Ottenere i privilegi di amministratore con delega da un partner

  • Articolo

Ruoli appropriati: agente Amministrazione | Agente di vendita

Per gestire il servizio o la sottoscrizione di un cliente per suo conto, il cliente deve concedere all'utente GDAP (Granular Delegated Amministrazione Privileges) per tale servizio. Per ottenere le autorizzazioni di amministratore da un cliente, invitare un cliente a stabilire una relazione di amministratore (GDAP) con l'utente. Dopo che il cliente approva la richiesta, è necessario concedere autorizzazioni granulari ai gruppi di sicurezza. Accedere al portale di amministrazione del servizio e gestire il servizio per suo conto.

Effettuare il provisioning e gestire il servizio per il cliente

Dopo aver accettato la richiesta, il cliente verrà visualizzato nella pagina Clienti nel Centro per i partner. È possibile effettuare il provisioning e gestire il servizio per il cliente da questa posizione.

Per gestire l'account, i servizi, gli utenti e le licenze del cliente, seguire questa procedura:

  1. Accedere al Centro per i partner e selezionare Clienti.
  2. Selezionare Amministrazione ister, quindi espandere il record del cliente selezionando la freccia giù accanto al nome.
  3. Selezionare il portale di amministrazione per il servizio che si vuole gestire.

Importante

I clienti possono riassegnare o rimuovere le autorizzazioni di amministratore nel portale di amministrazione del servizio. È necessario tenere presente (e informare i clienti) che quando un cliente rimuove le autorizzazioni di amministratore, non è possibile aprire una richiesta di servizio a Microsoft per loro conto fino a quando non si ripristina la relazione.

Sottoscrizioni Azure e gestione delle risorse

Ogni sottoscrizione di Azure ha un proprio gruppo di ruoli di gestione delle risorse. Prima che un partner Cloud Solution Provider (CSP) possa gestire la sottoscrizione di Azure di un cliente, a tale partner deve essere assegnato uno o più ruoli nella sottoscrizione di Azure. In particolare:

  1. Quando il partner CSP effettua il provisioning di una nuova sottoscrizione di Azure per il cliente, al gruppo Amministrazione Agents nel tenant partner CSP viene assegnato automaticamente il ruolo Proprietario nella sottoscrizione. In base a questa assegnazione di ruolo, i membri del gruppo possono accedere e gestire le risorse associate alla sottoscrizione.
  2. Quando un cliente rimuove i privilegi di amministrazione delegati da un partner tramite il portale di Office 365, il partner può comunque gestire la sottoscrizione di Azure del cliente, purché il partner sia ancora assegnato a uno o più ruoli nella sottoscrizione. Perché il partner interrompa la gestione della sottoscrizione di Azure, il cliente deve rimuovere l'assegnazione del ruolo.

I clienti possono trovare i partner con privilegi di amministratore delegato

Per scoprire quali partner dispongono di privilegi di amministratore per il tenant dall'interno del portale di amministrazione di Office 365, i clienti possono seguire questa procedura:

  1. Accedere al portale di amministrazione di Office 365 come amministratore globale.
  2. Seleziona le relazioni Impostazioni> Partner.
  3. Nella pagina Relazioni partner visualizzare l'elenco dei partner con cui lavorano e dei partner a cui sono stati concessi privilegi di amministrazione delegata al tenant.

I clienti possono gestire i privilegi di amministratore con delega di un partner

I clienti possono gestire diritti e autorizzazioni per gli account di Office 365 nella pagina Relazioni tra partner nell'interfaccia di amministrazione di Microsoft Office 365. In questa pagina i clienti possono:

  1. Vedere con quali partner hanno una relazione e quali partner dispongono dei privilegi di amministratore con delega
  2. Rimuovere i privilegi di amministratore con delega del partner dal tenant

Il cliente potrebbe decidere di rimuovere i privilegi di amministratore delegato dal tenant, ma mantenere la relazione con l'utente per scopi di rinnovo della sottoscrizione e della licenza.

Per rimuovere i privilegi di amministrazione delegata da un partner, i clienti possono seguire questa procedura:

  1. Accedi all'interfaccia di amministrazione di Microsoft 365.
  2. Selezionare la riga del partner da rimuovere.
  3. Selezionare Rimuovi ruoli.
  4. Quando viene richiesto di confermare, selezionare .

Importante

I clienti non riescono a trovare i partner a cui viene assegnato un ruolo Microsoft Entra usando l'interfaccia di amministrazione di Microsoft Entra/PowerShell/Graph. È invece consigliabile usare la pagina Relazioni partner nel portale di Amministrazione di Office 365 per verificare se un privilegio di amministrazione delegata è stato assegnato a un partner.

Privilegi di amministratore delegato in Microsoft Entra ID

Nel tenant Di Microsoft Entra del partner sono presenti due gruppi di sicurezza usati per l'amministrazione delegata: agenti Amministrazione e agenti helpdesk.

Quando un cliente concede un privilegio di amministrazione delegata a un partner:

  1. Il gruppo Amministrazione Agent viene assegnato al ruolo di amministratore globale nel tenant di Microsoft Entra del cliente.
  2. Il gruppo Agente helpdesk viene assegnato al ruolo di amministratore del supporto tecnico nel tenant microsoft Entra del cliente.

In base ai ruoli della directory assegnati, i membri di entrambi i gruppi possono accedere al tenant di Microsoft Entra del cliente e ai servizi di Office 365 usando le credenziali del partner e amministrare per conto del cliente.

Se il cliente rimuove i privilegi di amministratore delegato, le assegnazioni di ruolo di Microsoft Entra vengono rimosse e non sarà possibile gestire il tenant di Microsoft Entra del cliente.

Windows Autopilot

Dal Centro per i partner, i partner CSP possono gestire i profili di Autopilot per i clienti senza privilegi di amministratore con delega nelle circostanze seguenti:

  • Se un cliente rimuove i privilegi di amministratore con delega ma mantiene una relazione come rivenditore con l'utente, puoi continuare a gestire i profili di Autopilot per il cliente.
  • Puoi gestire i dispositivi del cliente aggiunti dall'utente o da un altro partner.
  • Non è possibile gestire i dispositivi aggiunti dal cliente tramite Microsoft Store per le aziende, Microsoft Store per la formazione o il portale di Microsoft Intune.

Per altre informazioni su Autopilot, vedi Semplificare la configurazione dei dispositivi con Windows Autopilot.

Importante

L'attuale esperienza di gestione di Autopilot nel Centro per i partner è soggetta a modifiche. Al momento della pubblicazione di questo articolo, vengono considerate le modifiche seguenti: