Panduan peran GDAP
Peran yang sesuai: Agen admin
Artikel ini memberikan panduan tentang peran bawaan Microsoft Entra yang paling tidak istimewa mana yang dapat digunakan untuk setiap kemampuan hak istimewa admin yang didelegasikan terperinci (GDAP). Misalnya, untuk mengirimkan permintaan dukungan atas nama pelanggan memerlukan peran Administrator dukungan layanan, yang merupakan peran bawaan Microsoft Entra yang paling tidak istimewa pada penyewa pelanggan Anda.
Membuat permintaan dukungan
Penjual tidak langsung tidak dapat membuat permintaan dukungan untuk Azure. Sebaliknya, mereka harus bekerja dengan penyedia tidak langsung mereka.
| Untuk membuat permintaan dukungan untuk: | Mitra tagihan langsung dan penyedia tidak langsung harus memiliki peran hak istimewa paling sedikit berikut: |
|---|---|
| Microsoft 365 di pusat admin Microsoft 365 | Penetapan peran GDAP ke peran yang memiliki izin Microsoft.office365.supportTickets/allEntities/allTasks , seperti administrator dukungan Layanan |
| Dynamics 365 di Pusat Admin Power Platform | Penetapan peran GDAP ke peran yang memiliki izin Microsoft.office365.supportTickets/allEntities/allTasks , seperti administrator dukungan Layanan |
| Sumber daya langganan Azure di portal Azure | Prasyarat: Untuk membuat permintaan atas nama pelanggan yang menggunakan langganan Azure pelanggan, mitra harus memiliki hubungan penjual dengan pelanggan seperti yang dijelaskan dalam otorisasi regional CSP. Untuk informasi selengkapnya, lihat Langkah-langkah untuk menyiapkan Azure GDAP. Setiap penetapan GDAP ke peran Microsoft Entra, seperti pembaca Direktori, -DAN- Penetapan peran kontrol akses berbasis peran Azure (RBAC) ke peran dengan izin Microsoft.Support/supportTickets/write , seperti Kontributor permintaan dukungan |
| ID Microsoft Entra di portal Azure | Alternatif 1: Jika pelanggan tidak memiliki Prasyarat Microsoft Entra ID P1 atau P2 : Untuk membuat permintaan atas nama pelanggan yang menggunakan langganan Azure pelanggan, mitra harus memiliki hubungan penjual dengan pelanggan per otorisasi regional CSP. Untuk informasi selengkapnya, lihat Langkah-langkah untuk menyiapkan Azure GDAP. Setiap penetapan GDAP ke peran Microsoft Entra, seperti pembaca Direktori, -DAN- Penetapan peran Azure RBAC ke peran dengan izin Microsoft.Support/supportTickets/write, seperti Kontributor permintaan dukungan Alternatif 2: Jika pelanggan memiliki penugasan Microsoft Entra ID P1 atau P2 GDAP apa pun ke peran Microsoft Entra yang memiliki: izin microsoft.azure.supportTickets/allEntities/allTasks, seperti Administrator dukungan layanan |
Peran GDAP menurut jenis mitra
Penyedia tidak langsung
Peran berikut direkomendasikan bagi penyedia tidak langsung untuk bertransaksi dan mengelola:
- Pembuatan penyewa pelanggan baru
- Penyiapan hubungan penjual
- Beli
- Manajemen langganan
- Peningkatan
- Konversi
- Pembuatan pengguna pelanggan dan penetapan lisensi
- Permintaan layanan pelanggan (pembuatan permintaan atas nama pelanggan)
| Peran | Keterangan |
|---|---|
| Peran pembaca: | |
| Pembaca direktori | Dapat membaca informasi direktori dasar. Umumnya digunakan untuk memberikan akses baca direktori ke aplikasi dan tamu |
| Penulis direktori | Dapat membaca dan menulis informasi direktori dasar. Untuk memberikan akses ke aplikasi, tidak ditujukan untuk pengguna. |
| Pembaca global | Dapat membaca semua yang dapat diakses administrator Global, tetapi tidak dapat memperbarui apa pun |
| Manajemen pengguna dan manajemen lisensi: | |
| Administrator pengguna | Dapat mengelola semua aspek pengguna dan grup, termasuk mengatur ulang kata sandi untuk admin terbatas |
| Administrator lisensi | Dapat mengelola lisensi produk pada pengguna dan grup |
| Administrator dukungan layanan | Dapat membaca informasi kesehatan layanan dan mengelola permintaan dukungan |
| Staf Bantuan: | |
| Administrator Help Desk | Dapat mengatur ulang kata sandi untuk non-administrator dan administrator Help Desk |
Mitra tagihan langsung, penjual tidak langsung, dan penasihat
Peran berikut direkomendasikan untuk reseller tidak langsung, penasihat, dan mitra tagihan langsung yang juga berperan sebagai MSP. Semuanya dikategorikan sebagai penyedia layanan terkelola khusus (MSP) yang sepenuhnya mengelola lingkungan pelanggan sebagai departemen IT outsourcing. Bagian ini adalah peran yang dikategorikan yang diperlukan oleh tugas dan fungsi.
