Udostępnij za pośrednictwem


Często zadawane pytania dotyczące uprawnień GDAP

Odpowiednie role: Wszyscy użytkownicy zainteresowani Centrum partnerskim

Szczegółowe uprawnienia administratora delegowanego (GDAP) zapewniają partnerom dostęp do obciążeń swoich klientów w sposób bardziej szczegółowy i ograniczony czas, co może pomóc w rozwiązywaniu problemów z zabezpieczeniami klientów.

Dzięki GDAP partnerzy mogą świadczyć więcej usług klientom, którzy mogą być niewygodni z wysokim poziomem dostępu partnerów.

GDAP pomaga również klientom, którzy mają wymagania prawne, aby zapewnić tylko najmniej uprzywilejowany dostęp do partnerów.

Konfigurowanie aplikacji GDAP

Kto może zażądać relacji GDAP?

Osoba z rolą agenta administracyjnego w organizacji partnerskiej może utworzyć żądanie relacji GDAP.

Czy żądanie relacji GDAP wygasa, jeśli klient nie podejmuje żadnych działań?

Tak. Żądania relacji GDAP wygasają po upływie 90 dni.

Czy mogę dokonać relacji GDAP z klientem stałym?

L.p. Trwałe relacje GDAP z klientami nie są możliwe ze względów bezpieczeństwa. Maksymalny czas trwania relacji GDAP wynosi dwa lata. Możesz ustawić opcję Automatyczne rozszerzanie na Włączone , aby przedłużyć relację administratora o sześć miesięcy, aż do zakończenia lub automatycznego rozszerzenia na wartość Wyłączone.

Czy relacja GDAP obsługuje umowę Enterprise Agreement?

Nie, relacja GDAP nie obsługuje subskrypcji zakupionych w ramach umów Enterprise Agreement.

Czy relacja GDAP z autorenew/auto extend klienta może być rozszerzona?

Tak. Relacja GDAP może być automatycznie przedłużana o sześć miesięcy do momentu zakończenia lub automatycznego rozszerzenia ustawionego na wartość Wyłączone.

Co zrobić, gdy relacja GDAP z klientem wygaśnie?

Jeśli relacja GDAP z klientem wygaśnie, ponownie zażądaj relacji GDAP.

Możesz użyć analizy relacji GDAP, aby śledzić daty wygaśnięcia relacji GDAP i przygotować się do ich odnowienia.

Jak klient może rozszerzyć lub odnowić relację GDAP?

Aby rozszerzyć lub odnowić relację GDAP, partner lub klient musi ustawić opcję Automatyczne rozszerzenie na Włączone. Dowiedz się więcej na stronie Zarządzanie automatycznym rozszerzaniem i interfejsem API GDAP.

Czy aktywny GDAP wygasa wkrótce do automatycznego rozszerzania?

Tak, jeśli GDAP jest aktywny, można go rozszerzyć.

Kiedy automatyczne rozszerzanie operacji powoduje przejście do akcji?

Załóżmy, że GDAP jest tworzony przez 365 dni z automatycznym rozszerzeniem ustawionym na włączone. W dniu 365. data zakończenia zostanie skutecznie zaktualizowana o 180 dni.

Czy wiadomości e-mail będą wysyłane po włączeniu/wyłączeniu automatycznego rozszerzania?

Żadne wiadomości e-mail nie będą wysyłane do partnera i klienta.

Czy można utworzyć GDAP za pomocą narzędzia PLT (Narzędzie prowadzone przez partnerów), MLT (Narzędzie led firmy Microsoft), interfejsu użytkownika Centrum partnerskiego, interfejsu API Centrum partnerskiego?

Tak, wszystkie aktywne GDAP można automatycznie rozszerzyć.

Nie, zgoda klienta nie jest wymagana, aby ustawić automatyczne rozszerzenie na Włączone dla istniejącej aktywnej GDAP.

Czy należy ponownie przypisać szczegółowe uprawnienia do grup zabezpieczeń po automatycznym rozszerzeniu?

Nie, szczegółowe uprawnienia przypisane do grup zabezpieczeń są kontynuowane w następujący sposób.

Czy relacja administratora z rolą administratora globalnego może zostać rozszerzona automatycznie?

Nie, nie można automatycznie rozszerzyć relacji administratora globalnego z rolą administratora globalnego.

Dlaczego nie widzę strony Wygasające szczegółowe relacje w obszarze roboczym Klienci?

Strona Wygasające szczegółowe relacje jest dostępna tylko dla użytkowników partnerów mających role administratorów globalnych i agenta administracyjnego.

Ta strona pomaga filtrować wygasające GDAPs na różnych osiach czasu i pomaga aktualizować automatyczne rozszerzanie (włączanie/wyłączanie) dla co najmniej jednego modułu GDAPs.

Jeśli relacja GDAP wygaśnie, czy dotyczy to istniejących subskrypcji klienta?

L.p. Nie ma żadnych zmian w istniejących subskrypcjach klienta po wygaśnięciu relacji GDAP.

Jak klient może zresetować swoje hasło i urządzenie usługi MFA, jeśli są one zablokowane na swoim koncie i nie mogą zaakceptować żądania relacji GDAP od partnera?

Zobacz Rozwiązywanie problemów z uwierzytelnianiem wieloskładnikowym firmy Microsoft i nie można używać uwierzytelniania wieloskładnikowego firmy Microsoft do logowania się do usług w chmurze po utracie telefonu lub zmianie numeru telefonu, aby uzyskać wskazówki.

Jakie role potrzebuje partner w celu zresetowania hasła administratora i urządzenia MFA, jeśli administrator klienta jest zablokowany z konta i nie może zaakceptować żądania relacji GDAP od partnera?

Partner musi zażądać roli Administratora uwierzytelniania uprzywilejowanego Firmy Microsoft podczas tworzenia pierwszej GDAP, aby móc zresetować hasło i metodę uwierzytelniania dla użytkownika (administratora lub innego niż administrator). Rola Administrator uwierzytelniania uprzywilejowanego jest częścią ról konfigurowanych przez narzędzie MLT (Microsoft Led Tool) i ma być dostępna z domyślnym GDAP podczas tworzenia przepływu klienta (planowanego na wrzesień).

Partner może mieć administratora klienta, który spróbuje zresetować hasło. Jako środek ostrożności partner musi skonfigurować samoobsługowe resetowanie hasła dla swoich klientów. Zobacz Zezwalanie użytkownikom na resetowanie własnych haseł.

Kto otrzymuje wiadomość e-mail z powiadomieniem o zakończeniu relacji GDAP?

W organizacji partnerskiej osoby z rolą agenta administracyjnego otrzymują powiadomienie o zakończeniu.

W organizacji klienta osoby z rolą administratora globalnego otrzymują powiadomienie o zakończeniu.

Czy mogę zobaczyć, kiedy klient usunie GDAP w dziennikach aktywności?

Tak. Partnerzy mogą zobaczyć, kiedy klient usunie aplikację GDAP w dziennikach aktywności Centrum partnerskiego.

Czy muszę utworzyć relację GDAP ze wszystkimi moimi klientami?

L.p. GDAP to opcjonalna funkcja dla partnerów, którzy chcą zarządzać usługami swoich klientów w bardziej szczegółowy i ograniczony czas. Możesz wybrać klientów, z którymi chcesz utworzyć relację GDAP.

Jeśli mam wielu klientów, czy muszę mieć wiele grup zabezpieczeń dla tych klientów?

Odpowiedź zależy od tego, jak chcesz zarządzać klientami.

  • Jeśli chcesz, aby użytkownicy partnerów mogli zarządzać wszystkimi klientami, możesz umieścić wszystkich użytkowników partnerów w jednej grupie zabezpieczeń i że jedna grupa może zarządzać wszystkimi klientami.

  • Jeśli wolisz mieć różnych partnerów zarządzających różnymi klientami, przypisz tych użytkowników partnerów do oddzielnych grup zabezpieczeń na potrzeby izolacji klientów.

Czy odsprzedawcy pośredni mogą tworzyć żądania relacji GDAP w Centrum partnerskim?

Tak. Odsprzedawcy pośredni (i pośredni dostawcy i partnerzy rozliczani bezpośrednio) mogą tworzyć żądania relacji GDAP w Centrum partnerskim.

Dlaczego użytkownik partnerski z GDAP nie może uzyskać dostępu do obciążenia jako AOBO (administrator w imieniu)?

W ramach konfiguracji programu GDAP upewnij się, że wybrano grupy zabezpieczeń utworzone w dzierżawie partnera z użytkownikami partnerskimi. Upewnij się również, że odpowiednie role entra firmy Microsoft są przypisane do grupy zabezpieczeń. Zobacz Przypisywanie ról firmy Microsoft Entra.

Klienci mogą teraz wykluczać dostawców CSP z zasad dostępu warunkowego, aby partnerzy mogli przejść do usługi GDAP bez blokowania.

Uwzględnij użytkowników — ta lista użytkowników zazwyczaj obejmuje wszystkich użytkowników, których organizacja jest przeznaczona w zasadach dostępu warunkowego.

Podczas tworzenia zasad dostępu warunkowego dostępne są następujące opcje:

  • Wybieranie użytkowników i grup
    • Użytkownicy-goście lub zewnętrzni (wersja zapoznawcza)
      • Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników. Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
        • Użytkownicy dostawcy usług, na przykład Dostawca rozwiązań w chmurze (CSP).
      • Dla wybranych typów użytkowników można określić co najmniej jedną dzierżawę lub określić wszystkie dzierżawy.

Dostęp partnera zewnętrznego — zasady dostępu warunkowego przeznaczone dla użytkowników zewnętrznych mogą zakłócać dostęp dostawcy usług, na przykład szczegółowe uprawnienia administratora delegowanego. Aby uzyskać więcej informacji, zobacz Wprowadzenie do szczegółowych delegowanych uprawnień administratora (GDAP). W przypadku zasad przeznaczonych dla dzierżaw dostawców usług należy użyć typu użytkownika zewnętrznego dostawcy usług dostępnego w opcjach wyboru Gościa lub użytkowników zewnętrznych.

Zrzut ekranu przedstawiający środowisko użytkownika zasad urzędu certyfikacji przeznaczone dla typów gości i użytkowników zewnętrznych z określonych organizacji firmy Microsoft Entra.

Wyklucz użytkowników — gdy organizacje obejmują i wykluczają użytkownika lub grupę, użytkownik lub grupa jest wykluczony z zasad, ponieważ akcja wykluczania zastępuje akcję dołączania w zasadach.

Następujące opcje są dostępne do wykluczenia podczas tworzenia zasad dostępu warunkowego:

Zrzut ekranu przedstawiający zasady urzędu certyfikacji.

Aby uzyskać więcej informacji, zobacz:

Czy potrzebuję relacji GDAP, aby utworzyć bilety pomocy technicznej, chociaż mam pomoc techniczną Premier dla partnerów?

Tak, niezależnie od posiadanego planu pomocy technicznej, najmniej uprzywilejowaną rolą dla użytkowników partnerów, aby móc tworzyć bilety pomocy technicznej dla swojego klienta, jest administratorem pomocy technicznej usługi.

Czy GDAP w stanie Oczekiwanie na zatwierdzenie może zostać zakończone przez partnera?

Nie, partner nie może obecnie zakończyć GDAP w stanie Oczekiwanie na zatwierdzenie. Wygaśnie w ciągu 90 dni, jeśli klient nie podejmie żadnych działań.

Czy po zakończeniu relacji GDAP można ponownie użyć tej samej nazwy relacji GDAP, aby utworzyć nową relację?

Dopiero po 365 dniach (czyszczenie) po zakończeniu lub wygaśnięciu relacji GDAP można ponownie użyć tej samej nazwy, aby utworzyć nową relację GDAP.

Czy partner w jednym regionie może zarządzać swoimi klientami w różnych regionach?

Tak, partner może zarządzać swoimi klientami w różnych regionach bez tworzenia nowych dzierżaw partnerów na region klienta. Należy pamiętać, że ma to zastosowanie tylko do roli zarządzania klientami udostępnianej przez GDAP (Relacje administracyjne). Rola i możliwości transakcji są nadal ograniczone do autoryzowanego terytorium

Czy dostawca usług może być częścią organizacji z wieloma dzierżawami?

Nie, dostawca usług nie może być częścią organizacji z wieloma dzierżawami, wzajemnie się wyklucza.

Interfejs programowania aplikacji GDAP

Czy interfejsy API są dostępne do tworzenia relacji GDAP z klientami?

Aby uzyskać informacje na temat interfejsów API i GDAP, zobacz dokumentację dla deweloperów Centrum partnerskiego.

Czy mogę używać interfejsów API beta GDAP do produkcji?

Tak. Zalecamy, aby partnerzy używali interfejsów API beta GDAP do produkcji, a później przełączali się na interfejsy API w wersji 1, gdy staną się dostępne.

Chociaż istnieje ostrzeżenie: "Korzystanie z tych interfejsów API w aplikacjach produkcyjnych nie jest obsługiwane", że ogólne wskazówki dotyczą żadnego interfejsu API beta w programie Graph i nie mają zastosowania do interfejsów API programu Graph w wersji beta GDAP.

Czy można utworzyć wiele relacji GDAP z różnymi klientami jednocześnie?

Tak. Relacje GDAP można tworzyć przy użyciu interfejsów API, umożliwiając partnerom skalowanie tego procesu. Tworzenie wielu relacji GDAP nie jest jednak dostępne w Centrum partnerskim. Aby uzyskać informacje na temat interfejsów API i GDAP, zobacz dokumentację dla deweloperów Centrum partnerskiego.

Czy w relacji GDAP można przypisać wiele grup zabezpieczeń przy użyciu jednego wywołania interfejsu API?

Interfejs API działa dla jednej grupy zabezpieczeń jednocześnie, ale można mapować wiele grup zabezpieczeń na wiele ról w Centrum partnerskim.

Jak mogę zażądać wielu uprawnień zasobów dla mojej aplikacji?

Wykonaj pojedyncze wywołania dla każdego zasobu. Podczas tworzenia pojedynczego żądania POST przekaż tylko jeden zasób i odpowiadające mu zakresy.

Na przykład, aby zażądać uprawnień dla obu https://graph.windows.net/Directory.AccessAsUser.All i https://graph.microsoft.com/Organization.Read.All, wykonaj dwa różne żądania, po jednym dla każdego.

Jak mogę znaleźć identyfikator zasobu dla danego zasobu?

Użyj podanego linku, aby wyszukać nazwę zasobu: Sprawdź aplikacje firmy Microsoft w raportach logowania firmy Microsoft — Active Directory. Przykład:

Aby znaleźć identyfikator zasobu (na przykład: 00000003-0000-0000-c000-00000000000000 dla graph.microsoft.com):

Zrzut ekranu przedstawiający ekran manifestu przykładowej aplikacji z wyróżnionym identyfikatorem zasobu.

Co należy zrobić, jeśli wystąpi błąd "Request_UnsupportedQuery" z komunikatem: "Nieobsługiwana lub nieprawidłowa klauzula filtru zapytania określona dla właściwości "appId" zasobu "ServicePrincipal"?

Ten błąd występuje zwykle, gdy w filtrze zapytania jest używany nieprawidłowy identyfikator.

Aby rozwiązać ten problem, upewnij się, że używasz właściwości enterpriseApplicationId z poprawnym identyfikatorem zasobu, a nie nazwą zasobu.

  • Nieprawidłowe żądanie

    W przypadku identyfikatora enterpriseApplicationId nie używaj nazwy zasobu, takiej jak graph.microsoft.com.

    Zrzut ekranu przedstawiający nieprawidłowe żądanie, w którym identyfikator enterpriseApplicationId używa graph.microsoft.com.

  • Poprawne żądanie

    Zamiast tego w polu enterpriseApplicationId użyj identyfikatora zasobu, takiego jak 00000003-0000-0000-c000-000000000000000000000000.

    Zrzut ekranu przedstawiający poprawne żądanie, w którym identyfikator enterpriseApplicationId używa identyfikatora GUID.

Jak mogę dodać nowe zakresy do zasobu aplikacji, która została już wyrażona w dzierżawie klienta?

Przykład: wcześniej w graph.microsoft.com został wyrażony tylko zakres "profil". Teraz chcemy dodać profil i user.read również.

Aby dodać nowe zakresy do wcześniej objętej zgodą aplikacji:

  1. Użyj metody DELETE, aby odwołać istniejącą zgodę aplikacji z dzierżawy klienta.

  2. Użyj metody POST, aby utworzyć nową zgodę aplikacji z dodatkowymi zakresami.

    Uwaga

    Jeśli aplikacja wymaga uprawnień dla wielu zasobów, wykonaj metodę POST oddzielnie dla każdego zasobu.

Jak mogę określić wiele zakresów dla jednego zasobu (enterpriseApplicationId)?

Połącz wymagane zakresy przy użyciu przecinka, po którym następuje spacja. Przykład: "scope": "profile, User.Read"

Co należy zrobić, jeśli otrzymuję błąd "400 Nieprawidłowe żądanie" z komunikatem "Nieobsługiwany token". Nie można zainicjować kontekstu autoryzacji"?
  1. Upewnij się, że właściwości "displayName" i "applicationId" w treści żądania są dokładne i zgodne z aplikacją, którą próbujesz wyrazić w dzierżawie klienta.

  2. Upewnij się, że używasz tej samej aplikacji do generowania tokenu dostępu, który próbujesz wyrazić zgodę na dzierżawę klienta.

    Przykład: Jeśli identyfikator aplikacji to "12341234-1234-1234-12341234", oświadczenie "appId" w tokenie dostępu powinno również mieć wartość "12341234-1234-1234-1234-12341234".

  3. Sprawdź, czy spełniony jest jeden z następujących warunków:

    • Masz aktywny uprawnienia administratora delegowanego (DAP), a użytkownik jest również członkiem grupy zabezpieczeń Agentów administracyjnych w dzierżawie partnera.

    • Masz aktywną relację z uprawnieniami administratora delegowanego (GDAP) z dzierżawą klienta z co najmniej jedną z następujących trzech ról GDAP i ukończono przypisanie dostępu:

      • Rola administratora globalnego, administratora aplikacji lub administratora aplikacji w chmurze.
      • Użytkownik partnera jest członkiem grupy zabezpieczeń określonej w przypisaniu dostępu.

Role

Które role GDAP są potrzebne do uzyskania dostępu do subskrypcji platformy Azure?
  • Aby zarządzać platformą Azure przy użyciu partycjonowania dostępu poszczególnych klientów (co jest zalecanym najlepszym rozwiązaniem), utwórz grupę zabezpieczeń (taką jak Azure Managers) i zagnieżdżaj ją w obszarze Agenci administracyjni.

  • Aby uzyskać dostęp do subskrypcji platformy Azure jako właściciel klienta, możesz przypisać dowolną wbudowaną rolę firmy Microsoft Entra (na przykład czytelników katalogu, najmniej uprzywilejowaną rolę) do grupy zabezpieczeń Menedżerowie platformy Azure.

    Aby uzyskać instrukcje dotyczące konfigurowania usługi Azure GDAP, zobacz Obciążenia obsługiwane przez szczegółowe uprawnienia administratora delegowanego (GDAP).

Czy istnieją wskazówki dotyczące ról o najniższych uprawnieniach, które mogę przypisać do użytkowników na potrzeby określonych zadań?

Tak. Aby uzyskać informacje na temat ograniczania uprawnień administratora użytkownika przez przypisanie najmniej uprzywilejowanych ról w usłudze Microsoft Entra, zobacz Co najmniej uprzywilejowane role według zadania w usłudze Microsoft Entra.

Jaka jest najmniej uprzywilejowana rola, jaką mogę przypisać do dzierżawy klienta i nadal mieć możliwość tworzenia biletów pomocy technicznej dla klienta?

Zalecamy przypisanie roli administratora pomocy technicznej usługi. Aby dowiedzieć się więcej, zobacz Role o najniższych uprawnieniach według zadania w usłudze Microsoft Entra.

Które role firmy Microsoft Entra zostały udostępnione w interfejsie użytkownika Centrum partnerskiego w lipcu 2024 r.?

Aby zmniejszyć lukę między rolami firmy Microsoft Entra dostępnymi za pośrednictwem. Interfejs API Centrum partnerskiego a interfejs użytkownika poniżej listy 9 ról zostały udostępnione w interfejsie użytkownika Centrum partnerskiego w lipcu 2024 r.

  • W obszarze Współpraca:

    • Edge Administrator
    • Administrator wizyt wirtualnych
    • Viva Goals Administrator
    • Viva Pulse Administrator
    • Yammer Administrator
  • W obszarze Tożsamość:

    • Administrator zarządzania uprawnieniami
    • Administrator przepływów pracy cyklu życia
  • W obszarze Inne:

    • Administrator znakowania organizacyjnego
    • Osoba zatwierdzająca komunikaty organizacyjne
Czy mogę otworzyć bilety pomocy technicznej dla klienta w relacji GDAP, z której zostały wykluczone wszystkie role firmy Microsoft Entra?

L.p. Najmniej uprzywilejowaną rolą dla użytkowników partnerów, aby mogli tworzyć bilety pomocy technicznej dla swojego klienta, jest administratorem pomocy technicznej usługi. W związku z tym, aby móc tworzyć bilety pomocy technicznej dla klienta, użytkownik partnera musi należeć do grupy zabezpieczeń i przypisać go do tego klienta z rolą.

Gdzie można znaleźć informacje o wszystkich rolach i obciążeniach uwzględnionych w GDAP?

Aby uzyskać informacje o wszystkich rolach, zobacz Wbudowane role firmy Microsoft.

Aby uzyskać informacje o obciążeniach, zobacz Obciążenia obsługiwane przez szczegółowe uprawnienia administratora delegowanego (GDAP).

Jaka rola GDAP zapewnia dostęp do centrum Administracja Microsoft 365?

Wiele ról jest używanych w centrum Administracja Microsoft 365. Aby uzyskać więcej informacji, zobacz Często używane role centrum administracyjnego rozwiązania Microsoft 365.

Czy mogę utworzyć niestandardowe grupy zabezpieczeń dla usługi GDAP?

Tak. Utwórz grupę zabezpieczeń, przypisz zatwierdzone role, a następnie przypisz użytkowników dzierżawy partnera do tej grupy zabezpieczeń.

Które role GDAP zapewniają dostęp tylko do odczytu do subskrypcji klienta i nie zezwalają użytkownikowi na zarządzanie nimi?

Dostęp tylko do odczytu do subskrypcji klienta jest zapewniany przez role pomocy technicznej Czytelnik globalny, Czytelnik katalogu i Partner 2.

Jaką rolę należy przypisać do moich agentów partnerskich (obecnie agentów administracyjnych), jeśli chcę zarządzać dzierżawą klienta, ale nie modyfikować subskrypcji klienta?

Zalecamy usunięcie agentów partnerskich z roli agenta administracyjnego i dodanie ich tylko do grupy zabezpieczeń GDAP. Dzięki temu mogą administrować usługami (na przykład żądaniami obsługi zarządzania usługami i rejestrowania), ale nie mogą kupować subskrypcji i zarządzać nimi (zmieniać ilości, anulować, planować zmiany itd.).

Co się stanie, jeśli klient przyznaje partnerowi role GDAP, a następnie usuwa role lub wyłącza relację GDAP?

Grupy zabezpieczeń przypisane do relacji utracą dostęp do tego klienta. Dzieje się tak samo, jeśli klient zakończy relację języka DAP.

Czy partner może kontynuować transakcję dla klienta po usunięciu całej relacji GDAP z klientem?

Tak, usunięcie relacji GDAP z klientem nie kończy relacji odsprzedawcy partnerów z klientem. Partnerzy mogą nadal kupować produkty dla klienta i zarządzać budżetem platformy Azure oraz innymi powiązanymi działaniami.

Czy niektóre role w relacji GDAP z moim klientem mogą mieć dłuższy czas wygaśnięcia niż inne?

L.p. Wszystkie role w relacji GDAP mają ten sam czas wygaśnięcia: czas trwania wybrany podczas tworzenia relacji.

Czy potrzebuję GDAP, aby zrealizować zamówienia dla nowych i istniejących klientów w Centrum partnerskim?

L.p. Nie potrzebujesz GDAP do realizacji zamówień dla nowych i istniejących klientów. W celu realizacji zamówień klientów w Centrum partnerskim można nadal używać tego samego procesu.

Czy muszę przypisać jedną rolę agenta partnera do wszystkich klientów, czy mogę przypisać rolę agenta partnera tylko jednemu klientowi?

Relacje GDAP są na klienta. Możesz mieć wiele relacji na klienta. Każda relacja GDAP może mieć różne role i używać różnych grup firmy Microsoft Entra w ramach dzierżawy CSP.

W Centrum partnerskim przypisanie roli działa na poziomie relacji klient-GDAP. Jeśli chcesz przypisania roli multicustomer, możesz zautomatyzować korzystanie z interfejsów API.

Czy użytkownik partnera może mieć role GDAP i konto gościa?

Konta gości nie działają z GDAP. Klienci muszą usunąć wszystkie konta gości, aby umożliwić GDAP pracę.

Czy potrzebuję języka DAP/GDAP na potrzeby aprowizacji subskrypcji platformy Azure?

Nie, nie potrzebujesz języka DAP ani GDAP, aby kupić plany platformy Azure i aprowizować subskrypcje platformy Azure dla klienta. Proces tworzenia subskrypcji platformy Azure dla klienta jest udokumentowany w temacie Tworzenie subskrypcji dla klienta partnera — Zarządzanie kosztami i rozliczenia firmy Microsoft. Domyślnie grupa Agenci administracyjni w dzierżawie partnera staje się właścicielem subskrypcji platformy Azure aprowizowania dla klienta. Zaloguj się do witryny Azure Portal przy użyciu identyfikatora Centrum partnerskiego.

Aby aprowizować dostęp do klienta, potrzebujesz relacji GDAP. Relacja GDAP musi zawierać co najmniej rolę Microsoft Entra czytelników katalogów. Aby aprowizować dostęp na platformie Azure, użyj strony kontroli dostępu (IAM). W przypadku usługi AOBO zaloguj się do Centrum partnerskiego i użyj strony Zarządzanie usługami , aby aprowizować dostęp do klienta.

Które role firmy Microsoft Entra są obsługiwane przez aplikację GDAP?

Aplikacja GDAP obecnie obsługuje tylko wbudowane role firmy Microsoft Entra. Niestandardowe role entra firmy Microsoft nie są obsługiwane.

Dlaczego administratorzy GDAP + użytkownicy B2B nie mogą dodawać metod uwierzytelniania w aka.ms/mysecurityinfo?

Administratorzy gości GDAP nie mogą zarządzać własnymi informacjami o zabezpieczeniach w portalu My Security-Info. Zamiast tego będą potrzebować pomocy administratora dzierżawy, w której są gośćmi w celu uzyskania wszelkich rejestracji, aktualizacji lub usunięcia informacji zabezpieczających. Organizacje mogą skonfigurować zasady dostępu między dzierżawami w celu zaufania uwierzytelniania wieloskładnikowego z zaufanej dzierżawy CSP. W przeciwnym razie administratorzy gości GDAP będą ograniczeni tylko do metod rejestrowanych przez administratora dzierżawy (który jest SMS lub Voice). Aby dowiedzieć się więcej, zobacz Zasady dostępu między dzierżawami.

Jakie role mogą być używane przez partnera w celu włączenia automatycznego rozszerzania?

Dostosowanie do głównej zasady zerowej relacji zaufania: użyj dostępu do najmniejszych uprawnień:

DAP i GDAP

Czy GDAP zastępuje język DAP?

Tak. W okresie przejściowym uprawnienia DAP i GDAP będą współistnieć, a uprawnienia GDAP mają pierwszeństwo przed uprawnieniami daP dla obciążeń platformy Microsoft 365, Dynamics 365 i platformy Azure .

Czy mogę nadal używać języka DAP, czy muszę przenieść wszystkich moich klientów do aplikacji GDAP?

DAP i GDAP współistnieją w okresie przejściowym. Jednak GDAP ostatecznie zastąpi DAP, aby zapewnić bezpieczniejsze rozwiązanie dla naszych partnerów i klientów. Zaleca się, aby jak najszybciej przenieść klientów do aplikacji GDAP, aby zapewnić ciągłość.

Podczas gdy język DAP i GDAP współistnieją, czy istnieją jakieś zmiany w sposobie tworzenia relacji języka DAP?

Nie ma żadnych zmian w istniejącym przepływie relacji języka DAP, podczas gdy współistnieją GDAP i GDAP.

Jakie role firmy Microsoft Entra zostaną przyznane dla domyślnej aplikacji GDAP w ramach tworzenia klienta?

Usługa DAP jest obecnie udzielana podczas tworzenia nowej dzierżawy klienta. Od 25 września 2023 r. firma Microsoft nie będzie już udzielać DAP do tworzenia nowych klientów i zamiast tego przyzna domyślną rolę GDAP z określonymi rolami. Role domyślne różnią się w zależności od typu partnera, jak pokazano w poniższej tabeli:

Microsoft Entra roles Granted For Default GDAP Partnerzy rozliczani bezpośrednio Dostawcy pośredni Odsprzedawcy pośredni Partnerzy domeny dostawcy Panel sterowania (CPV) Opiekun Zrezygnowano z domyślnego GDAP (bez DAP)
1. Czytelnicy katalogów. Może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości. x x x x x
2. Autorzy katalogów. Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników. x x x x x
3. Administrator licencji. Może zarządzać licencjami produktów dla użytkowników i grup. x x x x x
4. Administrator pomocy technicznej usługi. Może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej. x x x x x
5. Administrator użytkowników. Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów. x x x x x
6. Administrator ról uprzywilejowanych. Może zarządzać przypisaniami ról w usłudze Microsoft Entra i wszystkimi aspektami usługi Privileged Identity Management. x x x x x
7. Administrator pomocy technicznej. Może resetować hasła dla administratorów niebędących administratorami i administratorami pomocy technicznej. x x x x x
8. Administrator uwierzytelniania uprzywilejowanego. Może uzyskiwać dostęp do informacji o metodzie uwierzytelniania wyświetlania, ustawiania i resetowania dla dowolnego użytkownika (administratora lub innego administratora). x x x x x
9. Administrator aplikacji w chmurze. Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa (z wyjątkiem serwera proxy aplikacji) oraz zarządzać nimi. x x x x
10. Administrator aplikacji. Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa oraz zarządzać nimi. x x x x
11. Czytelnik globalny. Może odczytać wszystko, co może administrator globalny, ale nie może nic zaktualizować. x x x x x
12. Administrator zewnętrznego dostawcy tożsamości. Może zarządzać federacją między organizacjami firmy Microsoft i zewnętrznymi dostawcami tożsamości. x
13. Administrator nazwy domeny. Może zarządzać nazwami domen w chmurze i lokalnie. x
W jaki sposób GDAP będzie działać z usługą Privileged Identity Management w firmie Microsoft Entra?

Partnerzy mogą zaimplementować usługę Privileged Identity Management (PIM) w grupie zabezpieczeń GDAP w dzierżawie partnera, aby podnieść poziom dostępu kilku użytkowników z wysokimi uprawnieniami, just in time (JIT), aby przyznać im role o wysokim poziomie uprawnień, takie jak administratorzy haseł z automatycznym usunięciem dostępu.

Do stycznia 2023 r. wymagane było, aby każda grupa dostępu uprzywilejowanego (była nazwa funkcji PIM dla grup) musiała znajdować się w grupie z możliwością przypisania ról. To ograniczenie zostało usunięte. Biorąc pod uwagę to, można włączyć więcej niż 500 grup na dzierżawę w usłudze PIM, ale tylko do 500 grup może być przypisanych do ról.

Podsumowanie:

  • Partnerzy mogą używać grup z możliwością przypisywania ról i nieprzypisania ról w usłudze PIM. Spowoduje to usunięcie limitu 500 grup/dzierżawy w usłudze PIM.

  • Dzięki najnowszym aktualizacjom dostępne będą dwa sposoby dołączania grupy do usługi PIM (UX-wise): z menu PIM lub z menu Grupy. Niezależnie od wybranego sposobu wynik netto jest taki sam.

    • Możliwość dołączania grup z możliwością przypisywania ról/nieprzypisania ról za pomocą menu PIM jest już dostępna.

    • Możliwość dołączania grup z możliwością przypisywania ról/nieprzypisania ról za pomocą menu Grupy jest już dostępna.

  • Aby uzyskać więcej informacji, zobacz Privileged Identity Management (PIM) for Groups (wersja zapoznawcza) — Microsoft Entra.

Jak współistnieć dap i GDAP, jeśli klient kupuje platformę Microsoft Azure i platformę Microsoft 365 lub Dynamics 365?

GDAP jest ogólnie dostępna z obsługą wszystkich komercyjnych usług w chmurze firmy Microsoft (Microsoft 365, Dynamics 365, Microsoft Azure i Microsoft Power Platform ). Aby uzyskać więcej informacji o tym, jak dap i GDAP mogą współistnieć i jak GDAP ma pierwszeństwo, zobacz Jak GDAP będzie pierwszeństwo przed DAP.

Mam dużą bazę klientów (na przykład 10 000 kont klientów). Jak mogę przejście z DAP do GDAP?

Tę akcję można wykonać za pomocą interfejsów API.

