GDAP – gyakori kérdések
Megfelelő szerepkörök: A Partnerközpont iránt érdeklődő összes felhasználó
A részletes delegált rendszergazdai engedélyek (GDAP) részletesebb és időkorlátos módon biztosítják a partnereknek az ügyfelek számítási feladataihoz való hozzáférést, ami segíthet az ügyfelek biztonsági problémáinak megoldásában.
A GDAP használatával a partnerek további szolgáltatásokat nyújthatnak azoknak az ügyfeleknek, akik esetleg kényelmetlenül érzik magát a magas szintű partnerhozzáférés miatt.
A GDAP a szabályozási követelményekkel rendelkező ügyfelek számára is segít, hogy csak a legkevésbé kiemelt hozzáférést biztosítják a partnereknek.
A GDAP beállítása
Ki kérhet GDAP-kapcsolatot?
Ha valaki rendszergazdai ügynöki szerepkörrel rendelkezik egy partnerszervezetnél, létrehozhat egy GDAP-kapcsolatkérést.
Lejár egy GDAP-kapcsolatkérés, ha az ügyfél nem hajt végre semmilyen műveletet?
Igen. A GDAP-kapcsolatkérések 90 nap után lejárnak.
Véglegesíthetem a GDAP-kapcsolatot egy ügyféllel?
Szám Az ügyfelekkel való állandó GDAP-kapcsolatok biztonsági okokból nem lehetségesek. A GDAP-kapcsolat maximális időtartama két év. Beállíthatja az automatikus kiterjesztést engedélyezve, hogy hat hónappal meghosszabbítsa a rendszergazdai kapcsolatot, amíg le nem állítja, vagy ha az automatikus meghosszabbítás le van tiltva.
Támogatja a GDAP-kapcsolat a nagyvállalati szerződést?
Nem, a GDAP-kapcsolat nem támogatja a nagyvállalati szerződéseken keresztül vásárolt előfizetéseket.
Kiterjeszthető egy GDAP-kapcsolat az ügyféllel automatikusan vagy automatikusan?
Igen. A GDAP-kapcsolatok hat hónappal automatikusan meghosszabbodik, amíg meg nem szűnik, vagy automatikusan letiltva lesz.
Mit tegyek, ha az ügyféllel fennálló GDAP-kapcsolat lejár?
Ha az ügyféllel fennálló GDAP-kapcsolat lejár, kérjen újra GDAP-kapcsolatot .
A GDAP-kapcsolatelemzéssel nyomon követheti a GDAP-kapcsolatok lejárati dátumát, és felkészülhet a megújításukra.
Hogyan terjeszthet ki vagy újíthat meg egy ügyfél GDAP-kapcsolatot?
A GDAP-kapcsolat meghosszabbításához vagy megújításához a partnernek vagy az ügyfélnek engedélyeznie kell az automatikus kiterjesztést. További információ a GDAP automatikus kiterjesztésének és API-nak a kezelésével.
Frissíthető egy hamarosan lejáró aktív GDAP automatikus kiterjesztése?
Igen, ha a GDAP aktív, kiterjeszthető.
Mikor lép működésbe az automatikus kiterjesztés?
Tegyük fel, hogy a rendszer 365 napig hoz létre egy GDAP-t, amely automatikusan engedélyezve van. A 365. napon a záró dátum 180 nappal frissül.
Az e-maileket akkor küldi el a rendszer, ha az automatikus kiterjesztés engedélyezve vagy letiltva között van váltógombbal?
A rendszer nem küld e-mailt a partnernek és az ügyfélnek.
Kiterjeszthető automatikusan a PLT (Partner led eszköz), AZ MLT (Microsoft Led Eszköz), a Partnerközpont felhasználói felülete és a Partnerközpont API használatával létrehozott GDAP?
Igen, minden aktív GDAP automatikusan bővíthető.
Szükség van az ügyfél hozzájárulására a meglévő aktív GDAP-k automatikus kiterjesztésének beállításához?
Nem, az ügyfél hozzájárulására nincs szükség ahhoz, hogy az automatikus kiterjesztés engedélyezve legyen egy meglévő aktív GDAP-n.
A részletes engedélyeket át kell-e rendelni a biztonsági csoportokhoz az automatikus kiterjesztés után?
Nem, a biztonsági csoportokhoz rendelt részletes engedélyek a következőképpen folytatódnak.
Kiterjeszthető automatikusan egy globális rendszergazdai szerepkörrel rendelkező rendszergazdai kapcsolat?
Nem, a globális rendszergazdai szerepkörrel való rendszergazdai kapcsolat nem bővíthető automatikusan.
Miért nem jelenik meg a Lejárati részletes kapcsolatok lap az Ügyfelek munkaterület alatt?
A Lejárati részletes kapcsolatok lap csak globális rendszergazdai és rendszergazdai szerepkörrel rendelkező partnerfelhasználók számára érhető el.
Ez a lap segít szűrni a különböző idővonalakon lejáró GDAP-ket, és segít frissíteni az automatikus kiterjesztést (engedélyezés/letiltás) egy vagy több GDAP-hez.
Ha lejár egy GDAP-kapcsolat, az ügyfél meglévő előfizetéseit érinti?
Szám A GDAP-kapcsolat lejártakor nem változik az ügyfél meglévő előfizetése.
Hogyan állíthatja vissza az ügyfél a jelszavát és az MFA-eszközét, ha ki van zárva a fiókjából, és nem tudja elfogadni a partnertől érkező GDAP-kapcsolatkérést?
Útmutatásért tekintse meg a Microsoft Entra többtényezős hitelesítéssel kapcsolatos problémáinak elhárítását, és a Microsoft Entra többtényezős hitelesítéssel nem tud bejelentkezni a felhőszolgáltatásokba, miután elvesztette a telefonját vagy a telefonszám változásait .
Milyen szerepkörökre van szüksége egy partnernek a rendszergazdai jelszó és az MFA-eszköz alaphelyzetbe állításához, ha egy ügyfél-rendszergazda ki van zárva a fiókjából, és nem tudja elfogadni a partnertől érkező GDAP-kapcsolatkérést?
A partnernek microsoft Entra szerepkört kell kérnie a kiemelt hitelesítés rendszergazdájától az első GDAP létrehozásakor, hogy visszaállíthassa a felhasználó (rendszergazda vagy nem rendszergazda) jelszavát és hitelesítési módszerét. A privileged authentication administrator szerepkör az MLT (Microsoft Led Tool) által beállított szerepkörök része, és a tervek szerint az alapértelmezett GDAP-val is elérhető lesz az ügyfélfolyamat létrehozása során (a tervek szerint szeptemberre).
A partner kérheti, hogy az ügyfél rendszergazdája próbálkozzon a jelszó alaphelyzetbe állításával. Elővigyázatosságból a partnernek SSPR-t (önkiszolgáló jelszó-visszaállítást) kell beállítania ügyfelei számára. Tekintse meg, hogy a felhasználók visszaállíthatják a saját jelszavukat.
Ki kap egy GDAP-kapcsolat megszüntetéséről szóló értesítési e-mailt?
A partnerszervezeten belül a rendszergazdai ügynök szerepkörrel rendelkező személyek felmondási értesítést kapnak.
