Guía de roles de GDAP
Roles adecuados: Agente de administración
En este artículo se proporcionan instrucciones sobre qué rol integrado de Microsoft Entra con privilegios mínimos se puede usar para cada funcionalidad de privilegios de administrador delegados (GDAP) pormenorizadas. Por ejemplo, para enviar solicitudes de soporte técnico en nombre de un cliente, se requiere el rol de administrador de soporte técnico del servicio, que es el rol integrado de Microsoft Entra con privilegios mínimos en el inquilino del cliente.
Creación de solicitudes de soporte técnico
Los revendedores indirectos no pueden crear solicitudes de soporte técnico para Azure. En su lugar, deben trabajar con sus proveedores indirectos.
Para crear una solicitud de soporte técnico para: | Los asociados de factura directa y los proveedores indirectos deben tener el siguiente rol con privilegios mínimos: |
---|---|
Microsoft 365 en el Centro de administración de Microsoft 365 | Asignación de roles de GDAP a un rol que tenga permisos Microsoft.office365.supportTickets/allEntities/allTasks , como el administrador de soporte técnico del servicio. |
Dynamics 365 en el Centro de administración de Power Platform | Asignación de roles de GDAP a un rol que tenga permisos Microsoft.office365.supportTickets/allEntities/allTasks , como el administrador de soporte técnico del servicio. |
Recurso de suscripción de Azure en Azure Portal | Requisito previo: para crear solicitudes en nombre de los clientes que usan la suscripción de Azure de un cliente, los partners deben tener una relación de revendedor con el cliente, como se explica en autorización regional de CSP. Para más información, consulte Pasos para configurar el GDAP de Azure. Cualquier asignación de GDAP a un rol de Microsoft Entra, como lectores de directorios, -Y- Asignación de roles de control de acceso basado en rol (RBAC) de Azure a un rol con permisos Microsoft.Support/supportTickets/write , como colaborador de solicitud de soporte técnico |
Microsoft Entra ID en Azure Portal | Alternativa 1: Si un cliente no tiene microsoft Entra ID P1 o P2 Requisito previo: para crear solicitudes en nombre de los clientes que usan la suscripción de Azure de un cliente, los partners deben tener una relación de revendedor con el cliente por autorización regional de CSP. Para más información, consulte Pasos para configurar el GDAP de Azure. Cualquier asignación de GDAP a un rol de Microsoft Entra, como lectores de directorios, -Y- Asignación de roles RBAC de Azure a un rol con permisos microsoft.Support/supportTickets/write, como colaborador de solicitud de soporte técnico Alternativa 2: si el cliente tiene la asignación de Id. de Entra de Microsoft P1 o P2 a un rol de Microsoft Entra que tenga: microsoft.azure.supportTickets/allEntities/allTasks, como el administrador de soporte técnico del servicio. |
Roles de GDAP por tipos de asociados
Proveedores indirectos
Se recomiendan los siguientes roles para que los proveedores indirectos realicen transacciones y administren:
- Creación de nuevos inquilinos de cliente
- Configuración de relaciones de revendedor
- Comprar
- Administración de suscripciones
- Actualizaciones
- Conversiones
- Asignación de licencias y creación de usuarios de cliente
- Solicitudes de servicio al cliente (solicitudes de creación en nombre del cliente)
Rol | Descripción |
---|---|
Roles de lector: | |
Lectores de directorios | Puede leer la información básica del directorio. Normalmente se usa para conceder acceso de lectura al directorio, a las aplicaciones e invitados. |
Puede leer y escribir información básica del directorio. Para conceder acceso a aplicaciones; no pensado para los usuarios. | |
Lector global | Puede leer todo lo que un administrador global puede, pero no puede actualizar nada |
Administración de usuarios y licencias | |
Administrador de usuarios | Puede administrar todos los aspectos de usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados. |
Administrador de licencias | Puede administrar licencias de producto de usuarios y grupos. |
Administrador de soporte técnico del servicio | Puede leer la información de estado del servicio y administrar solicitudes de soporte técnico. |
Departamento de soporte técnico | |
Administrador del departamento de soporte técnico | Puede restablecer la contraseña de usuarios no administradores y administradores del departamento de soporte técnico. |
Asociados de factura directa, revendedores indirectos y asesores
Se recomiendan los siguientes roles para revendedores indirectos, asesores y asociados de factura directa que también desempeñan el papel de los MSP. Todos se clasifican como proveedores de servicios administrados especializados (MSP) que administran completamente el entorno del cliente como departamento de TI subcontratado. En esta sección se clasifican los roles requeridos por tareas y funciones.
