Konfigurowanie protokołu GDAP dla klientów w usłudze Microsoft 365 Lighthouse
Teraz możesz skonfigurować wszystkich klientów ze szczegółowymi uprawnieniami administratora delegowanymi (GDAP) za pośrednictwem usługi Microsoft 365 Lighthouse, niezależnie od ich licencji lub rozmiaru. Konfigurując organizację przy użyciu protokołu GDAP dla zarządzanych dzierżaw klientów, użytkownicy w organizacji mają uprawnienia niezbędne do wykonywania swojej pracy przy jednoczesnym zachowaniu bezpieczeństwa dzierżaw klientów. Usługa Lighthouse umożliwia szybkie przejście organizacji do protokołu GDAP i rozpoczęcie podróży do najniższych uprawnień dla delegowanego dostępu do klientów.
Delegowany dostęp za pośrednictwem delegowanych uprawnień administratora (DAP) lub GDAP jest warunkiem wstępnym pełnego dołączania dzierżaw klientów do usługi Lighthouse. W związku z tym tworzenie relacji GDAP z klientami może być pierwszym krokiem w zarządzaniu dzierżawami klientów w aplikacji Lighthouse.
Podczas procesu konfiguracji protokołu GDAP tworzysz szablony GDAP, konfigurując, jakie role pomocy technicznej i grupy zabezpieczeń są potrzebne w organizacji. Następnie należy przypisać dzierżawy klientów do szablonów GDAP. Role GDAP są ograniczone do wbudowanych ról usługi Microsoft Entra, a podczas konfigurowania protokołu GDAP są wyświetlane zalecenia dotyczące zestawu ról wymaganych dla różnych funkcji zadań.
Obejrzyj: Konfigurowanie protokołu GDAP
Zapoznaj się z innymi filmami dotyczącymi usługi Microsoft 365 Lighthouse na naszym kanale YouTube.
Przed rozpoczęciem
Musisz mieć określone uprawnienia w dzierżawie partnera:
Aby ustanowić grupy zabezpieczeń GDAP, dodać użytkowników i utworzyć szablony GDAP, musisz być administratorem globalnym w dzierżawie partnera. Tę rolę można przypisać w usłudze Microsoft Entra ID.
Aby utworzyć i ukończyć relacje GDAP, musisz być członkiem grupy Agenci administracyjni w Centrum partnerskim.
Klienci, którymi zarządzasz w aplikacji Lighthouse, muszą być skonfigurowani w Centrum partnerskim z relacją odsprzedawcy lub istniejącą relacją delegowaną (DAP lub GDAP).
Uwaga
Szablony GDAP usługi Lighthouse używają grup zabezpieczeń z możliwością przypisywania ról. Aby dodać użytkowników do tych grup, wymagana jest licencja P1 o identyfikatorze Microsoft Entra. Aby włączyć role just in time (JIT), wymagane jest zapewnienie ładu środowiska IDE w usłudze Microsoft Entra lub licencja Microsoft Entra ID P2.
Konfigurowanie protokołu GDAP po raz pierwszy
Po skonfigurowaniu protokołu GDAP po raz pierwszy należy wykonać poniższe sekcje w kolejności. Po zakończeniu możesz wrócić i edytować dowolną sekcję w razie potrzeby.
Jeśli podczas konfigurowania protokołu GDAP wystąpią jakiekolwiek problemy, zobacz Rozwiązywanie problemów i komunikatów o błędach w usłudze Microsoft 365 Lighthouse: GDAP setup and management (Rozwiązywanie problemów z komunikatami o błędach i problemami w usłudze Microsoft 365 Lighthouse: GDAP setup and management ), aby uzyskać wskazówki.
Aby rozpocząć:
W okienku nawigacji po lewej stronie w aplikacji Lighthouse wybierz pozycję Strona główna.
Na karcie Konfigurowanie protokołu GDAP wybierz pozycję Skonfiguruj protokół GDAP.
Wykonaj poniższe sekcje w kolejności.
Krok 1. Role i uprawnienia
Wybierz wymagane role usługi Microsoft Entra na podstawie funkcji zadań pracowników.
