Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP)
Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum
Dit artikel bevat taken voor workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP).
De volgende workloads worden ondersteund:
- Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP)
- Microsoft Entra ID
- Exchange-beheercentrum
- Microsoft 365-beheercentrum
- Microsoft Purview
- Microsoft 365 Lighthouse
- Windows 365
- Teams-beheercentrum
- Microsoft Defender XDR
- Power BI
- SharePoint
- Dynamics 365 en Power Platform
- Dynamics 365 Business Central
- Dynamics Lifecycle Services
- Intune (Endpoint Manager)
- Azure-portal
- Alternatieve Azure GDAP-richtlijnen (zonder beheerdersagent te gebruiken)
- Visual Studio
- Waarom zie ik geen DAP AOBO-koppelingen op de pagina GDAP-servicebeheer?
- Verwante onderwerpen
Microsoft Entra ID
Alle Microsoft Entra-taken worden ondersteund, met uitzondering van de volgende mogelijkheden:
| Gebied | Functies | Probleem |
|---|---|---|
| Groepsbeheer | Maken van Microsoft 365-groep, beheer van dynamische lidmaatschapsregels | Niet ondersteund |
| Apparaten | Beheer van instellingen voor Enterprise State Roaming | |
| Toepassingen | Toestemming geven voor een bedrijfstoepassing inline met aanmelding, beheer van bedrijfstoepassing 'Gebruikersinstellingen' | |
| Externe identiteiten | Beheer van externe identiteitsfuncties | |
| Controleren | Log Analytics, Diagnostische instellingen, Werkmappen en het tabblad Bewaking op de overzichtspagina van Microsoft Entra | |
| Overzichtspagina | Mijn feed - rollen voor aangemelde gebruiker | Kan onjuiste rolgegevens weergeven; heeft geen invloed op de werkelijke machtigingen |
| Gebruikersinstellingen | Beheerpagina 'Gebruikersfuncties' | Niet toegankelijk voor bepaalde rollen |
Bekende problemen:
- Partners aan wie Entra-rollen beveiligingslezer of globale lezer via GDAP worden verleend, ondervinden een fout 'Geen toegang' bij het openen van Entra-rollen en -beheerders op een klanttenant waarvoor PIM is ingeschakeld. Werkt met de rol Globale beheerder.
Exchange-beheercentrum
Voor het Exchange-beheercentrum worden de volgende taken ondersteund door GDAP.
| Brontype | Resourcesubtype | Momenteel ondersteund | Probleem |
|---|---|---|---|
| Beheer van geadresseerden | Postvakken | Gedeeld postvak maken, Postvak bijwerken, converteren naar gedeeld/gebruikerspostvak, Gedeeld postvak verwijderen, Instellingen voor e-mailstroom beheren, Postvakbeleid beheren, Postvakdelegering beheren, E-mailadressen beheren, Automatische antwoorden beheren, Meer acties beheren, Contactgegevens bewerken, Groepsbeheer | Het postvak van een andere gebruiker openen |
| Resources | Een resource maken/toevoegen [Apparatuur/ruimte], een resource verwijderen, Verbergen van gal-instelling beheren, Instellingen voor het beheren van gedelegeerden van reserveringen, instellingen voor resourcedelegen beheren | ||
| Contactpersonen | Een contactpersoon maken/toevoegen [e-mailgebruiker/e-mailcontactpersoon], een contactpersoon verwijderen, organisatie-instellingen bewerken | ||
| E-mailstroom | Berichttracering | Een berichttracering starten, standaard/aangepaste/automatisch opgeslagen/downloadbare query's controleren, regels | Waarschuwing, waarschuwingsbeleid |
| Externe domeinen | Een extern domein toevoegen, een extern domein verwijderen, berichtrapportage bewerken, antwoordtypen | ||
| Geaccepteerde domeinen | Geaccepteerde domeinen beheren | ||
| Connectors | Een connector toevoegen, Beperkingen beheren, Verzonden e-mailidentiteit, Connector verwijderen | ||
| Rollen | Beheerdersrollen | Rolgroepen toevoegen, rolgroepen verwijderen die geen ingebouwde rolgroepen zijn, rollengroepen bewerken die geen ingebouwde rolgroepen zijn, rolgroep kopiëren | |
| Migratie | Migratie | Migratiebatch toevoegen, Google Workspace-migratie proberen, migratiebatch goedkeuren, details van de migratiebatch weergeven, migratiebatch verwijderen | |
| koppeling Microsoft 365-beheercentrum | Koppeling om naar Microsoft 365-beheer Center te gaan | ||
| Diversen | Feedbackwidget geven, centrale widget ondersteunen | ||
| Dashboard | Rapporten |
Ondersteunde RBAC-rollen zijn onder andere:
- Exchange-beheerder
- Globale beheerder
- Helpdeskbeheerder
- Algemene lezer
- Beveiligingsbeheer
- Beheerder van Exchange-ontvangers
Microsoft 365-beheercentrum
Belangrijk
Enkele belangrijke functies van de Microsoft 365-beheercentrum kunnen worden beïnvloed door service-incidenten en doorlopende ontwikkelwerkzaamheden. U kunt actieve Microsoft 365-beheercentrum problemen bekijken via de Microsoft-beheerportal.
We zijn verheugd om de release van de Microsoft 365-beheercentrum-ondersteuning voor GDAP aan te kondigen. Met deze preview-versie kunt u zich aanmelden bij het beheercentrum met alle Microsoft Entra-rollen die worden ondersteund door zakelijke klanten , behalve Directory Readers.
Deze release heeft beperkte mogelijkheden en biedt u de mogelijkheid om de volgende gebieden van de Microsoft 365-beheercentrum te gebruiken:
- Gebruikers (inclusief het toewijzen van licenties)
- Uw producten factureren>
- Health>Service Health
- Ondersteuningsticket voor central>maken
Bekende problemen:
- Kan rapporten over sitegebruiksproduct niet exporteren in Microsoft 365-beheercentrum.
Microsoft Purview
Voor Microsoft Purview worden de volgende taken ondersteund door GDAP.
| Oplossing | Momenteel ondersteund | Probleem |
|---|---|---|
| Audit | Microsoft 365-controleoplossingen - Eenvoudige/geavanceerde controle instellen - Auditlogboek doorzoeken - PowerShell gebruiken om het auditlogboek te doorzoeken - Auditlogboek exporteren/configureren/weergeven - Controle in- en uitschakelen - Bewaarbeleid voor auditlogboeken beheren - Veelvoorkomende problemen/gecompromitteerde accounts onderzoeken - Auditlogboek exporteren/configureren/weergeven |
|
| Compliance Manager | Compliance Manager - Evaluaties bouwen en beheren - Evaluatiesjablonen maken/uitbreiden/wijzigen - Acties voor verbetering toewijzen en voltooien - Gebruikersmachtigingen instellen |
|
| MIP | Microsoft Purview Informatiebeveiliging Meer informatie over gegevensclassificatie Meer informatie over het voorkomen van gegevensverlies Gegevensclassificatie: - Typen gevoelige informatie maken en beheren - Exacte gegevensovereenkomst maken en beheren - Controleren wat er gebeurt met gelabelde inhoud met Behulp van Activity Explorer Information Protection: - Vertrouwelijkheidslabels en labelbeleid maken en publiceren - Labels definiëren die moeten worden toegepast op bestanden en e-mailberichten - Labels definiëren die moeten worden toegepast op sites en groepen - Labels definiëren die moeten worden toegepast op geschematiseerde gegevensassets - Automatisch een label toepassen op inhoud met behulp van automatisch labelen aan de clientzijde en automatisch labelen op de server en geschematiseerde gegevensassets - Toegang tot gelabelde inhoud beperken met behulp van versleuteling - Privacy en externe gebruikerstoegang en extern delen en voorwaardelijke toegang configureren voor labels die zijn toegepast op sites en groepen - Labelbeleid instellen op standaard, verplicht, downgradebesturingselementen en toepassen op bestanden en e-mailberichten, groepen en sites en Power BI-inhoud DLP: - Een DLP-beleid maken, testen en afstemmen - Waarschuwingen en incidentbeheer uitvoeren - Gebeurtenissen weergeven die overeenkomen met DLP-regels in Activiteitenverkenner - DLP-instellingen voor eindpunten configureren |
- Gelabelde inhoud weergeven in Content Explorer - Trainbare classificaties maken en beheren - Labelondersteuning voor groepen en sites |
| Levenscyclusbeheer van Microsoft Purview-gegevens | Meer informatie over Microsoft Purview-levenscyclusbeheer in Microsoft 365 - Statisch en adaptief bewaarbeleid maken en beheren - Retentielabels maken - Beleid voor retentielabels maken - Adaptieve bereiken maken en beheren |
-Archivering - PST-bestanden importeren |
| Microsoft Purview Records Management | Microsoft Purview-recordbeheer - Inhoud labelen als record - Inhoud labelen als een regelgevingsrecord - Statisch en adaptief retentielabelbeleid maken en beheren - Adaptieve bereiken maken en beheren - Retentielabels migreren en uw retentievereisten beheren met een bestandsplan - Instellingen voor retentie en verwijdering configureren met retentielabels - Inhoud behouden wanneer een gebeurtenis plaatsvindt met retentie op basis van gebeurtenissen |
- Verwijderingsbeheer |
Microsoft 365 Lighthouse
Microsoft 365 Lighthouse is een beheerportal waarmee beheerde serviceproviders (MSP's) apparaten, gegevens en gebruikers op schaal kunnen beveiligen en beheren voor kleine en middelgrote zakelijke klanten.
GDAP-rollen verlenen dezelfde klanttoegang in Lighthouse als wanneer deze GDAP-rollen worden gebruikt om afzonderlijk toegang te krijgen tot de beheerportals van klanten. Lighthouse biedt een multitenant-weergave voor gebruikers, apparaten en gegevens op basis van het niveau van gedelegeerde machtigingen van gebruikers. Zie de Lighthouse-documentatie voor een overzicht van alle multitenant-beheerfunctionaliteit van Lighthouse.
MSP's kunnen Lighthouse nu gebruiken om GDAP in te stellen voor elke klanttenant. Lighthouse biedt rolaanbeveling op basis van verschillende MSP-taakfuncties voor een MSP en Lighthouse GDAP-sjablonen stellen partners in staat om eenvoudig instellingen op te slaan en opnieuw toe te passen die de toegang van klanten met minimale bevoegdheden mogelijk maken. Zie de wizard Lighthouse GDAP-installatie voor meer informatie en om een demo weer te geven.
Voor Microsoft 365 Lighthouse worden de volgende taken ondersteund door GDAP. Zie Overzicht van machtigingen in Microsoft 365 Lighthouse voor meer informatie over machtigingen die vereist zijn voor toegang tot Microsoft 365 Lighthouse.
| Bron | Momenteel ondersteund |
|---|---|
| Startpagina | is inbegrepen |
| Tenants | is inbegrepen |
| Gebruikers | is inbegrepen |
| Apparaten | is inbegrepen |
| Beveiligingsbeheer | is inbegrepen |
| Basislijnen | is inbegrepen |
| Windows 365 | is inbegrepen |
| Status van service | is inbegrepen |
| Auditlogboeken | is inbegrepen |
| Onboarding | Klanten moeten een GDAP- en indirecte resellerrelatie hebben, of een DAP-relatie om onboarding uit te voeren. |
Ondersteunde rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) zijn onder andere:
- Verificatiebeheerder
- Nalevingsbeheerder
- Beheerder voor voorwaardelijke toegang
- Cloudapparaatbeheerder
- Globale beheerder
- Algemene lezer
- Helpdeskbeheerder
- Intune-beheerder
- Wachtwoordbeheerder
- Bevoorrechte verificatiebeheerder
- Beveiligingsbeheer
- Beveiligingsoperator
- Beveiligingslezer
- Serviceondersteuningsbeheerder
- Gebruikersbeheerder
Windows 365
Voor Windows 365 worden de volgende taken ondersteund door GDAP.
| Bron | Momenteel ondersteund |
|---|---|
| Cloud-pc | Lijst met cloud-pc's, Get Cloud PC, Reprovision Cloud PC, End grace period, Reprovision Cloud PC remote action, Bulk reprovision Cloud PC remote action, Resize Cloud PC remote action, Get Cloud PC remote action results |
| Afbeelding van cloud-pc-apparaat | Apparaatinstallatiekopieën weergeven, Apparaatinstallatiekopieën ophalen, Apparaatinstallatiekopieën maken, Apparaatinstallatiekopieën verwijderen, Broninstallatiekopieën ophalen, Apparaatinstallatiekopieën opnieuw laden |
| On-premises netwerkverbinding voor cloud-pc's | On-premises verbinding weergeven, on-premises verbinding ophalen, on-premises verbinding maken, on-premises verbinding bijwerken, on-premises verbinding verwijderen, statuscontroles uitvoeren, WACHTWOORD van AD-domein bijwerken |
| Inrichtingsbeleid voor cloud-pc's | Inrichtingsbeleid weergeven, Inrichtingsbeleid ophalen, Inrichtingsbeleid maken, Inrichtingsbeleid bijwerken, Inrichtingsbeleid verwijderen, Inrichtingsbeleid toewijzen |
| Auditgebeurtenis voor cloud-pc's | Controlegebeurtenissen weergeven, Auditgebeurtenis ophalen, Controleactiviteitstypen ophalen |
| Gebruikersinstelling voor cloud-pc's | Gebruikersinstellingen weergeven, Gebruikersinstelling ophalen, Gebruikersinstelling maken, Gebruikersinstelling bijwerken, Gebruikersinstelling verwijderen, Toewijzen |
| Ondersteunde regio voor cloud-pc's | Ondersteunde regio's vermelden |
| Cloud PC-serviceabonnementen | Serviceplannen vermelden |
Ondersteunde Azure RBAC-rollen zijn onder andere:
- Hoofdbeheerder
- Intune-beheerder
- Beveiligingsbeheer
- Beveiligingsoperator
- Beveiligingslezer
- Algemene lezer
- (Bij verificatie) Windows 365-beheerder
Niet-ondersteunde resources voor preview:
- N.v.t.
Teams-beheercentrum
Voor het Teams-beheercentrum worden de volgende taken ondersteund door GDAP.
| Bron | Momenteel ondersteund |
|---|---|
| Gebruikers | Beleid toewijzen, spraakinstellingen, uitgaande oproepen, instellingen voor het ophalen van groepsgesprekken, instellingen voor oproepdelegering, telefoonnummers, instellingen voor vergaderen |
| Teams | Teams-beleid, Updatebeleid |
| Apparaten | IP-telefoons, Teams-ruimten, samenwerkingsbalken, Teams-schermen, Teams-paneel s |
| Locaties | Rapportagelabels, adressen voor noodgevallen, netwerktopologie, netwerken en locaties |
| Vergaderingen | Vergaderingsbruggen, vergaderbeleid, vergaderingsinstellingen, beleid voor livegebeurtenissen, instellingen voor livegebeurtenissen |
| Beleid voor berichten | Beleid voor berichten |
| Spraak | Noodbeleid, kiesplannen, spraakrouteringsplannen, oproepwachtrijen, Auto Attendants, Beleid voor oproeppark, Oproepbeleid, Beleid voor nummerweergave, Telefoonnummers, Directe routering |
| Analyse en rapporten | Gebruiksrapporten |
| Instellingen voor de hele organisatie | Externe toegang, Gasttoegang, Teams-instellingen, Teams-upgrade, Feestdagen, Resourceaccounts |
| Planning | Netwerkplanner |
| Teams PowerShell-module | Alle PowerShell-cmdlets uit de Teams PowerShell-module (beschikbaar via de Teams PowerShell-module - versie 3.2.0 Preview) |
Ondersteunde RBAC-rollen zijn onder andere:
- Teams-beheerder
- Globale beheerder
- Teams-communicatiebeheerder
- Ondersteuningstechnicus voor Teams-communicatie
- Ondersteuningsspecialist voor Teams-communicatie
- Teams-apparaatbeheerder
- Algemene lezer
Niet-ondersteunde resources voor GDAP-toegang zijn onder andere:
- Teams beheren
- Teamsjablonen
- Teams-apps
- Beleidspakketten
- Teams-adviseur
- Dashboard Gesprekskwaliteit
Microsoft Defender XDR
Microsoft Defender XDR is een geïntegreerde enterprise defense suite die vooraf en na inbreuk wordt geschonden. Het coördineert systeemeigen detectie, preventie, onderzoek en reactie op eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.
De Microsoft Defender-portal is ook de thuisbasis van andere producten in de Microsoft 365-beveiligingsstack, zoals Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365.
Documentatie over alle mogelijkheden en beveiligingsproducten is beschikbaar in de Microsoft Defender-portal:
Microsoft Defender voor Eindpunt:
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Eindpunt P1-mogelijkheden
- Microsoft Defender voor Bedrijven
Microsoft Defender voor Office 365:
- Exchange Online Protection (EOP)
- Microsoft Defender voor Office 365 abonnement 1
- Microsoft Defender voor Office 365 abonnement 2
App-beheer:
Hieronder vindt u mogelijkheden die beschikbaar zijn voor tenants die toegang hebben tot de Microsoft Defender-portal met behulp van een GDAP-token.
| Brontype | Momenteel ondersteund |
|---|---|
| Microsoft Defender XDR-functies | Alle Microsoft Defender XDR-functies (zoals vermeld in de bovenstaande documentatie): Incidenten, Geavanceerde opsporing, Actiecentrum, Bedreigingsanalyse, Verbinding van de volgende beveiligingsworkloads in Microsoft Defender XDR: Microsoft Defender voor Eindpunt, Microsoft Defender for Identity, Microsoft Defender voor Cloud-apps |
| Microsoft Defender voor Eindpunt functies | Alle Microsoft Defender voor Eindpunt functies die in de bovenstaande documentatie worden vermeld, zie de details per P1/SMB-SKU in de onderstaande tabel. |
| Microsoft Defender for Office 365 | Alle Microsoft Defender voor Office 365 functies die in de bovenstaande documentatie worden vermeld. Zie de details van elke licentie in deze tabel: Office 365 Security, inclusief Microsoft Defender voor Office 365 en Exchange Online Protection |
| App-governance | Verificatie werkt voor GDAP-token (App+User-token), autorisatiebeleid werkt volgens de gebruikersrollen zoals voorheen |
Ondersteunde Microsoft Entra-rollen in de Microsoft Defender-portal:
Documentatie over ondersteunde rollen in de Microsoft Defender-portal
Notitie
Niet alle rollen zijn van toepassing op alle beveiligingsproducten. Raadpleeg de productdocumentatie voor informatie over welke rollen worden ondersteund in een specifiek product.
Ondersteunde MDE-functies in de Microsoft Defender-portal per SKU
| Eindpuntmogelijkheden per SKU | Microsoft Defender voor Bedrijven | Microsoft Defender voor Eindpunt abonnement 1 | Microsoft Defender voor Eindpunt abonnement 2 |
|---|---|---|---|
| Gecentraliseerd beheer | X | X | X |
| Vereenvoudigde clientconfiguratie | X | ||
| Bedreigings- en beveiligingsmanagement | X | X | |
| Kwetsbaarheid voor aanvallen verminderen | X | X | X |
| Next-gen-beveiliging | X | X | X |
| Eindpuntdetectie en -respons | X | X | |
| Geautomatiseerd onderzoek en antwoord | X | X | |
| Opsporing van bedreigingen en gegevensretentie van zes maanden | X | ||
| Bedreigingsanalyse | X | X | |
| Platformoverschrijdende ondersteuning voor Windows, MacOS, iOS en Android | X | X | X |
| Microsoft Threat Experts | X | ||
| Partner-API's | X | X | X |
| Microsoft 365 Lighthouse voor het weergeven van beveiligingsincidenten voor klanten | X |
Power BI
Voor de Power BI-workload worden de volgende taken ondersteund door GDAP.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | - Alle menu-items onder 'Beheerportal' behalve 'Azure-verbindingen' |
Ondersteunde Microsoft Entra-rollen binnen het bereik:
- Infrastructuurbeheerder
- Globale beheerder
Power BI-eigenschappen vallen buiten het bereik:
- Niet alle niet-beheerderstaken werken gegarandeerd
- 'Azure-verbindingen' onder de beheerportal
SharePoint
Voor SharePoint worden de volgende taken ondersteund door GDAP.
