Del via

Konfigurere GDAP i Microsoft 365 Lighthouse

  • Artikkel

Detaljerte delegerte administrative rettigheter (GDAP) er en forutsetning for at kundeleietakere skal være fullstendig innlastet til Lighthouse. Du kan konfigurere alle kundene med GDAP gjennom Microsoft 365 Lighthouse. Ved å konfigurere GDAP for kundeleier du administrerer, bidrar du til å holde kundene dine sikre, samtidig som du sikrer at brukerne i partnerorganisasjonen har tillatelsene som er nødvendige for å gjøre arbeidet sitt.

Hvis du vil gå gjennom hvordan du konfigurerer GDAP i partnerorganisasjonen, kan du fullføre den interaktive veiledningen secure Microsoft 365 Lighthouse.

Hvis du støter på problemer under GDAP-konfigurasjonen og trenger veiledning, kan du se Feilsøke feilmeldinger og problemer i Microsoft 365 Lighthouse: GDAP-oppsett og -administrasjon.

Før du starter

  • Du må ha bestemte roller i Microsoft Entra ID og/eller Partnersenter, som beskrevet i tabellen Delegerte tilgangsrollekrav.

  • Kundene du administrerer i Lighthouse, må konfigureres i Partnersenter med enten et forhandlerforhold eller en eksisterende GDAP-relasjon.

Konfigurer GDAP

  1. Velg Hjem i venstre navigasjonsrute i Lighthouse.

  2. Velg Konfigurer GDAPKonfigurer GDAP-kortet.

  3. Velg fanen GDAP-malerdelegert tilgang-siden, og velg deretter Opprett en mal.

  4. Skriv inn et navn på malen og en valgfri beskrivelse i ruten Opprett en mal .

  5. Under støtteroller inkluderer Lighthouse fem standard støtteroller: Kontoansvarlig, Service desk-agent, spesialist, videresendingstekniker og administrator. Gjør følgende for hver støtterolle du vil bruke:

    1. Velg Rediger for å åpne ruten Rediger støtterolle .

    2. Oppdater navnet og beskrivelsen for støtterollen etter behov for å justere med støtterollene i partnerorganisasjonen.

    3. Under Entra-roller velger du Microsoft Entra rollene som støtterollen krever basert på rollens jobbfunksjon. Følgende alternativer er tilgjengelige:

      • Bruk de Microsoft Entra rollene som Microsoft anbefaler.
      • Angi filteret til Alle, og velg foretrukket Microsoft Entra roller.

      Hvis du vil ha mer informasjon, kan du se Microsoft Entra innebygde roller.

    4. Velg Lagre.

  6. For hver støtterolle du vil bruke, velger du ikonet Legg til eller opprett en sikkerhetsgruppe ved siden av støtterollen for å åpne ruten Velg eller opprett en sikkerhetsgruppe . Hvis du ikke vil bruke en bestemt støtterolle, må du ikke tilordne noen sikkerhetsgrupper til den.

    Obs!

    Hver GDAP-mal krever at du tilordner minst én sikkerhetsgruppe til en støtterolle.

  7. Gjør ett av følgende:

    • Hvis du vil bruke en eksisterende sikkerhetsgruppe, velger du Bruk en eksisterende sikkerhetsgruppe, velger én eller flere sikkerhetsgrupper fra listen, og deretter velger du Lagre.

    • Hvis du vil opprette en ny sikkerhetsgruppe, velger du Opprett en ny sikkerhetsgruppe, og gjør deretter følgende:

      1. Skriv inn et navn og en valgfri beskrivelse for den nye sikkerhetsgruppen.

      2. Hvis det er aktuelt, velger du Opprett en just-in-time (JIT)-tilgangspolicy for denne sikkerhetsgruppen, og deretter definerer du utløpsdato for brukerkvalifisering, JIT-tilgangsvarighet og JIT-godkjennersikkerhetsgruppe.

        Obs!

        Hvis du vil opprette en just-in-time (JIT)-tilgangspolicy for en ny sikkerhetsgruppe, må du ha en Microsoft Entra ID P2-lisens. Hvis du ikke kan merke av for å opprette en JIT-tilgangspolicy, må du kontrollere at du har en Microsoft Entra ID P2-lisens.

      3. Legg til brukere i sikkerhetsgruppen, og velg deretter Lagre.

        Obs!

        Brukere som er en del av en JIT-agentsikkerhetsgruppe, får ikke automatisk tilgang til GDAP-roller i Microsoft Entra ID. Disse brukerne må først be om tilgang fra Min tilgang-portalen , og et medlem av JIT-godkjennersikkerhetsgruppen må se gjennom JIT-tilgangsforespørselen.

      4. Hvis du opprettet en JIT-tilgangspolicy for sikkerhetsgruppen, kan du se gjennom den opprettede policyen på instrumentbordet for identitetsstyring i Microsoft Entra administrasjonssenter.

        Hvis du vil ha mer informasjon om hvordan JIT-agenter kan be om tilgang, kan du se Be om tilgang til en tilgangspakke i rettighetsadministrasjon.

        Hvis du vil ha mer informasjon om hvordan godkjennere kan godkjenne forespørsler, kan du se Godkjenne eller avslå forespørsler om Microsoft Entra roller i Privileged Identity Management.

  8. Når du er ferdig med å definere støtteroller og sikkerhetsgrupper, velger du Lagre i ruten Opprett en mal for å lagre GDAP-malen.

    Den nye malen vises nå i listen over maler på fanen GDAP-malersiden Delegert tilgang .

  9. Følg trinn 3 til 8 for å opprette flere GDAP-maler etter behov.

  10. Velg de tre prikkene (flere handlinger) ved siden av en mal i listen på fanen GDAP-malerdelegert tilgang-siden , og velg deretter Tilordne mal.

  11. Velg én eller flere kundeleier du vil tilordne malen til, i ruten Tilordne denne malen til leiere , og velg deretter Neste.

    Obs!

    Hver kundeleier kan bare knyttes til én GDAP-mal om gangen. Hvis du vil tilordne en ny mal til en kunde, lagres de eksisterende GDAP-relasjonene, og bare nye relasjoner basert på den nye malen opprettes.

  12. Se gjennom oppgavedetaljene, og velg deretter Tilordne.

    Det kan ta et minutt eller to før GDAP-maltilordningene gjelder. Hvis du vil oppdatere dataene på fanen GDAP-maler , velger du Oppdater.

  13. Følg trinn 10 til 12 for å tilordne flere maler til leiere etter behov.

Få kundegodkjenning for å administrere produktene sine

Som en del av GDAP-konfigurasjonsprosessen genereres en GDAP-relasjonsforespørselskobling for hver kunde som ikke har en eksisterende GDAP-relasjon med partnerorganisasjonen. Før du kan administrere produkter for dem, må du sende koblingen til en administrator i kundeleieren, slik at de kan velge koblingen for å godkjenne GDAP-relasjonen.

  1. Velg Relasjoner-fanendelegert tilgang-siden.

  2. Utvid kundeleieren hvis godkjenning du trenger.

  3. Velg GDAP-relasjonen som viser ventende status for å åpne detaljruten for relasjonen.

  4. Velg enten Åpne i e-post eller Kopier e-post til utklippstavlen, rediger teksten om nødvendig (men ikke rediger nettadressen for koblingen de trenger å velge for å gi deg administrasjonstillatelse), og send deretter e-postforespørselen for GDAP-relasjonen til en administrator i kundeleieren.

Når administratoren i kundeleieren velger koblingen for å godkjenne GDAP-relasjonen, brukes innstillingene for GDAP-malen. Det kan ta opptil en time etter relasjonsgodkjenning for at endringer skal vises i Lighthouse.

GDAP-relasjoner er synlige i partnersenteret, og sikkerhetsgruppene er synlige i Microsoft Entra ID.

Rediger GDAP-innstillinger

Når du har fullført GDAP-oppsettet, kan du når som helst oppdatere eller endre roller, sikkerhetsgrupper eller maler.

  1. Velg Tillatelser>delegert tilgang i venstre navigasjonsrute i Lighthouse.

  2. Gjør eventuelle nødvendige endringer i GDAP-malene eller de tilknyttede konfigurasjonene på GDAP-maler-fanen , og lagre deretter endringene.

  3. Tilordne de oppdaterte GDAP-malene til de aktuelle kundeleierene, slik at disse tenantene har de oppdaterte konfigurasjonene fra malene.

Beslektet innhold

Oversikt over tillatelser i Microsoft 365 Lighthouse (artikkel)
Oversikt over delegert tilgang-siden i Microsoft 365 Lighthouse (artikkel)
Feilsøke feilmeldinger og problemer i Microsoft 365 Lighthouse (artikkel)
Konfigurer Microsoft 365 Lighthouse portalsikkerhet (artikkel)
Innføring i detaljerte delegerte administratorrettigheter (GDAP) – Partnersenter (artikkel)
Microsoft Entra innebygde roller (artikkel)
Lær om grupper og tilgangsrettigheter i Microsoft Entra ID (artikkel)
Hva er Microsoft Entra rettighetsadministrasjon? (artikkel)