Na stronie Role i uprawnienia wybierz wymagane role usługi Microsoft Entra na podstawie funkcji zadań pracowników. Wykonaj jeden z następujących kroków:
- Wdrażanie zalecanych ról
- Edytowanie wyborów ról w usłudze Microsoft Entra
Domyślnie usługa Lighthouse obejmuje pięć ról pomocy technicznej: Menedżera konta, agenta usługi Service Desk, specjalistę, inżyniera eskalacji i agenta JIT. Możesz zmienić nazwę ról pomocy technicznej w celu dopasowania ich do preferencji organizacji, wybierając pozycję Edytuj role pomocy technicznej. Niektórych ról usługi Microsoft Entra nie można dodać do różnych ról pomocy technicznej — na przykład ról usługi Microsoft Entra w roli pomocy technicznej agenta JIT nie można dodać do żadnej innej roli pomocy technicznej.
Jeśli nie wszystkie role pomocy technicznej są potrzebne do konfiguracji protokołu GDAP, możesz wykluczyć co najmniej jeden z szablonów GDAP w następnym kroku.
Wybierz pozycję Dalej.
Wybierz pozycję Zapisz i zamknij , aby zapisać ustawienia i zakończyć instalację GDAP.
Krok 2. Szablony GDAP
Szablon GDAP to kolekcja:
- Role pomocy technicznej
- Grupy zabezpieczeń
- Użytkownicy w każdej grupie zabezpieczeń
Aby utworzyć szablon GDAP:
Na stronie Szablony GDAP wybierz pozycję Utwórz szablon.
W okienku szablonu wprowadź nazwę szablonu i opis w odpowiednich polach.
Wybierz jedną lub więcej ról pomocy technicznej z listy.
Wybierz Zapisz.
Wybierz pozycję Dalej.
Wybierz pozycję Zapisz i zamknij , aby zapisać ustawienia i zakończyć instalację GDAP.
Krok 3. Grupy zabezpieczeń
Dla każdego szablonu potrzebna jest co najmniej jedna grupa zabezpieczeń na rolę pomocy technicznej. W przypadku pierwszego szablonu utworzysz nową grupę zabezpieczeń, ale w przypadku kolejnych szablonów w razie potrzeby możesz ponownie użyć grup.
Na stronie Grupy zabezpieczeń wybierz pozycję Utwórz grupę zabezpieczeń.
W okienku grupy zabezpieczeń wprowadź nazwę i opis.
Wybierz pozycję Dodaj użytkowników.
Z listy Dodawanie użytkowników wybierz użytkowników, których chcesz uwzględnić w tej grupie zabezpieczeń.
Wybierz Zapisz.
Ponownie wybierz pozycję Zapisz .
Wybierz pozycję Dalej.
Wybierz pozycję Zapisz i zamknij , aby zapisać ustawienia i zakończyć instalację GDAP.
Użytkownicy grupy zabezpieczeń agenta JIT są uprawnieni do żądania dostępu do ról GDAP o wysokim poziomie uprawnień; nie mają do nich dostępu automatycznie. W ramach konfiguracji protokołu GDAP wybierz grupę zabezpieczeń osoby zatwierdzającą JIT z dzierżawy, aby zatwierdzić żądania dostępu od agentów JIT.
Grupa zabezpieczeń osoby zatwierdzająca JIT musi mieć możliwość przypisywania ról. Jeśli w instalatorze GDAP nie widzisz grupy zabezpieczeń, upewnij się, że grupa zabezpieczeń ma możliwość przypisywania ról. Aby uzyskać więcej informacji na temat zarządzania przypisaniami ról, zobacz Zarządzanie przypisaniami ról przy użyciu grup Microsoft Entra.
Po zakończeniu konfiguracji protokołu GDAP są tworzone zasady dostępu JIT dla agentów JIT w celu żądania dostępu. Zasady utworzone w portalu zarządzania identyfikatorem Entra firmy Microsoft można przejrzeć, a agenci JIT mogą żądać dostępu do swoich ról w portalu Mój dostęp. Aby uzyskać więcej informacji na temat sposobu żądania dostępu przez agentów JIT, zobacz Zarządzanie dostępem do zasobów. Aby uzyskać więcej informacji na temat sposobu zatwierdzania żądań przez osoby zatwierdzające, zobacz Zatwierdzanie lub odrzucanie żądania.
