Configurare GDAP per i clienti in Microsoft 365 Lighthouse

È ora possibile configurare tutti i clienti con privilegi di amministratore delegati granulari (GDAP) tramite Microsoft 365 Lighthouse, indipendentemente dalle relative licenze o dimensioni. Configurando l'organizzazione con GDAP per i tenant dei clienti gestiti, gli utenti dell'organizzazione hanno le autorizzazioni necessarie per svolgere il proprio lavoro mantenendo al tempo stesso i tenant dei clienti protetti. Lighthouse consente di eseguire rapidamente la transizione dell'organizzazione a GDAP e di iniziare il percorso verso i privilegi minimi per l'accesso delegato ai clienti.

L'accesso delegato tramite privilegi di amministratore delegato (DAP) o GDAP è un prerequisito per l'onboarding completo dei tenant dei clienti in Lighthouse. Pertanto, la creazione di relazioni GDAP con i clienti può essere il primo passaggio nella gestione dei tenant dei clienti in Lighthouse.

Durante il processo di installazione di GDAP, si creano modelli GDAP configurando i ruoli di supporto e i gruppi di sicurezza necessari per l'organizzazione. Assegnare quindi i tenant dei clienti ai modelli GDAP. I ruoli GDAP hanno l'ambito dei ruoli predefiniti di Microsoft Entra e, quando si configura GDAP, vengono visualizzate raccomandazioni per un set di ruoli necessari per funzioni di processo diverse.

Guarda: Configurare GDAP

Guarda gli altri video di Microsoft 365 Lighthouse sul nostro canale YouTube.

Prima di iniziare

• È necessario disporre di autorizzazioni specifiche nel tenant partner:

  • Per stabilire gruppi di sicurezza GDAP, aggiungere utenti e creare modelli GDAP, è necessario essere un amministratore globale nel tenant del partner. Questo ruolo può essere assegnato in Microsoft Entra ID.This role can be assigned in Microsoft Entra ID.

  • Per creare e completare relazioni GDAP, è necessario essere membri del gruppo Agenti di amministrazione nel Centro per i partner.

• I clienti gestiti in Lighthouse devono essere configurati nel Centro per i partner con una relazione rivenditore o una relazione delegata esistente (DAP o GDAP).

Nota

I modelli GDAP lighthouse usano gruppi di sicurezza assegnabili ai ruoli. Per aggiungere utenti a questi gruppi è necessaria una licenza Microsoft Entra ID P1. Per abilitare i ruoli JIT (Just-in-Time), è necessaria la governance dell'IDE di Microsoft Entra o una licenza P2 di Microsoft Entra ID.

Configurare GDAP per la prima volta

Quando si configura GDAP per la prima volta, è necessario completare le sezioni seguenti in ordine. Al termine, è possibile tornare e modificare qualsiasi sezione in base alle esigenze.

Se si verificano problemi durante l'installazione di GDAP, vedere Risolvere i problemi e i messaggi di errore in Microsoft 365 Lighthouse: Configurazione e gestione GDAP per istruzioni.

Per iniziare:

1. Nel riquadro di spostamento sinistro in Lighthouse selezionare Home.

2. Nella scheda Configura GDAP selezionare Configura GDAP.

3. Completare le sezioni seguenti in ordine.

   Passaggio 1: Ruoli e autorizzazioni

   Passaggio 2: Modelli GDAP

   Passaggio 3: Gruppi di sicurezza

   Passaggio 4: Assegnazioni tenant

   Passaggio 5: Rivedere e completare

Passaggio 1: Ruoli e autorizzazioni

Scegliere i ruoli di Microsoft Entra necessari in base alle funzioni di lavoro dei dipendenti.

1. Nella pagina Ruoli e autorizzazioni selezionare i ruoli di Microsoft Entra necessari in base alle funzioni di lavoro dei dipendenti. Eseguire una delle operazioni seguenti:

   • Adottare i ruoli consigliati
   • Modificare le selezioni dei ruoli di Microsoft Entra

   Per impostazione predefinita, Lighthouse include cinque ruoli di supporto: Account Manager, Service Desk Agent, Specialist, Escalation engineer e JIT Agent. È possibile rinominare i ruoli di supporto in base alle preferenze dell'organizzazione selezionando Modifica ruoli di supporto. Alcuni ruoli di Microsoft Entra non possono essere aggiunti a ruoli di supporto diversi, ad esempio i ruoli di Microsoft Entra nel ruolo di supporto dell'agente JIT non possono essere aggiunti ad altri ruoli di supporto.

   Se non sono necessari tutti i ruoli di supporto per la configurazione GDAP, è possibile escludere uno o più modelli GDAP nel passaggio successivo.

2. Seleziona Avanti.

3. Selezionare Salva e chiudi per salvare le impostazioni e uscire dal programma di installazione GDAP.

Passaggio 2: Modelli GDAP

Un modello GDAP è una raccolta di:

• Ruoli di supporto
• Gruppi di sicurezza
• Utenti in ogni gruppo di sicurezza

Per creare un modello GDAP:

1. Nella pagina Modelli GDAP selezionare Crea modello.

2. Nel riquadro del modello immettere il nome e la descrizione del modello nei campi appropriati.

3. Selezionare uno o più ruoli di supporto dall'elenco.

4. Selezionare Salva.

5. Seleziona Avanti.

6. Selezionare Salva e chiudi per salvare le impostazioni e uscire dal programma di installazione GDAP.

Passaggio 3: Gruppi di sicurezza

È necessario almeno un gruppo di sicurezza per ogni ruolo di supporto per ogni modello. Per il primo modello si creerà un nuovo gruppo di sicurezza, ma per i modelli successivi è possibile riutilizzare i gruppi, se lo si desidera.

