Delen via


Richtlijnen voor GDAP-rollen

Juiste rollen: Beheerdersagent

Dit artikel bevat richtlijnen over welke ingebouwde Microsoft Entra-rol met minimale bevoegdheden kan worden gebruikt voor elke gedetailleerde mogelijkheid voor gedelegeerde beheerdersbevoegdheden (GDAP). Als u bijvoorbeeld ondersteuningsaanvragen wilt indienen namens een klant, is de rol serviceondersteuningsbeheerder vereist. Dit is de minst bevoegde Microsoft Entra-rol voor de tenant van uw klant.

Ondersteuningsaanvragen maken

Indirecte resellers kunnen geen ondersteuningsaanvragen maken voor Azure. In plaats daarvan moeten ze met hun indirecte providers werken.

Een ondersteuningsaanvraag maken voor: Partners en indirecte providers voor directe facturering moeten de volgende rol met minimale bevoegdheden hebben:
Microsoft 365 in de Microsoft 365-beheercentrum GDAP-roltoewijzing aan een rol met microsoft.office365.supportTickets/allEntities/allTasks-machtigingen , zoals serviceondersteuningsbeheerder
Dynamics 365 in het Power Platform-beheercentrum GDAP-roltoewijzing aan een rol met microsoft.office365.supportTickets/allEntities/allTasks-machtigingen , zoals serviceondersteuningsbeheerder
Azure-abonnementsresource in Azure Portal Vereiste: Als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie met de klant hebben, zoals wordt uitgelegd in regionale CSP-autorisatie. Zie Stappen voor het instellen van Azure GDAP voor meer informatie.

Elke GDAP-toewijzing aan een Microsoft Entra-rol, zoals directorylezers,

-EN-

RBAC-roltoewijzing (op rollen gebaseerd toegangsbeheer) van Azure aan een rol met Microsoft.Support/supportTickets/schrijfmachtigingen , zoals inzender voor ondersteuningsaanvragen
Microsoft Entra-id in Azure Portal Alternatief 1: Als een klant geen Microsoft Entra ID P1 of P2-vereisten

heeft: als u aanvragen wilt maken namens klanten die het Azure-abonnement van een klant gebruiken, moeten partners een resellerrelatie hebben met de klant per regionale CSP-autorisatie. Zie Stappen voor het instellen van Azure GDAP voor meer informatie.

Elke GDAP-toewijzing aan een Microsoft Entra-rol, zoals directorylezers,

-EN-

Azure RBAC-roltoewijzing aan een rol met Microsoft.Support/supportTickets/schrijfmachtigingen, zoals Inzender

ondersteuningsaanvraag Alternatief 2: Als de klant Microsoft Entra ID P1 of P2 Elke GDAP-toewijzing heeft aan een Microsoft Entra-rol met: microsoft.azure.supportTickets/allEntities/allTasks-machtigingen, zoals serviceondersteuningsbeheerder

GDAP-rollen op partnertypen

Indirecte providers

De volgende rollen worden aanbevolen voor indirecte providers om transacties uit te voeren en te beheren:

  • Nieuwe klanttenant maken
  • Resellerrelatie instellen
  • Inkoop
  • Abonnementsbeheer
  • Upgrades
  • Conversies
  • Het maken en toewijzen van licenties aan de klant
  • Klantenserviceaanvragen (aanvragen die namens de klant worden gemaakt)
- Rol Beschrijving
Lezerrollen:
Adreslijstlezers Kunnen basisdirectorygegevens lezen. Veelgebruikt voor het verlenen van leestoegang tot toepassingen en gasten in mappen
Adreslijstschrijvers Kunnen basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers.
Globale lezer Kan alles lezen wat een globale beheerder wel kan, maar kan niets bijwerken
Gebruikersbeheer en licentiebeheer:
Gebruikersbeheerder Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders
Licentiebeheerder Kan productlicenties beheren voor gebruikers en groepen
Serviceondersteuningsbeheerder Kan servicestatusinformatie lezen en ondersteuningsaanvragen beheren
Helpdesk:
Helpdeskbeheerder Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders

Partners voor directe facturering, indirecte resellers en adviseurs

De volgende rollen worden aanbevolen voor indirecte resellers, adviseurs en directe factureringspartners die ook de rol van MSP's spelen. Ze worden allemaal gecategoriseerd als gespecialiseerde beheerde serviceproviders (MSP's) die de omgeving van de klant volledig beheren als uitbesteed IT-afdeling. Deze sectie bevat gecategoriseerde rollen die vereist zijn voor taken en functies.

