Partage via

Configurer GDAP pour vos clients dans Microsoft 365 Lighthouse

  • Article

Vous pouvez désormais configurer tous vos clients avec des privilèges d’administrateur délégué granulaires (GDAP) via Microsoft 365 Lighthouse, quelle que soit leur licence ou leur taille. En configurant votre organization avec GDAP pour les locataires clients que vous gérez, les utilisateurs de votre organization disposent des autorisations nécessaires pour effectuer leur travail tout en assurant la sécurité des locataires clients. Lighthouse vous permet de migrer rapidement votre organization vers GDAP et de commencer le parcours vers les privilèges minimum pour votre accès délégué aux clients.

L’accès délégué via des privilèges d’administrateur délégué (DAP) ou GDAP est un prérequis pour que les locataires clients soient entièrement intégrés à Lighthouse. Par conséquent, la création de relations GDAP avec vos clients peut être la première étape de la gestion de vos locataires clients dans Lighthouse.

Pendant le processus de configuration GDAP, vous créez des modèles GDAP en configurant les rôles de support et les groupes de sécurité nécessaires pour votre organization. Ensuite, vous affectez des locataires clients à des modèles GDAP. Les rôles GDAP sont limités à Microsoft Entra rôles intégrés, et lorsque vous configurez GDAP, vous voyez des recommandations pour un ensemble de rôles nécessaires pour différentes fonctions de travail.

Regarder : Configurer GDAP

Regardez les autres vidéos Microsoft 365 Lighthouse sur notre chaîne YouTube.

Avant de commencer

  • Vous devez disposer d’autorisations spécifiques dans le locataire partenaire :

    • Pour établir des groupes de sécurité GDAP, ajouter des utilisateurs et créer des modèles GDAP, vous devez être administrateur général dans le locataire partenaire. Ce rôle peut être attribué dans Microsoft Entra’ID.

    • Pour créer et compléter des relations GDAP, vous devez être membre du groupe Agents Administration dans l’Espace partenaires.

  • Les clients que vous gérez dans Lighthouse doivent être configurés dans l’Espace partenaires avec une relation de revendeur ou une relation déléguée existante (DAP ou GDAP).

Remarque

Les modèles GDAP Lighthouse utilisent des groupes de sécurité assignables à un rôle. Une licence D’ID Microsoft Entra P1 est nécessaire pour ajouter des utilisateurs à ces groupes. Pour activer les rôles juste-à-temps (JIT), Microsoft Entra gouvernance IDE ou une licence P2 d’ID Microsoft Entra est nécessaire.

Configurer GDAP pour la première fois

Lorsque vous configurez GDAP pour la première fois, vous devez suivre les sections suivantes dans l’ordre. Une fois que vous avez terminé, vous pouvez revenir et modifier n’importe quelle section si nécessaire.

Si vous rencontrez des problèmes lors de l’installation de GDAP, consultez Résoudre les messages d’erreur et les problèmes dans Microsoft 365 Lighthouse : configuration et gestion GDAP pour obtenir des conseils.

Pour commencer :

  1. Dans le volet de navigation gauche de Lighthouse, sélectionnez Accueil.

  2. Dans la carte Configurer GDAP, sélectionnez Configurer GDAP.

  3. Suivez les sections suivantes dans l’ordre.

    Étape 1 : Rôles et autorisations

    Étape 2 : modèles GDAP

    Étape 3 : Groupes de sécurité

    Étape 4 : Affectations de locataires

    Étape 5 : Passer en revue et terminer

Étape 1 : Rôles et autorisations

Choisissez les rôles Microsoft Entra nécessaires en fonction des fonctions de travail de vos employés.

  1. Dans la page Rôles et autorisations, sélectionnez les rôles Microsoft Entra nécessaires en fonction des fonctions de travail de vos employés. Effectuez l’une des opérations suivantes :

    • Adopter les rôles recommandés
    • Modifier Microsoft Entra sélections de rôles

    Par défaut, Lighthouse comprend cinq rôles de support : gestionnaire de compte, agent de service, spécialiste, ingénieur d’escalade et agent JIT. Vous pouvez renommer les rôles de support en fonction des préférences de votre organization en sélectionnant Modifier les rôles de support. Certains rôles Microsoft Entra ne peuvent pas être ajoutés à différents rôles de support. Par exemple, les rôles Microsoft Entra dans le rôle de support de l’agent JIT ne peuvent pas être ajoutés à un autre rôle de support.

    Si tous les rôles de support ne sont pas nécessaires pour votre configuration GDAP, vous pouvez en exclure un ou plusieurs de vos modèles GDAP à l’étape suivante.

  2. Sélectionnez Suivant.

  3. Sélectionnez Enregistrer et fermer pour enregistrer vos paramètres et quitter le programme d’installation GDAP.

Étape 2 : modèles GDAP

Un modèle GDAP est une collection de :

  • Rôles de support
  • Groupes de sécurité
  • Utilisateurs de chaque groupe de sécurité

Pour créer un modèle GDAP :

  1. Dans la page Modèles GDAP , sélectionnez Créer un modèle.

  2. Dans le volet modèle, entrez le nom et la description du modèle dans les champs appropriés.

  3. Sélectionnez un ou plusieurs rôles de support dans la liste.

  4. Sélectionnez Enregistrer.

  5. Sélectionnez Suivant.

  6. Sélectionnez Enregistrer et fermer pour enregistrer vos paramètres et quitter le programme d’installation GDAP.

Étape 3 : Groupes de sécurité

Vous avez besoin d’au moins un groupe de sécurité par rôle de support pour chaque modèle. Pour le premier modèle, vous allez créer un groupe de sécurité, mais pour les modèles suivants, vous pouvez réutiliser des groupes si vous le souhaitez.