Egy ügyfélszervezeten belül a globális rendszergazdai szerepkörrel rendelkező személyek felmondási értesítést kapnak.
Láthatom, hogy az ügyfél mikor távolítja el a GDAP-t a tevékenységnaplókban?
Igen. A partnerek láthatják, hogy az ügyfél mikor távolítja el a GDAP-t a Partnerközpont tevékenységnaplóiban.
Létre kell hoznom egy GDAP-kapcsolatot az összes ügyfelemmel?
Szám A GDAP opcionális képesség azon partnerek számára, akik részletesebben és időkorlátosabban szeretnék kezelni az ügyfél szolgáltatásait. Kiválaszthatja, hogy mely ügyfelekkel szeretne GDAP-kapcsolatot létrehozni.
Ha több ügyfelem van, több biztonsági csoportra van szükségem ezekhez az ügyfelekhez?
A válasz attól függ, hogyan szeretné kezelni az ügyfeleket.
Ha azt szeretné, hogy a partnerfelhasználók az összes ügyfelet felügyelhessék, az összes partnerfelhasználót egy biztonsági csoportba helyezheti, és az egyik csoport az összes ügyfelet kezelheti.
Ha több partnerfelhasználót szeretne kezelni különböző ügyfelekkel, rendelje hozzá ezeket a partnerfelhasználókat az ügyfelek elkülönítéséhez szükséges biztonsági csoportokhoz.
Létrehozhatnak közvetett viszonteladók GDAP-kapcsolatkéréseket a Partnerközpontban?
Igen. A közvetett viszonteladók (és közvetett szolgáltatók és közvetlen számlapartnerek) GDAP-kapcsolatkéréseket hozhatnak létre a Partnerközpontban.
Miért nem fér hozzá egy GDAP-val rendelkező partnerfelhasználó a számítási feladatokhoz AOBO -ként (rendszergazda nevében)?
A GDAP beállítása során győződjön meg arról, hogy a partnerbérlében partnerfelhasználókkal létrehozott biztonsági csoportok vannak kiválasztva. Győződjön meg arról is, hogy a kívánt Microsoft Entra-szerepkörök hozzá vannak rendelve a biztonsági csoporthoz. Lásd: Microsoft Entra-szerepkörök hozzárendelése.
Mi az ajánlott következő lépés, ha az ügyfél által beállított feltételes hozzáférési szabályzat blokkolja az összes külső hozzáférést, beleértve a CSP hozzáférését (AOBO) az ügyfél bérlője számára?
Az ügyfelek mostantól kizárhatják a CSP-ket a feltételes hozzáférési szabályzatból, így a partnerek letiltás nélkül áttérhetnek a GDAP-ra.
Felhasználók belefoglalása – Ez a felhasználók listája általában tartalmazza a szervezet által a feltételes hozzáférési szabályzatban megcélzott összes felhasználót.
Feltételes hozzáférési szabályzat létrehozásakor a következő lehetőségek érhetők el:
- Felhasználók és csoportok kiválasztása
- Vendég- vagy külső felhasználók (előzetes verzió)
- Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak. Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
- Szolgáltatói felhasználók, például egy Felhőszolgáltató (CSP).
- Egy vagy több bérlő adható meg a kiválasztott felhasználói típusokhoz, vagy megadhatja az összes bérlőt.
- Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak. Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
- Vendég- vagy külső felhasználók (előzetes verzió)
Külső partnerek hozzáférése – A külső felhasználókat célzó feltételes hozzáférési szabályzatok zavarhatják a szolgáltatói hozzáférést, például részletes delegált rendszergazdai jogosultságokat. További információ: Bevezetés a részletes delegált rendszergazdai jogosultságok (GDAP) használatába. A szolgáltatói bérlők megcélzására szolgáló szabályzatok esetében használja a vendég- vagy külső felhasználók kiválasztási beállításai között elérhető külső felhasználótípust.
Felhasználók kizárása – Ha a szervezetek is belefoglalnak és kizárnak egy felhasználót vagy csoportot, a rendszer kizárja a felhasználót vagy csoportot a szabályzatból, mivel a kizárási művelet felülírja a szabályzatban szereplő belefoglalási műveletet.
Feltételes hozzáférési szabályzat létrehozásakor az alábbi lehetőségek zárhatóak ki:
- Vendég- vagy külső felhasználók
- Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak. Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
- Szolgáltatói felhasználók, például egy Felhőszolgáltató (CSP)
- Egy vagy több bérlő adható meg a kiválasztott felhasználói típusokhoz, vagy megadhatja az összes bérlőt.
- Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak. Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
További információk:
- Graph API-élmény: Béta API az új külső felhasználótípus-információkkal
- Feltételes hozzáférési szabályzat
- Feltételes hozzáférés külső felhasználók számára
Szükségem van GDAP-kapcsolatra a támogatási jegyek létrehozásához, bár premier szintű támogatással rendelkezem a partnerek számára?
Igen, függetlenül attól, hogy milyen támogatási csomaggal rendelkezik, a legkevésbé kiemelt szerepkör ahhoz, hogy a partnerfelhasználók támogatási jegyeket hozzanak létre az ügyfél számára, a szolgáltatástámogatási rendszergazda.
A függőben lévő GDAP-t a partner leállíthatja?
Nem, a partner jelenleg nem tudja megszüntetni a függőben lévő jóváhagyási állapotú GDAP-t. 90 nap múlva lejár, ha az ügyfél nem hajt végre műveletet.
A GDAP-kapcsolat megszűnése után újra felhasználhatom ugyanazt a GDAP-kapcsolatnevet egy új kapcsolat létrehozásához?
Csak 365 nap (törlés) után, ha a GDAP-kapcsolat megszakadt vagy lejárt, használhatja ugyanazt a nevet egy új GDAP-kapcsolat létrehozásához.
Az egyik régióban lévő partnerek kezelhetik az ügyfeleiket különböző régiókban?
Igen, a partnerek régiónként kezelhetik az ügyfeleiket anélkül, hogy új partnerbérlelőket hoznak létre ügyfélrégiónként. Vegye figyelembe, hogy ez csak a GDAP (rendszergazdai kapcsolatok) által biztosított ügyfélkezelési szerepkörre vonatkozik. A tranzakciós szerepkör és képességek továbbra is az Ön engedélyezett területére korlátozódnak
A szolgáltató tagja lehet a több-bérlős szervezetnek?
Nem, a szolgáltató nem lehet több-bérlős szervezet tagja, kölcsönösen kizárva.
GDAP API
Elérhetők API-k az ügyfelekkel való GDAP-kapcsolat létrehozásához?
Az API-kkal és a GDAP-kkal kapcsolatos információkért tekintse meg a Partnerközpont fejlesztői dokumentációját.
Használhatom a béta GDAP API-kat éles környezetben?
Igen. Javasoljuk, hogy a partnerek éles környezetben használják a béta GDAP API-kat , és később váltsa át az API-kat v.1-re, amikor elérhetővé válnak.
Bár a "Ezeknek az API-knak az éles alkalmazásokban való használata nem támogatott", az általános útmutatás a Graph bármely béta API-jára vonatkozik, és nem alkalmazható a béta GDAP Graph API-kra.
Létrehozhatok egyszerre több GDAP-kapcsolatot különböző ügyfelekkel?
Igen. A GDAP-kapcsolatok API-k használatával hozhatók létre, így a partnerek skálázhatják ezt a folyamatot. Több GDAP-kapcsolat létrehozása azonban nem érhető el a Partnerközpontban. Az API-kkal és a GDAP-kkal kapcsolatos információkért tekintse meg a Partnerközpont fejlesztői dokumentációját.
Több biztonsági csoport is hozzárendelhető egy GDAP-kapcsolathoz egy API-hívással?
Az API egyszerre egy biztonsági csoportnál működik, de több biztonsági csoportot több szerepkörhöz is hozzárendelhet a Partnerközpontban.
Hogyan kérhetek több erőforrás-engedélyt az alkalmazásomhoz?
Egyéni hívásokat kezdeményez az egyes erőforrásokhoz. Egyetlen POST-kérelem esetén csak egy erőforrást és annak megfelelő hatóköreit adja át.
Ha például mindkettőhöz https://graph.windows.net/Directory.AccessAsUser.All
szeretne engedélyeket kérni, és https://graph.microsoft.com/Organization.Read.All
két különböző kérést szeretne, egyet mindegyikhez.
Hogyan találom meg egy adott erőforrás erőforrás-azonosítóját?
A megadott hivatkozás használatával keresse meg az erőforrás nevét: Külső Microsoft-alkalmazások ellenőrzése bejelentkezési jelentésekben – Active Directory. Példa:
Az erőforrás-azonosító megkeresése (például: 00000003-0000-0000-c000-000000000000 a graph.microsoft.com esetén):
Mit tegyek, ha "Request_UnsupportedQuery" hibaüzenet jelenik meg a következő üzenettel: "A ServicePrincipal erőforrás appId tulajdonságához megadott nem támogatott vagy érvénytelen lekérdezésszűrő záradék"?
Ez a hiba általában akkor fordul elő, ha helytelen azonosítót használ a lekérdezésszűrőben.
A probléma megoldásához győződjön meg arról, hogy az enterpriseApplicationId tulajdonságot használja a megfelelő erőforrás-azonosítóval, nem pedig az erőforrás nevével.
Helytelen kérés
EnterpriseApplicationId esetén ne használjon olyan erőforrásnevet, mint graph.microsoft.com.
Kérés javítása
Ehelyett az enterpriseApplicationId esetében használja az erőforrás-azonosítót, például 00000003-0000-0000-c000-00000000000.
Hogyan vehetek fel új hatóköröket egy olyan alkalmazás erőforrásába, amelyet már engedélyeztek az ügyfélbérleményben?
Példa: Graph.microsoft.com korábbi részében csak a "profil" hatókört adták hozzá. Most profilt és user.read-t is szeretnénk hozzáadni.
Új hatókörök hozzáadása egy korábban elfogadott alkalmazáshoz:
A DELETE metódus használatával visszavonhatja a meglévő alkalmazás-hozzájárulást az ügyfél bérlőjével.
A POST metódussal új alkalmazás-hozzájárulást hozhat létre a további hatókörökkel.
Feljegyzés
Ha az alkalmazás több erőforrás engedélyeit igényli, hajtsa végre a POST metódust külön-külön az egyes erőforrásokhoz.
Hogyan adjon meg több hatókört egyetlen erőforráshoz (enterpriseApplicationId)?
Összefűzheti a szükséges hatóköröket egy vesszővel, majd egy szóközzel. Például: "scope": "profile, User.Read"
Mit tegyek, ha "400 hibás kérés" hibaüzenetet kapok a "Nem támogatott jogkivonat" üzenettel. Nem sikerült inicializálni az engedélyezési környezetet?
Győződjön meg arról, hogy a kérelem törzsében található "displayName" és "applicationId" tulajdonságok pontosak, és megfelelnek az ügyfélbérlében hozzájárulást kívánó alkalmazásnak.
Győződjön meg arról, hogy ugyanazzal az alkalmazással hozza létre azt a hozzáférési jogkivonatot, amelyet az ügyfélbérbe való hozzájárulással próbál meg elérni.
Példa: Ha az alkalmazás azonosítója "12341234-1234-12341234", akkor az "appId" jogcímnek a hozzáférési jogkivonatban is "12341234-1234-1234-1234-12341234" értékűnek kell lennie.
Ellenőrizze, hogy teljesül-e az alábbi feltételek egyike:
Aktív delegált rendszergazdai jogosultsággal (DAP) rendelkezik, és a felhasználó tagja a partnerbérlés rendszergazdai ügynökök biztonsági csoportjának is.
Aktív részletes delegált rendszergazdai jogosultsággal (GDAP) rendelkezik az ügyfélbérléssel az alábbi három GDAP-szerepkör legalább egyikével, és elvégezte a hozzáférési hozzárendelést:
- Globális rendszergazdai, alkalmazásadminisztrátori vagy felhőalkalmazás-rendszergazdai szerepkör.
- A partnerfelhasználó a hozzáférési hozzárendelésben megadott biztonsági csoport tagja.
Szerepkörök
Mely GDAP-szerepkörök szükségesek egy Azure-előfizetés eléréséhez?
Ha ügyfélenkénti hozzáférés particionálással szeretné kezelni az Azure-t (ez az ajánlott eljárás), hozzon létre egy biztonsági csoportot (például az Azure Managereket), és fészkelje be a rendszergazdai ügynökök közé.
Ha egy Azure-előfizetést tulajdonosként szeretne elérni egy ügyfél számára, bármely beépített Microsoft Entra-szerepkört (például címtárolvasót, a legkevésbé kiemelt szerepkört) hozzárendelhet az Azure Manager biztonsági csoportjához.
Az Azure GDAP beállításának lépéseit a részletes delegált rendszergazdai jogosultságokkal (GDAP) támogatott számítási feladatokban találja.
Van útmutatás a felhasználókhoz hozzárendelhető legkevésbé kiemelt szerepkörökről adott feladatokhoz?
Igen. A felhasználók rendszergazdai engedélyeinek a Microsoft Entra-ban a legkevésbé kiemelt szerepkörök hozzárendelésével történő korlátozásáról a Microsoft Entra legkevésbé kiemelt szerepkörei című témakörben olvashat.
Mi a legkevésbé kiemelt szerepkör, amelyet hozzárendelhetek az ügyfél bérlőjéhez, és továbbra is létrehozhatok támogatási jegyeket az ügyfél számára?
Javasoljuk, hogy rendelje hozzá a szolgáltatástámogatási rendszergazdai szerepkört. További információkért tekintse meg a Microsoft Entra legkevésbé kiemelt szerepkörei című témakört.
Mely Microsoft Entra-szerepkörök lettek elérhetővé 2024 júliusában a Partnerközpont felhasználói felületén?
A Microsoft Entra-szerepkörök közötti szakadék csökkentése. A Partnerközpont API és a felhasználói felület 2024 júliusában a Partnerközpont felhasználói felületén 9 szerepkört tartalmaz.
Együttműködés alatt:
- Peremhálózati rendszergazda
- Virtuális látogatások rendszergazdája
- Viva-célok rendszergazdája
- Viva Pulse-rendszergazda
- Yammer-rendszergazda
Identitás alatt:
- Engedélykezelési rendszergazda
- Életciklus-munkafolyamatok rendszergazdája
Az Egyéb területen:
- Szervezeti arculati rendszergazda
- Szervezeti üzenetek jóváhagyója
Megnyithatok támogatási jegyeket egy ügyfél számára egy olyan GDAP-kapcsolatban, amelyből az összes Microsoft Entra-szerepkör ki lett zárva?
Szám A legkevésbé kiemelt szerepkör a partnerfelhasználók számára, hogy támogatási jegyeket hozzanak létre az ügyfél számára, a szolgáltatástámogatási rendszergazda. Ezért ahhoz, hogy támogatási jegyeket lehessen létrehozni az ügyfél számára, a partnerfelhasználónak egy biztonsági csoportban kell lennie, és hozzá kell rendelnie az adott ügyfélhez ezzel a szerepkörrel.
Hol találhatok információt a GDAP-ban szereplő összes szerepkörről és számítási feladatról?
Az összes szerepkörről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.
A számítási feladatokról további információt a részletes delegált rendszergazdai jogosultságokkal (GDAP) támogatott számítási feladatokban talál.
Milyen GDAP-szerepkör biztosít hozzáférést a Microsoft 365 Felügyeleti központ Központhoz?
Számos szerepkört használnak a Microsoft 365 Felügyeleti központ Központhoz. További információ: Gyakran használt szerepkörök a Microsoft 365 felügyeleti központjában.
Létrehozhatok egyéni biztonsági csoportokat a GDAP-hoz?
Igen. Hozzon létre egy biztonsági csoportot, rendeljen hozzá jóváhagyott szerepköröket, majd rendelje hozzá a partnerbérlendő felhasználókat a biztonsági csoporthoz.
Mely GDAP-szerepkörök biztosítanak írásvédett hozzáférést az ügyfél előfizetéseihez, ezért nem engedélyezi a felhasználó számára az előfizetések kezelését?
Az ügyfél előfizetéseihez csak olvasási hozzáférést a globális olvasó, a címtárolvasó és a 2. szintű partneri támogatási szerepkör biztosít.
Milyen szerepkört rendelhetek a partnerügynökeimhez (jelenleg rendszergazdai ügynökökhöz), ha azt szeretném, hogy felügyeljék az ügyfél bérlőjét, de ne módosítsák az ügyfél előfizetéseit?
Javasoljuk, hogy távolítsa el a partnerügynököket a rendszergazdai ügynök szerepkörből, és csak GDAP-biztonsági csoporthoz vegye fel őket. Így kezelhetik a szolgáltatásokat (például szolgáltatásfelügyeleti és naplószolgáltatás-kérelmeket), de nem vásárolhatnak és kezelhetnek előfizetéseket (mennyiség módosítása, lemondás, módosítások ütemezése stb.).
Mi történik, ha egy ügyfél GDAP-szerepköröket ad a partnernek, majd eltávolítja a szerepköröket, vagy megszakítja a GDAP-kapcsolatot?
A kapcsolathoz rendelt biztonsági csoportok elveszítik az ügyfélhez való hozzáférést. Ugyanez történik, ha egy ügyfél megszakít egy DAP-kapcsolatot.
Folytathatja-e a partner a tranzakciót az ügyféllel, miután eltávolította az ügyféllel fennálló összes GDAP-kapcsolatot?
Igen, az ügyféllel fennálló GDAP-kapcsolatok eltávolítása nem szünteti meg a partnerek viszonteladói kapcsolatát az ügyféllel. A partnerek továbbra is vásárolhatnak termékeket az ügyfél számára, és kezelhetik az Azure költségvetését és más kapcsolódó tevékenységeket.
Előfordulhat, hogy az ügyféllel fennálló GDAP-kapcsolatom egyes szerepkörei hosszabb időt töltenek le, mint mások?
Szám A GDAP-kapcsolatokban minden szerepkörnek ugyanannyi ideje van a lejáratra: a kapcsolat létrehozásakor kiválasztott időtartam.
Szükségem van a GDAP-ra az új és meglévő ügyfelek megrendeléseinek teljesítéséhez a Partnerközpontban?
Szám Nincs szükség GDAP-ra az új és meglévő ügyfelek megrendeléseinek teljesítéséhez. A Partnerközpontban továbbra is ugyanazt a folyamatot használhatja az ügyfélrendelések teljesítéséhez.
Ki kell rendelnem egy partnerügynöki szerepkört az összes ügyfélhez, vagy csak egy ügyfélhez rendelhetek partnerügynöki szerepkört?
A GDAP-kapcsolatok ügyfélenként vannak. Ügyfélenként több kapcsolat is lehet. Minden GDAP-kapcsolatnak különböző szerepkörei lehetnek, és különböző Microsoft Entra-csoportokat használhat a CSP-bérlőn belül.
A Partnerközpontban a szerepkör-hozzárendelés ügyfél–GDAP kapcsolat szintjén működik. Ha többtényezős szerepkör-hozzárendelést szeretne használni, automatizálhatja az API-kat.
Rendelkezhet egy partnerfelhasználó GDAP-szerepkörrel és vendégfiókkal?
A vendégfiókok nem működnek a GDAP-val. Az ügyfeleknek el kell távolítaniuk a vendégfiókokat a GDAP működéséhez.
Szükségem van DAP/GDAP-ra az Azure-előfizetések kiépítéséhez?
Nem, nincs szükség DAP-ra vagy GDAP-ra az Azure-csomagok megvásárlásához és azure-előfizetések kiépítéséhez egy ügyfél számára. Az azure-előfizetés ügyfélhez való létrehozásának folyamatát a partner ügyféléhez tartozó előfizetés létrehozása – Microsoft Cost Management + Billing – dokumentálja. Alapértelmezés szerint a partner bérlőjében lévő Rendszergazdai ügynökök csoport lesz az ügyfél számára kiosztott Azure-előfizetések tulajdonosa. Jelentkezzen be az Azure Portalra a Partnerközpont azonosítójával.
Az ügyfélhez való hozzáférés kiépítéséhez GDAP-kapcsolatra van szükség. A GDAP-kapcsolatnak legalább a Címtárolvasók Microsoft Entra szerepkörét kell tartalmaznia. Az Azure-beli hozzáférés kiépítéséhez használja a hozzáférés-vezérlési (IAM) oldalt. Az AOBO-hoz jelentkezzen be a Partnerközpontba, és a Szolgáltatáskezelés lapon adja ki az ügyfélhez való hozzáférést.
Mely Microsoft Entra-szerepköröket támogatja a GDAP?
A GDAP jelenleg csak a Microsoft Entra beépített szerepköreinek használatát támogatja. Az egyéni Microsoft Entra-szerepkörök nem támogatottak.
Miért nem tudnak hitelesítési módszereket hozzáadni a GDAP-rendszergazdák és a B2B-felhasználók a aka.ms/mysecurityinfo?
A GDAP vendégadminisztrátorai nem tudják kezelni a saját biztonsági adataikat a Saját biztonsági információ szolgáltatásban. Ehelyett szükségük lesz a bérlői rendszergazda segítségére, aki vendégként szerepel a biztonsági adatok regisztrációjához, frissítéséhez vagy törléséhez. A szervezetek bérlők közötti hozzáférési szabályzatokat konfigurálhatnak, hogy megbízzanak az MFA-ben a megbízható CSP-bérlőtől. Ellenkező esetben a GDAP vendég rendszergazdái csak a bérlői rendszergazda által regisztrálható metódusokra lesznek korlátozva (azaz SMS vagy Voice). További információ: Bérlők közötti hozzáférési szabályzatok.
Milyen szerepkörök használatával engedélyezheti a partner az automatikus bővítést?
Igazodás a Teljes felügyelet guiding elvéhez: A legkevésbé jogosultsági hozzáférés használata:
- Javasoljuk, hogy a legkevésbé kiemelt szerepkört használja tevékenység- és számítási feladatok szerint, a GDAP által támogatott részletes delegált rendszergazdai jogosultságokkal (GDAP) támogatott számítási feladatokat.
- Ha a felsorolt ismert problémák megoldására van szükség, az ügyféllel együttműködve kérjen időhöz kötött globális rendszergazdai szerepkört.
- Nem javasoljuk, hogy a globális rendszergazdai szerepkört cserélje le az összes lehetséges Microsoft Entra-szerepkörre.
DAP és GDAP
A GDAP lecseréli a DAP-t?
Igen. Az átmeneti időszakban a DAP és a GDAP együtt fog létezni, és a GDAP-engedélyek elsőbbséget élveznek a Microsoft 365, Dynamics 365 és Azure számítási feladatok DAP-engedélyeivel szemben.
Használhatom továbbra is a DAP-t, vagy át kell váltanom az összes ügyfelemet a GDAP-ra?
Az átmeneti időszakban a DAP és a GDAP együtt létezik. A GDAP azonban végül lecseréli a DAP-t, hogy biztonságosabb megoldást biztosítsunk partnereink és ügyfeleink számára. Javasoljuk, hogy a folytonosság biztosítása érdekében a lehető leghamarabb váltsa át ügyfeleit a GDAP-ra.
Amíg a DAP és a GDAP együtt létezik, megváltozik-e a DAP-kapcsolat létrehozásának módja?
A DAP és a GDAP egyidejű fennállása alatt a meglévő DAP-kapcsolati folyamat nem módosul.
Milyen Microsoft Entra-szerepköröket kap az alapértelmezett GDAP az ügyfél létrehozása részeként?
A DAP jelenleg egy új ügyfél-bérlő létrehozásakor van megadva. 2023. szeptember 25-től a Microsoft a továbbiakban nem ad DAP-t az új ügyfelek létrehozásához, hanem az alapértelmezett GDAP-t adja meg meghatározott szerepkörökkel. Az alapértelmezett szerepkörök partnertípusonként eltérőek, ahogyan az a következő táblázatban is látható:
Az alapértelmezett GDAP-hoz megadott Microsoft Entra-szerepkörök | Közvetlen számlapartnerek | Közvetett szolgáltatók | Közvetett viszonteladók | Tartományi partnerek | Vezérlőpult szállítók (CPV-k) | Konzulens | Nem engedélyezett az alapértelmezett GDAP (nincs DAP) |
---|---|---|---|---|---|---|---|
1. Könyvtárolvasók. Elolvashatja az alapszintű címtáradatokat. Gyakran használják a címtár olvasási hozzáférésének biztosítására az alkalmazásokhoz és a vendégekhez. | x | x | x | x | x | ||
2. Könyvtárírók. Alapszintű címtárinformációk olvasására és írására használható. Nem felhasználók számára szánt alkalmazásokhoz való hozzáférés biztosításához. | x | x | x | x | x | ||
3. Licencadminisztrátor. Kezelheti a felhasználók és csoportok terméklicenceit. | x | x | x | x | x | ||
4. Szolgáltatástámogatási rendszergazda. Elolvashatja a szolgáltatásállapot-információkat, és kezelheti a támogatási jegyeket. | x | x | x | x | x | ||
5. Felhasználói rendszergazda. Kezelheti a felhasználók és csoportok összes aspektusát, beleértve a korlátozott rendszergazdák jelszavainak alaphelyzetbe állítását is. | x | x | x | x | x | ||
6. Kiemelt szerepkör-rendszergazda. Kezelheti a szerepkör-hozzárendeléseket a Microsoft Entra-ban, valamint a Privileged Identity Management minden aspektusát. | x | x | x | x | x | ||
7. Ügyfélszolgálati rendszergazda. Visszaállíthatja a nem rendszergazdai és az ügyfélszolgálati rendszergazdák jelszavát. | x | x | x | x | x | ||
8. Emelt szintű hitelesítési rendszergazda. Bármely felhasználó (rendszergazda vagy nem rendszergazda) számára hozzáférhet a hitelesítési módszer adatainak megtekintéséhez, beállításához és alaphelyzetbe állításához. | x | x | x | x | x | ||
9. Felhőalkalmazás-rendszergazda. Az alkalmazásregisztrációkkal és a vállalati alkalmazásokkal kapcsolatos összes létrehozási és felügyeleti jogosultsággal rendelkezik, az App Proxy kivételével. | x | x | x | x | |||
10. Alkalmazásadminisztrátor. Az alkalmazásregisztrációkkal és a vállalati alkalmazásokkal kapcsolatos összes létrehozási és felügyeleti jogosultsággal rendelkezik. | x | x | x | x | |||
11. Globális olvasó. Mindent elolvashat, amit egy globális rendszergazda tud, de nem tud frissíteni semmit. | x | x | x | x | x | ||
12. Külső identitásszolgáltató rendszergazdája. Kezelheti a Microsoft Entra-szervezetek és a külső identitásszolgáltatók közötti összevonást. | x | ||||||
13. Tartománynév-rendszergazda. Kezelheti a tartományneveket a felhőben és a helyszínen. | x |
Hogyan működik a GDAP a Privileged Identity Managementtel a Microsoft Entra-ban?
A partnerek implementálhatják a Privileged Identity Managementet (PIM) a partner bérlőjében lévő GDAP biztonsági csoporton, hogy néhány magas jogosultságú felhasználó hozzáférését emeljék, éppen időben (JIT), hogy magas jogosultságú szerepköröket biztosítsanak nekik, például a jelszó-rendszergazdáknak a hozzáférés automatikus eltávolításával.
2023 januárjáig minden Privileged Access-csoportnak (a PIM for Groups funkció korábbi neve) szerepkör-hozzárendelhető csoportban kellett lennie. Ezt a korlátozást eltávolítottuk. Ennek köszönhetően bérlőnként több mint 500 csoportot engedélyezhet a PIM-ben, de legfeljebb 500 csoport lehet szerepkör-hozzárendelhető.
Összefoglalás:
A partnerek szerepkör-hozzárendelhető és nem szerepkörhöz rendelhető csoportokat is használhatnak a PIM-ben. Ez hatékonyan eltávolítja a PIM 500 csoportjára/bérlőjére vonatkozó korlátot.
A legújabb frissítésekkel kétféleképpen lehet csoportokat létrehozni a PIM-be (UX-wise): a PIM menüből vagy a Csoportok menüből. A választott módszertől függetlenül a nettó eredmény ugyanaz.
Már elérhető a szerepkör-hozzárendelhető/nem szerepkörhöz rendelhető csoportok előkészítése a PIM menüben.
Már elérhető a szerepkör-hozzárendelhető/nem szerepkörhöz rendelhető csoportok előkészítése a Csoportok menüben.
További információ: Privileged Identity Management (PIM) for Groups (előzetes verzió) – Microsoft Entra.
Hogyan működik együtt a DAP és a GDAP, ha egy ügyfél megvásárolja a Microsoft Azure-t és a Microsoft 365-öt vagy Dynamics 365?
A GDAP általánosan elérhető az összes Microsoft kereskedelmi felhőszolgáltatás (Microsoft 365, Dynamics 365, Microsoft Azure és Microsoft Power Platform számítási feladatok) támogatásával. További információ arról, hogy a DAP és a GDAP hogyan tud együtt létezni, és hogyan veszi át a GDAP elsőbbséget a DAP-val szemben.
Nagy ügyfélkörrel (például 10 000 ügyfélfiókkal) rendelkezem. Hogyan DAP-ról GDAP-ra való áttérést?
Ezt a műveletet API-k hajthatják végre.
Befolyásolja-e a partnerem a kreditek (PEC) bevételét, amikor áttérek a DAP-ról a GDAP-ra? Lesz valamilyen hatása a partner-rendszergazdai hivatkozásra (PAL)?
Szám A PEC-bevételekre nem lesz hatással a GDAP-ra való áttéréskor. Az áttűnés során a PAL nem változik, így továbbra is a PEC-t kell keresnie.
Érinti a PEC a DAP/GDAP eltávolításakor?
- Ha egy partner ügyfele csak DAP-t használ, és a DAP el van távolítva, a PEC nem vesz el.
- Ha egy partner ügyfele rendelkezik DAP-jával, és egyidejűleg az Office-hoz és az Azure-hoz készült GDAP-ba kerül, és a DAP el lesz távolítva, a PEC nem vesz el.
- Ha a partner ügyfele rendelkezik DAP-sel, és az Office-hoz készült GDAP-ba költözik, de megtartja az Azure-t (nem kerülnek át a GDAP-ba), és a DAP el lesz távolítva, a PEC nem fog elveszni, de az Azure-előfizetéshez való hozzáférés elveszik.
- Ha eltávolít egy RBAC-szerepkört, a PEC elveszik, de a GDAP eltávolítása nem távolítja el az RBAC-t.
Hogyan elsőbbséget élveznek a GDAP-engedélyek a DAP-engedélyekkel szemben, miközben a DAP és a GDAP együtt van?
Ha a felhasználó a GDAP biztonsági csoport és a DAP felügyeleti ügynökök csoportjának is része, és az ügyfél DAP- és GDAP-kapcsolatokkal is rendelkezik, a GDAP-hozzáférés elsőbbséget élvez a partner, az ügyfél és a számítási feladat szintjén.
Ha például egy partnerfelhasználó bejelentkezik egy adott számítási feladatra, és a globális rendszergazdai szerepkörhöz DAP és GDAP szükséges a globális olvasói szerepkörhöz, a partnerfelhasználó csak globális olvasói engedélyeket kap.
Ha három ügyfélnek van GDAP-szerepkör-hozzárendelése csak a GDAP biztonsági csoporthoz (nem rendszergazdai ügynökökhöz):
Vevő | Kapcsolat a partnerrel |
---|---|
1. ügyfél | DAP (nincs GDAP) |
2. ügyfél | DAP + GDAP mindkettő |
3. ügyfél | GDAP (nincs DAP) |
Az alábbi táblázat azt ismerteti, hogy egy felhasználó mikor jelentkezik be egy másik ügyfélbérlõbe.
Példa felhasználóra | Példa ügyfélbérl | Működés | Megjegyzések |
---|---|---|---|
1. felhasználó | 1. ügyfél | DAP | Ez a példa a DAP mint van. |
1. felhasználó | 2. ügyfél | DAP | Nincs GDAP-szerepkör-hozzárendelés a felügyeleti ügynökök csoportjához, ami DAP-viselkedést eredményez. |
1. felhasználó | 3. ügyfél | Nincs hozzáférés | Nincs DAP-kapcsolat, ezért a Rendszergazdai ügynökök csoport nem rendelkezik hozzáféréssel a 3. ügyfélhez. |
2. felhasználó | 1. ügyfél | DAP | Ez a példa a DAP mint |
2. felhasználó | 2. ügyfél | GDAP | A GDAP elsőbbséget élvez a DAP-tal szemben, mivel a 2. felhasználóhoz gDAP-szerepkör van hozzárendelve a GDAP biztonsági csoporton keresztül, még akkor is, ha a felhasználó a rendszergazdai ügynökcsoport része. |
2. felhasználó | 3. ügyfél | GDAP | Ez a példa csak GDAP-ügyfél. |
3. felhasználó | 1. ügyfél | Nincs hozzáférés | Nincs GDAP-szerepkör-hozzárendelés az 1. ügyfélhez. |
3. felhasználó | 2. ügyfél | GDAP | A 3. felhasználó nem része a rendszergazdai ügynökcsoportnak , ami csak GDAP-viselkedést eredményez. |
3. felhasználó | 3. ügyfél | GDAP | Csak GDAP-viselkedés |
A DAP letiltása vagy a GDAP-ra való áttérés hatással lesz az örökölt kompetenciaelőnyeimre vagy az általam elért megoldáspartner-megjelölésekre?
A DAP és a GDAP nem megfelelő társítási típusok a megoldáspartner-megjelölésekhez, és a DAP-ról GDAP-ra való váltás letiltása vagy váltása nem befolyásolja a megoldáspartner-megjelölések elérését. Az örökölt kompetenciaelőnyök vagy a megoldáspartnerek előnyeinek megújítása szintén nem lesz hatással.
A Partnerközpont megoldások partnermegjelölései között megtekintheti, hogy más partnertársítási típusok milyen típusúak jogosultak a Megoldáspartner-megjelölésekre.
Hogyan működik a GDAP az Azure Lighthouse-jal? A GDAP és az Azure Lighthouse hatással van egymásra?
Ami az Azure Lighthouse és a DAP/GDAP közötti kapcsolatot illeti, tekintsük őket az Azure-erőforrások elválasztott párhuzamos útvonalainak, így az egyik szétválasztása nem érintheti a másikat.
Az Azure Lighthouse-forgatókönyvben a partnerbérlő felhasználói soha nem jelentkeznek be az ügyfélbérlőbe, és nem rendelkeznek Microsoft Entra-engedélyekkel az ügyfélbérlőben. Az Azure RBAC-szerepkör-hozzárendelések a partnerbérlében is megmaradnak.
A GDAP-forgatókönyvben a partnerbérlendő felhasználói bejelentkeznek az ügyfélbérlába, és az Azure RBAC-szerepkör hozzárendelése a felügyeleti ügynökök csoportjához szintén az ügyfélbérlében van. Letilthatja a GDAP-útvonalat (a felhasználók már nem tudnak bejelentkezni), amíg az Azure Lighthouse elérési útja nincs hatással. Ezzel szemben a Lighthouse-kapcsolatot (előrejelzést) a GDAP befolyásolása nélkül is megszakíthatja. További információkért tekintse meg az Azure Lighthouse dokumentációját.
Hogyan működik a GDAP a Microsoft 365 Lighthouse-nal?
A Felhőszolgáltató (CSP) programban közvetett viszonteladóként vagy közvetlen számlapartnerként regisztrált felügyelt szolgáltatók (MSP-k) mostantól a Microsoft 365 Lighthouse használatával állíthatják be a GDAP-t bármely ügyfélbérlőhöz. Mivel a partnerek már néhány módon kezelik a GDAP-ra való áttérést, ez a varázsló lehetővé teszi, hogy a Lighthouse-partnerek az üzleti igényeiknek megfelelő szerepkör-javaslatokat fogadjanak el. Emellett olyan biztonsági intézkedéseket is lehetővé teszi számukra, mint az igény szerinti (JIT) hozzáférés. Az MSP-k GDAP-sablonokat is létrehozhatnak a Lighthouse-on keresztül a legkevésbé kiemelt ügyfélhozzáférést lehetővé tevő beállítások egyszerű mentéséhez és újbóli alkalmazásához. További információkért és egy bemutató megtekintéséhez tekintse meg a Lighthouse GDAP telepítővarázslóját.
Az MSP-k bármilyen ügyfélbérlőhöz beállíthatnak GDAP-t a Lighthouse-ban. Az ügyfél számítási feladatainak lighthouse-beli adatainak eléréséhez GDAP- vagy DAP-kapcsolat szükséges. Ha a GDAP és a DAP egy ügyfélbérlõben együtt él, a GDAP-engedélyek elsőbbséget élveznek a GDAP-kompatibilis biztonsági csoportok MSP-szakemberei számára. A Microsoft 365 Lighthouse követelményeiről további információt a Microsoft 365 Lighthouse követelményei című témakörben talál.
Mi a legjobb módja a GDAP-ra való áttérésnek és a DAP eltávolításának anélkül, hogy elveszítené az Azure-előfizetésekhez való hozzáférést, ha ügyfeleim vannak az Azure-ral?
Ehhez a forgatókönyvhöz a következő sorrendet kell követnie:
- Hozzon létre egy GDAP-kapcsolatot a Microsoft 365-höz és az Azure-hoz is.
- Microsoft Entra-szerepkörök hozzárendelése biztonsági csoportokhoz a Microsoft 365-höz és az Azure-hoz egyaránt.
- Konfigurálja a GDAP-t úgy, hogy elsőbbséget élvezjen a DAP-val szemben.
- Távolítsa el a DAP-t.
Fontos
Ha nem követi ezeket a lépéseket, előfordulhat, hogy az Azure-t kezelő meglévő rendszergazdai ügynökök elveszítik a hozzáférést az ügyfél Azure-előfizetéseihez.
Az alábbi sorozat az Azure-előfizetésekhez való hozzáférés elvesztését eredményezheti:
Távolítsa el a DAP-t.
A DAP eltávolításával nem feltétlenül veszíti el az Azure-előfizetéshez való hozzáférést. Jelenleg azonban nem böngészhet az ügyfél címtárában azure RBAC-szerepkör-hozzárendelések elvégzésére (például új ügyfélfelhasználó hozzárendelése előfizetésI RBAC-közreműködőként).
Hozzon létre egy GDAP-kapcsolatot a Microsoft 365-höz és az Azure-hoz együtt.
A GDAP beállítása után ezen a lépésen elveszítheti az Azure-előfizetéshez való hozzáférést.
Microsoft Entra-szerepkörök hozzárendelése biztonsági csoportokhoz a Microsoft 365-höz és az Azure-hoz
Az Azure GDAP beállítása után vissza fogja szerezni az Azure-előfizetésekhez való hozzáférést.
DAP nélküli Azure-előfizetéssel rendelkező ügyfeleim vannak. Ha áthelyezem őket a Microsoft 365-höz készült GDAP-ba, elveszítim a hozzáférést az Azure-előfizetésekhez?
Ha olyan Azure-előfizetésekkel rendelkezik, amelyeket ön kezel tulajdonosként, a Microsoft 365 GDAP-jának az adott ügyfélhez való hozzáadásával elveszítheti az Azure-előfizetésekhez való hozzáférést. Ennek elkerülése érdekében helyezze át az ügyfelet az Azure GDAP-ba az ügyfél Microsoft 365 GDAP-ba való áthelyezésével egyidejűleg .
Fontos
Ha nem követi ezeket a lépéseket, előfordulhat, hogy az Azure-t kezelő meglévő rendszergazdai ügynökök elveszítik a hozzáférést az ügyfél Azure-előfizetéseihez.
Használható egyetlen kapcsolati hivatkozás több ügyféllel?
Szám A kapcsolatok, miután elfogadták, nem használhatóak újra.
Ha viszonteladói kapcsolatom van dAP-val nem rendelkező ügyfelekkel, és nincs GDAP-kapcsolatom, hozzáférhetek az Azure-előfizetésükhöz?
Ha már rendelkezik viszonteladói kapcsolattal az ügyféllel, akkor is létre kell hoznia egy GDAP-kapcsolatot az Azure-előfizetéseik kezeléséhez.
- Hozzon létre egy biztonsági csoportot (például Azure Managereket) a Microsoft Entrában.
- Hozzon létre egy GDAP-kapcsolatot a címtárolvasó szerepkörrel.
- A biztonsági csoport legyen a Rendszergazdai ügynök csoport tagja.
Ha ez megtörtént, az AOBO-on keresztül kezelheti az ügyfél Azure-előfizetését. Az előfizetés nem kezelhető cli/PowerShell használatával.
Létrehozhatok Azure-csomagot DAP-t nem használó és GDAP-kapcsolat nélküli ügyfelek számára?
Igen, akkor is létrehozhat Azure-csomagot, ha nincs meglévő viszonteladói kapcsolattal rendelkező DAP vagy GDAP; Az előfizetés kezeléséhez azonban DAP vagy GDAP szükséges.
Miért nem jelennek meg a DAP eltávolításakor az Ügyfelek lap Cégadatok szakasza?
Ahogy a partnerek DAP-ról GDAP-ra váltanak, gondoskodniuk kell arról, hogy a következők legyenek érvényben a vállalat adatainak megtekintéséhez:
- Aktív GDAP-kapcsolat.
- A következő Microsoft Entra-szerepkörök bármelyike van hozzárendelve: globális rendszergazda, címtárolvasók, globális olvasó. Tekintse meg a biztonsági csoportok részletes engedélyeinek megadását.
Miért váltja fel a felhasználónevem a "user_somenumber" kifejezésre portal.azure.com, ha GDAP-kapcsolat áll fenn?
Amikor egy CSP bejelentkezik az ügyfél Azure Portaljára (portal.azure.come) a CSP hitelesítő adataival és egy GDAP-kapcsolattal, a CSP észreveszi, hogy a felhasználóneve "user_", majd néhány szám. Nem jeleníti meg a tényleges felhasználónevet, mint a DAP-ban. Ez az elvárt működés.
Mik a DAP leállítása és az alapértelmezett GDAP engedélyezése új ügyfél létrehozásával?
Bérlő típusa | Rendelkezésre állás dátuma | Partnerközpont API-viselkedése (POST /v1/customers) enableGDAPByDefault: true |
Partnerközpont API-viselkedése (POST /v1/customers) enableGDAPByDefault: false |
Partnerközpont API-viselkedése (POST /v1/customers) Nincs változás a kérelemben vagy a hasznos adatokban |
Partnerközpont felhasználói felületének viselkedése |
---|---|---|---|---|---|
Homokozó | 2023. szeptember 25. (csak API) | DAP = Nem. Alapértelmezett GDAP = Igen | DAP = Nem. Alapértelmezett GDAP = Nem | DAP = Igen. Alapértelmezett GDAP = Nem | Alapértelmezett GDAP = Igen |
Éles | 2023. október 10. (API + felhasználói felület) | DAP = Nem. Alapértelmezett GDAP = Igen | DAP = Nem. Alapértelmezett GDAP = Nem | DAP = Igen. Alapértelmezett GDAP = Nem | Választható/letiltható: Alapértelmezett GDAP |
Éles | 2023 . november 27. (A GA bevezetése december 2-án fejeződött be) | DAP = Nem. Alapértelmezett GDAP = Igen | DAP = Nem. Alapértelmezett GDAP = Nem | DAP = Nem. Alapértelmezett GDAP = Igen | Választható/letiltható: Alapértelmezett GDAP |
A partnereknek kifejezetten részletes engedélyeket kell adniuk a biztonsági csoportoknak az alapértelmezett GDAP-ban.
2023. október 10-étől a DAP már nem érhető el viszonteladói kapcsolatok esetén. A frissített viszonteladói kapcsolat hivatkozás elérhető a Partnerközpont felhasználói felületén, és az API-szerződés "/v1/customers/relationship requests" tulajdonság URL-címe visszaadja az ügyfél-bérlő rendszergazdájának küldendő meghívó URL-címet.
Részletes engedélyeket kell-e adni egy partnernek az alapértelmezett GDAP-ban lévő biztonsági csoportok számára?
Igen, a partnereknek kifejezetten részletes engedélyeket kell adniuk az alapértelmezett GDAP biztonsági csoportjainak az ügyfél kezeléséhez.
Milyen műveleteket hajthat végre egy viszonteladói kapcsolattal rendelkező partner, de nincs DAP és nincs GDAP a Partnerközpontban?
A viszonteladói kapcsolattal rendelkező partnerek csak DAP vagy GDAP nélkül hozhatnak létre ügyfeleket, rendeléseket helyezhetnek el és kezelhetnek, szoftverkulcsokat tölthetnek le, és kezelhetik az Azure RI-t. Nem tekinthetik meg az ügyfélvállalat adatait, nem tekinthetik meg a felhasználókat, és nem rendelhetnek licenceket a felhasználókhoz, nem tudnak jegyeket naplózni az ügyfelek nevében, és nem férhetnek hozzá a termékspecifikus felügyeleti központokhoz (például a Teams felügyeleti központhoz).
Milyen műveletet kell végrehajtania egy partnernek a DAP-ról a GDAP-ra való áttéréshez a hozzájárulással kapcsolatban?
Ahhoz, hogy egy partner vagy CPV hozzáférhessen és kezelhessen egy ügyfélbérlelőt, az alkalmazás szolgáltatásnevét engedélyezni kell az ügyfélbérlelőben. Ha a DAP aktív, hozzá kell adniuk az alkalmazás szolgáltatásnevét a partnerbérlés rendszergazdai ügynök sG-jéhez. A GDAP-val a partnernek gondoskodnia kell arról, hogy az alkalmazás jóváhagyásra kerüljön az ügyfélbérlében. Ha az alkalmazás delegált engedélyeket (alkalmazás + felhasználó) használ, és egy aktív GDAP létezik a három szerepkör (felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor, globális rendszergazda) hozzájárulási API-val . Ha az alkalmazás csak alkalmazásengedélyeket használ, a bérlőszintű rendszergazdai hozzájárulás URL-címének használatával manuálisan kell hozzájárulnia ahhoz, akár a partner, akár az ügyfél rendelkezik a három szerepkör valamelyikével (felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor, globális rendszergazda).
Milyen műveletet kell végrehajtania egy partnernek a 715-123220-ra vonatkozó hiba esetén, vagy a névtelen kapcsolatok nem engedélyezettek a szolgáltatáshoz?
Ha a következő hibaüzenet jelenik meg:
"Jelenleg nem tudjuk érvényesíteni az "Új GDAP-kapcsolat létrehozása" kérést. Felhívjuk a figyelmét, hogy a névtelen kapcsolatok nem engedélyezettek ehhez a szolgáltatáshoz. Ha úgy véli, hogy hibaüzenetet kapott, próbálkozzon újra a kéréssel. Ide kattintva megismerheti a végrehajtandó műveletet. Ha a probléma továbbra is fennáll, forduljon az ügyfélszolgálathoz, és a 715-123220-ás kóddal és a tranzakcióazonosítóval: guid."
Módosítsa a Microsofthoz való csatlakozás módját, hogy az identitás-ellenőrzési szolgáltatás megfelelően fusson, így biztosíthatjuk, hogy fiókja ne legyen sérült, és megfeleljen a Microsoft által betartandó előírásoknak.
A következőket teheti:
- A böngésző gyorsítótárának kiürítése
- Kapcsolja ki a követés megelőzését a böngészőben, vagy adja hozzá webhelyünket a kivétel-/biztonságos listához.
- Kapcsolja ki az esetlegesen használt virtuális magánhálózati (VPN-) programokat vagy szolgáltatásokat.
- Csatlakozzon közvetlenül a helyi eszközéről, ne pedig virtuális gépről.
Miután kipróbálta ezeket a lépéseket, továbbra sem tud csatlakozni, javasoljuk, hogy konzultáljon az informatikai ügyfélszolgálattal, hogy ellenőrizze a beállításokat, hogy segítenek-e azonosítani a problémát okozó problémát. Előfordulhat, hogy a probléma a vállalat hálózati beállításaiban jelentkezik, ebben az esetben a rendszergazdának például a webhely biztonságos listájával vagy más hálózati beállítási beállításokkal kell megoldania a problémát.
Milyen GDAP-műveletek engedélyezettek a (korlátozott, felfüggesztett) és az előkészítés alatt álló partnerek számára?
- Korlátozott (közvetlen számla): Új GDAP (rendszergazdai kapcsolatok) NEM hozhatók létre. A meglévő GDAP-k és szerepkör-hozzárendeléseik frissíthetők.
- Felfüggesztve (közvetlen számla/közvetett szolgáltató/közvetett viszonteladó): Nem hozható létre új GDAP. A meglévő GDAP-k és szerepkör-hozzárendeléseik nem frissíthetők.
- Korlátozott (közvetlen számla) + aktív (közvetett viszonteladó): Korlátozott közvetlen számla esetén: Új GDAP (rendszergazdai kapcsolatok) NEM hozhatók létre. A meglévő GDAP-k és szerepkör-hozzárendeléseik frissíthetők. Aktív közvetett viszonteladó esetén: Új GDAP hozható létre, a meglévő GDAP-k és szerepkör-hozzárendeléseik frissíthetők.
Ha nem hozható létre új GDAP, a meglévő GDAP és szerepkör-hozzárendelései nem frissíthetők.
Ajánlatok
Az Azure-előfizetések kezelése szerepel a GDAP jelen kiadásában?
Igen. A GDAP jelenlegi kiadása minden terméket támogat: Microsoft 365, Dynamics 365, Microsoft Power Platform és Microsoft Azure.