GDAP instellen voor uw klanten in Microsoft 365 Lighthouse
U kunt nu al uw klanten met gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) instellen via Microsoft 365 Lighthouse, ongeacht hun licenties of grootte. Door uw organisatie in te stellen met GDAP voor de tenants van de klant die u beheert, hebben gebruikers in uw organisatie de benodigde machtigingen om hun werk te doen, terwijl de tenants van klanten veilig blijven. Met Lighthouse kunt u uw organisatie snel overzetten naar GDAP en beginnen met de reis naar minimale bevoegdheden voor uw gedelegeerde toegang tot klanten.
Gedelegeerde toegang via gedelegeerde beheerdersbevoegdheden (DAP) of GDAP is een vereiste om tenants van klanten volledig te laten onboarden naar Lighthouse. Daarom kan het maken van GDAP-relaties met uw klanten de eerste stap zijn bij het beheren van uw klanttenants in Lighthouse.
Tijdens het GDAP-installatieproces maakt u GDAP-sjablonen door te configureren welke ondersteuningsrollen en beveiligingsgroepen nodig zijn voor uw organisatie. Vervolgens wijst u tenants van klanten toe aan GDAP-sjablonen. GDAP-rollen zijn gericht op ingebouwde Microsoft Entra-rollen en wanneer u GDAP instelt, ziet u aanbevelingen voor een set rollen die nodig zijn voor verschillende taakfuncties.
Bekijk: GDAP instellen
Bekijk de andere Microsoft 365 Lighthouse-video's op ons YouTube-kanaal.
Voordat u begint
U moet specifieke machtigingen hebben in de partnertenant:
Als u GDAP-beveiligingsgroepen wilt maken, gebruikers wilt toevoegen en GDAP-sjablonen wilt maken, moet u een globale beheerder zijn in de partnertenant. Deze rol kan worden toegewezen in Microsoft Entra ID.
Als u GDAP-relaties wilt maken en voltooien, moet u lid zijn van de groep Beheerdersagenten in partnercentrum.
De klanten die u in Lighthouse beheert, moeten worden ingesteld in partnercentrum met een resellerrelatie of een bestaande gedelegeerde relatie (DAP of GDAP).
Opmerking
Lighthouse GDAP-sjablonen maken gebruik van beveiligingsgroepen die aan rollen kunnen worden toegewezen. Een Microsoft Entra ID P1-licentie is vereist om gebruikers toe te voegen aan deze groepen. Voor het inschakelen van JIT-rollen (Just-In-Time) is Microsoft Entra IDE Governance of een Microsoft Entra ID P2-licentie vereist.
GDAP voor de eerste keer instellen
Wanneer u GDAP voor het eerst instelt, moet u de volgende secties in volgorde voltooien. Zodra dit is voltooid, kunt u teruggaan en elke sectie indien nodig bewerken.
Als u problemen ondervindt tijdens het instellen van GDAP, raadpleegt u Foutberichten en problemen oplossen in Microsoft 365 Lighthouse: GDAP-installatie en -beheer voor hulp.
Je kunt als volgt aan de slag:
Selecteer Start in het linkernavigatiedeelvenster in Lighthouse.
Selecteer GDAP instellen op de kaart GDAP instellen.
Vul de volgende secties in de juiste volgorde in.
Stap 1: rollen en machtigingen
Kies de Benodigde Microsoft Entra-rollen op basis van de functiefuncties van uw werknemers.
Selecteer op de pagina Rollen en machtigingen de Microsoft Entra-rollen die nodig zijn op basis van de functiefuncties van uw werknemers. Voer een van de volgende handelingen uit:
- Aanbevolen rollen aannemen
- Microsoft Entra-rolselecties bewerken
Lighthouse bevat standaard vijf ondersteuningsrollen: accountmanager, servicedeskmedewerker, specialist, escalatietechnicus en JIT-agent. U kunt de naam van ondersteuningsrollen wijzigen zodat deze overeenkomen met de voorkeuren van uw organisatie door Ondersteuningsrollen bewerken te selecteren. Bepaalde Microsoft Entra-rollen kunnen niet worden toegevoegd aan verschillende ondersteuningsrollen, bijvoorbeeld de Microsoft Entra-rollen in de ondersteuningsrol van de JIT-agent kunnen niet worden toegevoegd aan een andere ondersteuningsrol.
Als niet alle ondersteuningsrollen nodig zijn voor uw GDAP-installatie, kunt u in de volgende stap een of meer van uw GDAP-sjablonen uitsluiten.
Selecteer Volgende.
Selecteer Opslaan en sluiten om uw instellingen op te slaan en GDAP Setup af te sluiten.
Stap 2: GDAP-sjablonen
Een GDAP-sjabloon is een verzameling van:
- Ondersteuningsrollen
- Beveiligingsgroepen
- Gebruikers in elke beveiligingsgroep
Een GDAP-sjabloon maken:
Selecteer op de pagina GDAP-sjablonende optie Sjabloon maken.
Voer in het sjabloonvenster de naam en beschrijving van de sjabloon in de juiste velden in.
Selecteer een of meer ondersteuningsrollen in de lijst.
Klik op Opslaan.
Selecteer Volgende.
Selecteer Opslaan en sluiten om uw instellingen op te slaan en GDAP Setup af te sluiten.
Stap 3: beveiligingsgroepen
U hebt ten minste één beveiligingsgroep per ondersteuningsrol nodig voor elke sjabloon. Voor de eerste sjabloon maakt u een nieuwe beveiligingsgroep, maar voor volgende sjablonen kunt u groepen desgewenst opnieuw gebruiken.
Selecteer op de pagina Beveiligingsgroepende optie Beveiligingsgroep maken.
Voer in het deelvenster Beveiligingsgroep een naam en beschrijving in.
Selecteer Gebruikers toevoegen.
Selecteer in de lijst Gebruikers toevoegen de gebruikers die u in deze beveiligingsgroep wilt opnemen.
Klik op Opslaan.
Selecteer opnieuw Opslaan .
Selecteer Volgende.
Selecteer Opslaan en sluiten om uw instellingen op te slaan en GDAP Setup af te sluiten.
Gebruikers van de JIT-agentbeveiligingsgroep komen in aanmerking voor het aanvragen van toegang tot GDAP-rollen met hoge bevoegdheden; ze krijgen er niet automatisch toegang toe. Als onderdeel van GDAP Setup selecteert u een JIT-fiatteurbeveiligingsgroep van uw tenant om toegangsaanvragen van JIT-agents goed te keuren.
De JIT-fiatteurbeveiligingsgroep moet aan rollen kunnen worden toegewezen. Als u geen beveiligingsgroep ziet verschijnen in GDAP Setup, controleert u of de beveiligingsgroep kan worden toegewezen aan rollen. Zie Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren voor meer informatie over het beheren van roltoewijzingen.
Na het voltooien van de GDAP-installatie wordt een JIT-toegangsbeleid gemaakt voor JIT-agents om toegang aan te vragen. U kunt het beleid bekijken dat is gemaakt in de Microsoft Entra ID Governance-portal en JIT-agents kunnen toegang tot hun rollen aanvragen via de mijn toegangsportal. Zie Toegang tot resources beheren voor meer informatie over hoe JIT-agents toegang kunnen aanvragen. Zie Aanvraag goedkeuren of weigeren voor meer informatie over hoe fiatteurs aanvragen kunnen goedkeuren.
Stap 4: Tenanttoewijzingen
Groepen klanten toewijzen aan elke sjabloon. Elke klant kan slechts aan één sjabloon worden toegewezen. Zodra deze tenant van de klant is geselecteerd, wordt deze niet meer weergegeven als een optie op volgende sjablonen. Als u GDAP Setup opnieuw uitvoert, worden uw tenanttoewijzingen per GDAP-sjabloon opgeslagen.
Als u nieuwe tenants wilt toevoegen aan een GDAP-sjabloon, voert u GDAP Setup opnieuw uit. Behoud opgeslagen tenanttoewijzingen en selecteer nieuwe tenants die u wilt toewijzen aan de GDAP-sjabloon. Nieuwe GDAP-relaties worden alleen gemaakt voor de zojuist toegewezen tenants.
Als u tenants wilt verwijderen uit een GDAP-sjabloon, voert u GDAP Setup opnieuw uit. Verwijder de tenanttoewijzing. Als u de tenanttoewijzing verwijdert, wordt de GDAP-relatie die is gemaakt op basis van een eerdere toewijzing niet verwijderd, maar u kunt de tenant van de klant zo nodig opnieuw toewijzen aan een andere GDAP-sjabloon.
Zorg ervoor dat alle tenants die u wilt toewijzen aan een GDAP-sjabloon zijn geselecteerd voordat u Volgende selecteert. U kunt de lijst met tenants filteren met behulp van het zoekvak in de rechterbovenhoek.
Selecteer op de pagina Tenanttoewijzingen de tenants die u wilt toewijzen aan de GDAP-sjabloon die u hebt gemaakt.
Selecteer Volgende om naar de volgende sectie te gaan of selecteer Opslaan en sluiten om uw instellingen op te slaan en GDAP Setup af te sluiten.
Stap 5: Controleren en voltooien
Controleer op de pagina Instellingen controleren de instellingen die u hebt gemaakt om te controleren of ze juist zijn.
Klik op Voltooien.
Het kan een paar minuten duren voordat de instellingen die u hebt geconfigureerd, zijn toegepast. Als u de gegevens wilt vernieuwen, volgt u de aanwijzingen. De installatie is onvolledig als u GDAP Setup afsluit zonder Voltooien te selecteren.
Opmerking
Voor klanten met een bestaande DAP-relatie worden deze instellingen automatisch toegepast. Klanten met de status Actief op de laatste pagina van GDAP Setup worden toegewezen aan rollen en beveiligingsgroepen zoals gedefinieerd in de GDAP-sjabloon.
Opmerking
Voor klanten zonder een bestaande DAP-relatie wordt voor elke klant op de laatste pagina van GDAP Setup een koppeling voor de aanvraag voor beheerdersrelaties gegenereerd. Van daaruit kunt u de koppeling verzenden naar de globale beheerder van uw klant, zodat deze de beheerdersrelatie kan goedkeuren. Zodra de relatie is goedgekeurd, worden de GDAP-sjablooninstellingen toegepast. Het kan tot een uur duren na goedkeuring van de relatie voordat wijzigingen worden weergegeven in Lighthouse.
Zodra u de GDAP-installatie hebt voltooid, kunt u naar verschillende stappen gaan om rollen, beveiligingsgroepen of sjablonen bij te werken of te wijzigen. GDAP-relaties zijn nu zichtbaar in partnercentrum en de beveiligingsgroepen zijn nu zichtbaar in Microsoft Entra ID.
Verwante onderwerpen
Overzicht van machtigingen (artikel)
Foutberichten en problemen oplossen (artikel)
Portalbeveiliging configureren (artikel)
Inleiding tot gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) (artikel)
Ingebouwde Microsoft Entra-rollen (artikel)
Meer informatie over groepen en toegangsrechten in Microsoft Entra ID (artikel)
Wat is Rechtenbeheer van Microsoft Entra? (artikel)
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor