Richtlijnen voor GDAP-rollen
Juiste rollen: Beheerdersagent
Dit artikel bevat richtlijnen over welke ingebouwde Microsoft Entra-rol met minimale bevoegdheden kan worden gebruikt voor elke gedetailleerde mogelijkheid voor gedelegeerde beheerdersbevoegdheden (GDAP). Als u bijvoorbeeld ondersteuningsaanvragen wilt indienen namens een klant, is de rol serviceondersteuningsbeheerder vereist. Dit is de minst bevoegde Microsoft Entra-rol voor de tenant van uw klant.
Ondersteuningsaanvragen maken
Indirecte resellers kunnen geen ondersteuningsaanvragen maken voor Azure. In plaats daarvan moeten ze met hun indirecte providers werken.
| Een ondersteuningsaanvraag maken voor: | Partners en indirecte providers voor directe facturering moeten de volgende rol met minimale bevoegdheden hebben: |
|---|---|
| Microsoft 365 in de Microsoft 365-beheercentrum | GDAP-roltoewijzing aan een rol met microsoft.office365.supportTickets/allEntities/allTasks-machtigingen , zoals serviceondersteuningsbeheerder |
| Dynamics 365 in het Power Platform-beheercentrum | GDAP-roltoewijzing aan een rol met microsoft.office365.supportTickets/allEntities/allTasks-machtigingen , zoals serviceondersteuningsbeheerder |
| Azure-abonnementsresource in Azure Portal | Vereiste: Als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie met de klant hebben, zoals wordt uitgelegd in regionale CSP-autorisatie. Zie Stappen voor het instellen van Azure GDAP voor meer informatie. Elke GDAP-toewijzing aan een Microsoft Entra-rol, zoals directorylezers, -EN- RBAC-roltoewijzing (op rollen gebaseerd toegangsbeheer) van Azure aan een rol met Microsoft.Support/supportTickets/schrijfmachtigingen , zoals inzender voor ondersteuningsaanvragen |
| Microsoft Entra-id in Azure Portal | Alternatief 1: Als een klant geen Microsoft Entra ID P1 of P2-vereisten heeft: als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie hebben met de klant per regionale CSP-autorisatie. Zie Stappen voor het instellen van Azure GDAP voor meer informatie. Elke GDAP-toewijzing aan een Microsoft Entra-rol, zoals directorylezers, -EN- Azure RBAC-roltoewijzing aan een rol met Microsoft.Support/supportTickets/schrijfmachtigingen, zoals Inzender ondersteuningsaanvraag Alternatief 2: Als de klant Microsoft Entra ID P1 of P2 Elke GDAP-toewijzing heeft aan een Microsoft Entra-rol met: microsoft.azure.supportTickets/allEntities/allTasks-machtigingen, zoals serviceondersteuningsbeheerder |
GDAP-rollen op partnertypen
Indirecte providers
De volgende rollen worden aanbevolen voor indirecte providers om transacties uit te voeren en te beheren:
- Nieuwe klanttenant maken
- Resellerrelatie instellen
- Inkoop
- Abonnementsbeheer
- Upgrades
- Conversies
- Het maken en toewijzen van licenties aan de klant
- Klantenserviceaanvragen (aanvragen die namens de klant worden gemaakt)
| - Rol | Beschrijving |
|---|---|
| Lezerrollen: | |
| Adreslijstlezers | Kunnen basisdirectorygegevens lezen. Veelgebruikt voor het verlenen van leestoegang tot toepassingen en gasten in mappen |
| Adreslijstschrijvers | Kunnen basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. |
| Globale lezer | Kan alles lezen wat een globale beheerder wel kan, maar kan niets bijwerken |
| Gebruikersbeheer en licentiebeheer: | |
| Gebruikersbeheerder | Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders |
| Licentiebeheerder | Kan productlicenties beheren voor gebruikers en groepen |
| Serviceondersteuningsbeheerder | Kan servicestatusinformatie lezen en ondersteuningsaanvragen beheren |
| Helpdesk: | |
| Helpdeskbeheerder | Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders |
Partners voor directe facturering, indirecte resellers en adviseurs
De volgende rollen worden aanbevolen voor indirecte resellers, adviseurs en directe factureringspartners die ook de rol van MSP's spelen. Ze worden allemaal gecategoriseerd als gespecialiseerde beheerde serviceproviders (MSP's) die de omgeving van de klant volledig beheren als uitbesteed IT-afdeling. Deze sectie bevat gecategoriseerde rollen die vereist zijn voor taken en functies.
