Del via

Konfigurere GDAP for kundene dine i Microsoft 365 Lighthouse

  • Artikkel

Nå kan du konfigurere alle kundene med detaljerte delegerte administratorrettigheter (GDAP) via Microsoft 365 Lighthouse, uavhengig av lisenser eller størrelse. Ved å konfigurere organisasjonen med GDAP for kundeleier du administrerer, har brukerne i organisasjonen tillatelsene som er nødvendige for å gjøre arbeidet sitt, samtidig som de holder kundeleieren sikker. Lighthouse lar deg raskt overføre organisasjonen til GDAP og begynne reisen til minst mulig privilegium for delegert tilgang til kunder.

Delegert tilgang via delegerte administratorrettigheter (DAP) eller GDAP er en forutsetning for at kundeleieren skal være fullstendig innlastet til Lighthouse. Derfor kan det å opprette GDAP-relasjoner med kundene dine være det første trinnet i å administrere kundeleier i Lighthouse.

Under konfigurasjonsprosessen for GDAP oppretter du GDAP-maler ved å konfigurere hvilke støtteroller og sikkerhetsgrupper som kreves for organisasjonen. Deretter tilordner du kundeleier til GDAP-maler. GDAP-roller er begrenset til innebygde Microsoft Entra-roller, og når du konfigurerer GDAP, ser du anbefalinger for et sett med roller som kreves for ulike jobbfunksjoner.

Se: Konfigurere GDAP

Se de andre Microsoft 365 Lighthouse-videoene på YouTube-kanalen vår.

Før du starter

  • Du må ha bestemte tillatelser i partnerleieren:

    • Hvis du vil opprette GDAP-sikkerhetsgrupper, legge til brukere og opprette GDAP-maler, må du være global administrator i partnerleieren. Denne rollen kan tilordnes i Microsoft Entra ID.

    • Hvis du vil opprette og fullføre GDAP-relasjoner, må du være medlem av administratoragentgruppen i Partnersenter.

  • Kundene du administrerer i Lighthouse, må konfigureres i Partnersenter med enten en forhandlerrelasjon eller en eksisterende delegert relasjon (DAP eller GDAP).

Obs!

Lighthouse GDAP-maler bruker rolletildelbare sikkerhetsgrupper. En Microsoft Entra ID P1-lisens kreves for å legge til brukere i disse gruppene. Hvis du vil aktivere just-in-time-roller (JIT), kreves Microsoft Entra IDE Governance eller en Microsoft Entra ID P2-lisens.

Konfigurere GDAP for første gang

Når du konfigurerer GDAP for første gang, må du fullføre de følgende inndelingene i rekkefølge. Når du er ferdig, kan du komme tilbake og redigere en inndeling etter behov.

Hvis det oppstår problemer under GDAP-konfigurasjonen, kan du se Feilsøke feilmeldinger og problemer i Microsoft 365 Lighthouse: GDAP-oppsett og -administrasjon for veiledning.

Slik kommer du i gang:

  1. Velg Hjem i venstre navigasjonsrute i Lighthouse.

  2. Velg Konfigurer GDAPKonfigurer GDAP-kortet.

  3. Fullfør de følgende inndelingene i rekkefølge.

    Trinn 1: Roller og tillatelser

    Trinn 2: GDAP-maler

    Trinn 3: Sikkerhetsgrupper

    Trinn 4: Leiertildelinger

    Trinn 5: Se gjennom og fullfør

Trinn 1: Roller og tillatelser

Velg Microsoft Entra-rollene som kreves basert på de ansattes jobbfunksjoner.

  1. Velg Microsoft Entra-rollene som kreves basert på de ansattes jobbfunksjoner, på siden Roller og tillatelser . Gjør ett av følgende:

    • Ta i bruk anbefalte roller
    • Redigere valg av Microsoft Entra-roller

    Som standard inneholder Lighthouse fem støtteroller: Kontoansvarlig, Service desk agent, Specialist, Escalation engineer og JIT agent. Du kan gi nytt navn til støtteroller for å samsvare med organisasjonens preferanser ved å velge Rediger støtteroller. Enkelte Microsoft Entra-roller kan ikke legges til i ulike støtteroller, for eksempel kan ikke Microsoft Entra-rollene i JIT-agentstøtte legges til i noen annen støtterolle.

    Hvis ikke alle støtteroller er nødvendige for GDAP-oppsettet, kan du utelate én eller flere fra GDAP-malene i neste trinn.

  2. Velg Neste.

  3. Velg Lagre og lukk for å lagre innstillingene og avslutte GDAP-installasjonsprogrammet.

Trinn 2: GDAP-maler

En GDAP-mal er en samling av:

  • Støtteroller
  • Sikkerhetsgrupper
  • Brukere i hver sikkerhetsgruppe

Slik oppretter du en GDAP-mal:

  1. Velg Opprett malGDAP-maler-siden.

  2. Skriv inn malnavnet og beskrivelsen i de aktuelle feltene i malruten.

  3. Velg én eller flere støtteroller fra listen.

  4. Velg Lagre.

  5. Velg Neste.

  6. Velg Lagre og lukk for å lagre innstillingene og avslutte GDAP-installasjonsprogrammet.

Trinn 3: Sikkerhetsgrupper

Du trenger minst én sikkerhetsgruppe per støtterolle for hver mal. For den første malen skal du opprette en ny sikkerhetsgruppe, men for etterfølgende maler kan du bruke grupper på nytt hvis ønskelig.