  1. Dans la page Groupes de sécurité , sélectionnez Créer un groupe de sécurité.

  2. Dans le volet groupe de sécurité, entrez un nom et une description.

  3. Sélectionnez Ajouter des utilisateurs.

  4. Dans la liste Ajouter des utilisateurs, sélectionnez les utilisateurs que vous souhaitez inclure dans ce groupe de sécurité.

  5. Sélectionnez Enregistrer.

  6. Sélectionnez Enregistrer à nouveau.

  7. Sélectionnez Suivant.

  8. Sélectionnez Enregistrer et fermer pour enregistrer vos paramètres et quitter le programme d’installation GDAP.

Les utilisateurs du groupe de sécurité de l’agent JIT peuvent demander l’accès aux rôles GDAP à privilèges élevés ; ils n’y ont pas accès automatiquement. Dans le cadre de la configuration GDAP, sélectionnez un groupe de sécurité d’approbateur JIT de votre locataire pour approuver les demandes d’accès des agents JIT.

Le groupe de sécurité de l’approbateur JIT doit être assignable à un rôle. Si vous ne voyez pas de groupe de sécurité apparaître dans l’installation de GDAP, vérifiez que le groupe de sécurité est assignable à un rôle. Pour plus d’informations sur la gestion des attributions de rôles, consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles.

Une fois la configuration GDAP terminée, une stratégie d’accès JIT est créée pour permettre aux agents JIT de demander l’accès. Vous pouvez consulter la stratégie créée dans le portail Gouvernance Microsoft Entra ID, et les agents JIT peuvent demander l’accès à leurs rôles à partir du portail Mon accès. Pour plus d’informations sur la façon dont les agents JIT peuvent demander l’accès, consultez Gérer l’accès aux ressources. Pour plus d’informations sur la façon dont les approbateurs peuvent approuver les demandes, consultez Approuver ou refuser la demande.

Étape 4 : Affectations de locataires

Affectez des groupes de clients à chaque modèle. Chaque client ne peut être affecté qu’à un seul modèle. Une fois sélectionné, ce locataire client n’est pas affiché en tant qu’option sur les modèles suivants. Si vous réexécutez le programme d’installation GDAP, vos affectations de locataire par modèle GDAP seront enregistrées.

  • Pour ajouter de nouveaux locataires à un modèle GDAP, réexécutez le programme d’installation de GDAP. Conservez les affectations de locataires enregistrées et sélectionnez les nouveaux locataires à attribuer au modèle GDAP. Les nouvelles relations GDAP seront créées uniquement pour les locataires nouvellement attribués.

  • Pour supprimer des locataires d’un modèle GDAP, réexécutez le programme d’installation de GDAP. Supprimez l’attribution de locataire. La suppression de l’attribution de locataire ne supprime pas la relation GDAP créée à partir d’une affectation précédente, mais elle vous permet de réaffecter le locataire client à un autre modèle GDAP si nécessaire.

Assurez-vous que tous les locataires que vous souhaitez affecter à un modèle GDAP sont sélectionnés avant de sélectionner Suivant. Vous pouvez filtrer la liste des locataires à l’aide de la zone de recherche dans le coin supérieur droit.

  1. Dans la page Affectations de locataires, sélectionnez les locataires que vous souhaitez attribuer au modèle GDAP que vous avez créés.

  2. Sélectionnez Suivant pour accéder à la section suivante ou sélectionnez Enregistrer et fermer pour enregistrer vos paramètres et quitter le programme d’installation GDAP.

Étape 5 : Passer en revue et terminer

  1. Dans la page Vérifier les paramètres , passez en revue les paramètres que vous avez créés pour vérifier qu’ils sont corrects.

  2. Sélectionnez Terminer.

L’application des paramètres que vous avez configurés peut prendre une ou deux minutes. Si vous avez besoin d’actualiser les données, suivez les invites. Le programme d’installation est incomplet si vous quittez l’installation GDAP sans sélectionner Terminer.

Remarque

Pour les clients avec une relation DAP existante, ces paramètres sont automatiquement appliqués. Les clients disposant d’un status actif sur la dernière page de la configuration GDAP sont affectés à des rôles et des groupes de sécurité tels que définis dans le modèle GDAP.

Remarque

Pour les clients sans relation DAP existante, un lien de demande de relation d’administrateur est généré pour chaque client sur la dernière page de la configuration GDAP. À partir de là, vous pouvez envoyer le lien à l’administrateur général de votre client afin qu’il puisse approuver la relation d’administrateur. Une fois la relation approuvée, les paramètres du modèle GDAP sont appliqués. L’affichage des modifications dans Lighthouse peut prendre jusqu’à une heure après l’approbation de la relation.

Une fois que vous avez terminé l’installation de GDAP, vous pouvez accéder à différentes étapes pour mettre à jour ou modifier des rôles, des groupes de sécurité ou des modèles. Les relations GDAP sont désormais visibles dans l’Espace partenaires et les groupes de sécurité sont désormais visibles dans Microsoft Entra’ID.

Contenu connexe

Vue d’ensemble des autorisations (article)
Résoudre les problèmes et messages d’erreur (article)
Configurer la sécurité du portail (article)
Présentation des privilèges d’administrateur délégué granulaires (GDAP) (article)
Microsoft Entra rôles intégrés (article)
En savoir plus sur les groupes et les droits d’accès dans Microsoft Entra ID (article)
Qu’est-ce que Microsoft Entra gestion des droits d’utilisation ? (article)