| Brontype | Momenteel ondersteund |
|---|---|
| Startpagina | Kaarten worden weergegeven, maar gegevens worden mogelijk niet weergegeven |
| Sitesbeheer - Actieve sites | Sites maken: Teamsite, Communicatiesite, Site-eigenaar toewijzen/wijzigen, Vertrouwelijkheidslabel toewijzen aan site (indien geconfigureerd in Microsoft Entra-id) tijdens het maken van de site, Vertrouwelijkheidslabel van site wijzigen, Privacy-instellingen toewijzen aan site (indien niet vooraf gedefinieerd met een vertrouwelijkheidslabel), Leden toevoegen/verwijderen aan een site, Instellingen voor extern delen van site bewerken, Sitenaam bewerken, Site-URL bewerken, Siteactiviteit weergeven, opslaglimiet bewerken, een site verwijderen, ingebouwde weergaven van sites wijzigen, lijst met sites exporteren naar CSV-bestand, aangepaste weergaven van sites opslaan, site koppelen aan een hub, site registreren als hub |
| Sitesbeheer - Actieve sites | Andere sites maken: Documentcentrum, Ondernemingswiki, Publicatieportal, Inhoudscentrum |
| Sitesbeheer - Verwijderde sites | Site herstellen, site permanent verwijderen (met uitzondering van teamsites die zijn verbonden met Een Microsoft 365-groep) |
| Beleid - Delen | Beleid voor extern delen instellen voor SharePoint en OneDrive voor Bedrijven, 'Meer instellingen voor extern delen', beleid instellen voor koppelingen naar bestanden en mappen, 'Overige instellingen' voor delen wijzigen |
| Toegangsbeheer | Niet-beheerd apparaatbeleid instellen/wijzigen, tijdlijnbeleid voor inactieve sessies instellen/wijzigen, netwerklocatiebeleid instellen/wijzigen (gescheiden van Microsoft Entra IP-beleid, moderne verificatiebeleid instellen/wijzigen, OneDrive-toegang instellen/wijzigen |
| Instellingen | SharePoint - Startpagina, SharePoint - Meldingen, SharePoint - Pagina's, SharePoint - Site maken, SharePoint - Opslaglimieten voor sites, OneDrive - Meldingen, OneDrive - Retentie, OneDrive - Opslaglimiet, OneDrive - Synchronisatie |
| Powershell | Als u een klanttenant wilt verbinden als GDAP-beheerder, gebruikt u een tenant-autorisatie-eindpunt (met de tenant-id van de klant) in de AuthenticanUrl parameter in plaats van het standaardgemeenschappelijke eindpunt.Bijvoorbeeld: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize. |
Rollen binnen het bereik zijn onder andere:
- SharePoint-beheerder
- Globale beheerder
- Algemene lezer
Eigenschappen van het SharePoint-beheercentrum vallen onder het volgende:
- Alle klassieke beheerfuncties/functionaliteit/sjablonen vallen buiten het bereik en werken niet gegarandeerd correct
- Opmerking: voor alle ondersteunde GDAP-rollen in het SharePoint-beheercentrum kunnen partners geen bestanden en machtigingen bewerken voor bestanden en mappen op de SharePoint-site van de klant. Dit was een beveiligingsrisico voor klanten en is aangepakt.
Dynamics 365 en Power Platform
Voor Power-platform- en Dynamics 365 customer engagement-toepassingen (Sales, Service) worden de volgende taken ondersteund door GDAP.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | - Alle menu-items in het Power Platform-beheercentrum |
Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:
- Power Platform-beheerder
- Globale beheerder
- Helpdeskbeheerder (voor Help en ondersteuning)
- Serviceondersteuningsbeheerder (voor Help en ondersteuning)
Eigenschappen buiten het bereik:
- https://make.powerapps.com biedt geen ondersteuning voor GDAP.
Dynamics 365 Business Central
Voor Dynamics 365 Business Central worden de volgende taken ondersteund door GDAP.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | Alle taken* |
* Voor sommige taken zijn machtigingen vereist die zijn toegewezen aan de beheerder in de Dynamics 365 Business Central-omgeving. Raadpleeg de beschikbare documentatie.
Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:
- Dynamics 365-beheerder
- Globale beheerder
- Helpdeskbeheerder
Eigenschappen buiten het bereik:
- Geen
Dynamics Lifecycle Services
Voor Dynamics Lifecycle Services worden de volgende taken ondersteund door GDAP.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | Alle taken |
Ondersteunde Microsoft Entra-rollen binnen het bereik zijn onder andere:
- Dynamics 365-beheerder
- Globale beheerder
Eigenschappen buiten het bereik:
- Geen
Intune (Endpoint Manager)
Ondersteunde Microsoft Entra-rollen binnen het bereik:
- Intune-beheerder
- Globale beheerder
- Algemene lezer
- Rapportenlezer
- Beveiligingslezer
- Nalevingsbeheerder
- Beveiligingsbeheer
Raadpleeg de Intune RBAC-documentatie om het toegangsniveau voor de bovenstaande rollen te controleren.
Ondersteuning voor Intune omvat geen gebruik van GDAP bij het inschrijven van servers voor Microsoft Tunnel of voor het configureren of installeren van een van de connectors voor Intune. Voorbeelden van Intune-connectors zijn, maar zijn niet beperkt tot de Intune-connector voor Active Directory, Mobile Threat Defense-connector en de Microsoft Defender voor Eindpunt-connector.
Bekend probleem: partners die toegang hebben tot beleid in Office-apps, worden weergegeven: 'Kan geen gegevens ophalen voor OfficeSettingsContainer'. Gebruik guid om dit probleem aan Microsoft te melden.'
Azure Portal
Microsoft Entra-rollen binnen het bereik:
- Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar
Richtlijnen voor GDAP-rollen:
- Partner en klant moeten een resellerrelatie hebben
- De partner moet een beveiligingsgroep (bijvoorbeeld Azure-managers) maken voor het beheren van Azure en deze nesten onder Beheerdersagents voor partitionering per klant, zoals aanbevolen best practice.
- Wanneer partner een Azure-abonnement koopt voor de klant, wordt het Azure-abonnement ingericht en wordt de groep Beheerdersagenten toegewezen aan Azure RBAC als eigenaar van het Azure-abonnement
- Omdat de beveiligingsgroep van Azure Managers lid is van de groep Beheerdersagenten, worden gebruikers die lid zijn van Azure Managers de eigenaar van het Azure-abonnement RBAC
- Als u toegang wilt krijgen tot het Azure-abonnement als eigenaar voor de klant, moet elke Microsoft Entra-rol, zoals Directory Readers (minst bevoorrechte rol) worden toegewezen aan de Beveiligingsgroep van Azure Managers
Alternatieve Azure GDAP-richtlijnen (zonder beheerdersagent te gebruiken)
Vereisten:
- Partner en klant hebben een resellerrelatie .
- Partner heeft een beveiligingsgroep gemaakt voor het beheren van Azure en genest in de HelpDeskAgents-groep per klanttoegangspartitionering, zoals een aanbevolen best practice is.
- De partner heeft een Azure-abonnement voor de klant aangeschaft, het Azure-abonnement wordt ingericht en de partner heeft de groep Beheerdersagenten Azure RBAC toegewezen als eigenaar van het Azure-abonnement, maar er is geen RBAC-roltoewijzing gemaakt voor helpdeskagenten.
Stappen voor partnerbeheerders:
De partnerbeheerder in het abonnement voert de volgende scripts uit met behulp van PowerShell om helpdesk-FPO te maken in het Azure-abonnement.
Maak verbinding met de partnertenant om de
object IDHelpDeskAgents-groep op te halen.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgentsZorg ervoor dat uw klant over volgende beschikt:
- De rol van eigenaar of beheerder van gebruikerstoegang
- Machtigingen voor het maken van roltoewijzingen op abonnementsniveau
Stappen van de klant:
Om het proces te voltooien, moet uw klant de volgende stappen uitvoeren met behulp van PowerShell of Azure CLI.
Als u PowerShell gebruikt, moet de klant de
Az.Resourcesmodule bijwerken.Update-Module Az.ResourcesMaak verbinding met de tenant waarin het CSP-abonnement bestaat.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Maak verbinding met het abonnement.
Notitie
Dit is alleen van toepassing als de gebruiker machtigingen voor roltoewijzing heeft voor meerdere abonnementen in de tenant.
Set-AzContext -SubscriptionID <"CSP Subscription ID">az account set --subscription <CSP Subscription ID>De roltoewijzing maken.
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
Microsoft Entra-rollen binnen het bereik:
- Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar
GDAP-rolrichtlijnen voor partners:
- Voorwaarden:
- Partner en klant moeten een resellerrelatie hebben
- Partner moet Een Azure-abonnement aanschaffen voor de klant
- De partner moet een beveiligingsgroep maken (bijvoorbeeld Visual Studio-managers) voor het aanschaffen en beheren van Visual Studio-abonnementen en deze nesten onder Beheerdersagents voor partitionering per klant, zoals aanbevolen best practice.
- De rol GDAP voor het aanschaffen en beheren van Visual Studio is hetzelfde als Azure GDAP.
- Visual Studio Managers Security Group moet een Microsoft Entra-rol, zoals Directory Readers (minst bevoegde rol) toegewezen krijgen voor toegang tot het Azure-abonnement als eigenaar
- Gebruikers die deel uitmaken van De Beveiligingsgroep van Visual Studio kunnen een Visual Studio-abonnement aanschaffen op Marketplace https://marketplace.visualstudio.com (vanwege geneste leden van beheerdersagents hebben toegang tot het Azure-abonnement)
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het aantal Visual Studio-abonnementen wijzigen
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het Visual Studio-abonnement annuleren (door het aantal te wijzigen in nul)
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers, kunnen abonnee toevoegen om Visual Studio-abonnementen te beheren (bijvoorbeeld door de directory van de klant bladeren en roltoewijzing van Visual Studio toevoegen als abonnee)
Visual Studio-eigenschappen vallen buiten het bereik:
- Geen
Waarom zie ik geen DAP AOBO-koppelingen op de pagina GDAP-servicebeheer?
| DAP AOBO-koppelingen | Reden waarom deze ontbreekt op de pagina GDAP-servicebeheer |
|---|---|
| Microsoft 365 Planner https://portal.office.com/ |
Dit is een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Zwaaien https://portal.office.com/ |
Dit is een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Windows 10 https://portal.office.com/ |
Dit is een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Cloud App Security https://portal.cloudappsecurity.com/ |
Microsoft Defender voor Cloud-apps worden buiten gebruik gesteld. Deze portal wordt samengevoegd met Microsoft Defender XDR, die GDAP ondersteunt. |
| Azure IoT Central https://apps.azureiotcentral.com/ |
Momenteel niet ondersteund. Buiten het bereik voor GDAP. |
| Windows Defender Advanced Threat Protection https://securitycenter.windows.com |
Windows Defender Advanced Threat Protection wordt buiten gebruik gesteld. Partners wordt aangeraden over te stappen op Microsoft Defender XDR, die GDAP ondersteunt. |