Indicazioni sui ruoli GDAP
Ruoli appropriati: agente di amministrazione
Questo articolo fornisce indicazioni su quale ruolo predefinito di Microsoft Entra con privilegi minimi può essere usato per ogni funzionalità granulare di privilegi di amministratore delegato (GDAP). Ad esempio, per inviare richieste di supporto per conto di un cliente è necessario il ruolo di amministratore del supporto del servizio, ovvero il ruolo predefinito Microsoft Entra con privilegi minimi nel tenant del cliente.
Creazione di richieste di supporto
I rivenditori indiretti non possono creare richieste di supporto per Azure. Devono invece collaborare con i provider indiretti.
| Per creare una richiesta di supporto per: | I partner con fatturazione diretta e i provider indiretti devono avere il ruolo con privilegi minimi seguenti: |
|---|---|
| Microsoft 365 nella interfaccia di amministrazione di Microsoft 365 | Assegnazione di ruolo GDAP a un ruolo con autorizzazioni Microsoft.office365.supportTickets/allEntities/allTasks , ad esempio amministratore del supporto del servizio |
| Dynamics 365 nell'interfaccia di amministrazione di Power Platform | Assegnazione di ruolo GDAP a un ruolo con autorizzazioni Microsoft.office365.supportTickets/allEntities/allTasks , ad esempio amministratore del supporto del servizio |
| Risorsa di sottoscrizione di Azure nel portale di Azure | Prerequisito: per creare richieste per conto dei clienti che usano la sottoscrizione di Azure di un cliente, i partner devono avere una relazione di rivenditore con il cliente, come illustrato in Autorizzazione a livello di area CSP. Per altre informazioni, vedere Passaggi per configurare Il GDAP di Azure. Qualsiasi assegnazione GDAP a un ruolo di Microsoft Entra, ad esempio lettori di directory, -E- Assegnazione di ruolo del controllo degli accessi in base al ruolo di Azure a un ruolo con autorizzazioni Microsoft.Support/supportTickets/write , ad esempio Collaboratore alla richiesta di supporto |
| ID Microsoft Entra nel portale di Azure | Alternativa 1: se un cliente non dispone di Microsoft Entra ID P1 o P2 Prerequisito: per creare richieste per conto dei clienti che usano la sottoscrizione di Azure di un cliente, i partner devono avere una relazione di rivenditore con il cliente per ogni autorizzazione a livello di area CSP. Per altre informazioni, vedere Passaggi per configurare Il GDAP di Azure. Qualsiasi assegnazione GDAP a un ruolo di Microsoft Entra, ad esempio lettori di directory, -E- Assegnazione di ruolo controllo degli accessi in base al ruolo di Azure a un ruolo con autorizzazioni Microsoft.Support/supportTickets/write, ad esempio l'alternativa della richiesta di supporto 2: se il cliente ha un'assegnazione P1 o P2 Qualsiasi assegnazione GDAP a un ruolo Microsoft Entra con autorizzazioni microsoft.azure.supportTickets/allEntities/allTasks, ad esempio l'amministratore del supporto del servizio |
Ruoli GDAP per tipi di partner
Provider indiretti
I ruoli seguenti sono consigliati per i provider indiretti per eseguire transazioni e gestire:
- Creazione di un nuovo tenant del cliente
- Configurazione delle relazioni tra rivenditori
- Acquisto
- Gestione della sottoscrizione
- Aggiornamenti
- Conversioni
- Creazione e assegnazione di licenze utente del cliente
- Richieste di assistenza clienti (richieste di creazione per conto del cliente)
| Ruolo | Descrizione |
|---|---|
| Ruoli lettore: | |
| Lettori di directory | Può leggere le informazioni base della directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest |
| Writer di directory | Può leggere e scrivere informazioni di base sulla directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti. |
| Lettore globale | Può leggere tutto ciò che un amministratore globale può, ma non può aggiornare nulla |
| Gestione degli utenti e gestione delle licenze: | |
| Amministratore utenti | Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati |
| Amministratore licenze | Può gestire le licenze di prodotto per utenti e gruppi |
| Amministratore del supporto del servizio | Può leggere le informazioni sull'integrità dei servizi e gestire le richieste di supporto |
| Help Desk: | |
| Amministratore help desk | Può reimpostare le password per amministratori non amministratori e amministratori help desk |
Partner con fatturazione diretta, rivenditori indiretti e consulenti
I ruoli seguenti sono consigliati per rivenditori indiretti, consulenti e partner con fatturazione diretta che svolgono anche il ruolo dei provider di servizi microsoft. Sono tutti classificati come provider di servizi gestiti specializzati (MSP) che gestiscono completamente l'ambiente del cliente come reparto IT esternalizzato. Questa sezione è suddivisa in categorie di ruoli richiesti dalle attività e dalle funzioni.
Attività tipiche di un tecnico di livello 1 nei servizi gestiti
| Ruolo | Attività | Funzione |
|---|---|---|
| Amministratore del supporto per il servizio | Inviare richieste di supporto per conto del cliente. | Help Desk crea e gestisce le richieste di supporto. |
| Ruolo con autorizzazioni di lettura per la sicurezza | Visualizzare i criteri correlati alla sicurezza nei servizi di Microsoft 365. | Help Desk raccoglie l'individuazione nel tenant del cliente per risolvere i problemi o aggiornare i criteri del portale di sicurezza e conformità, ad esempio i criteri di prevenzione della perdita dei dati. |
| Amministratore di Intune | Può gestire tutti gli aspetti del prodotto Intune. | Help Desk gestisce la registrazione e la risoluzione dei problemi dei dispositivi dei clienti. |
| Amministratore di SharePoint | Può gestire tutti gli aspetti del servizio SharePoint. | Help Desk gestisce le autorizzazioni del sito di SharePoint. |
| Specialista del supporto delle comunicazioni di Teams | Può gestire il servizio Microsoft Teams. | L'help desk risolve i problemi di qualità delle chiamate. |
| Amministratore help desk | Può reimpostare le password per gli amministratori non amministratori e gli amministratori seguenti: Lettore di report dell'amministratore dell'help desk dell'help desk dell'help desk dell'amministratore del Centro messaggi Con autorizzazioni di lettura password. | Help Desk reimposta le password. |
| Amministratore di Desktop Analytics | Può accedere e gestire strumenti e servizi di gestione desktop. | L'help desk può gestire il servizio Desktop Analytics visualizzando l'inventario degli asset e leggendo le proprietà standard dei criteri di autorizzazione. |
| Amministratore dell'autenticazione | Può accedere per visualizzare, configurare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore. | Help Desk può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente non amministratore, ad esempio MFA e accesso condizionale. |
| Amministratore di Exchange | Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft Exchange Online quando il servizio è presente. Ha anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire le richieste di supporto e monitorare l'integrità dei servizi; può inviare OBO e gestire le caselle di posta in arrivo. | Help Desk gestisce le cassette postali condivise, consente di risolvere i problemi di quota delle cassette postali e di creare e gestire le regole di trasporto. |
| Amministratore delle licenze | Può assegnare, rimuovere e aggiornare le assegnazioni di licenze. | Durante la risoluzione dei problemi, l'help desk valuta e corregge se si verifica un problema di licenza con la richiesta di supporto. |
| Amministratore utenti | Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati; può bloccare l'accesso dell'utente. | Help Desk gestisce tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati e il blocco dell'accesso di un ex dipendente del cliente ai servizi di Microsoft 365. |
| Amministratore gruppi | I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi. | Help Desk aggiunge proprietari ai gruppi e aggiunge membri ai gruppi. |
| Ruolo con autorizzazioni di lettura nella directory | Gli utenti con questo ruolo possono leggere le informazioni di base della directory. | Help Desk può leggere le informazioni di base sulla directory come parte della risoluzione dei problemi. |
| Amministratore che legge il Centro messaggi | Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365. | Help Desk legge il Centro messaggi per risolvere i problemi di supporto. |
| Amministrazione stampante | Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni di Universal Print Connector. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori della stampante hanno anche accesso ai report di stampa. | Help Desk gestisce le configurazioni della stampante e risolve i problemi relativi alla stampante. |
| Mittente dell'invito guest | Gli utenti in questo ruolo possono gestire gli inviti degli utenti guest di Microsoft Entra B2B. | Help Desk può invitare utenti guest indipendenti dall'impostazione Membri può invitare utenti guest . |
Ruolo con privilegi minimi per attività
Nella tabella seguente vengono visualizzate le attività all'interno di ogni funzionalità GDAP, insieme al ruolo con privilegi minimi necessari per eseguire ogni attività.
| Funzionalità GDAP | Attività | Ruolo con privilegi minimi |
|---|---|---|
| Supporto | Inviare un ticket di supporto | Amministratore del supporto del servizio |
| Utenti | Aggiungere utenti al ruolo della directory | Amministratore ruolo con privilegi |
| Aggiungere utenti al gruppo | Amministratore utenti | |
| Assegnare una licenza | Amministratore licenze | |
| Creare utente guest | Mittente dell'invito guest | |
| Reimpostare l'invito dell'utente guest | Amministratore utenti | |
| Creare un utente | Amministratore utenti | |
| Eliminare un utente | Amministratore utenti | |
| Invalidare i token di aggiornamento dell'amministratore limitato | Amministratore utenti | |
| Invalidare i token di aggiornamento di nonadmin | Amministratore password | |
| Invalidare i token di aggiornamento dell'amministratore con privilegi | Amministratore dell'autenticazione con privilegi | |
| Leggere configurazione di base | Ruolo utente predefinito | |
| Reimpostare la password per un amministratore limitato | Amministratore utenti | |
| Reimpostare la password per nonadmin | Amministratore password | |
| Reimpostare la password per l'amministratore con privilegi | Amministratore dell'autenticazione con privilegi | |
| Revocare la licenza | Amministratore licenze | |
| Aggiornare tutte le proprietà ad eccezione del nome dell'entità utente | Amministratore utenti | |
| Aggiornare il nome dell'entità utente per un amministratore limitato | Amministratore utenti | |
| Aggiornare il nome dell'entità utente per l'amministratore con privilegi | Amministratore globale | |
| Aggiornare le impostazioni dell'utente | Amministratore globale | |
| Aggiornare i metodi di autenticazione | Amministratore dell'autenticazione | |
| Gruppi | Assegnare una licenza | Amministratore utenti |
| Crea gruppo | Amministratore dei gruppi | |
| Creare, aggiornare o eliminare la verifica di accesso di un gruppo o di un'app | Amministratore utenti | |
| Gestire la scadenza dei gruppi | Amministratore utenti | |
| Gestire le impostazioni dei gruppi | Amministratore dei gruppi | |
| Leggere tutta la configurazione (eccetto l'appartenenza nascosta) | Lettori di directory | |
| Leggere le appartenenze nascoste | Membro di un gruppo | |
| Leggere l'appartenenza dei gruppi con appartenenza nascosta | Amministratore help desk | |
| Revocare la licenza | Amministratore licenze | |
| Aggiornare l'appartenenza al gruppo | Proprietario del gruppo | |
| Aggiornare i proprietari dei gruppi | Proprietario del gruppo | |
| Aggiornare proprietà del gruppo | Proprietario del gruppo | |
| Eliminare un gruppo | Amministratore dei gruppi | |
| Licenze | Assegnare una licenza | Amministratore licenze |
| Leggere tutta la configurazione | Lettori di directory | |
| Revocare la licenza | Amministratore licenze |