Krok 4. Przypisania dzierżawy
Przypisz grupy klientów do każdego szablonu. Każdy klient może zostać przypisany tylko do jednego szablonu. Po wybraniu tej dzierżawy klienta nie będzie wyświetlana jako opcja w kolejnych szablonach. Po ponownym uruchomieniu instalatora GDAP przydziały dzierżawy na szablon GDAP zostaną zapisane.
Aby dodać nowe dzierżawy do szablonu GDAP, uruchom ponownie instalatorA GDAP. Zachowaj zapisane przypisania dzierżawy i wybierz nowe dzierżawy do przypisania do szablonu GDAP. Nowe relacje GDAP zostaną utworzone tylko dla nowo przypisanych dzierżaw.
Aby usunąć dzierżawy z szablonu GDAP, uruchom ponownie instalatorA GDAP. Usuń przypisanie dzierżawy. Usunięcie przypisania dzierżawy nie spowoduje usunięcia relacji GDAP utworzonej z poprzedniego przypisania, ale umożliwia ponowne przypisanie dzierżawy klienta do innego szablonu GDAP w razie potrzeby.
Przed wybraniem pozycji Dalej upewnij się, że wszystkie dzierżawy, które mają zostać przypisane do szablonu GDAP, są zaznaczone. Listę dzierżaw można filtrować przy użyciu pola wyszukiwania w prawym górnym rogu.
Na stronie Przypisania dzierżawy wybierz dzierżawy, które chcesz przypisać do utworzonego szablonu GDAP.
Wybierz pozycję Dalej , aby przejść do następnej sekcji lub wybierz pozycję Zapisz i zamknij , aby zapisać ustawienia i zakończyć instalację GDAP.
Krok 5. Przegląd i zakończenie
Na stronie Przeglądanie ustawień przejrzyj utworzone ustawienia, aby potwierdzić, że są poprawne.
Wybierz Zakończ.
Zastosowanie ustawień skonfigurowanych do zastosowania może potrwać minutę lub dwie. Jeśli chcesz odświeżyć dane, postępuj zgodnie z monitami. Instalacja będzie niekompletna w przypadku zakończenia instalacji protokołu GDAP bez wybierania opcji Zakończ.
Uwaga
W przypadku klientów z istniejącą relacją dap te ustawienia są stosowane automatycznie. Klienci ze stanem Aktywny na ostatniej stronie instalatora GDAP są przypisywani do ról i grup zabezpieczeń zgodnie z definicją w szablonie GDAP.
Uwaga
W przypadku klientów bez istniejącej relacji dap dla każdego klienta na ostatniej stronie instalatora GDAP jest generowany link żądania relacji administratora. W tym miejscu możesz wysłać link do administratora globalnego klienta, aby mógł zatwierdzić relację administratora. Po zatwierdzeniu relacji zostaną zastosowane ustawienia szablonu GDAP. Może upłynąć do godziny po zatwierdzeniu relacji, aby zmiany pojawiły się w lighthouse.
Po zakończeniu konfigurowania protokołu GDAP możesz przejść do różnych kroków, aby zaktualizować lub zmienić role, grupy zabezpieczeń lub szablony. Relacje GDAP są teraz widoczne w Centrum partnerskim, a grupy zabezpieczeń są teraz widoczne w identyfikatorze Microsoft Entra.
Zawartość pokrewna
Omówienie uprawnień (artykuł)
Rozwiązywanie problemów i komunikatów o błędach (artykuł)
Konfigurowanie zabezpieczeń portalu (artykuł)
Wprowadzenie do szczegółowych uprawnień administratora delegowanego (GDAP) ( artykuł)
Wbudowane role w usłudze Microsoft Entra (artykuł)
Dowiedz się więcej o grupach i prawach dostępu w usłudze Microsoft Entra ID (artykuł)
Co to jest zarządzanie uprawnieniami w usłudze Microsoft Entra? (artykuł)
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla