignan cualquiera de los siguientes roles de Microsoft Entra: Global Administración istrator, Lectores de directorios, Lector global. Consulte concesión de permisos pormenorizados a grupos de seguridad.
¿Por qué mi nombre de usuario se reemplaza por "user_somenumber" en portal.azure.com cuando existe una relación de GDAP?

Cuando un CSP inicia sesión en Azure Portal de su cliente (portal.azure.come) con sus credenciales de CSP y existe una relación de GDAP, el CSP observa que su nombre de usuario es "user_" seguido de algún número. No muestra su nombre de usuario real como en DAP. es así por diseño.

Captura de pantalla del nombre de usuario que muestra el reemplazo.

¿Cuáles son las escalas de tiempo para Detener DAP y conceder el GDAP predeterminado con la creación de un nuevo cliente?
Tenant type Fecha de disponibilidad Comportamiento de la API del Centro de partners (POST /v1/customers)
enableGDAPByDefault: true		 Comportamiento de la API del Centro de partners (POST /v1/customers)
enableGDAPByDefault: false		 Comportamiento de la API del Centro de partners (POST /v1/customers)
No hay ningún cambio en la solicitud o carga útil		 Comportamiento de la interfaz de usuario del Centro de partners
Espacio aislado 25 de septiembre de 2023 (solo API) DAP = No. GDAP predeterminado = Sí DAP = No. GDAP predeterminado = No DAP = Sí. GDAP predeterminado = No GDAP predeterminado = Sí
Producción 10 de octubre de 2023 (API + INTERFAZ de usuario) DAP = No. GDAP predeterminado = Sí DAP = No. GDAP predeterminado = No DAP = Sí. GDAP predeterminado = No Participación o desactivación disponible: GDAP predeterminado
Producción 27 de noviembre de 2023 (lanzamiento de disponibilidad general completado el 2 de diciembre) DAP = No. GDAP predeterminado = Sí DAP = No. GDAP predeterminado = No DAP = No. GDAP predeterminado = Sí Participación o desactivación disponible: GDAP predeterminado

Los asociados deben conceder explícitamente permisos granulares a los grupos de seguridad en el GDAP predeterminado.
A partir del 10 de octubre de 2023, DAP ya no está disponible con relaciones de revendedor. El vínculo De relación de revendedor de solicitudes actualizado está disponible en la interfaz de usuario del Centro de partners y la dirección URL de propiedad del contrato de API "/v1/customers/relationship requests" devuelve la dirección URL de invitación que se enviará al administrador del inquilino del cliente.

¿Un asociado debe conceder permisos pormenorizados a los grupos de seguridad en el GDAP predeterminado?

Sí, los partners deben conceder explícitamente permisos pormenorizados a los grupos de seguridad del GDAP predeterminado para administrar el cliente.

¿Qué acciones pueden realizar un asociado con la relación Reseller, pero no DAP ni GDAP en el Centro de partners?

Los asociados con la relación de revendedor solo sin DAP o GDAP pueden crear clientes, realizar y administrar pedidos, descargar claves de software, administrar Azure RI. No pueden ver los detalles de la empresa del cliente, no pueden ver usuarios ni asignar licencias a los usuarios, no pueden registrar incidencias en nombre de los clientes y no pueden acceder a los centros de administración específicos del producto (por ejemplo, centro de administración de Teams).

Para que un asociado o CPV accedan y administren un inquilino de cliente, la entidad de servicio de su aplicación debe dar su consentimiento en el inquilino del cliente. Cuando DAP está activo, deben agregar la entidad de servicio de la aplicación al Administración Agents SG en el inquilino del asociado. Con GDAP, el asociado debe asegurarse de que su aplicación está con consentimiento en el inquilino del cliente. Si la aplicación usa permisos delegados (Aplicación y usuario) y existe un GDAP activo con cualquiera de los tres roles (Cloud Application Administración istrator, Application Administración istrator, Global Administración istrator) se puede usar la API de consentimiento de Application Administración istrator. Si la aplicación solo usa permisos de aplicación, el asociado o el cliente deben dar su consentimiento manualmente a cualquiera de los tres roles (Cloud Application Administración istrator, Application Administración istrator, Global Administración istrator), mediante la dirección URL de consentimiento del administrador en todo el inquilino.

¿Qué acción debe realizar un asociado para un error 715-123220 o las conexiones anónimas no se permiten para este servicio?

Si ve el siguiente error:

"No podemos validar la solicitud "Crear nueva relación de GDAP" en este momento. Tenga en cuenta que no se permiten conexiones anónimas para este servicio. Si cree que recibió este mensaje de error, vuelva a intentar la solicitud. Haga clic para obtener información sobre la acción que puede realizar. Si el problema persiste, póngase en contacto con el código de mensaje de referencia y soporte técnico 715-123220 y id. de transacción: guid".

Cambie cómo se conecta a Microsoft para permitir que nuestro servicio de comprobación de identidad se ejecute correctamente, por lo que podemos asegurarnos de que su cuenta no se ha puesto en peligro y es compatible con las regulaciones que Microsoft debe cumplir.

Cosas que puede hacer:

  • Borre la memoria caché del explorador.
  • Desactive la prevención de seguimiento en el navegador o agregue nuestro sitio a su lista de excepciones o sitios seguros.
  • Desactive cualquier programa o servicio de red privada virtual (VPN) que pueda usar.
  • Conéctese directamente desde el dispositivo local en lugar de a través de una máquina virtual (VM).

Después de probar estos pasos, todavía no puede conectarse, se recomienda consultar con el departamento de soporte técnico de TI para comprobar la configuración para ver si pueden ayudar a identificar lo que está causando el problema. A veces, el problema se encuentra en la configuración de red de su empresa, en cuyo caso el administrador de TI tendría que solucionar el problema, por ejemplo, al incluir en la lista segura nuestro sitio u otros ajustes de configuración de red.

¿Qué acciones de GDAP se permiten para un asociado que está fuera de bordo (restringido, suspendido)?
  • Restringido (factura directa): no se puede crear el nuevo GDAP (Administración relaciones). Se pueden actualizar los GDAP existentes y sus asignaciones de roles.
  • Suspendido (Proveedor indirecto de factura directa/revendedor indirecto): no se puede crear el nuevo GDAP. No se pueden actualizar los GDAP existentes y sus asignaciones de roles.
  • Restringido (factura directa) + activo (revendedor indirecto): se puede crear un nuevo GDAP (Administración relaciones). Se pueden actualizar los GDAP existentes y sus asignaciones de roles.

Ofertas

¿Se incluye la administración de suscripciones de Azure en esta versión de GDAP?

Sí. La versión actual de GDAP admite todos los productos: Microsoft 365, Dynamics 365, Microsoft Power Platform y Microsoft Azure.