Typische taken van een laag-1-technicus in beheerde services
| - Rol | Taak | Functie |
|---|---|---|
| Serviceondersteuningsbeheerder | Verzend ondersteuningsaanvragen namens de klant. | Helpdesk maakt en beheert ondersteuningsaanvragen. |
| Beveiligingslezer | Beveiligingsbeleid voor Microsoft 365-services weergeven. | Helpdesk verzamelt detectie op de tenant van de klant om beveiligings- en nalevingsbeleidsregels op te lossen of bij te werken, zoals beleid voor preventie van gegevensverlies. |
| Intune-beheerder | Kan alle aspecten van het Intune-product beheren. | Helpdesk verwerkt de inschrijving en probleemoplossing van het klantapparaat. |
| SharePoint-beheerder | Kan alle aspecten van de SharePoint-service beheren. | Helpdesk beheert machtigingen voor SharePoint-sites. |
| Ondersteuningsspecialist voor Teams-communicatie | Kan de Microsoft Teams-service beheren. | Helpdesk lost problemen met gesprekskwaliteit op. |
| Helpdeskbeheerder | U kunt wachtwoorden voor niet-beheerders en deze beheerders opnieuw instellen: Beheerderswachtwoordbeheerder Wachtwoordbeheerder gebruikerslijst voor gebruikers van gebruikers. | Helpdesk stelt wachtwoorden opnieuw in. |
| Desktop Analytics-beheerder | Kan bureaubladbeheerhulpprogramma's en -services openen en beheren. | Helpdesk kan de desktop analytics-service beheren door inventaris van assets weer te geven en standaardeigenschappen van autorisatiebeleid te lezen. |
| Verificatiebeheerder | Heeft toegang tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn en deze kunnen weergeven, instellen en opnieuw instellen. | Helpdesk kan toegang krijgen tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn (bijvoorbeeld MFA en voorwaardelijke toegang) bekijken, instellen en opnieuw instellen. |
| Exchange-beheerder | Gebruikers met deze rol hebben globale machtigingen in Microsoft Exchange Online wanneer de service aanwezig is. Heeft ook de mogelijkheid om alle Microsoft 365-groepen te maken en te beheren, ondersteuningsaanvragen te beheren en de servicestatus te bewaken; kan OBO verzenden en Postvakken in beheren. | Helpdesk beheert gedeelde postvakken, helpt bij het oplossen van problemen met postvakquota en maakt en beheert transportregels. |
| Licentiebeheerder | Kan licentietoewijzingen toewijzen, verwijderen en bijwerken. | Tijdens het oplossen van problemen beoordeelt en herstelt helpdesk of er een licentieprobleem is met de ondersteuningsaanvraag. |
| Gebruikersbeheerder | Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders; kan gebruikersaanmelding blokkeren. | Helpdesk beheert alle aspecten van gebruikers en groepen, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders en het blokkeren van de toegang van een voormalige klantmedewerker tot Microsoft 365-services. |
| Groepsbeheerder | Leden van deze rol kunnen groepen maken/beheren, groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren en groepsactiviteiten en auditrapporten bekijken. | Helpdesk voegt eigenaren toe aan groepen en voegt leden toe aan groepen. |
| Maplezer | Gebruikers met deze rol kunnen basisdirectorygegevens lezen | Helpdesk kan basismapgegevens lezen als onderdeel van het oplossen van problemen. |
| Berichtencentrum-lezer | Kan alleen berichten en updates voor zijn/haar organisatie lezen in het Office 365-berichtencentrum. | Helpdesk leest berichtencentrum voor om ondersteuningsproblemen op te lossen. |
| Printerbeheer | Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing beheren, inclusief de instellingen van de Universal Print Connector. Ze kunnen akkoord gaan met alle aanvragen voor gedelegeerde afdrukmachtigingen. Printerbeheerders hebben ook toegang tot het afdrukken van rapporten. | Helpdesk beheert printerconfiguraties en lost printerproblemen op. |
| Gastuitnodiging | Gebruikers in deze rol kunnen uitnodigingen voor gastgebruikers van Microsoft Entra B2B beheren. | Helpdesk kan gastgebruikers uitnodigen, onafhankelijk van de leden kunnen gasten uitnodigen. |
Rol met minimale bevoegdheden per taak
In de volgende tabel worden taken weergegeven binnen elke GDAP-functie, samen met de minst bevoegde rol die is vereist om elke taak uit te voeren.