Tugas umum teknisi tingkat 1 dalam layanan terkelola
| Peran | Tugas | Fungsi |
|---|---|---|
| Admin dukungan layanan | Kirimkan permintaan dukungan atas nama pelanggan. | Help Desk membuat dan mengelola permintaan dukungan. |
| Pembaca keamanan | Lihat kebijakan terkait keamanan di seluruh layanan Microsoft 365. | Help Desk mengumpulkan penemuan pada penyewa pelanggan untuk memecahkan masalah atau memperbarui kebijakan portal keamanan dan kepatuhan, seperti kebijakan pencegahan kehilangan data. |
| Administrator Intune | Dapat mengelola semua aspek produk Intune. | Help Desk menangani pendaftaran dan pemecahan masalah perangkat pelanggan. |
| Administrator SharePoint | Dapat mengelola semua aspek layanan SharePoint. | Staf Dukungan mengelola izin situs SharePoint. |
| Spesialis dukungan komunikasi Teams | Dapat mengelola layanan Microsoft Teams. | Help Desk memecahkan masalah kualitas panggilan. |
| Administrator Help Desk | Dapat mengatur ulang kata sandi untuk non-administrator dan admin ini: Pembaca Direktori Administrator Help Desk Pengundang Tamu Administrator Pusat Pesan Pembaca Kata Sandi Pembaca Laporan Administrator Kata Sandi. | Help Desk mengatur ulang kata sandi. |
| Administrator analitik desktop | Dapat mengakses dan mengelola alat dan layanan manajemen desktop. | Help Desk dapat mengelola layanan analitik desktop dengan melihat inventarisasi aset dan membaca properti standar kebijakan otorisasi. |
| Administrator Autentikasi | Memiliki akses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk setiap pengguna non-admin. | Staf Dukungan dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk setiap pengguna non-admin (misalnya, MFA dan akses bersyarah). |
| Admin Exchange | Pengguna dengan peran ini memiliki izin global dalam Microsoft Exchange Online saat layanan ada. Juga memiliki kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola permintaan dukungan, dan memantau kesehatan layanan; dapat mengirim OBO dan mengelola kotak masuk. | Help Desk mengelola kotak surat bersama, membantu menyelesaikan masalah kuota kotak surat, dan membuat dan mengelola aturan transportasi. |
| Administrator lisensi | Dapat menetapkan, menghapus, dan memperbarui penetapan lisensi. | Selama pemecahan masalah, Help Desk menilai dan memulihkan jika ada masalah lisensi dengan permintaan dukungan. |
| Administrator pengguna | Dapat mengelola semua aspek pengguna dan grup, termasuk mengatur ulang kata sandi untuk admin terbatas; dapat memblokir rincian masuk pengguna. | Help Desk mengelola semua aspek pengguna dan grup, termasuk mengatur ulang kata sandi untuk admin terbatas dan memblokir akses mantan karyawan pelanggan ke layanan Microsoft 365. |
| Admin grup | Anggota peran ini dapat membuat/mengelola grup, membuat/mengelola pengaturan grup seperti penamaan dan kebijakan kedaluwarsa, serta melihat aktivitas grup dan laporan audit. | Help Desk menambahkan pemilik ke grup dan menambahkan anggota ke grup. |
| Pembaca direktori | Pengguna dalam peran ini dapat membaca informasi direktori dasar. | Staf Dukungan dapat membaca informasi direktori dasar sebagai bagian dari pemecahan masalah. |
| Pembaca pusat pesan | Dapat membaca pesan dan pembaruan untuk organisasi mereka hanya di Pusat Pesan Office 365. | Help Desk membaca Pusat Pesan untuk memecahkan masalah dukungan. |
| Administrasi printer | Pengguna dengan peran ini dapat mendaftarkan printer dan mengelola semua aspek semua konfigurasi printer dalam solusi Microsoft Universal Print, termasuk pengaturan Universal Print Connector. Mereka dapat menyetujui semua permintaan izin cetak yang didelegasikan. Administrator printer juga memiliki akses untuk mencetak laporan. | Help Desk akan mengelola konfigurasi printer dan memecahkan masalah printer. |
| Pengundang tamu | Pengguna dalam peran ini dapat mengelola undangan pengguna tamu Microsoft Entra B2B. | Help Desk dapat mengundang pengguna tamu yang independen dari pengaturan Anggota dapat mengundang tamu . |
Peran dengan hak istimewa paling sedikit berdasarkan tugas
Tabel berikut menampilkan tugas dalam setiap kemampuan GDAP, bersama dengan peran paling tidak istimewa yang diperlukan untuk melakukan setiap tugas.
| Kemampuan GDAP | Tugas | Peran dengan hak istimewa terkecil |
|---|---|---|
| Dukungan | Mengirim tiket dukungan | Administrator dukungan layanan |
| Pengguna | Menambahkan pengguna ke peran direktori | Administrator peran istimewa |
| Menambahkan pengguna ke grup | Administrator pengguna | |
| Menetapkan lisensi | Administrator lisensi | |
| Membuat pengguna tamu | Pengundang tamu | |
| Mereset undangan pengguna tamu | Administrator pengguna | |
| Buat pengguna | Administrator pengguna | |
| Menghapus pengguna | Administrator pengguna | |
| Membatalkan token refresh admin terbatas | Administrator pengguna | |
| Membatalkan token refresh nonadmin | Administrator Kata Sandi | |
| Membatalkan token refresh admin istimewa | Administrator Autentikasi Istimewa | |
| Membaca konfigurasi dasar | Peran pengguna default | |
| Mereset kata sandi untuk admin terbatas | Administrator pengguna | |
| Mengatur ulang kata sandi untuk nonadmin | Administrator Kata Sandi | |
| Mereset kata sandi untuk admin istimewa | Administrator Autentikasi Istimewa | |
| Mencabut lisensi | Administrator lisensi | |
| Memperbarui semua properti kecuali nama prinsipal pengguna | Administrator pengguna | |
| Memperbarui nama prinsipal pengguna untuk admin terbatas | Administrator pengguna | |
| Memperbarui nama prinsipal pengguna untuk admin istimewa | Administrator global | |
| Memperbarui pengaturan pengguna | Administrator global | |
| Memperbarui metode autentikasi | Administrator Autentikasi | |
| Grup | Menetapkan lisensi | Administrator pengguna |
| Membuat grup | Administrator grup | |
| Membuat, memperbarui, atau menghapus tinjauan akses grup atau aplikasi | Administrator pengguna | |
| Mengelola kedaluwarsa grup | Administrator pengguna | |
| Mengelola pengaturan grup | Administrator grup | |
| Membaca semua konfigurasi (kecuali keanggotaan tersembunyi) | Pembaca direktori | |
| Membaca keanggotaan tersembunyi | Anggota grup | |
| Membaca keanggotaan grup dengan keanggotaan tersembunyi | Administrator Help Desk | |
| Mencabut lisensi | Administrator lisensi | |
| Memperbarui anggota grup | Pemilik grup | |
| Memperbarui pemilik grup | Pemilik grup | |
| Memperbarui properti grup | Pemilik grup | |
| Menghapus grup | Administrator grup | |
| Lisensi | Menetapkan lisensi | Administrator lisensi |
| Membaca semua konfigurasi | Pembaca direktori | |
| Mencabut lisensi | Administrator lisensi |