Wskazówki dotyczące roli GDAP
Odpowiednie role: Agent administracyjny
Ten artykuł zawiera wskazówki dotyczące tego, która wbudowana rola firmy Microsoft Entra jest najmniej uprzywilejowana, może być używana dla każdego szczegółowego delegowanego uprawnienia administratora (GDAP). Na przykład w celu przesłania wniosków o pomoc techniczną w imieniu klienta wymagana jest rola administratora pomocy technicznej usługi, która jest najmniej uprzywilejowaną rolą wbudowaną firmy Microsoft Entra w dzierżawie klienta.
Tworzenie żądań pomocy technicznej
Odsprzedawcy pośredni nie mogą tworzyć żądań pomocy technicznej dla platformy Azure. Zamiast tego muszą współpracować ze swoimi dostawcami pośrednimi.
| Aby utworzyć wniosek o pomoc techniczną dla: | Partnerzy rozliczani bezpośrednio i dostawcy pośredni muszą mieć następującą najmniej uprzywilejowaną rolę: |
|---|---|
| Platforma Microsoft 365 w Centrum administracyjne platformy Microsoft 365 | Przypisanie roli GDAP do roli, która ma uprawnienia Microsoft.office365.supportTickets/allEntities/allTasks , takie jak administrator pomocy technicznej usługi |
| Dynamics 365 w Centrum administracyjnym platformy Power | Przypisanie roli GDAP do roli, która ma uprawnienia Microsoft.office365.supportTickets/allEntities/allTasks , takie jak administrator pomocy technicznej usługi |
| Zasób subskrypcji platformy Azure w witrynie Azure Portal | Wymaganie wstępne: Aby utworzyć żądania w imieniu klientów przy użyciu subskrypcji platformy Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem zgodnie z opisem w artykule Autoryzacja regionalna dostawcy usług w chmurze. Aby uzyskać więcej informacji, zobacz Kroki konfigurowania usługi Azure GDAP. Każde przypisanie GDAP do roli Firmy Microsoft Entra, takiej jak czytelnicy katalogu, -I- Przypisanie roli kontroli dostępu opartej na rolach (RBAC) platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write , takimi jak współautor wniosku o pomoc techniczną |
| Identyfikator entra firmy Microsoft w witrynie Azure Portal | Alternatywna 1: jeśli klient nie ma identyfikatora Microsoft Entra ID P1 lub P2 Wymagania wstępne: aby utworzyć żądania w imieniu klientów przy użyciu subskrypcji platformy Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem na regionalną autoryzację dostawcy usług w chmurze. Aby uzyskać więcej informacji, zobacz Kroki konfigurowania usługi Azure GDAP. Każde przypisanie GDAP do roli Firmy Microsoft Entra, takiej jak czytelnicy katalogu, -I- Przypisanie roli RBAC platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write, takimi jak Współautor żądania pomocy technicznej Alternatywa 2: jeśli klient ma identyfikator Microsoft Entra ID P1 lub P2 Dowolne przypisanie GDAP do roli Entra firmy Microsoft, która ma: microsoft.azure.supportTickets/allEntities/allTasks uprawnienia, takie jak administrator pomocy technicznej usługi |
Role GDAP według typów partnerów
Dostawcy pośredni
Następujące role są zalecane w przypadku dostawców pośrednich do transakcji i zarządzania nimi:
- Tworzenie nowej dzierżawy klienta
- Konfiguracja relacji odsprzedawcy
- Zakup
- Zarządzanie subskrypcjami
- Uaktualnienia
- Konwersje
- Tworzenie użytkownika klienta i przypisywanie licencji
- Żądania obsługi klienta (żądania tworzenia w imieniu klienta)
| Rola | Opis |
|---|---|
| Role czytelnika: | |
| Czytelnicy katalogów | Może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości |
| Autorzy katalogów | Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników. |
| Czytelnik globalny | Może odczytać wszystko, co może administrator globalny, ale nie może zaktualizować niczego |
| Zarządzanie użytkownikami i zarządzanie licencjami: | |
| Administrator użytkowników | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów |
| Administrator licencji | Może zarządzać licencjami produktów dla użytkowników i grup |
| Administrator pomocy technicznej usługi | Może odczytywać informacje o kondycji usługi i zarządzać żądaniami pomocy technicznej |
| Pomoc techniczna: | |
| Administrator pomocy technicznej | Może resetować hasła dla administratorów niebędących administratorami i administratorami pomocy technicznej |
Partnerzy rozliczani bezpośrednio, odsprzedawcy pośredni i doradcy
Poniższe role są zalecane dla odsprzedawców pośrednich, doradców i partnerów rozliczanych bezpośrednio, którzy również odgrywają rolę msp. Wszyscy są sklasyfikowani jako wyspecjalizowani dostawcy usług zarządzanych (MSP), którzy całkowicie zarządzają środowiskiem klienta jako zlecił dział IT. Ta sekcja jest kategoryzowana rolami wymaganymi przez zadania i funkcje.
Typowe zadania technika warstwy 1 w usługach zarządzanych
| Rola | Zadanie podrzędne | Funkcja |
|---|---|---|
| Administrator pomocy technicznej usługi | Prześlij żądania pomocy technicznej w imieniu klienta. | Dział pomocy technicznej tworzy żądania pomocy technicznej i zarządza nimi. |
| Czytelnik zabezpieczeń | Wyświetlanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365. | Dział pomocy technicznej zbiera odnajdywanie w dzierżawie klienta w celu rozwiązywania problemów lub aktualizowania zasad portalu zabezpieczeń i zgodności, takich jak zasady ochrony przed utratą danych. |
| Administrator usługi Intune | Może zarządzać wszystkimi aspektami produktu Intune. | Dział pomocy technicznej obsługuje rejestrację urządzeń klientów i rozwiązywanie problemów. |
| Administrator programu SharePoint | Może zarządzać wszystkimi aspektami usługi SharePoint. | Dział pomocy technicznej zarządza uprawnieniami witryny programu SharePoint. |
| Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams | Może zarządzać usługą Microsoft Teams. | Dział pomocy technicznej rozwiązuje problemy z jakością połączeń. |
| Administrator pomocy technicznej | Może resetować hasła dla administratorów innych niż administratorzy i tych administratorów: Czytelnik katalogu Osoby zapraszające gości Administrator Centrum wiadomości Centrum wiadomości Czytelnik czytelnika raportów administratora haseł. | Dział pomocy technicznej resetuje hasła. |
| Administrator usługi Desktop Analytics | Może uzyskiwać dostęp do narzędzi i usług zarządzania pulpitami oraz zarządzać nimi. | Dział pomocy technicznej może zarządzać usługą analizy pulpitu, wyświetlając spis zasobów i odczytując standardowe właściwości zasad autoryzacji. |
| Administrator uwierzytelniania | Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem. | Dział pomocy technicznej może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem (na przykład uwierzytelniania wieloskładnikowego i dostępu warunkowego). |
| Administrator programu Exchange | Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna. Ponadto umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie żądaniami pomocy technicznej i monitorowanie kondycji usługi; może wysyłać skrzynki odbiorcze OBO i zarządzać nimi. | Dział pomocy technicznej zarządza udostępnionymi skrzynkami pocztowymi, pomaga rozwiązywać problemy z limitami przydziału skrzynek pocztowych oraz tworzy reguły transportu i zarządza nimi. |
| Administrator licencji | Może przypisywać, usuwać i aktualizować przypisania licencji. | Podczas rozwiązywania problemów dział pomocy technicznej ocenia i koryguje, czy występuje problem z licencjonowaniem z żądaniem pomocy technicznej. |
| Administrator użytkowników | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów; może zablokować logowanie użytkownika. | Dział pomocy technicznej zarządza wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów i blokowaniem dostępu byłego pracownika klienta do usług Platformy Microsoft 365. |
| Administrator grup | Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć i zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania oraz wyświetlać raporty dotyczące działań i inspekcji grup. | Dział pomocy technicznej dodaje właścicieli do grup i dodaje członków do grup. |
| Czytelnik katalogów | Użytkownicy tej roli mogą odczytywać podstawowe informacje o katalogu. | Dział pomocy technicznej może odczytywać podstawowe informacje o katalogu w ramach rozwiązywania problemów. |
| Czytelnik Centrum wiadomości | Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w Centrum wiadomości usługi Office 365. | Dział pomocy technicznej odczytuje Centrum wiadomości, aby rozwiązać problemy z pomocą techniczną. |
| Administracja drukarką | Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia łącznika universal print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administratorzy drukarek mają również dostęp do drukowania raportów. | Dział pomocy technicznej zarządza konfiguracjami drukarek i rozwiązuje problemy z drukarką. |
| Osoba zapraszająca gości | Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkowników-gości firmy Microsoft Entra B2B. | Dział pomocy technicznej może zapraszać użytkowników-gości niezależnie od ustawienia Członkowie mogą zapraszać gości . |
Rola o najniższych uprawnieniach według zadania
W poniższej tabeli przedstawiono zadania w ramach każdej funkcji GDAP wraz z najmniej uprzywilejowaną rolą wymaganą do wykonania każdego zadania.
| Możliwość GDAP | Zadanie | Rola z najniższymi uprawnieniami |
|---|---|---|
| Pomoc techniczna | Przesyłanie biletu pomocy technicznej | Administrator pomocy technicznej usługi |
| Użytkownicy | Dodawanie użytkownika do roli katalogu | Administrator ról uprzywilejowanych |
| Dodawanie użytkownika do grupy | Administrator użytkowników | |
| Przypisywanie licencji | Administrator licencji | |
| Tworzenie użytkownika-gościa | Osoba zapraszana gościa | |
| Resetowanie zaproszenia użytkownika-gościa | Administrator użytkowników | |
| Utwórz użytkownika | Administrator użytkowników | |
| Usuwanie użytkownika | Administrator użytkowników | |
| Unieważnianie tokenów odświeżania ograniczonego administratora | Administrator użytkowników | |
| Unieważnianie tokenów odświeżania nieadmin | Administrator haseł | |
| Unieważnianie tokenów odświeżania uprzywilejowanego administratora | Administrator uwierzytelniania uprzywilejowanego | |
| Przeczytaj podstawową konfigurację | Domyślna rola użytkownika | |
| Resetowanie hasła dla ograniczonego administratora | Administrator użytkowników | |
| Resetowanie hasła dla użytkownika niebędącego administratorem | Administrator haseł | |
| Resetowanie hasła dla administratora uprzywilejowanego | Administrator uwierzytelniania uprzywilejowanego | |
| Odwoływanie licencji | Administrator licencji | |
| Aktualizowanie wszystkich właściwości z wyjątkiem głównej nazwy użytkownika | Administrator użytkowników | |
| Aktualizowanie głównej nazwy użytkownika dla ograniczonego administratora | Administrator użytkowników | |
| Aktualizowanie głównej nazwy użytkownika dla administratora uprzywilejowanego | Globalny administrator | |
| Aktualizowanie ustawień użytkownika | Globalny administrator | |
| Aktualizowanie metod uwierzytelniania | Administrator uwierzytelniania | |
| Grupy | Przypisywanie licencji | Administrator użytkowników |
| Utwórz grupę | Administrator grup | |
| Tworzenie, aktualizowanie lub usuwanie przeglądu dostępu grupy lub aplikacji | Administrator użytkowników | |
| Zarządzanie wygaśnięciem grupy | Administrator użytkowników | |
| Zarządzanie ustawieniami grup | Administrator grup | |
| Odczytywanie całej konfiguracji (z wyjątkiem ukrytego członkostwa) | Czytelnicy katalogów | |
| Odczytywanie ukrytego członkostwa | Członek grupy | |
| Odczytywanie członkostwa w grupach z ukrytym członkostwem | Administrator pomocy technicznej | |
| Odwoływanie licencji | Administrator licencji | |
| Aktualizowanie członkostwa w grupie | Właściciel grupy | |
| Aktualizowanie właścicieli grup | Właściciel grupy | |
| Aktualizowanie właściwości grupy | Właściciel grupy | |
| Usuwanie grupy | Administrator grup | |
| Licencje | Przypisywanie licencji | Administrator licencji |
| Odczytywanie całej konfiguracji | Czytelnicy katalogów | |
| Odwoływanie licencji | Administrator licencji |