Veelgestelde vragen over GDAP

Artikel
04/03/2024

Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum

Gedetailleerde gedelegeerde beheerdersmachtigingen (GDAP) geven partners toegang tot de workloads van hun klanten op een manier die nauwkeuriger en tijdsgebonden is, wat kan helpen bij het oplossen van problemen met de klantbeveiliging.

Met GDAP kunnen partners meer services bieden aan klanten die zich mogelijk ongemakkelijk voelen bij de hoge mate van toegang tot partners.

GDAP helpt ook bij klanten die wettelijke vereisten hebben om alleen minst bevoegde toegang te bieden tot partners.

GDAP instellen

Wie kan een GDAP-relatie aanvragen?

Iemand met de rol Beheer agent bij een partnerorganisatie kan een GDAP-relatieaanvraag maken.

Verloopt een GDAP-relatieaanvraag als de klant geen actie onderneemt?

Ja. GDAP-relatieaanvragen verlopen na 90 dagen.

Kan ik een GDAP-relatie met een klant permanent maken?

Nee Permanente GDAP-relaties met klanten zijn om veiligheidsredenen niet mogelijk. De maximale duur van een GDAP-relatie is twee jaar. U kunt automatisch verlengen instellen op Ingeschakeld om een beheerdersrelatie zes maanden uit te breiden totdat de instelling Is beëindigd of automatisch verlengen is ingesteld op Uitgeschakeld.

Kan een GDAP-relatie met een klant automatisch verlengen/automatisch uitbreiden?

Ja. Een GDAP-relatie kan automatisch worden verlengd met zes maanden totdat deze is beëindigd of automatisch verlengen is ingesteld op Uitgeschakeld.

Wat moet ik doen wanneer de GDAP-relatie met een klant verloopt?

Als de GDAP-relatie met uw klant verloopt, vraagt u een GDAP-relatie opnieuw aan.

U kunt GDAP-relatieanalyse gebruiken om verloopdatums van GDAP-relaties bij te houden en de verlenging voor te bereiden.

Hoe kan een klant een GDAP-relatie uitbreiden of verlengen?

Als u een GDAP-relatie wilt uitbreiden of verlengen, moet de partner of klant automatisch uitbreiden instellen op Ingeschakeld.

Kan een actieve GDAP binnenkort worden bijgewerkt naar automatisch uitgebreid?

Ja, als GDAP actief is, kan het worden uitgebreid.

Wanneer wordt automatisch uitbreiden in actie?

Stel dat een GDAP gedurende 365 dagen wordt gemaakt met automatische verlenging ingesteld op Ingeschakeld. Op de 365e dag wordt de einddatum effectief bijgewerkt met 180 dagen.

Worden e-mailberichten verzonden wanneer automatisch uitbreiden is ingeschakeld/uitgeschakeld?

Er worden geen e-mailberichten verzonden naar de partner en klant.

Kan een GDAP die is gemaakt met PLT (Partner Led Tool), MLT (Microsoft Led Tool), de gebruikersinterface van het Partnercentrum, de Partnercentrum-API automatisch worden uitgebreid?

Ja, elke actieve GDAP kan automatisch worden uitgebreid.

Nee, toestemming van de klant is niet nodig om automatisch uitbreiden in te stellen op Ingeschakeld voor een bestaande actieve GDAP.

Moeten gedetailleerde machtigingen opnieuw worden toegewezen aan beveiligingsgroepen na automatische uitbreiding?

Nee, gedetailleerde machtigingen die aan beveiligingsgroepen zijn toegewezen, blijven zoals dat is.

Kan een beheerdersrelatie met de rol Global Beheer istrator automatisch worden uitgebreid?

Nee, de beheerdersrelatie met de rol Global Beheer istrator kan niet automatisch worden uitgebreid.

Waarom zie ik de pagina Verlopende gedetailleerde relaties niet onder de werkruimte Klanten?

De pagina Gedetailleerde relaties verloopt, helpt bij het filteren in GDAPs op verschillende tijdlijnen, helpt bij het bijwerken van een of meer GDAPs voor automatisch uitbreiden (inschakelen/uitschakelen), is alleen beschikbaar voor partnergebruikers met globale Beheer istrators en Beheer Agent-rollen.

Als een GDAP-relatie verloopt, worden de bestaande abonnementen van de klant beïnvloed?

Nee Er is geen wijziging in de bestaande abonnementen van een klant wanneer een GDAP-relatie verloopt.

Hoe kan een klant zijn of haar wachtwoord en MFA-apparaat opnieuw instellen als ze zijn vergrendeld voor hun account en geen GDAP-relatieaanvraag van een partner kunnen accepteren?

Raadpleeg Problemen met meervoudige verificatie van Microsoft Entra oplossen en Kan Microsoft Entra-meervoudige verificatie niet gebruiken om u aan te melden bij cloudservices nadat u uw telefoon kwijtraakt of het telefoonnummer is gewijzigd voor hulp.

Welke rollen heeft een partner nodig om een beheerderswachtwoord en MFA-apparaat opnieuw in te stellen als een klantbeheerder is vergrendeld voor zijn account en geen GDAP-relatieaanvraag van een partner kan accepteren?

De partner moet de rol Bevoegde verificatiebeheerder Microsoft Entra aanvragen bij het maken van de eerste GDAP, om het wachtwoord en de verificatiemethode voor een gebruiker (beheerder of niet-beheerder) opnieuw in te stellen. De rol Privileged Authentication Beheer istrator maakt deel uit van de rollen die worden ingesteld door MLT (Microsoft Led Tool) en is gepland om beschikbaar te zijn met Standaard GDAP tijdens het maken van de klantstroom (gepland voor september).

De partner kan de klantbeheerder het wachtwoord opnieuw laten instellen. Als voorzorgsmaatregel moet de partner SSPR (selfservice voor wachtwoordherstel) instellen voor hun klanten. Raadpleeg Toestaan dat personen hun eigen wachtwoorden opnieuw instellen.

Wie ontvangt een e-mailmelding over beëindiging van een GDAP-relatie?

Binnen een partnerorganisatie ontvangen personen met de rol Beheer agent een beëindigingsmelding.

Binnen een klantorganisatie ontvangen personen met de rol Globale beheerder een melding over beëindiging.

Kan ik zien wanneer een klant GDAP verwijdert in de activiteitenlogboeken?

Ja. Partners kunnen zien wanneer een klant GDAP verwijdert in de activiteitenlogboeken van partnercentrum.

Moet ik een GDAP-relatie maken met al mijn klanten?

Nee GDAP is een optionele mogelijkheid voor partners die de services van hun klant op een gedetailleerdere en tijdsgebonden manier willen beheren. U kunt kiezen met welke klanten u een GDAP-relatie wilt maken.

Als ik meerdere klanten heb, moet ik meerdere beveiligingsgroepen hebben voor die klanten?

Het antwoord is afhankelijk van hoe u uw klanten wilt beheren.

Als u wilt dat uw partnergebruikers alle klanten kunnen beheren, kunt u al uw partnergebruikers in één beveiligingsgroep plaatsen en die ene groep al uw klanten kan beheren.
Als u liever verschillende partnergebruikers wilt hebben die verschillende klanten beheren, wijst u deze partnergebruikers toe om beveiligingsgroepen voor klantisolatie te scheiden.

