GDAP 역할 지침
적절한 역할: 관리 에이전트
이 문서에서는 각 GDAP(세분화된 위임된 관리자 권한) 기능에 사용할 수 있는 최소 권한의 Microsoft Entra 기본 제공 역할에 대한 지침을 제공합니다. 예를 들어 고객을 대신하여 지원 요청을 제출하려면 고객 테넌트에서 최소 권한의 Microsoft Entra 기본 제공 역할인 서비스 지원 관리자 역할이 필요합니다.
지원 요청 만들기
간접 재판매인은 Azure에 대한 지원 요청을 만들 수 없습니다. 대신 간접 공급자와 함께 작업해야 합니다.
| 지원 요청을 만들려면 다음을 수행합니다. | 직접 청구 파트너 및 간접 공급자는 다음과 같은 최소 권한 역할이 있어야 합니다. |
|---|---|
| Microsoft 365 관리 센터 Microsoft 365 | Microsoft.office365.supportTickets/allEntities/allTasks 권한이 있는 역할에 GDAP 역할 할당(예: 서비스 지원 관리자) |
| Power Platform 관리 Center의 Dynamics 365 | Microsoft.office365.supportTickets/allEntities/allTasks 권한이 있는 역할에 GDAP 역할 할당(예: 서비스 지원 관리자) |
| Azure Portal의 Azure 구독 리소스 | 필수 구성 요소: 고객의 Azure 구독을 사용하여 고객을 대신하여 요청을 만들려면 파트너는 CSP 지역 권한 부여에 설명된 대로 고객과 재판매인 관계를 맺어야 합니다. 자세한 내용은 Azure GDAP를 설정하는 단계를 참조하세요. 디렉터리 판독기 등의 Microsoft Entra 역할에 대한 모든 GDAP 할당 -및- Microsoft.Support/supportTickets/쓰기 권한이 있는 역할에 대한 Azure RBAC(역할 기반 액세스 제어) 역할 할당(예: 지원 요청 기여자 |
| Azure Portal의 Microsoft Entra ID | 대안 1: 고객에게 Microsoft Entra ID P1 또는 P2필수 구성 요소가 없는 경우: 고객의 Azure 구독을 사용하여 고객을 대신하여 요청을 만들려면 파트너는 CSP 지역 권한 부여당 고객과 재판매인 관계를 맺어야 합니다. 자세한 내용은 Azure GDAP를 설정하는 단계를 참조하세요. 디렉터리 판독기 등의 Microsoft Entra 역할에 대한 모든 GDAP 할당 -및- Microsoft.Support/supportTickets/쓰기 권한이 있는 역할에 대한 Azure RBAC 역할 할당(예: 지원 요청 기여자Alternative 2: 고객이 Microsoft Entra ID P1 또는 P2 Microsoft Entra 역할에 대한 모든 GDAP 할당이 있는 경우: microsoft.azure.supportTickets/allEntities/allTasks 권한(예: 서비스 지원 관리자)) |
파트너 유형별 GDAP 역할
간접 공급자
간접 공급자가 거래하고 관리하는 데 권장되는 역할은 다음과 같습니다.
- 새 고객 테넌트 만들기
- 재판매인 관계 설정
- 구매
- 구독 관리
- 업그레이드
- 변환
- 고객 사용자 만들기 및 라이선스 할당
- 고객 서비스 요청(고객을 대신하여 만들기 요청)
| 역할 | 설명 |
|---|---|
| 읽기 권한자 역할: | |
| 디렉터리 읽기 권한자 | 기본 디렉터리 정보를 읽을 수 있습니다. 애플리케이션 및 게스트에 대한 디렉터리 읽기 액세스 권한을 부여하는 데 일반적으로 사용됩니다. |
| 디렉터리 작성기 | 기본 디렉터리 정보를 읽고 쓸 수 있습니다. 애플리케이션에 대한 액세스 권한은 사용자를 위한 것이 아닙니다. |
| 전역 읽기 권한자 | 전역 관리자가 할 수 있지만 아무것도 업데이트할 수 없는 모든 것을 읽을 수 있습니다. |
| 사용자 관리 및 라이선스 관리: | |
| 사용자 관리자 | 제한된 관리자에 대한 암호 재설정을 포함하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다. |
| 라이선스 관리자 | 사용자 및 그룹의 제품 라이선스를 관리할 수 있습니다. |
| 서비스 지원 관리자 | 서비스 상태 정보를 읽고 지원 요청을 관리할 수 있습니다. |
| 지원 센터: | |
| 지원 센터 관리자 | 관리자가 아닌 관리자 및 지원 센터 관리자의 암호를 재설정할 수 있습니다. |
직접 청구 파트너, 간접 재판매인 및 고문
다음 역할은 MSP의 역할을 수행하는 간접 재판매인, 고문 및 직접 청구 파트너에게 권장됩니다. 모두 고객의 환경을 아웃소싱 IT 부서로 완전히 관리하는 전문 관리 서비스 공급자(MSP)로 분류됩니다. 이 섹션은 작업 및 함수에 필요한 역할로 분류됩니다.
관리되는 서비스에서 계층 1 기술자의 일반적인 작업
| 역할 | Task | Function |
|---|---|---|
| 서비스 지원 관리자 | 고객을 대신하여 지원 요청을 제출합니다. | 지원 데스크는 지원 요청을 만들고 관리합니다. |
| 보안 판독기 | Microsoft 365 서비스에서 보안 관련 정책을 봅니다. | 기술 지원팀은 고객 테넌트에서 검색을 수집하여 데이터 손실 방지 정책과 같은 보안 및 규정 준수 포털 정책의 문제를 해결하거나 업데이트합니다. |
| Intune 관리자 | Intune 제품의 모든 측면을 관리할 수 있습니다. | 기술 지원팀은 고객 디바이스 등록 및 문제 해결을 처리합니다. |
| SharePoint 관리자 | SharePoint 서비스의 모든 측면을 관리할 수 있습니다. | 기술 지원팀은 SharePoint 사이트 사용 권한을 관리합니다. |
| Teams 커뮤니케이션 지원 전문가 | Microsoft Teams 서비스를 관리할 수 있습니다. | 기술 지원팀은 통화 품질 문제를 해결합니다. |
| 지원 센터 관리자 | 관리자가 아닌 관리자 및 이러한 관리자의 암호를 재설정할 수 있습니다. 디렉터리 읽기 권한자 게스트 초대자 지원 센터 관리자 메시지 센터 읽기 권한자 암호 관리자 보고서 읽기 권한자입니다. | 기술 지원 센터에서 암호를 재설정합니다. |
| 데스크톱 분석 관리자 | 데스크톱 관리 도구 및 서비스에 액세스하고 관리할 수 있습니다. | 기술 지원팀은 자산 인벤토리를 보고 권한 부여 정책의 표준 속성을 읽어 데스크톱 분석 서비스를 관리할 수 있습니다. |
| 인증 관리자 | 관리자가 아닌 사용자의 인증 방법 정보를 보고, 설정하고, 재설정할 액세스 권한을 가집니다. | 기술 지원팀은 관리자가 아닌 사용자(예: MFA 및 조건부 액세스)에 대한 인증 방법 정보를 보고, 설정하고, 재설정하는 데 액세스할 수 있습니다. |
| Exchange 관리자 | 이 역할이 있는 사용자는 서비스가 있는 경우 Microsoft Exchange Online 내에서 전역 권한을 가집니다. 또한 모든 Microsoft 365 그룹을 만들고 관리하고, 지원 요청을 관리하고, 서비스 상태를 모니터링하는 기능도 있습니다. 는 OBO를 보내고 받은 편지함을 관리할 수 있습니다. | Help Desk는 공유 사서함을 관리하고, 사서함 할당량 문제를 해결하고, 전송 규칙을 만들고 관리합니다. |
