Udostępnij za pośrednictwem


Wskazówki dotyczące roli GDAP

Odpowiednie role: Agent administracyjny

Ten artykuł zawiera wskazówki dotyczące tego, która wbudowana rola firmy Microsoft Entra jest najmniej uprzywilejowana, może być używana dla każdego szczegółowego delegowanego uprawnienia administratora (GDAP). Na przykład w celu przesłania wniosków o pomoc techniczną w imieniu klienta wymagana jest rola administratora pomocy technicznej usługi, która jest najmniej uprzywilejowaną rolą wbudowaną firmy Microsoft Entra w dzierżawie klienta.

Tworzenie żądań pomocy technicznej

Odsprzedawcy pośredni nie mogą tworzyć żądań pomocy technicznej dla platformy Azure. Zamiast tego muszą współpracować ze swoimi dostawcami pośrednimi.

Aby utworzyć wniosek o pomoc techniczną dla: Partnerzy rozliczani bezpośrednio i dostawcy pośredni muszą mieć następującą najmniej uprzywilejowaną rolę:
Platforma Microsoft 365 w Centrum administracyjne platformy Microsoft 365 Przypisanie roli GDAP do roli, która ma uprawnienia Microsoft.office365.supportTickets/allEntities/allTasks , takie jak administrator pomocy technicznej usługi
Dynamics 365 w Centrum administracyjnym platformy Power Przypisanie roli GDAP do roli, która ma uprawnienia Microsoft.office365.supportTickets/allEntities/allTasks , takie jak administrator pomocy technicznej usługi
Zasób subskrypcji platformy Azure w witrynie Azure Portal Wymaganie wstępne: Aby utworzyć żądania w imieniu klientów przy użyciu subskrypcji platformy Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem zgodnie z opisem w artykule Autoryzacja regionalna dostawcy usług w chmurze. Aby uzyskać więcej informacji, zobacz Kroki konfigurowania usługi Azure GDAP.

Każde przypisanie GDAP do roli Firmy Microsoft Entra, takiej jak czytelnicy katalogu,

-I-

Przypisanie roli kontroli dostępu opartej na rolach (RBAC) platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write , takimi jak współautor wniosku o pomoc techniczną
Identyfikator entra firmy Microsoft w witrynie Azure Portal Alternatywna 1: jeśli klient nie ma identyfikatora Microsoft Entra ID P1 lub P2

Wymagania wstępne
: aby utworzyć żądania w imieniu klientów przy użyciu subskrypcji platformy Azure klienta, partnerzy muszą mieć relację odsprzedawcy z klientem na regionalną autoryzację dostawcy usług w chmurze. Aby uzyskać więcej informacji, zobacz Kroki konfigurowania usługi Azure GDAP.

Każde przypisanie GDAP do roli Firmy Microsoft Entra, takiej jak czytelnicy katalogu,

-I-

Przypisanie roli RBAC platformy Azure do roli z uprawnieniami Microsoft.Support/supportTickets/write, takimi jak Współautor

żądania pomocy technicznej Alternatywa 2: jeśli klient ma identyfikator Microsoft Entra ID P1 lub P2 Dowolne przypisanie GDAP do roli Entra firmy Microsoft, która ma: microsoft.azure.supportTickets/allEntities/allTasks uprawnienia, takie jak administrator pomocy technicznej usługi

Role GDAP według typów partnerów

Dostawcy pośredni

Następujące role są zalecane w przypadku dostawców pośrednich do transakcji i zarządzania nimi:

  • Tworzenie nowej dzierżawy klienta
  • Konfiguracja relacji odsprzedawcy
  • Zakup
  • Zarządzanie subskrypcjami
  • Uaktualnienia
  • Konwersje
  • Tworzenie użytkownika klienta i przypisywanie licencji
  • Żądania obsługi klienta (żądania tworzenia w imieniu klienta)
Rola Opis
Role czytelnika:
Czytelnicy katalogów Może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości
Autorzy katalogów Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników.
Czytelnik globalny Może odczytać wszystko, co może administrator globalny, ale nie może zaktualizować niczego
Zarządzanie użytkownikami i zarządzanie licencjami:
Administrator użytkowników Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów
Administrator licencji Może zarządzać licencjami produktów dla użytkowników i grup
Administrator pomocy technicznej usługi Może odczytywać informacje o kondycji usługi i zarządzać żądaniami pomocy technicznej
Pomoc techniczna:
Administrator pomocy technicznej Może resetować hasła dla administratorów niebędących administratorami i administratorami pomocy technicznej

Partnerzy rozliczani bezpośrednio, odsprzedawcy pośredni i doradcy

Poniższe role są zalecane dla odsprzedawców pośrednich, doradców i partnerów rozliczanych bezpośrednio, którzy również odgrywają rolę msp. Wszyscy są sklasyfikowani jako wyspecjalizowani dostawcy usług zarządzanych (MSP), którzy całkowicie zarządzają środowiskiem klienta jako zlecił dział IT. Ta sekcja jest kategoryzowana rolami wymaganymi przez zadania i funkcje.

Typowe zadania technika warstwy 1 w usługach zarządzanych

Rola Zadanie podrzędne Funkcja
Administrator pomocy technicznej usługi Prześlij żądania pomocy technicznej w imieniu klienta. Dział pomocy technicznej tworzy żądania pomocy technicznej i zarządza nimi.
Czytelnik zabezpieczeń Wyświetlanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365. Dział pomocy technicznej zbiera odnajdywanie w dzierżawie klienta w celu rozwiązywania problemów lub aktualizowania zasad portalu zabezpieczeń i zgodności, takich jak zasady ochrony przed utratą danych.
Administrator usługi Intune Może zarządzać wszystkimi aspektami produktu Intune. Dział pomocy technicznej obsługuje rejestrację urządzeń klientów i rozwiązywanie problemów.
Administrator programu SharePoint Może zarządzać wszystkimi aspektami usługi SharePoint. Dział pomocy technicznej zarządza uprawnieniami witryny programu SharePoint.
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams Może zarządzać usługą Microsoft Teams. Dział pomocy technicznej rozwiązuje problemy z jakością połączeń.
Administrator pomocy technicznej Może resetować hasła dla administratorów innych niż administratorzy i tych administratorów: Czytelnik katalogu Osoby zapraszające gości Administrator Centrum wiadomości Centrum wiadomości Czytelnik czytelnika raportów administratora haseł. Dział pomocy technicznej resetuje hasła.
Administrator usługi Desktop Analytics Może uzyskiwać dostęp do narzędzi i usług zarządzania pulpitami oraz zarządzać nimi. Dział pomocy technicznej może zarządzać usługą analizy pulpitu, wyświetlając spis zasobów i odczytując standardowe właściwości zasad autoryzacji.
Administrator uwierzytelniania Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem. Dział pomocy technicznej może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem (na przykład uwierzytelniania wieloskładnikowego i dostępu warunkowego).
Administrator programu Exchange Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna. Ponadto umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie żądaniami pomocy technicznej i monitorowanie kondycji usługi; może wysyłać skrzynki odbiorcze OBO i zarządzać nimi. Dział pomocy technicznej zarządza udostępnionymi skrzynkami pocztowymi, pomaga rozwiązywać problemy z limitami przydziału skrzynek pocztowych oraz tworzy reguły transportu i zarządza nimi.
Administrator licencji Może przypisywać, usuwać i aktualizować przypisania licencji. Podczas rozwiązywania problemów dział pomocy technicznej ocenia i koryguje, czy występuje problem z licencjonowaniem z żądaniem pomocy technicznej.
Administrator użytkowników Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów; może zablokować logowanie użytkownika. Dział pomocy technicznej zarządza wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów i blokowaniem dostępu byłego pracownika klienta do usług Platformy Microsoft 365.
Administrator grup Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć i zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania oraz wyświetlać raporty dotyczące działań i inspekcji grup. Dział pomocy technicznej dodaje właścicieli do grup i dodaje członków do grup.
Czytelnik katalogów Użytkownicy tej roli mogą odczytywać podstawowe informacje o katalogu. Dział pomocy technicznej może odczytywać podstawowe informacje o katalogu w ramach rozwiązywania problemów.
Czytelnik Centrum wiadomości Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w Centrum wiadomości usługi Office 365. Dział pomocy technicznej odczytuje Centrum wiadomości, aby rozwiązać problemy z pomocą techniczną.
Administracja drukarką Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia łącznika universal print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administratorzy drukarek mają również dostęp do drukowania raportów. Dział pomocy technicznej zarządza konfiguracjami drukarek i rozwiązuje problemy z drukarką.
Osoba zapraszająca gości Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkowników-gości firmy Microsoft Entra B2B. Dział pomocy technicznej może zapraszać użytkowników-gości niezależnie od ustawienia Członkowie mogą zapraszać gości .

Rola o najniższych uprawnieniach według zadania

W poniższej tabeli przedstawiono zadania w ramach każdej funkcji GDAP wraz z najmniej uprzywilejowaną rolą wymaganą do wykonania każdego zadania.

Możliwość GDAP Zadanie Rola z najniższymi uprawnieniami
Pomoc techniczna Przesyłanie biletu pomocy technicznej Administrator pomocy technicznej usługi
Użytkownicy Dodawanie użytkownika do roli katalogu Administrator ról uprzywilejowanych
Dodawanie użytkownika do grupy Administrator użytkowników
Przypisywanie licencji Administrator licencji
Tworzenie użytkownika-gościa Osoba zapraszana gościa
Resetowanie zaproszenia użytkownika-gościa Administrator użytkowników
Utwórz użytkownika Administrator użytkowników
Usuwanie użytkownika Administrator użytkowników
Unieważnianie tokenów odświeżania ograniczonego administratora Administrator użytkowników
Unieważnianie tokenów odświeżania nieadmin Administrator haseł
Unieważnianie tokenów odświeżania uprzywilejowanego administratora Administrator uwierzytelniania uprzywilejowanego
Przeczytaj podstawową konfigurację Domyślna rola użytkownika
Resetowanie hasła dla ograniczonego administratora Administrator użytkowników
Resetowanie hasła dla użytkownika niebędącego administratorem Administrator haseł
Resetowanie hasła dla administratora uprzywilejowanego Administrator uwierzytelniania uprzywilejowanego
Odwoływanie licencji Administrator licencji
Aktualizowanie wszystkich właściwości z wyjątkiem głównej nazwy użytkownika Administrator użytkowników
Aktualizowanie głównej nazwy użytkownika dla ograniczonego administratora Administrator użytkowników
Aktualizowanie głównej nazwy użytkownika dla administratora uprzywilejowanego Globalny administrator
Aktualizowanie ustawień użytkownika Globalny administrator
Aktualizowanie metod uwierzytelniania Administrator uwierzytelniania
Grupy Przypisywanie licencji Administrator użytkowników
Utwórz grupę Administrator grup
Tworzenie, aktualizowanie lub usuwanie przeglądu dostępu grupy lub aplikacji Administrator użytkowników
Zarządzanie wygaśnięciem grupy Administrator użytkowników
Zarządzanie ustawieniami grup Administrator grup
Odczytywanie całej konfiguracji (z wyjątkiem ukrytego członkostwa) Czytelnicy katalogów
Odczytywanie ukrytego członkostwa Członek grupy
Odczytywanie członkostwa w grupach z ukrytym członkostwem Administrator pomocy technicznej
Odwoływanie licencji Administrator licencji
Aktualizowanie członkostwa w grupie Właściciel grupy
Aktualizowanie właścicieli grup Właściciel grupy
Aktualizowanie właściwości grupy Właściciel grupy
Usuwanie grupy Administrator grup
Licencje Przypisywanie licencji Administrator licencji
Odczytywanie całej konfiguracji Czytelnicy katalogów
Odwoływanie licencji Administrator licencji

Role według złożoności

Rola Uproszczony Śred. Complex
Administrator aplikacji x
Deweloper aplikacji x
Autor ładunku ataku x
Administrator symulacji ataku x
Administrator uwierzytelniania x
Administrator lokalny urządzenia dołączonego do firmy Microsoft x
Administrator usługi Azure DevOps x
Administrator usługi Azure Information Protection x
Administrator rozliczeń x
Administrator aplikacji w chmurze x x
Administrator urządzeń w chmurze x
Administrator zgodności x
Administrator dostępu warunkowego x
Administrator usługi Desktop Analytics x
Czytelnicy katalogów x x x
Konta synchronizacji katalogów x
Administrator nazwy domeny x
Administrator usługi Dynamics 365 x x
Administrator programu Exchange x x
Administrator adresata programu Exchange x
Administrator zewnętrznego dostawcy tożsamości x
Czytelnik globalny x x x
Administrator grup x
Osoba zapraszana gościa x
Administrator pomocy technicznej x x x
Administrator identyfikacji hybrydowej x
Administrator szczegółowych informacji x
Administrator usługi Intune x x
Administrator licencji x x x
Czytelnik prywatności Centrum wiadomości x
Czytelnik Centrum wiadomości x
Administrator sieci x
administrator usługi aplikacja pakietu Office s x
Administrator haseł x
Administrator usługi Power BI x x
Administrator Power Platform x x
Administrator drukarki x
Technik drukarki x
Administrator uwierzytelniania uprzywilejowanego x
Administrator ról uprzywilejowanych x
Czytelnik raportów x x
Administrator wyszukiwania x
Edytor wyszukiwania x
Administrator zabezpieczeń x x
Czytelnik zabezpieczeń x x
Administrator pomocy technicznej usługi x x x
Administrator programu SharePoint x x
administrator Skype dla firm x
Administrator usługi Teams x x
Administrator komunikacji usługi Teams x
Inżynier pomocy technicznej ds. komunikacji usługi Teams x
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams x
Administrator urządzeń usługi Teams x
Administrator użytkowników x x x
Administrator systemu Windows 365 x x