1. Nella pagina Gruppi di sicurezza selezionare Crea gruppo di sicurezza.

2. Nel riquadro gruppo di sicurezza immettere un nome e una descrizione.

3. Selezionare Aggiungi utenti.

4. Nell'elenco Aggiungi utenti selezionare gli utenti da includere in questo gruppo di sicurezza.

5. Selezionare Salva.

6. Selezionare di nuovo Salva.

7. Seleziona Avanti.

8. Selezionare Salva e chiudi per salvare le impostazioni e uscire dal programma di installazione GDAP.

Gli utenti del gruppo di sicurezza dell'agente JIT sono idonei a richiedere l'accesso ai ruoli GDAP con privilegi elevati; non viene loro concesso l'accesso automatico. Come parte dell'installazione GDAP, selezionare un gruppo di sicurezza del responsabile approvazione JIT dal tenant per approvare le richieste di accesso dagli agenti JIT.

Il gruppo di sicurezza del responsabile approvazione JIT deve essere assegnabile al ruolo. Se non viene visualizzato un gruppo di sicurezza nel programma di installazione GDAP, verificare che il gruppo di sicurezza sia assegnabile al ruolo. Per altre informazioni su come gestire le assegnazioni di ruolo, vedere Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo.

Dopo aver completato la configurazione GDAP, viene creato un criterio di accesso JIT per gli agenti JIT per richiedere l'accesso. È possibile esaminare i criteri creati nel portale di governance dell'ID di Microsoft Entra e gli agenti JIT possono richiedere l'accesso ai rispettivi ruoli dal portale di accesso personale. Per altre informazioni su come gli agenti JIT possono richiedere l'accesso, vedere Gestire l'accesso alle risorse. Per altre informazioni su come i responsabili approvazione possono approvare le richieste, vedere Approvare o negare la richiesta.

Passaggio 4: Assegnazioni tenant

Assegnare gruppi di clienti a ogni modello. Ogni cliente può essere assegnato a un solo modello. Una volta selezionato, il tenant del cliente non verrà visualizzato come opzione nei modelli successivi. Se si esegue nuovamente l'installazione GDAP, le assegnazioni del tenant per ogni modello GDAP verranno salvate.

• Per aggiungere nuovi tenant a un modello GDAP, eseguire nuovamente l'installazione di GDAP. Mantenere le assegnazioni di tenant salvate e selezionare nuovi tenant da assegnare al modello GDAP. Verranno create nuove relazioni GDAP solo per i tenant appena assegnati.

• Per rimuovere i tenant da un modello GDAP, eseguire nuovamente l'installazione GDAP. Rimuovere l'assegnazione del tenant. La rimozione dell'assegnazione del tenant non rimuove la relazione GDAP creata da un'assegnazione precedente, ma consente di riassegnare il tenant del cliente a un modello GDAP diverso, se necessario.

Assicurarsi che tutti i tenant assegnati a un modello GDAP siano selezionati prima di selezionare Avanti. È possibile filtrare l'elenco di tenant usando la casella di ricerca nell'angolo in alto a destra.

1. Nella pagina Assegnazioni tenant selezionare i tenant da assegnare al modello GDAP creato.

2. Selezionare Avanti per passare alla sezione successiva o selezionare Salva e chiudi per salvare le impostazioni e uscire dal programma di installazione GDAP.

Passaggio 5: Rivedere e completare

1. Nella pagina Rivedi impostazioni esaminare le impostazioni create per verificare che siano corrette.

2. Seleziona Fine.

Potrebbero essere necessari un minuto o due per le impostazioni configurate per l'applicazione. Se è necessario aggiornare i dati, seguire le istruzioni. L'installazione sarà incompleta se si esce dal programma di installazione GDAP senza selezionare Fine.

Nota

Per i clienti con una relazione DAP esistente, queste impostazioni vengono applicate automaticamente. I clienti con stato Attivo nell'ultima pagina dell'installazione GDAP vengono assegnati a ruoli e gruppi di sicurezza come definito nel modello GDAP.

Nota

Per i clienti senza una relazione DAP esistente, viene generato un collegamento alla richiesta di relazione amministratore per ogni cliente nell'ultima pagina del programma di installazione GDAP. Da qui, è possibile inviare il collegamento all'amministratore globale del cliente in modo che possa approvare la relazione di amministratore. Dopo l'approvazione della relazione, verranno applicate le impostazioni del modello GDAP. L'visualizzazione delle modifiche in Lighthouse potrebbe richiedere fino a un'ora dopo l'approvazione della relazione.

Dopo aver completato l'installazione GDAP, è possibile passare a diversi passaggi per aggiornare o modificare ruoli, gruppi di sicurezza o modelli. Le relazioni GDAP sono ora visibili nel Centro per i partner e i gruppi di sicurezza sono ora visibili nell'ID Microsoft Entra.

Contenuto correlato

Panoramica delle autorizzazioni (articolo)
Risolvere i problemi e i messaggi di errore (articolo)
Configurare la sicurezza del portale (articolo)
Introduzione ai privilegi di amministratore delegato granulare (GDAP) (articolo)
Ruoli predefiniti di Microsoft Entra (articolo)
Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID (articolo)
Che cos'è la gestione dei diritti di Microsoft Entra? (articolo)