  1. Velg Opprett sikkerhetsgruppeSiden Sikkerhetsgrupper.

  2. Skriv inn et navn og en beskrivelse i sikkerhetsgrupperuten.

  3. Velg Legg til brukere.

  4. Velg brukerne du vil inkludere i denne sikkerhetsgruppen, fra listen Legg til brukere.

  5. Velg Lagre.

  6. Velg Lagre på nytt.

  7. Velg Neste.

  8. Velg Lagre og lukk for å lagre innstillingene og avslutte GDAP-installasjonsprogrammet.

Brukere av JIT-agentens sikkerhetsgruppe er kvalifisert til å be om tilgang til svært privilegerte GDAP-roller. de får ikke tilgang til dem automatisk. Som en del av GDAP-oppsettet velger du en JIT-godkjennersikkerhetsgruppe fra leieren for å godkjenne tilgangsforespørsler fra JIT-agenter.

Sikkerhetsgruppen for JIT-godkjenneren må kunne tilordnes rolle. Hvis du ikke ser en sikkerhetsgruppe som vises i GDAP-installasjonsprogrammet, må du bekrefte at sikkerhetsgruppen kan tilordnes rolle. Hvis du vil ha mer informasjon om hvordan du administrerer rolletildelinger, kan du se Bruke Microsoft Entra-grupper til å administrere rolletildelinger.

Når du har fullført GDAP-oppsettet, opprettes en JIT-tilgangspolicy for JIT-agenter for å be om tilgang. Du kan se gjennom policyen som er opprettet i Microsoft Entra ID Governance-portalen, og JIT-agenter kan be om tilgang til rollene sine fra Min tilgang-portalen. Hvis du vil ha mer informasjon om hvordan JIT-agenter kan be om tilgang, kan du se Administrere tilgang til ressurser. Hvis du vil ha mer informasjon om hvordan godkjennere kan godkjenne forespørsler, kan du se Godkjenne eller avslå forespørsel.

Trinn 4: Leiertildelinger

Tilordne grupper med kunder til hver mal. Hver kunde kan bare tilordnes én mal. Når den er valgt, vises ikke denne kundeleieren som et alternativ på etterfølgende maler. Hvis du kjører GDAP-installasjonsprogrammet på nytt, lagres leiertilordningene per GDAP-mal.

  • Hvis du vil legge til nye leiere i en GDAP-mal, kjører du GDAP-installasjonsprogrammet på nytt. Behold lagrede leiertilordninger, og velg nye leiere som skal tilordnes GDAP-malen. Nye GDAP-relasjoner opprettes bare for de nylig tilordnede tenantene.

  • Hvis du vil fjerne leiere fra en GDAP-mal, kjører du GDAP-installasjonsprogrammet på nytt. Fjern leiertilordningen. Hvis du fjerner leiertilordningen, fjernes ikke GDAP-relasjonen som er opprettet fra en tidligere tildeling, men du kan tilordne kundeleieren på nytt til en annen GDAP-mal om nødvendig.

Kontroller at alle leiere du vil tilordne til en GDAP-mal, er valgt før du velger Neste. Du kan filtrere listen over leiere ved hjelp av søkeboksen øverst til høyre.

  1. Velg leierne du vil tilordne til GDAP-malen du opprettet, på siden Leiertildelinger .

  2. Velg Neste for å gå til neste del, eller velg Lagre og lukk for å lagre innstillingene og avslutte GDAP-installasjonsprogrammet.

Trinn 5: Se gjennom og fullfør

  1. Se gjennom innstillingene du opprettet, på siden Innstillinger for gjennomgang for å bekrefte at de er riktige.

  2. Klikk Fullfør.

Det kan ta et minutt eller to for innstillingene du har konfigurert til å bruke. Hvis du trenger å oppdatere dataene, følger du instruksjonene. Installasjonen blir ufullstendig hvis du avslutter GDAP-installasjonsprogrammet uten å velge Fullfør.

Obs!

For kunder med en eksisterende DAP-relasjon brukes disse innstillingene automatisk. Kunder med aktiv status på den siste siden i GDAP-installasjonsprogrammet tilordnes til roller og sikkerhetsgrupper som definert i GDAP-malen.

Obs!

For kunder uten en eksisterende DAP-relasjon genereres en forespørselskobling for administratorrelasjon for hver kunde på den siste siden i GDAP-installasjonsprogrammet. Derfra kan du sende koblingen til kundens globale administrator slik at de kan godkjenne administratorrelasjonen. Når relasjonen er godkjent, brukes innstillingene for GDAP-malen. Det kan ta opptil en time etter relasjonsgodkjenning for at endringer skal vises i Lighthouse.

Når du har fullført GDAP-installasjonen, kan du gå til forskjellige trinn for å oppdatere eller endre roller, sikkerhetsgrupper eller maler. GDAP-relasjoner er nå synlige i Partnersenter, og sikkerhetsgruppene er nå synlige i Microsoft Entra ID.

Beslektet innhold

Oversikt over tillatelser (artikkel)
Feilsøke feilmeldinger og problemer (artikkel)
Konfigurer portalsikkerhet (artikkel)
Innføring i detaljerte delegerte administratorrettigheter (GDAP) (artikkel)
Innebygde Microsoft Entra-roller (artikkel)
Finn ut mer om grupper og tilgangsrettigheter i Microsoft Entra ID (artikkel)
Hva er Microsoft Entra-rettighetsadministrasjon? (artikkel)