Kunnen indirecte resellers GDAP-relatieaanvragen maken in partnercentrum?

Ja. Indirecte resellers (en indirecte providers en partners voor directe facturering) kunnen GDAP-relatieaanvragen maken in partnercentrum.

Waarom kan een partnergebruiker met GDAP geen toegang krijgen tot een workload als AOBO (Beheer namens)?

Als onderdeel van de GDAP-installatie moet u ervoor zorgen dat beveiligingsgroepen die zijn gemaakt in de partnertenant met partnergebruikers zijn geselecteerd. Zorg er ook voor dat de gewenste Microsoft Entra-rollen zijn toegewezen aan de beveiligingsgroep. Raadpleeg Microsoft Entra-rollen toewijzen.

Wat is de aanbevolen volgende stap als het beleid voor voorwaardelijke toegang dat door de klant is ingesteld, alle externe toegang, inclusief de toegang van CSP (AOBO) tot de tenant van de klant blokkeert?

Klanten kunnen CSP's nu uitsluiten van beleid voor voorwaardelijke toegang, zodat partners kunnen overstappen naar GDAP zonder dat ze worden geblokkeerd.

Gebruikers opnemen: deze lijst met gebruikers bevat doorgaans alle gebruikers die een organisatie richt op een beleid voor voorwaardelijke toegang.

De volgende opties zijn beschikbaar om op te nemen bij het maken van beleid voor voorwaardelijke toegang:

Gebruikers en groepen selecteren
- Gast- of externe gebruikers (preview)
  - Deze selectie biedt verschillende opties die kunnen worden gebruikt om beleid voor voorwaardelijke toegang te richten op specifieke typen gasten of externe gebruikers en specifieke tenants die deze typen gebruikers bevatten. Er zijn verschillende typen gast- of externe gebruikers die kunnen worden geselecteerd en er kunnen meerdere selecties worden gemaakt:
    - Gebruikers van serviceproviders, bijvoorbeeld een Cloud Solution Provider (CSP).
  - Een of meer tenants kunnen worden opgegeven voor de geselecteerde gebruikerstypen of u kunt alle tenants opgeven.

Externe partnertoegang : beleid voor voorwaardelijke toegang die is gericht op externe gebruikers, kan de toegang van serviceproviders verstoren, bijvoorbeeld gedetailleerde gedelegeerde beheerdersbevoegdheden. Zie Inleiding tot gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) voor meer informatie. Voor beleidsregels die zijn bedoeld voor tenants van serviceproviders, gebruikt u het externe gebruikerstype van de serviceprovider dat beschikbaar is in de selectieopties voor gasten of externe gebruikers .

Schermopname van CA-beleid UX gericht op gast- en externe gebruikerstypen van specifieke Microsoft Entra-organisaties.

Gebruikers uitsluiten: wanneer organisaties zowel een gebruiker of groep opnemen als uitsluiten, wordt de gebruiker of groep uitgesloten van het beleid, omdat een uitsluitingsactie een insluitingsactie in beleid overschrijft.

De volgende opties zijn beschikbaar om uit te sluiten bij het maken van beleid voor voorwaardelijke toegang:

Gast- of externe gebruikers
- Deze selectie biedt verschillende opties die kunnen worden gebruikt om beleid voor voorwaardelijke toegang te richten op specifieke typen gasten of externe gebruikers en specifieke tenants die deze typen gebruikers bevatten. Er zijn verschillende typen gast- of externe gebruikers die kunnen worden geselecteerd en er kunnen meerdere selecties worden gemaakt:
  - Gebruikers van serviceproviders, bijvoorbeeld een Cloud Solution Provider (CSP)
- Een of meer tenants kunnen worden opgegeven voor de geselecteerde gebruikerstypen of u kunt alle tenants opgeven.

Schermopname van CA-beleid.

Zie voor meer informatie:

Heb ik een GDAP-relatie nodig om ondersteuningstickets te maken, hoewel ik Premier Support for Partners heb?

Ja, ongeacht het ondersteuningsplan dat u hebt, is de minst bevoorrechte rol voor partnergebruikers om ondersteuningstickets voor hun klant te kunnen maken, serviceondersteuningsbeheerder.

Kan GDAP in de status Goedkeuring in behandeling worden beëindigd door de partner?

Nee, de partner kan momenteel geen GDAP beëindigen in de status Goedkeuring in behandeling . Deze verloopt over 90 dagen als de klant geen actie onderneemt.

Nadat een GDAP-relatie is beëindigd, kan ik dezelfde GDAP-relatienaam opnieuw gebruiken om een nieuwe relatie te maken?

Pas na 365 dagen (opschonen) nadat de GDAP-relatie is beëindigd of verlopen, kunt u dezelfde naam opnieuw gebruiken om een nieuwe GDAP-relatie te maken.

GDAP API

Zijn API's beschikbaar om een GDAP-relatie met klanten te maken?

Zie de documentatie voor ontwikkelaars van Partnercentrum voor informatie over API's en GDAP.

Kan ik de bèta-GDAP-API's gebruiken voor productie?

Ja. We raden partners aan om de bèta-GDAP-API's te gebruiken voor productie en later over te schakelen naar API's v.1 wanneer ze beschikbaar komen.

Hoewel er een waarschuwing is: 'Gebruik van deze API's in productietoepassingen wordt niet ondersteund', die algemene richtlijnen zijn voor een bèta-API onder Graph en niet van toepassing is op de bèta-GDAP Graph-API's.

Kan ik meerdere GDAP-relaties met verschillende klanten tegelijk maken?

Ja. GDAP-relaties kunnen worden gemaakt met behulp van API's, zodat partners dit proces kunnen schalen. Het maken van meerdere GDAP-relaties is echter niet beschikbaar in partnercentrum. Zie de documentatie voor ontwikkelaars van Partnercentrum voor informatie over API's en GDAP.

Kunnen meerdere beveiligingsgroepen worden toegewezen in een GDAP-relatie met behulp van één API-aanroep?

De API werkt voor één beveiligingsgroep tegelijk, maar u kunt meerdere beveiligingsgroepen toewijzen aan meerdere rollen in partnercentrum.

Hoe kan ik meerdere resourcesmachtigingen aanvragen voor mijn toepassing?

Maak afzonderlijke aanroepen voor elke resource. Wanneer u één POST-aanvraag maakt, geeft u slechts één resource en de bijbehorende bereiken door.

Als u bijvoorbeeld machtigingen wilt aanvragen voor beide https://graph.windows.net/Directory.AccessAsUser.All en https://graph.microsoft.com/Organization.Read.All, twee verschillende aanvragen wilt indienen, één voor elke aanvraag.

Hoe kan ik de resource-id voor een bepaalde resource vinden?

Gebruik de opgegeven koppeling om te zoeken naar de resourcenaam: Controleer microsoft-toepassingen van derden in aanmeldingsrapporten - Active Directory. Voorbeeld:

De resource-id zoeken (bijvoorbeeld: 00000003-0000-0000-c000-0000000000000000000000000000000000000000000000000000000000000) voor graph.microsoft.com):

Schermopname van het scherm Manifest voor een voorbeeld-app, met de bijbehorende resource-id gemarkeerd.

Wat moet ik doen als ik de fout 'Request_UnsupportedQuery' krijg met het bericht: 'Niet-ondersteunde of ongeldige queryfiltercomponent opgegeven voor eigenschap 'appId' van resource 'ServicePrincipal'?

Deze fout treedt meestal op wanneer een onjuiste id wordt gebruikt in het queryfilter.

U kunt dit oplossen door ervoor te zorgen dat u de eigenschap enterpriseApplicationId gebruikt met de juiste resource-id, niet de resourcenaam.

Onjuiste aanvraag

Gebruik voor EnterpriseApplicationId geen resourcenaam zoals graph.microsoft.com.
Juiste aanvraag

Gebruik in plaats daarvan voor enterpriseApplicationId de resource-id, zoals 00000003-0000-0000-c000-0000000000000.

Hoe kan ik nieuwe bereiken toevoegen aan de resource van een toepassing die al is toegestaan in de tenant van de klant?

Voorbeeld: Eerder in graph.microsoft.com resource is alleen toestemming gegeven voor profielbereik. Nu willen we ook profiel en user.read toevoegen.

Nieuwe bereiken toevoegen aan een eerder toegestane toepassing:

Gebruik de DELETE-methode om de bestaande toepassingstoestemming van de tenant van de klant in te trekken.
Gebruik de POST-methode om nieuwe toepassingstoestemming te maken met de extra bereiken.

Notitie

Als uw toepassing machtigingen voor meerdere resources vereist, voert u de POST-methode afzonderlijk uit voor elke resource.

Hoe kan ik meerdere bereiken opgeven voor één resource (enterpriseApplicationId)?

Voeg de vereiste bereiken samen met behulp van een komma gevolgd door een spatie. Voorbeeld: 'scope': 'profile, User.Read'

Wat moet ik doen als ik de foutmelding '400 Ongeldige aanvraag' krijg met het bericht 'Niet-ondersteund token.' Kan de autorisatiecontext niet initialiseren"?

Controleer of de eigenschappen 'displayName' en 'applicationId' in de aanvraagbody juist zijn en overeenkomen met de toepassing die u probeert toe te staan aan de tenant van de klant.
Zorg ervoor dat u dezelfde toepassing gebruikt om het toegangstoken te genereren dat u probeert toe te staan aan de tenant van de klant.

Voorbeeld: Als de toepassings-id 12341234-1234-1234-12341234 is, moet de claim 'appId' in het toegangstoken ook '12341234-1234-1234-1234-12341234' zijn.
Controleer of aan een van de volgende voorwaarden is voldaan:
- U hebt een actieve gedelegeerde Beheer Privilege (DAP) en de gebruiker is ook lid van de Beheer Agents-beveiligingsgroep in de partnertenant.
- U hebt een actieve GDAP-relatie (Granular Delegated Delegated Beheer Privilege) met de tenant Klant met ten minste één van de volgende drie GDAP-rollen en u hebt de toegangstoewijzing voltooid:
  - Globale Beheer istrator, application Beheer istrator of cloudtoepassingsrol Beheer istrator.
  - De partnergebruiker is lid van de beveiligingsgroep die is opgegeven in de toegangstoewijzing.

Rollen

Welke GDAP-rollen zijn nodig voor toegang tot een Azure-abonnement?

Als u Azure wilt beheren met partitionering per klant (wat de aanbevolen best practice is), maakt u een beveiligingsgroep (zoals Azure-managers) en nestt u deze onder Beheer agents.
Als u toegang wilt krijgen tot een Azure-abonnement als eigenaar voor een klant, kunt u elke ingebouwde Microsoft Entra-rol (zoals Directory-lezers, de minst bevoorrechte rol) toewijzen aan de Azure Managers-beveiligingsgroep.

Zie Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) voor stappen voor het instellen van Azure GDAP.

Is er richtlijnen over de rollen met minimale bevoegdheden die ik aan gebruikers kan toewijzen voor specifieke taken?

Ja. Zie Rollen met minimale bevoegdheden per taak in Microsoft Entra voor informatie over het beperken van beheerdersmachtigingen van een gebruiker door het toewijzen van rollen met minimale bevoegdheden in Microsoft Entra.

Wat is de minst bevoorrechte rol die ik kan toewijzen aan de tenant van een klant en nog steeds ondersteuningstickets voor de klant kan maken?

U wordt aangeraden de rol serviceondersteuningsbeheerder toe te wijzen. Zie Rollen met minimale bevoegdheden per taak in Microsoft Entra voor meer informatie.

Kan ik ondersteuningstickets openen voor een klant in een GDAP-relatie waarvan alle Microsoft Entra-rollen zijn uitgesloten?

Nee De minst bevoorrechte rol voor partnergebruikers om ondersteuningstickets voor hun klant te kunnen maken, is de serviceondersteuningsbeheerder. Als u daarom ondersteuningstickets voor de klant wilt kunnen maken, moet een partnergebruiker zich in een beveiligingsgroep bevinden en aan die klant met die rol zijn toegewezen.

Waar vind ik informatie over alle rollen en workloads die zijn opgenomen in GDAP?

Zie ingebouwde Microsoft Entra-rollen voor informatie over alle rollen.

Zie Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) voor meer informatie over workloads.

Welke GDAP-rol geeft toegang tot het Microsoft 365-beheer Center?

Veel rollen worden gebruikt voor Microsoft 365-beheer Center. Zie Veelgebruikte Microsoft 365-beheercentrum voor meer informatie.

Kan ik aangepaste beveiligingsgroepen maken voor GDAP?

Ja. Maak een beveiligingsgroep, wijs goedgekeurde rollen toe en wijs vervolgens tenantgebruikers van partners toe aan die beveiligingsgroep.

Welke GDAP-rollen geven alleen-lezentoegang tot de abonnementen van de klant en kunnen de gebruiker deze dus niet beheren?

Alleen-lezentoegang tot de abonnementen van klanten wordt geboden door de globale lezer, directorylezer en partnerlaag 2-ondersteuningsrollen.

Welke rol moet ik toewijzen aan mijn partneragenten (momenteel Beheer agents) als ik wil dat ze de tenant van de klant beheren, maar niet de abonnementen van de klant wijzigen?

Het is raadzaam om de partneragenten te verwijderen uit de rol van Beheer agent en deze alleen toe te voegen aan een GDAP-beveiligingsgroep. Op die manier kunnen ze services beheren (bijvoorbeeld servicebeheer en serviceaanvragen registreren), maar ze kunnen geen abonnementen kopen en beheren (aantal wijzigen, annuleren, wijzigingen plannen, enzovoort).

Wat gebeurt er als een klant GDAP-rollen verleent aan de partner en vervolgens rollen verwijdert of de GDAP-relatie verbreekt?

De beveiligingsgroepen die aan de relatie zijn toegewezen, verliezen de toegang tot die klant. Hetzelfde gebeurt als een klant een DAP-relatie beëindigt.

Kan een partner nog steeds transacties voor een klant uitvoeren nadat alle GDAP-relatie met de klant is verwijderd?

Ja, als u de GDAP-relaties met een klant verwijdert, wordt de resellerrelatie van de partners met de klant niet beëindigd. Partners kunnen nog steeds producten kopen voor de klant en het Azure-budget en andere gerelateerde activiteiten beheren.

Kunnen sommige rollen in mijn GDAP-relatie met mijn klant langer verlopen dan andere?

Nee Alle rollen in een GDAP-relatie hebben dezelfde tijd om te verlopen: de duur die is gekozen toen de relatie werd gemaakt.

Heb ik GDAP nodig om te voldoen aan orders voor nieuwe en bestaande klanten in partnercentrum?

Nee U hebt GDAP niet nodig om orders voor nieuwe en bestaande klanten te kunnen uitvoeren. U kunt hetzelfde proces blijven gebruiken om klantorders in partnercentrum te vervullen.

Moet ik één partneragentrol toewijzen aan alle klanten of kan ik een partneragentrol toewijzen aan één klant?

GDAP-relaties zijn per klant. U kunt meerdere relaties per klant hebben. Elke GDAP-relatie kan verschillende rollen hebben en verschillende Microsoft Entra-groepen binnen uw CSP-tenant gebruiken.

In partnercentrum werkt roltoewijzing op klant-naar-GDAP-relatieniveau. Als u de roltoewijzing voor meerderecustomers wilt uitvoeren, kunt u automatiseren met behulp van API's.

Kan een partnergebruiker GDAP-rollen en een gastaccount hebben?

Gastaccounts worden ondersteund door GDAP, maar niet met DAP-relatie.

Heb ik DAP/GDAP nodig voor het inrichten van Azure-abonnementen?

Nee, u hebt DAP of GDAP niet nodig om Azure-abonnementen aan te schaffen en Azure-abonnementen in te richten voor een klant. Het proces voor het maken van een Azure-abonnement voor een klant wordt beschreven in Een abonnement maken voor de klant van een partner - Microsoft Cost Management + Billing. De Beheer-agentsgroep in de tenant van de partner wordt standaard de eigenaar van de Azure-abonnementen die voor de klant zijn ingericht. Meld u aan bij Azure Portal met uw Partnercentrum-id.

Als u toegang tot de klant wilt inrichten, hebt u een GDAP-relatie nodig. De GDAP-relatie moet minimaal de Microsoft Entra-rol van Adreslijstlezers bevatten. Als u toegang wilt inrichten in Azure, gebruikt u de pagina toegangsbeheer (IAM). Meld u voor AOBO aan bij partnercentrum en gebruik de pagina Servicebeheer om toegang tot de klant in te richten.

Welke Microsoft Entra-rollen worden ondersteund door GDAP?

GDAP ondersteunt momenteel alleen ingebouwde Microsoft Entra-rollen. Aangepaste Microsoft Entra-rollen worden niet ondersteund.

Waarom kunnen GDAP-beheerders + B2B-gebruikers geen verificatiemethoden toevoegen in aka.ms/mysecurityinfo?

GDAP-gastbeheerders kunnen hun eigen beveiligingsgegevens niet beheren op Mijn beveiligingsgegevens. In plaats daarvan hebben ze de hulp nodig van de tenantbeheerder waarin ze een gast zijn voor registratie, update of verwijdering van beveiligingsgegevens. Organisaties kunnen beleid voor toegang tussen tenants configureren om de MFA te vertrouwen vanuit de vertrouwde CSP-tenant. Anders zijn GDAP-gastbeheerders beperkt tot alleen methoden die kunnen worden geregistreerd door de tenantbeheerder (sms of spraak). Zie Toegangsbeleid voor meerdere tenants voor meer informatie.

DAP en GDAP

Vervangt GDAP DAP?

Ja. Tijdens de overgangsperiode zullen DAP en GDAP naast elkaar bestaan, waarbij GDAP-machtigingen voorrang hebben op DAP-machtigingen voor Microsoft 365-, Dynamics 365- en Azure-workloads .

Kan ik DAP blijven gebruiken of moet ik al mijn klanten overstappen op GDAP?

DAP en GDAP bestaan naast elkaar tijdens de overgangsperiode. GDAP zal echter uiteindelijk DAP vervangen om ervoor te zorgen dat we een veiligere oplossing bieden voor onze partners en klanten. Het is raadzaam om uw klanten zo snel mogelijk over te dragen naar GDAP om continuïteit te garanderen.

Hoewel DAP en GDAP naast elkaar bestaan, zijn er wijzigingen in de manier waarop een DAP-relatie wordt gemaakt?

Er zijn geen wijzigingen in de bestaande DAP-relatiestroom, terwijl DAP en GDAP naast elkaar bestaan.

Welke Microsoft Entra-rollen worden verleend voor standaard GDAP als onderdeel van Create customer?

DAP wordt momenteel verleend wanneer er een nieuwe klanttenant wordt gemaakt. Vanaf 25 september 2023 verleent Microsoft geen DAP meer voor het maken van nieuwe klanten en verleent Microsoft in plaats daarvan Standaard GDAP met specifieke rollen. De standaardrollen variëren per partnertype, zoals wordt weergegeven in de volgende tabel:

Microsoft Entra-rollen verleend voor standaard GDAP	Partners voor directe facturering	Indirecte providers	Indirecte resellers	Domeinpartners	Configuratiescherm leveranciers (CPV's)
1. Adreslijstlezers. Kunnen basisdirectorygegevens lezen. Veel gebruikt voor het verlenen van leestoegang tot toepassingen en gasten in directory's.	x	x	x	x	x
2. Adreslijstschrijvers. Kunnen basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers.	x	x	x	x	x
3. Licentie Beheer istrator. Kan productlicenties voor gebruikers en groepen beheren.	x	x	x	x	x
4. Serviceondersteuning Beheer istrator. Kan gegevens over de servicestatus lezen en ondersteuningstickets beheren.	x	x	x	x	x
5. Gebruiker Beheer istrator. Kan alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders.	x	x	x	x	x
6. Bevoorrechte rol Beheer istrator. Kan roltoewijzingen beheren in Microsoft Entra en alle aspecten van Privileged Identity Management.	x	x	x	x	x
7. Helpdesk Beheer istrator. Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders.	x	x	x	x	x
8. Bevoegde verificatie Beheer istrator. Kan toegang krijgen tot informatie over de verificatiemethode weergeven, instellen en opnieuw instellen voor elke gebruiker (beheerder of niet-beheerder).	x	x	x	x	x
9. Cloud Application Beheer istrator. Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren, behalve App Proxy.	x	x		x	x
10. Toepassing Beheer istrator. Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren.	x	x		x	x
11. Globale lezer. Kan alles lezen wat een globale beheerder wel kan, maar kan niets bijwerken.	x	x	x	x	x
12. Externe id-provider Beheer istrator. Kan federatie tussen Microsoft Entra-organisaties en externe id-providers beheren.				x
13. Domeinnaam Beheer istrator. Kan domeinnamen in de cloud en on-premises beheren.				x

Hoe werkt GDAP met Privileged Identity Management in Microsoft Entra?

Partners kunnen Privileged Identity Management (PIM) implementeren op een GDAP-beveiligingsgroep in de tenant van de partner om de toegang van een paar gebruikers met hoge bevoegdheden te verhogen, just-in-time (JIT) om hen rollen met hoge bevoegdheden, zoals wachtwoordbeheerders, te verlenen met automatisch verwijderen van toegang.

Om deze implementatie mogelijk te maken, is het abonnement op Microsoft Entra ID P2 gratis beschikbaar voor PIM. Microsoft-partners kunnen zich aanmelden om de details op te halen.

Tot januari 2023 moest elke bevoegde toegangsgroep (voormalige naam voor de functie PIM for Groups ) zich in een roltoewijsbare groep bevinden. Deze beperking is verwijderd. Op basis hiervan is het mogelijk om meer dan 500 groepen per tenant in TE schakelen in PIM, maar maximaal 500 groepen kunnen rollen toewijzen.

Summary:

Partners kunnen zowel roltoewijzings- als niet-roltoewijzingsgroepen in PIM gebruiken. Hierdoor wordt de limiet voor 500 groepen/tenants in PIM effectief verwijderd.
Met de nieuwste updates zijn er twee manieren om groep naar PIM (UX-wise) te onboarden: vanuit het PIM-menu of in het menu Groepen. Ongeacht de manier waarop u kiest, is het nettoresultaat hetzelfde.
- De mogelijkheid om rollen toe te wijzen/niet-roltoewijzingsgroepen via het PIM-menu is al beschikbaar.
- De mogelijkheid om rollen toe te wijzen/niet-roltoewijzingsgroepen via het menu Groepen is al beschikbaar.
Zie Privileged Identity Management (PIM) voor groepen (preview) - Microsoft Entra voor meer informatie.

Hoe kunnen DAP en GDAP naast elkaar bestaan als een klant Microsoft Azure en Microsoft 365 of Dynamics 365 koopt?

GDAP is algemeen beschikbaar met ondersteuning voor alle commerciële Microsoft-cloudservices (Microsoft 365-, Dynamics 365-, Microsoft Azure- en Microsoft Power Platform-workloads ). Zie Hoe GDAP voorrang krijgt op DAP en GDAP voor meer informatie over hoe DAP en GDAP naast elkaar kunnen bestaan en hoe GDAP voorrang krijgt op DAP.

Ik heb een groot klantenbestand (bijvoorbeeld 10.000 klantaccounts). Hoe kan ik overgang van DAP naar GDAP?

Deze actie kan worden uitgevoerd door API's.

Worden mijn partnertegoeden (PEC) beïnvloed wanneer ik overstap van DAP naar GDAP? Is er effect op Partner Beheer Link (PAL)?

Nee Uw PEC-inkomsten worden niet beïnvloed wanneer u overstapt naar GDAP. Er zijn geen wijzigingen in PAL met de overgang, zodat u PEC blijft verdienen.

Wordt PEC beïnvloed wanneer DAP/GDAP wordt verwijderd?

Als de klant van een partner alleen DAP heeft en DAP wordt verwijderd, gaat PEC niet verloren.
Als de klant van een partner DAP heeft en deze tegelijkertijd overstapt naar GDAP voor Office en Azure, en DAP wordt verwijderd, gaat PEC niet verloren.
Als de klant van de partner DAP heeft en deze overstapt naar GDAP voor Office, maar Azure ongewijzigd houdt (ze worden niet verplaatst naar GDAP) en DAP wordt verwijderd, gaat PEC niet verloren, maar gaat de toegang tot het Azure-abonnement verloren.
Als een RBAC-rol wordt verwijderd, gaat PEC verloren, maar verwijdert gdap geen RBAC.

Hoe hebben GDAP-machtigingen voorrang op DAP-machtigingen terwijl DAP en GDAP naast elkaar bestaan?

Wanneer de gebruiker deel uitmaakt van zowel de GDAP-beveiligingsgroep als de DAP-groep Beheer agents en de klant zowel DAP- als GDAP-relaties heeft, heeft GDAP-toegang voorrang op partner-, klant- en workloadniveau.

Als een partnergebruiker zich bijvoorbeeld aanmeldt voor een bepaalde workload en er DAP is voor de rol Globale beheerder en GDAP voor de rol Globale lezer, krijgt de partnergebruiker alleen machtigingen voor globale lezer.

Als er drie klanten zijn met GDAP-rollentoewijzingen voor alleen GDAP-beveiligingsgroep (niet Beheer agents):

Diagram van de relatie tussen verschillende gebruikers als leden van *Beheer agent* en GDAP-beveiligingsgroepen.

Customer	Relatie met partner
Klant 1	DAP (geen GDAP)
Klant 2	DAP + GDAP beide
Klant 3	GDAP (geen DAP)

In de volgende tabel wordt beschreven wanneer een gebruiker zich aanmeldt bij een andere klanttenant.

Voorbeeldgebruiker	Voorbeeld van klanttenant	Gedrag	Opmerkingen
Gebruiker 1	Klant 1	DAP	Dit voorbeeld is DAP zoals het is.
Gebruiker 1	Klant 2	DAP	Er is geen GDAP-roltoewijzing aan de Beheer agentsgroep, wat resulteert in DAP-gedrag.
Gebruiker 1	Klant 3	Geen toegang	Er is geen DAP-relatie, dus de Beheer agentsgroep heeft geen toegang tot klant 3.
Gebruiker 2	Klant 1	DAP	Dit voorbeeld is DAP as-is
Gebruiker 2	Klant 2	GDAP	GDAP heeft voorrang op DAP omdat er een GDAP-rol is toegewezen aan gebruiker 2 via de GDAP-beveiligingsgroep, zelfs als de gebruiker deel uitmaakt van de Beheer agentgroep.
Gebruiker 2	Klant 3	GDAP	Dit voorbeeld is een klant met alleen GDAP.
Gebruiker 3	Klant 1	Geen toegang	Er is geen GDAP-roltoewijzing aan klant 1.
Gebruiker 3	Klant 2	GDAP	Gebruiker 3 maakt geen deel uit van de Beheer agentgroep, wat resulteert in GDAP-gedrag.
Gebruiker 3	Klant 3	GDAP	GDAP-gedrag

Heeft het uitschakelen van DAP of de overgang naar GDAP invloed op mijn verouderde competentievoordelen of de aanwijzingen van de oplossingspartner die ik heb bereikt?

DAP en GDAP komen niet in aanmerking voor koppelingstypen voor partnerbenamingen voor oplossingen en het uitschakelen of overstappen van DAP naar GDAP hebben geen invloed op het bereiken van toewijzingen van oplossingenpartner. De verlenging van verouderde competentievoordelen of voordelen van oplossingenpartner wordt ook niet beïnvloed.

Ga naar Partnercentrum Solutions Partner-aanwijzingen om te bekijken welke andere partnerkoppelingstypen in aanmerking komen voor aanwijzingen van oplossingenpartner.

Hoe werkt GDAP met Azure Lighthouse? Zijn GDAP en Azure Lighthouse van invloed op elkaar?

Met betrekking tot de relatie tussen Azure Lighthouse en DAP/GDAP, kunt u ze beschouwen als ontkoppelde parallelle paden naar Azure-resources, dus het scheiden van de ene moet niet van invloed zijn op de andere.

In het Azure Lighthouse-scenario melden gebruikers van de partnertenant zich nooit aan bij de tenant van de klant en hebben ze geen Microsoft Entra-machtigingen in de tenant van de klant. Hun Azure RBAC-roltoewijzingen worden ook bewaard in de partnertenant.
In het GDAP-scenario bevinden gebruikers van de partnertenant zich aan bij de tenant van de klant en de Azure RBAC-roltoewijzing aan de Beheer agentsgroep zich ook in de tenant van de klant. U kunt het GDAP-pad blokkeren (gebruikers kunnen zich niet meer aanmelden) terwijl het Azure Lighthouse-pad niet wordt beïnvloed. Omgekeerd kunt u de Lighthouse-relatie (projectie) verbreken zonder dat dit van invloed is op GDAP. Zie de Documentatie van Azure Lighthouse voor meer informatie.

Hoe werkt GDAP met Microsoft 365 Lighthouse?

Managed Service Providers (MSP's) die zijn ingeschreven in het CSP-programma (Cloud Solution Provider) als indirecte resellers of partners voor directe facturering kunnen nu Microsoft 365 Lighthouse gebruiken om GDAP in te stellen voor elke klanttenant. Omdat er al een aantal manieren zijn waarop partners hun overgang naar GDAP beheren, kunnen Lighthouse-partners met deze wizard rolaanbieding toepassen die specifiek zijn voor hun bedrijfsbehoeften. Hiermee kunnen ze ook beveiligingsmaatregelen toepassen, zoals Just-In-Time-toegang (JIT). MSP's kunnen ook GDAP-sjablonen maken via Lighthouse om eenvoudig instellingen op te slaan en opnieuw toe te passen die de toegang van klanten met minimale bevoegdheden mogelijk maken. Zie de wizard Lighthouse GDAP-installatie voor meer informatie en om een demo weer te geven.

MSP's kunnen GDAP instellen voor elke klanttenant in Lighthouse. Voor toegang tot de workloadgegevens van de klant in Lighthouse is een GDAP- of DAP-relatie vereist. Als GDAP en DAP naast elkaar bestaan in een tenant van de klant, hebben GDAP-machtigingen voorrang voor MSP-technici in beveiligingsgroepen met GDAP-functionaliteit. Zie Vereisten voor Microsoft 365 Lighthouse voor meer informatie over vereisten voor Microsoft 365 Lighthouse.

Wat is de beste manier om over te stappen op GDAP en DAP te verwijderen zonder toegang tot Azure-abonnementen te verliezen als ik klanten met Azure heb?

De juiste volgorde die u moet volgen voor dit scenario is:

Maak een GDAP-relatie voor zowel Microsoft 365 als Azure.
Wijs Microsoft Entra-rollen toe aan beveiligingsgroepen voor zowel Microsoft 365 als Azure.
Configureer GDAP om voorrang te krijgen op DAP.
DAP verwijderen.

Belangrijk

Als u deze stappen niet volgt, hebben bestaande Beheer agents die Azure beheren mogelijk geen toegang meer tot Azure-abonnementen voor de klant.

De volgende reeks kan leiden tot verlies van toegang tot Azure-abonnementen:

DAP verwijderen.

U verliest niet noodzakelijkerwijs de toegang tot een Azure-abonnement door DAP te verwijderen. Maar op dit moment kunt u niet door de directory van de klant bladeren om azure RBAC-roltoewijzingen uit te voeren (zoals het toewijzen van een nieuwe klantgebruiker als RBAC-inzender voor abonnementen).
Maak samen een GDAP-relatie voor Zowel Microsoft 365 als Azure.

In deze stap hebt u mogelijk geen toegang meer tot het Azure-abonnement zodra GDAP is ingesteld.
Microsoft Entra-rollen toewijzen aan beveiligingsgroepen voor zowel Microsoft 365 als Azure

U krijgt weer toegang tot Azure-abonnementen nadat de installatie van Azure GDAP is voltooid.

Ik heb klanten met Azure-abonnementen zonder DAP. Als ik ze naar GDAP voor Microsoft 365 verplaats, heb ik dan geen toegang meer tot de Azure-abonnementen?

Als u Azure-abonnementen hebt zonder DAP die u als eigenaar beheert door GDAP voor Microsoft 365 toe te voegen aan die klant, hebt u mogelijk geen toegang meer tot de Azure-abonnementen. U kunt dit voorkomen door de klant naar Azure GDAP te verplaatsen op hetzelfde moment dat u de klant naar Microsoft 365 GDAP verplaatst.

Belangrijk

Als deze stappen niet worden gevolgd, hebben bestaande Beheer agents die Azure beheren, mogelijk geen toegang meer tot Azure-abonnementen voor de klant.

Kan één relatiekoppeling worden gebruikt met meerdere klanten?

Nee Relaties, eenmaal geaccepteerd, kunnen niet meer worden gebruikt.

Als ik een resellerrelatie heb met klanten zonder DAP en wie geen GDAP-relatie heeft, heb ik dan toegang tot hun Azure-abonnement?

Als u een bestaande resellerrelatie met de klant hebt, moet u nog steeds een GDAP-relatie tot stand brengen om hun Azure-abonnementen te kunnen beheren.

Maak een beveiligingsgroep (bijvoorbeeld Azure-managers) in Microsoft Entra.
Maak een GDAP-relatie met de rol directorylezer .
Maak de beveiligingsgroep lid van de Beheer Agent-groep.

Zodra dit is gebeurd, kunt u het Azure-abonnement van uw klant beheren via AOBO. Het abonnement kan niet worden beheerd via CLI/Powershell.

Kan ik een Azure-plan maken voor klanten zonder DAP en wie geen GDAP-relatie heeft?

Ja, u kunt een Azure-plan maken, zelfs als er geen DAP of GDAP is met een bestaande resellerrelatie; Als u dat abonnement echter wilt beheren, hebt u DAP of GDAP nodig.

Waarom wordt in de sectie Bedrijfsgegevens op de pagina Account onder Klanten geen details meer weergegeven wanneer DAP wordt verwijderd?

Wanneer partners overstappen van DAP naar GDAP, moeten ze ervoor zorgen dat het volgende is ingesteld om de bedrijfsgegevens te bekijken:

Een actieve GDAP-relatie.
Aan een van de volgende Microsoft Entra-rollen zijn toegewezen: Global Beheer istrator, Directory Readers, Global Reader. Raadpleeg gedetailleerde machtigingen verlenen voor beveiligingsgroepen.

Waarom wordt mijn gebruikersnaam vervangen door 'user_somenumber' in portal.azure.com wanneer er een GDAP-relatie bestaat?

Wanneer een CSP zich aanmeldt bij de Azure-portal van de klant (portal.azure.come) met behulp van hun CSP-referenties en er een GDAP-relatie bestaat, ziet de CSP dat de gebruikersnaam 'user_' is, gevolgd door een bepaald getal. De werkelijke gebruikersnaam wordt niet weergegeven zoals in DAP. Dit is standaard.

Schermopname van gebruikersnaam met vervanging.

Wat zijn de tijdlijnen voor STOP DAP en verleent Default GDAP met het maken van een nieuwe klant?

Type tenant	Beschikbaarheidsdatum	Partnercentrum-API-gedrag (POST /v1/customers) enableGDAPByDefault: true	Partnercentrum-API-gedrag (POST /v1/customers) enableGDAPByDefault: false	Partnercentrum-API-gedrag (POST /v1/customers) Geen wijziging in aanvraag of nettolading	Gedrag van de gebruikersinterface van Partnercentrum
Sandbox	25 september 2023 (alleen API)	DAP = Nee. Standaard GDAP = Ja	DAP = Nee. Standaard GDAP = Nee	DAP = Ja. Standaard GDAP = Nee	Standaard GDAP = Ja
Productie	10 oktober 2023 (API + UI)	DAP = Nee. Standaard GDAP = Ja	DAP = Nee. Standaard GDAP = Nee	DAP = Ja. Standaard GDAP = Nee	Opt-in/out beschikbaar: Standaard GDAP
Productie	27 november 2023 (ga-implementatie voltooid op 2 december)	DAP = Nee. Standaard GDAP = Ja	DAP = Nee. Standaard GDAP = Nee	DAP = Nee. Standaard GDAP = Ja	Opt-in/out beschikbaar: Standaard GDAP

Partners moeten expliciet gedetailleerde machtigingen verlenen aan beveiligingsgroepen in de standaard GDAP.
Vanaf 10 oktober 2023 is DAP niet meer beschikbaar met resellerrelaties. De bijgewerkte koppeling resellerrelatie aanvragen is beschikbaar in de gebruikersinterface van het Partnercentrum en de URL van de eigenschap '/v1/customers/relationship requests' retourneert de uitnodigings-URL die moet worden verzonden naar de beheerder van de tenant van de klant.

Moet een partner gedetailleerde machtigingen verlenen aan beveiligingsgroepen in de standaard GDAP?

Ja, partners moeten expliciet gedetailleerde machtigingen verlenen aan beveiligingsgroepen in de standaard-GDAP om de klant te beheren.

Welke acties kunnen een partner met resellerrelatie, maar geen DAP en geen GDAP uitvoeren in partnercentrum?

Partners met resellerrelatie zonder DAP of GDAP kunnen klanten maken, orders plaatsen en beheren, softwaresleutels downloaden, Azure RI beheren. Ze kunnen geen bedrijfsgegevens van klanten bekijken, gebruikers niet bekijken of licenties toewijzen aan gebruikers, kunnen geen tickets registreren namens klanten en hebben geen toegang tot productspecifieke beheercentra (bijvoorbeeld Teams-beheercentrum.)

Voor een partner of CPV om toegang te krijgen tot en beheren van een klanttenant, moet de service-principal van de app worden toegestaan in de tenant van de klant. Wanneer DAP actief is, moeten ze de service-principal van de app toevoegen aan de Beheer Agents-SG in de partnertenant. Met GDAP moet de partner ervoor zorgen dat de app wordt toegestaan in de tenant van de klant. Als de app gedelegeerde machtigingen (App + Gebruiker) gebruikt en er een actieve GDAP bestaat met een van de drie rollen (Cloud Application Beheer istrator, kan de toestemmings-API voor Application Beheer istrator, Global Beheer istrator) worden gebruikt. Als de app alleen machtigingen voor de toepassing gebruikt, moet deze handmatig worden toegestaan door de partner of klant met een van de drie rollen (Cloud Application Beheer istrator, Application Beheer istrator, Global Beheer istrator), met behulp van de url voor beheerderstoestemming voor de hele tenant.

Welke actie moet een partner uitvoeren voor een fout 715-123220 of anonieme verbindingen zijn niet toegestaan voor deze service?

Als u de volgende fout ziet:

"We kunnen uw aanvraag 'Nieuwe GDAP-relatie maken' op dit moment niet valideren. Houd er rekening mee dat anonieme verbindingen niet zijn toegestaan voor deze service. Als u denkt dat u dit bericht in de fout hebt ontvangen, probeert u uw aanvraag opnieuw. Klik hier voor meer informatie over de actie die u kunt ondernemen. Als het probleem zich blijft voordoen, neemt u contact op met de ondersteunings- en referentieberichtcode 715-123220 en transactie-id: guid.

Wijzig hoe u verbinding maakt met Microsoft zodat onze service voor identiteitsverificatie correct kan worden uitgevoerd, zodat we ervoor kunnen zorgen dat uw account niet is aangetast en voldoet aan de voorschriften die Microsoft moet naleven.

U kunt het volgende doen:

Wis uw browsercache.
Schakel traceringspreventie uit in uw browser of voeg onze site toe aan uw uitzonderings-/veilige lijst.
Schakel een VPN-programma (Virtual Private Network) uit dat u mogelijk gebruikt.
Maak rechtstreeks verbinding vanaf uw lokale apparaat in plaats van via een virtuele machine (VM).

Nadat u deze stappen hebt geprobeerd, kunt u nog steeds geen verbinding maken. We raden u aan contact op te nemen met uw IT-helpdesk om uw instellingen te controleren om te zien of ze kunnen helpen identificeren wat het probleem veroorzaakt. Soms bevindt het probleem zich in de netwerkinstellingen van uw bedrijf. In dat geval moet uw IT-beheerder het probleem bijvoorbeeld oplossen door de site of andere aanpassingen van de netwerkinstelling in de lijst op te slaan.

Welke GDAP-acties zijn toegestaan voor een partner die is uitgeschakeld (beperkt, opgeschort)?

Beperkt (Directe factuur): Nieuwe GDAP (Beheer-relaties) kunnen niet worden gemaakt. Bestaande GDAPs en hun roltoewijzingen kunnen worden bijgewerkt.
Onderbroken (directe factuur/indirecte provider/indirecte reseller): er kan geen nieuwe GDAP worden gemaakt. Bestaande GDAPs en hun roltoewijzingen kunnen niet worden bijgewerkt.
Beperkte (directe factuur) + actief (indirecte reseller): nieuwe GDAP (Beheer-relaties) kunnen worden gemaakt. Bestaande GDAPs en hun roltoewijzingen kunnen worden bijgewerkt.

Aanbiedingen

Is het beheer van Azure-abonnementen opgenomen in deze versie van GDAP?

Ja. De huidige release van GDAP ondersteunt alle producten: Microsoft 365, Dynamics 365, Microsoft Power Platform en Microsoft Azure.

Veelgestelde vragen over GDAP

GDAP instellen

Wie kan een GDAP-relatie aanvragen?

Verloopt een GDAP-relatieaanvraag als de klant geen actie onderneemt?

Kan ik een GDAP-relatie met een klant permanent maken?

Kan een GDAP-relatie met een klant automatisch verlengen/automatisch uitbreiden?

Wat moet ik doen wanneer de GDAP-relatie met een klant verloopt?

Hoe kan een klant een GDAP-relatie uitbreiden of verlengen?

Kan een actieve GDAP binnenkort worden bijgewerkt naar automatisch uitgebreid?

Wanneer wordt automatisch uitbreiden in actie?

Worden e-mailberichten verzonden wanneer automatisch uitbreiden is ingeschakeld/uitgeschakeld?

Kan een GDAP die is gemaakt met PLT (Partner Led Tool), MLT (Microsoft Led Tool), de gebruikersinterface van het Partnercentrum, de Partnercentrum-API automatisch worden uitgebreid?

Is er toestemming van de klant nodig om automatische uitbreiding in te stellen op bestaande actieve GDAPs?

Moeten gedetailleerde machtigingen opnieuw worden toegewezen aan beveiligingsgroepen na automatische uitbreiding?

Kan een beheerdersrelatie met de rol Global Beheer istrator automatisch worden uitgebreid?

Waarom zie ik de pagina Verlopende gedetailleerde relaties niet onder de werkruimte Klanten?

Als een GDAP-relatie verloopt, worden de bestaande abonnementen van de klant beïnvloed?

Hoe kan een klant zijn of haar wachtwoord en MFA-apparaat opnieuw instellen als ze zijn vergrendeld voor hun account en geen GDAP-relatieaanvraag van een partner kunnen accepteren?

Welke rollen heeft een partner nodig om een beheerderswachtwoord en MFA-apparaat opnieuw in te stellen als een klantbeheerder is vergrendeld voor zijn account en geen GDAP-relatieaanvraag van een partner kan accepteren?

Wie ontvangt een e-mailmelding over beëindiging van een GDAP-relatie?

Kan ik zien wanneer een klant GDAP verwijdert in de activiteitenlogboeken?

Moet ik een GDAP-relatie maken met al mijn klanten?

Als ik meerdere klanten heb, moet ik meerdere beveiligingsgroepen hebben voor die klanten?

Kunnen indirecte resellers GDAP-relatieaanvragen maken in partnercentrum?

Waarom kan een partnergebruiker met GDAP geen toegang krijgen tot een workload als AOBO (Beheer namens)?

Wat is de aanbevolen volgende stap als het beleid voor voorwaardelijke toegang dat door de klant is ingesteld, alle externe toegang, inclusief de toegang van CSP (AOBO) tot de tenant van de klant blokkeert?

Heb ik een GDAP-relatie nodig om ondersteuningstickets te maken, hoewel ik Premier Support for Partners heb?

Kan GDAP in de status Goedkeuring in behandeling worden beëindigd door de partner?

Nadat een GDAP-relatie is beëindigd, kan ik dezelfde GDAP-relatienaam opnieuw gebruiken om een nieuwe relatie te maken?

GDAP API

Zijn API's beschikbaar om een GDAP-relatie met klanten te maken?

Kan ik de bèta-GDAP-API's gebruiken voor productie?

Kan ik meerdere GDAP-relaties met verschillende klanten tegelijk maken?

Kunnen meerdere beveiligingsgroepen worden toegewezen in een GDAP-relatie met behulp van één API-aanroep?

Hoe kan ik meerdere resourcesmachtigingen aanvragen voor mijn toepassing?

Hoe kan ik de resource-id voor een bepaalde resource vinden?

Wat moet ik doen als ik de fout 'Request_UnsupportedQuery' krijg met het bericht: 'Niet-ondersteunde of ongeldige queryfiltercomponent opgegeven voor eigenschap 'appId' van resource 'ServicePrincipal'?

Hoe kan ik nieuwe bereiken toevoegen aan de resource van een toepassing die al is toegestaan in de tenant van de klant?

Hoe kan ik meerdere bereiken opgeven voor één resource (enterpriseApplicationId)?

Wat moet ik doen als ik de foutmelding '400 Ongeldige aanvraag' krijg met het bericht 'Niet-ondersteund token.' Kan de autorisatiecontext niet initialiseren"?

Rollen

Welke GDAP-rollen zijn nodig voor toegang tot een Azure-abonnement?

Is er richtlijnen over de rollen met minimale bevoegdheden die ik aan gebruikers kan toewijzen voor specifieke taken?

Wat is de minst bevoorrechte rol die ik kan toewijzen aan de tenant van een klant en nog steeds ondersteuningstickets voor de klant kan maken?

Kan ik ondersteuningstickets openen voor een klant in een GDAP-relatie waarvan alle Microsoft Entra-rollen zijn uitgesloten?

Waar vind ik informatie over alle rollen en workloads die zijn opgenomen in GDAP?

Welke GDAP-rol geeft toegang tot het Microsoft 365-beheer Center?

Kan ik aangepaste beveiligingsgroepen maken voor GDAP?

Welke GDAP-rollen geven alleen-lezentoegang tot de abonnementen van de klant en kunnen de gebruiker deze dus niet beheren?

Welke rol moet ik toewijzen aan mijn partneragenten (momenteel Beheer agents) als ik wil dat ze de tenant van de klant beheren, maar niet de abonnementen van de klant wijzigen?

Wat gebeurt er als een klant GDAP-rollen verleent aan de partner en vervolgens rollen verwijdert of de GDAP-relatie verbreekt?

Kan een partner nog steeds transacties voor een klant uitvoeren nadat alle GDAP-relatie met de klant is verwijderd?

Kunnen sommige rollen in mijn GDAP-relatie met mijn klant langer verlopen dan andere?

Heb ik GDAP nodig om te voldoen aan orders voor nieuwe en bestaande klanten in partnercentrum?

Moet ik één partneragentrol toewijzen aan alle klanten of kan ik een partneragentrol toewijzen aan één klant?

Kan een partnergebruiker GDAP-rollen en een gastaccount hebben?

Heb ik DAP/GDAP nodig voor het inrichten van Azure-abonnementen?

Welke Microsoft Entra-rollen worden ondersteund door GDAP?

Waarom kunnen GDAP-beheerders + B2B-gebruikers geen verificatiemethoden toevoegen in aka.ms/mysecurityinfo?

DAP en GDAP

Vervangt GDAP DAP?

Kan ik DAP blijven gebruiken of moet ik al mijn klanten overstappen op GDAP?

Hoewel DAP en GDAP naast elkaar bestaan, zijn er wijzigingen in de manier waarop een DAP-relatie wordt gemaakt?

Welke Microsoft Entra-rollen worden verleend voor standaard GDAP als onderdeel van Create customer?

Hoe werkt GDAP met Privileged Identity Management in Microsoft Entra?

Hoe kunnen DAP en GDAP naast elkaar bestaan als een klant Microsoft Azure en Microsoft 365 of Dynamics 365 koopt?

Ik heb een groot klantenbestand (bijvoorbeeld 10.000 klantaccounts). Hoe kan ik overgang van DAP naar GDAP?

Worden mijn partnertegoeden (PEC) beïnvloed wanneer ik overstap van DAP naar GDAP? Is er effect op Partner Beheer Link (PAL)?

Wordt PEC beïnvloed wanneer DAP/GDAP wordt verwijderd?

Hoe hebben GDAP-machtigingen voorrang op DAP-machtigingen terwijl DAP en GDAP naast elkaar bestaan?

Heeft het uitschakelen van DAP of de overgang naar GDAP invloed op mijn verouderde competentievoordelen of de aanwijzingen van de oplossingspartner die ik heb bereikt?

Hoe werkt GDAP met Azure Lighthouse? Zijn GDAP en Azure Lighthouse van invloed op elkaar?

Hoe werkt GDAP met Microsoft 365 Lighthouse?

Wat is de beste manier om over te stappen op GDAP en DAP te verwijderen zonder toegang tot Azure-abonnementen te verliezen als ik klanten met Azure heb?

Ik heb klanten met Azure-abonnementen zonder DAP. Als ik ze naar GDAP voor Microsoft 365 verplaats, heb ik dan geen toegang meer tot de Azure-abonnementen?

Kan één relatiekoppeling worden gebruikt met meerdere klanten?

Als ik een resellerrelatie heb met klanten zonder DAP en wie geen GDAP-relatie heeft, heb ik dan toegang tot hun Azure-abonnement?

Kan ik een Azure-plan maken voor klanten zonder DAP en wie geen GDAP-relatie heeft?

Waarom wordt in de sectie Bedrijfsgegevens op de pagina Account onder Klanten geen details meer weergegeven wanneer DAP wordt verwijderd?

Waarom wordt mijn gebruikersnaam vervangen door 'user_somenumber' in portal.azure.com wanneer er een GDAP-relatie bestaat?