Typische taken van een laag-1-technicus in beheerde services

- Rol Taak Functie
Serviceondersteuningsbeheerder Verzend ondersteuningsaanvragen namens de klant. Helpdesk maakt en beheert ondersteuningsaanvragen.
Beveiligingslezer Beveiligingsbeleid voor Microsoft 365-services weergeven. Helpdesk verzamelt detectie op de tenant van de klant om beveiligings- en nalevingsbeleidsregels op te lossen of bij te werken, zoals beleid voor preventie van gegevensverlies.
Intune-beheerder Kan alle aspecten van het Intune-product beheren. Helpdesk verwerkt de inschrijving en probleemoplossing van het klantapparaat.
SharePoint-beheerder Kan alle aspecten van de SharePoint-service beheren. Helpdesk beheert machtigingen voor SharePoint-sites.
Ondersteuningsspecialist voor Teams-communicatie Kan de Microsoft Teams-service beheren. Helpdesk lost problemen met gesprekskwaliteit op.
Helpdeskbeheerder U kunt wachtwoorden voor niet-beheerders en deze beheerders opnieuw instellen: Beheerderswachtwoordbeheerder Wachtwoordbeheerder gebruikerslijst voor gebruikers van gebruikers. Helpdesk stelt wachtwoorden opnieuw in.
Desktop Analytics-beheerder Kan bureaubladbeheerhulpprogramma's en -services openen en beheren. Helpdesk kan de desktop analytics-service beheren door inventaris van assets weer te geven en standaardeigenschappen van autorisatiebeleid te lezen.
Verificatiebeheerder Heeft toegang tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn en deze kunnen weergeven, instellen en opnieuw instellen. Helpdesk kan toegang krijgen tot informatie over de verificatiemethode voor gebruikers die geen beheerder zijn (bijvoorbeeld MFA en voorwaardelijke toegang) bekijken, instellen en opnieuw instellen.
Exchange-beheerder Gebruikers met deze rol hebben globale machtigingen in Microsoft Exchange Online wanneer de service aanwezig is. Heeft ook de mogelijkheid om alle Microsoft 365-groepen te maken en te beheren, ondersteuningsaanvragen te beheren en de servicestatus te bewaken; kan OBO verzenden en Postvakken in beheren. Helpdesk beheert gedeelde postvakken, helpt bij het oplossen van problemen met postvakquota en maakt en beheert transportregels.
Licentiebeheerder Kan licentietoewijzingen toewijzen, verwijderen en bijwerken. Tijdens het oplossen van problemen beoordeelt en herstelt helpdesk of er een licentieprobleem is met de ondersteuningsaanvraag.
Gebruikersbeheerder Kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders; kan gebruikersaanmelding blokkeren. Helpdesk beheert alle aspecten van gebruikers en groepen, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders en het blokkeren van de toegang van een voormalige klantmedewerker tot Microsoft 365-services.
Groepsbeheerder Leden van deze rol kunnen groepen maken/beheren, groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren en groepsactiviteiten en auditrapporten bekijken. Helpdesk voegt eigenaren toe aan groepen en voegt leden toe aan groepen.
Maplezer Gebruikers met deze rol kunnen basisdirectorygegevens lezen Helpdesk kan basismapgegevens lezen als onderdeel van het oplossen van problemen.
Berichtencentrum-lezer Kan alleen berichten en updates voor zijn/haar organisatie lezen in het Office 365-berichtencentrum. Helpdesk leest berichtencentrum voor om ondersteuningsproblemen op te lossen.
Printerbeheer Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing beheren, inclusief de instellingen van de Universal Print Connector. Ze kunnen akkoord gaan met alle aanvragen voor gedelegeerde afdrukmachtigingen. Printerbeheerders hebben ook toegang tot het afdrukken van rapporten. Helpdesk beheert printerconfiguraties en lost printerproblemen op.
Gastuitnodiging Gebruikers in deze rol kunnen uitnodigingen voor gastgebruikers van Microsoft Entra B2B beheren. Helpdesk kan gastgebruikers uitnodigen, onafhankelijk van de leden kunnen gasten uitnodigen.

Rol met minimale bevoegdheden per taak

In de volgende tabel worden taken weergegeven binnen elke GDAP-functie, samen met de minst bevoegde rol die is vereist om elke taak uit te voeren.

GDAP-mogelijkheid Opdracht Rol met minimale bevoegdheden
Ondersteuning Ondersteuningsticket indienen Serviceondersteuningsbeheerder
Gebruikers Gebruiker toevoegen aan directory-rol Beheerder van bevoorrechte rol
Gebruiker toevoegen aan groep Gebruikersbeheerder
Licentie toewijzen Licentiebeheerder
Gastgebruiker maken Gastnodigers
Uitnodiging voor gastgebruikers opnieuw instellen Gebruikersbeheerder
Gebruiker maken Gebruikersbeheerder
Gebruiker verwijderen Gebruikersbeheerder
Vernieuwingstokens van beperkte beheerder ongeldig maken Gebruikersbeheerder
Vernieuwingstokens van niet-beheerders ongeldig maken Wachtwoordbeheerder
Vernieuwingstokens van bevoegde beheerder ongeldig maken Beheerder voor bevoegde verificatie
Basisconfiguratie lezen Standaardgebruikersrol
Wachtwoord opnieuw instellen voor beperkte beheerder Gebruikersbeheerder
Wachtwoord opnieuw instellen voor niet-beheerders Wachtwoordbeheerder
Wachtwoord opnieuw instellen voor bevoegde beheerder Beheerder voor bevoegde verificatie
Licentie intrekken Licentiebeheerder
Alle eigenschappen bijwerken behalve user principal name Gebruikersbeheerder
Principal-naam van gebruiker bijwerken voor beperkte beheerder Gebruikersbeheerder
Principal-naam van gebruiker bijwerken voor bevoegde beheerder Globale beheerder
Gebruikersinstellingen bijwerken Globale beheerder
Verificatiemethoden bijwerken Verificatiebeheerder
Groepen Licentie toewijzen Gebruikersbeheerder
Groep maken Groepsbeheerder
Toegangsbeoordeling van een groep of app maken, bijwerken of verwijderen Gebruikersbeheerder
Verloopdatum van de groep beheren Gebruikersbeheerder
Groepsinstellingen beheren Groepsbeheerder
Alle configuratie lezen (behalve verborgen lidmaatschap) Adreslijstlezers
Verborgen lidmaatschappen lezen Groepslid
Lidmaatschap van groepen met verborgen lidmaatschap lezen Helpdeskbeheerder
Licentie intrekken Licentiebeheerder
Groepslidmaatschap bijwerken Groepseigenaar
Groepseigenaren bijwerken Groepseigenaar
Groepseigenschappen bijwerken Groepseigenaar
Groep verwijderen Groepsbeheerder
Licenties Licentie toewijzen Licentiebeheerder
Alle configuratie lezen Adreslijstlezers
Licentie intrekken Licentiebeheerder

Rollen op complexiteit

Role Eenvoudig Gemiddeld Complex
Toepassingsbeheerder x
Toepassingsontwikkelaar x
Auteur van nettolading aanvallen x
Aanvalssimulatiebeheerder x
Verificatiebeheerder x
Lokale beheerder van Microsoft Entra-apparaat x
Azure DevOps-beheerder x
Azure Information Protection-beheerder x
Factureringsbeheerder x
Cloudtoepassingsbeheerder x x
Cloudapparaatbeheerder x
Nalevingsbeheerder x
Beheerder voor voorwaardelijke toegang x
Desktop Analytics-beheerder x
Adreslijstlezers x x x
Adreslijstsynchronisatieaccounts x
Domeinnaambeheerder x
Dynamics 365-beheerder x x
Exchange-beheerder x x
Beheerder van Exchange-geadresseerde x
Beheerder van externe id-provider x
Globale lezer x x x
Groepsbeheerder x
Gastnodigers x
Helpdeskbeheerder x x x
Beheerder voor hybride identificatie x
Inzichtenbeheerder x
Intune-beheerder x x
Licentiebeheerder x x x
Privacylezer van berichtencentrum x
Berichtencentrumlezer x
Netwerkbeheerder x
beheerder van Office-app x
Wachtwoordbeheerder x
Power BI-beheerder x x
Power Platform-beheerder x x
Printerbeheerder x
Printertechnicus x
Beheerder voor bevoegde verificatie x
Beheerder van bevoorrechte rol x
Rapportlezer x x
Zoekbeheerder x
Zoekeditor x
Beveiligingsbeheerder x x
Beveiligingslezer x x
Serviceondersteuningsbeheerder x x x
SharePoint-beheerder x x
Skype voor Bedrijven beheerder x
Teams-beheerder x x
Communicatiebeheerder van Teams x
Ondersteuningstechnicus voor Teams-communicatie x
Ondersteuningsspecialist voor Teams-communicatie x
Teams-apparaatbeheerder x
Gebruikersbeheerder x x x
Windows 365-beheerder x x