Tareas típicas de un técnico de nivel 1 de servicios administrados
Rol | Task | Función |
---|---|---|
Administrador de soporte técnico del servicio | Enviar solicitudes de soporte técnico en nombre del cliente. | El departamento de soporte técnico crea y administra las solicitudes de soporte técnico. |
Lector de seguridad | Ver las directivas relacionadas con la seguridad en los servicios de Microsoft 365. | El departamento de soporte técnico recopila información en el inquilino del cliente para solucionar problemas o actualizar las directivas de seguridad y cumplimiento del portal, como las directivas de prevención de pérdida de datos. |
Administrador de Intune | Puede administrar todos los aspectos del producto Intune. | El departamento de soporte técnico controla la inscripción de dispositivos del cliente y la solución de problemas. |
Administrador de SharePoint | Puede administrar todos los aspectos del servicio SharePoint. | El departamento de soporte técnico administra los permisos del sitio de SharePoint. |
Especialista de soporte técnico de comunicaciones de Teams | Puede administrar el servicio Microsoft Teams. | El departamento de soporte técnico soluciona los problemas de calidad de las llamadas. |
Administrador del departamento de soporte técnico | Puede restablecer las contraseñas de los usuarios que no son administradores y estos administradores: Lectores de directorio Invitador del departamento de soporte técnico administrador del Centro de mensajes Lector de contraseñas Lector de informes lector. | El departamento de soporte técnico restablece las contraseñas. |
Administrador de Análisis de escritorio | Puede acceder a servicios y herramientas de administración de escritorio, y administrarlos. | El departamento de soporte técnico puede administrar el servicio Análisis de escritorio mediante la visualización del inventario de activos y la lectura de las propiedades estándar de las directivas de autorización. |
Administrador de autenticación | Tiene acceso para ver, configurar y restablecer la información del método de autenticación de cualquier usuario que no sea administrador. | El departamento de soporte técnico puede acceder para ver, configurar y restablecer la información del método de autenticación de cualquier usuario que no sea administrador (p. ej., MFA y acceso condicional). |
Administrador de Exchange | Los usuarios con este rol tienen permisos globales en Microsoft Exchange Online cuando el servicio está presente. También tiene la capacidad de crear y administrar todos los grupos de Microsoft 365, administrar solicitudes de soporte técnico y supervisar el estado del servicio; puede enviar OBO y administrar bandejas de entrada. | El departamento de soporte técnico administra buzones compartidos, ayuda a resolver problemas de cuotas relacionados con buzones y crea y administra reglas de transporte. |
Administrador de licencias | Puede asignar, quitar y actualizar asignaciones de licencia. | Durante la solución de problemas, el departamento de soporte técnico evalúa y corrige si hay un problema de licencia con la solicitud de soporte técnico. |
Administrador de usuarios | Puede administrar todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados; puede bloquear el inicio de sesión del usuario. | El departamento de soporte técnico administra todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados y el bloqueo del acceso de un antiguo empleado del cliente a los servicios de Microsoft 365. |
Administrador de grupos | Los miembros de este rol pueden crear o administrar grupos, crear o administrar la configuración de grupos, como directivas de nomenclatura y expiración, y ver informes de actividad y auditoría de grupos. | El departamento de soporte técnico agrega propietarios y miembros a grupos. |
Lector de directorios | Los usuarios que tienen este rol pueden leer la información básica del directorio. | El departamento de soporte técnico puede leer información básica del directorio como parte de la solución de problemas. |
Lector del Centro de mensajes | Puede leer los mensajes y las actualizaciones para su organización solo en el Centro de mensajes de Office 365. | El departamento de soporte técnico lee el Centro de mensajes para solucionar problemas de soporte técnico. |
Administrador de impresoras | Los usuarios con este rol pueden registrar impresoras y administrar todos los aspectos de todas las configuraciones de impresora en la solución de impresión universal de Microsoft, incluida la configuración del conector de impresión universal. Pueden dar su consentimiento a todas las solicitudes de permiso de impresión delegada. Los administradores de impresoras también tienen acceso a los informes de impresión. | El departamento de soporte técnico administra las configuraciones de impresora y soluciona problemas de impresora. |
Invitador de usuarios | Los usuarios de este rol pueden administrar invitaciones de usuario invitado de Microsoft Entra B2B. | El departamento de soporte técnico puede invitar a usuarios invitados independientemente del valor que determina si los miembros pueden invitar. |
Rol con privilegios mínimos por tarea
En la tabla siguiente se muestran las tareas dentro de cada funcionalidad de GDAP, junto con el rol con privilegios mínimos necesarios para realizar cada tarea.
Funcionalidad de GDAP | Tarea | Rol con privilegios mínimos |
---|---|---|
Soporte técnico | Enviar incidencia de soporte técnico | Administrador de soporte técnico del servicio |
Usuarios | Agregar usuario a rol de directorio | Administrador de roles con privilegios |
Agregar usuario a un grupo | Administrador de usuarios | |
Asignar licencia | Administrador de licencias | |
Crear usuario invitado | Invitador de usuarios invitados | |
Restablecer invitación de usuario invitado | Administrador de usuarios | |
Crear usuario | Administrador de usuarios | |
Eliminar el usuario | Administrador de usuarios | |
Invalidar tokens de actualización del administrador con limitaciones | Administrador de usuarios | |
Invalidar tokens de actualización de nonadmin | Administrador de contraseñas | |
Invalidar tokens de actualización del administrador con privilegios | Administrador de autenticación con privilegios | |
Leer configuración básica | Rol de usuario predeterminado | |
Restablecer contraseña para el administrador con limitaciones | Administrador de usuarios | |
Restablecer contraseña para nonadmin | Administrador de contraseñas | |
Restablecimiento de la contraseña para el administrador con privilegios | Administrador de autenticación con privilegios | |
Revocar licencia | Administrador de licencias | |
Actualizar todas las propiedades excepto el nombre principal de usuario | Administrador de usuarios | |
Actualización del nombre principal de usuario para un administrador limitado | Administrador de usuarios | |
Actualización del nombre principal de usuario para el administrador con privilegios | Administrador global | |
Actualizar configuración de usuario | Administrador global | |
Actualización de los métodos de autenticación | Administrador de autenticación | |
Grupos | Asignación de la licencia | Administrador de usuarios |
Crear grupo | Administrador de grupos | |
Crear, actualizar o eliminar revisión de acceso de un grupo o de una aplicación | Administrador de usuarios | |
Administrar expiración de grupos | Administrador de usuarios | |
Administración de la configuración de grupo | Administrador de grupos | |
Leer toda la configuración (excepto pertenencia oculta) | Lectores de directorios | |
Leer pertenencias ocultas | Miembro del grupo | |
Leer pertenencia a grupos con pertenencia oculta | Administrador del departamento de soporte técnico | |
Revocar licencia | Administrador de licencias | |
Actualizar pertenencia a grupo | Propietario del grupo | |
Actualizar propietarios de grupo | Propietario del grupo | |
Actualizar propiedades de grupo | Propietario del grupo | |
Eliminar grupo | Administrador de grupos | |
Licencias | Asignar licencia | Administrador de licencias |
Leer toda la configuración | Lectores de directorios | |
Revocar licencia | Administrador de licencias |