| GDAP-mogelijkheid | Opdracht | Rol met minimale bevoegdheden |
|---|---|---|
| Ondersteuning | Ondersteuningsticket indienen | Serviceondersteuningsbeheerder |
| Gebruikers | Gebruiker toevoegen aan directory-rol | Beheerder van bevoorrechte rol |
| Gebruiker toevoegen aan groep | Gebruikersbeheerder | |
| Licentie toewijzen | Licentiebeheerder | |
| Gastgebruiker maken | Gastnodigers | |
| Uitnodiging voor gastgebruikers opnieuw instellen | Gebruikersbeheerder | |
| Gebruiker maken | Gebruikersbeheerder | |
| Gebruiker verwijderen | Gebruikersbeheerder | |
| Vernieuwingstokens van beperkte beheerder ongeldig maken | Gebruikersbeheerder | |
| Vernieuwingstokens van niet-beheerders ongeldig maken | Wachtwoordbeheerder | |
| Vernieuwingstokens van bevoegde beheerder ongeldig maken | Beheerder voor bevoegde verificatie | |
| Basisconfiguratie lezen | Standaardgebruikersrol | |
| Wachtwoord opnieuw instellen voor beperkte beheerder | Gebruikersbeheerder | |
| Wachtwoord opnieuw instellen voor niet-beheerders | Wachtwoordbeheerder | |
| Wachtwoord opnieuw instellen voor bevoegde beheerder | Beheerder voor bevoegde verificatie | |
| Licentie intrekken | Licentiebeheerder | |
| Alle eigenschappen bijwerken behalve user principal name | Gebruikersbeheerder | |
| Principal-naam van gebruiker bijwerken voor beperkte beheerder | Gebruikersbeheerder | |
| Principal-naam van gebruiker bijwerken voor bevoegde beheerder | Globale beheerder | |
| Gebruikersinstellingen bijwerken | Globale beheerder | |
| Verificatiemethoden bijwerken | Verificatiebeheerder | |
| Groepen | Licentie toewijzen | Gebruikersbeheerder |
| Groep maken | Groepsbeheerder | |
| Toegangsbeoordeling van een groep of app maken, bijwerken of verwijderen | Gebruikersbeheerder | |
| Verloopdatum van de groep beheren | Gebruikersbeheerder | |
| Groepsinstellingen beheren | Groepsbeheerder | |
| Alle configuratie lezen (behalve verborgen lidmaatschap) | Adreslijstlezers | |
| Verborgen lidmaatschappen lezen | Groepslid | |
| Lidmaatschap van groepen met verborgen lidmaatschap lezen | Helpdeskbeheerder | |
| Licentie intrekken | Licentiebeheerder | |
| Groepslidmaatschap bijwerken | Groepseigenaar | |
| Groepseigenaren bijwerken | Groepseigenaar | |
| Groepseigenschappen bijwerken | Groepseigenaar | |
| Groep verwijderen | Groepsbeheerder | |
| Licenties | Licentie toewijzen | Licentiebeheerder |
| Alle configuratie lezen | Adreslijstlezers | |
| Licentie intrekken | Licentiebeheerder |