| 라이선스 관리자 | 라이선스 할당을 할당, 제거 및 업데이트할 수 있습니다. | 문제 해결 중에 지원 데스크는 지원 요청에 라이선스 문제가 있는지 평가하고 수정합니다. |
| 사용자 관리자 | 제한된 관리자에 대한 암호 재설정을 포함하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다. 는 사용자 로그인을 차단할 수 있습니다. | Help Desk는 제한된 관리자에 대한 암호 재설정 및 이전 고객 직원의 Microsoft 365 서비스 액세스 차단을 포함하여 사용자 및 그룹의 모든 측면을 관리합니다. |
| 그룹 관리자 | 이 역할의 구성원은 그룹을 만들고/관리하고, 이름이나 만료 정책과 같은 그룹 설정을 만들고/관리하고, 그룹 작업 및 감사 보고서를 볼 수 있습니다. | 기술 지원팀은 그룹에 소유자를 추가하고 그룹에 구성원을 추가합니다. |
| 디렉터리 읽기 권한자 | 이 역할의 사용자는 기본 디렉터리 정보를 읽을 수 있습니다. | 기술 지원팀은 문제 해결의 일환으로 기본 디렉터리 정보를 읽을 수 있습니다. |
| 메시지 센터 읽기 권한자 | Office 365 메시지 센터에서만 조직의 메시지 및 업데이트를 읽을 수 있습니다. | 지원 데스크는 지원 문제를 해결하기 위해 메시지 센터를 읽습니다. |
| 프린터 관리 | 이 역할을 가진 사용자는 프린터를 등록하고 유니버설 인쇄 커넥트or 설정을 포함하여 Microsoft 유니버설 인쇄 솔루션에서 모든 프린터 구성의 모든 측면을 관리할 수 있습니다. 모든 위임된 인쇄 권한 요청에 동의할 수 있습니다. 프린터 관리자는 인쇄 보고서에도 액세스할 수 있습니다. | 기술 지원팀은 프린터 구성을 관리하고 프린터 문제를 해결합니다. |
| 게스트 초대자 | 이 역할의 사용자는 Microsoft Entra B2B 게스트 사용자 초대를 관리할 수 있습니다. | 지원팀은 구성원과 독립적으로 게스트 사용자를 초대할 수 있으며 게스트 설정을 초대할 수 있습니다 . |
태스크별 최소 권한 역할
다음 표에는 각 작업을 수행하는 데 필요한 최소 권한 역할과 함께 각 GDAP 기능 내의 태스크가 표시됩니다.
| GDAP 기능 | Task | 최소 권한 역할 |
|---|---|---|
| 지원 | 지원 티켓 제출 | 서비스 지원 관리자 |
| 사용자 | 디렉터리 역할에 사용자 추가 | 권한 있는 역할 관리자 |
| 그룹에 사용자 추가 | 사용자 관리자 | |
| 라이선스 할당 | 라이선스 관리자 | |
| 게스트 사용자 만들기 | 게스트 초대자 | |
| 게스트 사용자 초대 다시 설정 | 사용자 관리자 | |
| 사용자 만들기 | 사용자 관리자 | |
| 사용자 삭제 | 사용자 관리자 | |
| 제한된 관리자의 새로 고침 토큰 무효화 | 사용자 관리자 | |
| nonadmin의 새로 고침 토큰 무효화 | 암호 관리자 | |
| 권한 있는 관리자의 새로 고침 토큰 무효화 | 권한 있는 인증 관리자 | |
| 기본 구성 읽기 | 기본 사용자 역할 | |
| 제한된 관리자에 대한 암호 재설정 | 사용자 관리자 | |
| nonadmin에 대한 암호 재설정 | 암호 관리자 | |
| 권한 있는 관리자의 암호 재설정 | 권한 있는 인증 관리자 | |
| 라이선스 해지 | 라이선스 관리자 | |
| 사용자 계정 이름을 제외한 모든 속성 업데이트 | 사용자 관리자 | |
| 제한된 관리자의 사용자 계정 이름 업데이트 | 사용자 관리자 | |
| 권한 있는 관리자의 사용자 계정 이름 업데이트 | 전역 관리자 | |
| 사용자 설정 업데이트 | 전역 관리자 | |
| 인증 방법 업데이트 | 인증 관리자 | |
| Groups | 라이선스 할당 | 사용자 관리자 |
| 그룹 만들기 | 그룹 관리자 | |
| 그룹 또는 앱의 액세스 검토 만들기, 업데이트 또는 삭제 | 사용자 관리자 | |
| 그룹 만료 관리 | 사용자 관리자 | |
| 그룹 설정 관리 | 그룹 관리자 | |
| 모든 구성 읽기(숨겨진 멤버 자격 제외) | 디렉터리 읽기 권한자 | |
| 숨겨진 멤버 자격 읽기 | 그룹 멤버 | |
| 숨겨진 구성원이 있는 그룹의 멤버 자격 읽기 | 지원 센터 관리자 | |
| 라이선스 해지 | 라이선스 관리자 | |
| 그룹 멤버 자격 업데이트 | 그룹 소유자 | |
| 그룹 소유자 업데이트 | 그룹 소유자 | |
| 그룹 속성 업데이트 | 그룹 소유자 | |
| 그룹 삭제 | 그룹 관리자 | |
| 라이선스 | 라이선스 할당 | 라이선스 관리자 |
| 모든 구성 읽기 | 디렉터리 읽기 권한자 | |
| 라이선스 해지 | 라이선스 관리자 |
복잡성별 역할
| 역할 | 단순 | 중간 | 복합 |
|---|---|---|---|
| 애플리케이션 관리자 | x | ||
| 애플리케이션 개발자 | x | ||
| 공격 페이로드 작성자 | x | ||
| 공격 시뮬레이션 관리자 | x | ||
| 인증 관리자 | x | ||
| Microsoft Entra 조인 디바이스 로컬 관리자 | x | ||
| Azure DevOps 관리자 | x | ||
| Azure Information Protection 관리자 | x | ||
| 청구 관리자 | x | ||
| 클라우드 애플리케이션 관리자 | x | x | |
| 클라우드 디바이스 관리자 | x | ||
| 규정 준수 관리자 | x | ||
| 조건부 액세스 관리자 | x | ||
| 데스크톱 분석 관리자 | x | ||
| 디렉터리 읽기 권한자 | x | x | x |
| 디렉터리 동기화 계정 | x | ||
| Do기본 이름 관리자 | x | ||
| Dynamics 365 관리자 | x | x | |
| Exchange 관리자 | x | x | |
| Exchange 받는 사람 관리자 | x | ||
| 외부 ID 공급자 관리자 | x | ||
| 전역 읽기 권한자 | x | x | x |
| 그룹 관리자 | x | ||
| 게스트 초대자 | x | ||
| 기술 지원팀 관리자 | x | x | x |
| 하이브리드 식별 관리자 | x | ||
| 인사이트 관리자 | x | ||
| Intune 관리자 | x | x | |
| 라이선스 관리자 | x | x | x |
| Message Center 개인 정보 읽기 권한자 | x | ||
| 메시지 센터 판독기 | x | ||
| 네트워크 관리자 | x | ||
| Office 앱 관리자 | x | ||
| 암호 관리자 | x | ||
| Power BI 관리자 | x | x | |
| Power Platform 관리자 | x | x | |
| 프린터 관리자 | x | ||
| 프린터 기술자 | x | ||
| 권한 있는 인증 관리자 | x | ||
| 권한 있는 역할 관리자 | x | ||
| 보고서 읽기 권한자 | x | x | |
| 검색 관리자 | x | ||
| 검색 편집기 | x | ||
| 보안 관리자 | x | x | |
| 보안 읽기 권한자 | x | x | |
| 서비스 지원 관리자 | x | x | x |
| SharePoint 관리자 | x | x | |
| 비즈니스용 Skype 관리자 | x | ||
| Teams 관리자 | x | x | |
| Teams 커뮤니케이션 관리자 | x | ||
| Teams 커뮤니케이션 지원 엔지니어 | x | ||
| Teams 커뮤니케이션 지원 전문가 | x | ||
| Teams 디바이스 관리자 | x | ||
| 사용자 관리자 | x | x | x |
| Windows 365 관리자 | x | x |
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기