Compartir a través de


Guía de roles de GDAP

Roles adecuados: Agente de administración

En este artículo se proporcionan instrucciones sobre qué rol integrado de Microsoft Entra con privilegios mínimos se puede usar para cada funcionalidad de privilegios de administrador delegados (GDAP) pormenorizadas. Por ejemplo, para enviar solicitudes de soporte técnico en nombre de un cliente, se requiere el rol de administrador de soporte técnico del servicio, que es el rol integrado de Microsoft Entra con privilegios mínimos en el inquilino del cliente.

Creación de solicitudes de soporte técnico

Los revendedores indirectos no pueden crear solicitudes de soporte técnico para Azure. En su lugar, deben trabajar con sus proveedores indirectos.

Para crear una solicitud de soporte técnico para: Los asociados de factura directa y los proveedores indirectos deben tener el siguiente rol con privilegios mínimos:
Microsoft 365 en el Centro de administración de Microsoft 365 Asignación de roles de GDAP a un rol que tenga permisos Microsoft.office365.supportTickets/allEntities/allTasks , como el administrador de soporte técnico del servicio.
Dynamics 365 en el Centro de administración de Power Platform Asignación de roles de GDAP a un rol que tenga permisos Microsoft.office365.supportTickets/allEntities/allTasks , como el administrador de soporte técnico del servicio.
Recurso de suscripción de Azure en Azure Portal Requisito previo: para crear solicitudes en nombre de los clientes que usan la suscripción de Azure de un cliente, los partners deben tener una relación de revendedor con el cliente, como se explica en autorización regional de CSP. Para más información, consulte Pasos para configurar el GDAP de Azure.

Cualquier asignación de GDAP a un rol de Microsoft Entra, como lectores de directorios,

-Y-

Asignación de roles de control de acceso basado en rol (RBAC) de Azure a un rol con permisos Microsoft.Support/supportTickets/write , como colaborador de solicitud de soporte técnico
Microsoft Entra ID en Azure Portal Alternativa 1: Si un cliente no tiene microsoft Entra ID P1 o P2

Requisito previo
: para crear solicitudes en nombre de los clientes que usan la suscripción de Azure de un cliente, los partners deben tener una relación de revendedor con el cliente por autorización regional de CSP. Para más información, consulte Pasos para configurar el GDAP de Azure.

Cualquier asignación de GDAP a un rol de Microsoft Entra, como lectores de directorios,

-Y-

Asignación de roles RBAC de Azure a un rol con permisos microsoft.Support/supportTickets/write, como colaborador

de solicitud de soporte técnico Alternativa 2: si el cliente tiene la asignación de Id. de Entra de Microsoft P1 o P2
a un rol de Microsoft Entra que tenga: microsoft.azure.supportTickets/allEntities/allTasks, como el administrador de soporte técnico del servicio.

Roles de GDAP por tipos de asociados

Proveedores indirectos

Se recomiendan los siguientes roles para que los proveedores indirectos realicen transacciones y administren:

  • Creación de nuevos inquilinos de cliente
  • Configuración de relaciones de revendedor
  • Comprar
  • Administración de suscripciones
  • Actualizaciones
  • Conversiones
  • Asignación de licencias y creación de usuarios de cliente
  • Solicitudes de servicio al cliente (solicitudes de creación en nombre del cliente)
Rol Descripción
Roles de lector:
Lectores de directorios Puede leer la información básica del directorio. Normalmente se usa para conceder acceso de lectura al directorio, a las aplicaciones e invitados.
<bpt xmlns="urn:oasis:names:tc:xliff:document:1.2" id="1">&lt;a href="/azure/active-directory/roles/permissions-reference#directory-writers" data-linktype="absolute-path"&gt;</bpt>Escritores de directorio<ept xmlns="urn:oasis:names:tc:xliff:document:1.2" id="1">&lt;/a&gt;</ept> Puede leer y escribir información básica del directorio. Para conceder acceso a aplicaciones; no pensado para los usuarios.
Lector global Puede leer todo lo que un administrador global puede, pero no puede actualizar nada
Administración de usuarios y licencias
Administrador de usuarios Puede administrar todos los aspectos de usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados.
Administrador de licencias Puede administrar licencias de producto de usuarios y grupos.
Administrador de soporte técnico del servicio Puede leer la información de estado del servicio y administrar solicitudes de soporte técnico.
Departamento de soporte técnico
Administrador del departamento de soporte técnico Puede restablecer la contraseña de usuarios no administradores y administradores del departamento de soporte técnico.

Asociados de factura directa, revendedores indirectos y asesores

Se recomiendan los siguientes roles para revendedores indirectos, asesores y asociados de factura directa que también desempeñan el papel de los MSP. Todos se clasifican como proveedores de servicios administrados especializados (MSP) que administran completamente el entorno del cliente como departamento de TI subcontratado. En esta sección se clasifican los roles requeridos por tareas y funciones.

Tareas típicas de un técnico de nivel 1 de servicios administrados

Rol Task Función
Administrador de soporte técnico del servicio Enviar solicitudes de soporte técnico en nombre del cliente. El departamento de soporte técnico crea y administra las solicitudes de soporte técnico.
Lector de seguridad Ver las directivas relacionadas con la seguridad en los servicios de Microsoft 365. El departamento de soporte técnico recopila información en el inquilino del cliente para solucionar problemas o actualizar las directivas de seguridad y cumplimiento del portal, como las directivas de prevención de pérdida de datos.
Administrador de Intune Puede administrar todos los aspectos del producto Intune. El departamento de soporte técnico controla la inscripción de dispositivos del cliente y la solución de problemas.
Administrador de SharePoint Puede administrar todos los aspectos del servicio SharePoint. El departamento de soporte técnico administra los permisos del sitio de SharePoint.
Especialista de soporte técnico de comunicaciones de Teams Puede administrar el servicio Microsoft Teams. El departamento de soporte técnico soluciona los problemas de calidad de las llamadas.
Administrador del departamento de soporte técnico Puede restablecer las contraseñas de los usuarios que no son administradores y estos administradores: Lectores de directorio Invitador del departamento de soporte técnico administrador del Centro de mensajes Lector de contraseñas Lector de informes lector. El departamento de soporte técnico restablece las contraseñas.
Administrador de Análisis de escritorio Puede acceder a servicios y herramientas de administración de escritorio, y administrarlos. El departamento de soporte técnico puede administrar el servicio Análisis de escritorio mediante la visualización del inventario de activos y la lectura de las propiedades estándar de las directivas de autorización.
Administrador de autenticación Tiene acceso para ver, configurar y restablecer la información del método de autenticación de cualquier usuario que no sea administrador. El departamento de soporte técnico puede acceder para ver, configurar y restablecer la información del método de autenticación de cualquier usuario que no sea administrador (p. ej., MFA y acceso condicional).
Administrador de Exchange Los usuarios con este rol tienen permisos globales en Microsoft Exchange Online cuando el servicio está presente. También tiene la capacidad de crear y administrar todos los grupos de Microsoft 365, administrar solicitudes de soporte técnico y supervisar el estado del servicio; puede enviar OBO y administrar bandejas de entrada. El departamento de soporte técnico administra buzones compartidos, ayuda a resolver problemas de cuotas relacionados con buzones y crea y administra reglas de transporte.
Administrador de licencias Puede asignar, quitar y actualizar asignaciones de licencia. Durante la solución de problemas, el departamento de soporte técnico evalúa y corrige si hay un problema de licencia con la solicitud de soporte técnico.
Administrador de usuarios Puede administrar todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados; puede bloquear el inicio de sesión del usuario. El departamento de soporte técnico administra todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados y el bloqueo del acceso de un antiguo empleado del cliente a los servicios de Microsoft 365.
Administrador de grupos Los miembros de este rol pueden crear o administrar grupos, crear o administrar la configuración de grupos, como directivas de nomenclatura y expiración, y ver informes de actividad y auditoría de grupos. El departamento de soporte técnico agrega propietarios y miembros a grupos.
Lector de directorios Los usuarios que tienen este rol pueden leer la información básica del directorio. El departamento de soporte técnico puede leer información básica del directorio como parte de la solución de problemas.
Lector del Centro de mensajes Puede leer los mensajes y las actualizaciones para su organización solo en el Centro de mensajes de Office 365. El departamento de soporte técnico lee el Centro de mensajes para solucionar problemas de soporte técnico.
Administrador de impresoras Los usuarios con este rol pueden registrar impresoras y administrar todos los aspectos de todas las configuraciones de impresora en la solución de impresión universal de Microsoft, incluida la configuración del conector de impresión universal. Pueden dar su consentimiento a todas las solicitudes de permiso de impresión delegada. Los administradores de impresoras también tienen acceso a los informes de impresión. El departamento de soporte técnico administra las configuraciones de impresora y soluciona problemas de impresora.
Invitador de usuarios Los usuarios de este rol pueden administrar invitaciones de usuario invitado de Microsoft Entra B2B. El departamento de soporte técnico puede invitar a usuarios invitados independientemente del valor que determina si los miembros pueden invitar.

Rol con privilegios mínimos por tarea

En la tabla siguiente se muestran las tareas dentro de cada funcionalidad de GDAP, junto con el rol con privilegios mínimos necesarios para realizar cada tarea.

Funcionalidad de GDAP Tarea Rol con privilegios mínimos
Soporte técnico Enviar incidencia de soporte técnico Administrador de soporte técnico del servicio
Usuarios Agregar usuario a rol de directorio Administrador de roles con privilegios
Agregar usuario a un grupo Administrador de usuarios
Asignar licencia Administrador de licencias
Crear usuario invitado Invitador de usuarios invitados
Restablecer invitación de usuario invitado Administrador de usuarios
Crear usuario Administrador de usuarios
Eliminar el usuario Administrador de usuarios
Invalidar tokens de actualización del administrador con limitaciones Administrador de usuarios
Invalidar tokens de actualización de nonadmin Administrador de contraseñas
Invalidar tokens de actualización del administrador con privilegios Administrador de autenticación con privilegios
Leer configuración básica Rol de usuario predeterminado
Restablecer contraseña para el administrador con limitaciones Administrador de usuarios
Restablecer contraseña para nonadmin Administrador de contraseñas
Restablecimiento de la contraseña para el administrador con privilegios Administrador de autenticación con privilegios
Revocar licencia Administrador de licencias
Actualizar todas las propiedades excepto el nombre principal de usuario Administrador de usuarios
Actualización del nombre principal de usuario para un administrador limitado Administrador de usuarios
Actualización del nombre principal de usuario para el administrador con privilegios Administrador global
Actualizar configuración de usuario Administrador global
Actualización de los métodos de autenticación Administrador de autenticación
Grupos Asignación de la licencia Administrador de usuarios
Crear grupo Administrador de grupos
Crear, actualizar o eliminar revisión de acceso de un grupo o de una aplicación Administrador de usuarios
Administrar expiración de grupos Administrador de usuarios
Administración de la configuración de grupo Administrador de grupos
Leer toda la configuración (excepto pertenencia oculta) Lectores de directorios
Leer pertenencias ocultas Miembro del grupo
Leer pertenencia a grupos con pertenencia oculta Administrador del departamento de soporte técnico
Revocar licencia Administrador de licencias
Actualizar pertenencia a grupo Propietario del grupo
Actualizar propietarios de grupo Propietario del grupo
Actualizar propiedades de grupo Propietario del grupo
Eliminar grupo Administrador de grupos
Licencias Asignar licencia Administrador de licencias
Leer toda la configuración Lectores de directorios
Revocar licencia Administrador de licencias

Roles por complejidad

Role Simple Media Complex
Administrador de aplicaciones x
Desarrollador de aplicaciones x
Autor de carga de ataque x
Administrador de simulación de ataques x
Administrador de autenticación x
Administrador local del dispositivo unido a Microsoft Entra x
Administrador de Azure DevOps x
Administrador de Azure Information Protection x
Administrador de facturación x
Administrador de aplicaciones en la nube x x
Administrador de dispositivos en la nube x
Administrador de cumplimiento x
Administrador de acceso condicional x
Administrador de análisis de escritorio x
Lectores de directorios x x x
Cuentas de sincronización de directorios x
Administrador de nombres de dominio x
Administrador de Dynamics 365 x x
Administrador de Exchange x x
Administrador de destinatarios de Exchange x
Administrador del proveedor de identidades externo x
Lector global x x x
Administrador de grupos x
Invitador de usuarios invitados x
Administrador del departamento de soporte técnico x x x
Administrador de identificación híbrida x
Administrador de Insights x
Administrador de Intune x x
Administrador de licencias x x x
Lector de privacidad del Centro de mensajes x
Lector del Centro de mensajes x
Administrador de red x
administrador de aplicación de Office s x
Administrador de contraseñas x
Administrador de Power BI x x
Administrador de Power Platform x x
Administrador de impresoras x
Técnico de impresoras x
Administrador de autenticación con privilegios x
Administrador de roles con privilegios x
Lector de informes x x
Administrador de búsqueda x
Editor de búsqueda x
Administrador de seguridad x x
Lector de seguridad x x
Administrador de soporte técnico del servicio x x x
Administrador de SharePoint x x
administrador de Skype Empresarial x
Administrador de Teams x x
Administrador de comunicaciones de Teams x
Ingeniero de soporte técnico de comunicaciones de Teams x
Especialista en soporte técnico de comunicaciones de Teams x
Administrador de dispositivos de Teams x
Administrador de usuarios x x x
Administrador de Windows 365 x x