L.p. Twoje zarobki PEC nie będą miały wpływu na przejście do GDAP. Nie ma żadnych zmian w pal z przejściem, zapewniając, że nadal zarabiasz PEC.

Czy pec ma wpływ na usunięcie dap/GDAP?
  • Jeśli klient partnera ma tylko dap i DAP zostanie usunięty, pec nie zostanie utracony.
  • Jeśli klient partnera ma daP i przechodzi do GDAP dla pakietu Office i platformy Azure jednocześnie, a platforma DAP zostanie usunięta, pec nie zostanie utracony.
  • Jeśli klient partnera ma język DAP i przechodzi do usługi GDAP dla pakietu Office, ale zachowaj platformę Azure jako (nie przechodzą do GDAP) i daP zostanie usunięty, pec nie zostanie utracony, ale dostęp do subskrypcji platformy Azure zostanie utracony.
  • Jeśli rola RBAC zostanie usunięta, pec zostanie utracony, ale usunięcie GDAP nie spowoduje usunięcia kontroli dostępu opartej na rolach.
Jak uprawnienia GDAP mają pierwszeństwo przed uprawnieniami daP, podczas gdy daP i GDAP współistnieją?

Gdy użytkownik jest częścią zarówno grupy zabezpieczeń GDAP, jak i grupy agentów administratora dap, a klient ma relacje DAP i GDAP, dostęp GDAP ma pierwszeństwo na poziomie partnera, klienta i obciążenia.

Jeśli na przykład użytkownik partnera zaloguje się dla danego obciążenia i istnieje daP dla roli administratora globalnego i GDAP dla roli czytelnika globalnego, użytkownik partnera otrzymuje tylko uprawnienia czytelnika globalnego.

Jeśli istnieją trzech klientów z przypisaniami ról GDAP tylko do grupy zabezpieczeń GDAP (a nie agentów administracyjnych):

Diagram przedstawiający relację między różnymi użytkownikami jako członkami grup zabezpieczeń *Agent administracyjny* i GDAP.

Klient Relacja z partnerem
Klient 1 DAP (bez GDAP)
Klient 2 DAP + GDAP oba
Klient 3 GDAP (bez DAP)

W poniższej tabeli opisano, kiedy użytkownik loguje się do innej dzierżawy klienta.

Przykładowy użytkownik Przykładowa dzierżawa klienta Zachowanie Komentarze
Użytkownik 1 Klient 1 DAP W tym przykładzie jest daP, tak jak to jest.
Użytkownik 1 Klient 2 DAP Nie ma przypisania roli GDAP do grupy Agentów administracyjnych, co powoduje zachowanie języka DAP.
Użytkownik 1 Klient 3 Brak dostępu Nie ma relacji języka DAP, więc grupa agentów administracyjnych nie ma dostępu do klienta 3.
Użytkownik 2 Klient 1 DAP W tym przykładzie jest daP, tak jak jest
Użytkownik 2 Klient 2 GDAP GDAP ma pierwszeństwo przed daP, ponieważ istnieje rola GDAP przypisana użytkownikowi 2 za pośrednictwem grupy zabezpieczeń GDAP, nawet jeśli użytkownik jest częścią grupy agentów administracyjnych .
Użytkownik 2 Klient 3 GDAP Ten przykład jest klientem tylko GDAP.
Użytkownik 3 Klient 1 Brak dostępu Nie ma przypisania roli GDAP do klienta 1.
Użytkownik 3 Klient 2 GDAP Użytkownik 3 nie jest częścią grupy agentów administracyjnych , co powoduje zachowanie tylko GDAP.
Użytkownik 3 Klient 3 GDAP Zachowanie tylko GDAP
Czy wyłączenie języka DAP lub przejście do aplikacji GDAP wpłynie na moje starsze korzyści z kompetencji lub oznaczenia partnerów rozwiązań, które uzyskałem?

DaP i GDAP nie kwalifikują się do typów skojarzeń dla oznaczeń partnerów rozwiązań, a wyłączenie lub przejście z języka DAP do GDAP nie wpłynie na osiągnięcie poziomu oznaczeń partnerów rozwiązań. Twoje odnawianie starszych korzyści z kompetencji lub korzyści dla partnerów rozwiązań również nie będzie miało wpływu.

Przejdź do pozycji Oznaczenia partnerów w Centrum partnerskim, aby wyświetlić, jakie inne typy skojarzeń partnerów kwalifikują się do oznaczeń partnerów rozwiązań.

Jak działa GDAP z usługą Azure Lighthouse? Czy GDAP i Azure Lighthouse wpływają na siebie nawzajem?

W odniesieniu do relacji między usługami Azure Lighthouse i DAP/GDAP należy traktować je jako oddzielone równoległe ścieżki do zasobów platformy Azure, więc zerwanie jednej z nich nie powinno mieć wpływu na drugą.

  • W scenariuszu usługi Azure Lighthouse użytkownicy z dzierżawy partnera nigdy nie logują się do dzierżawy klienta i nie mają żadnych uprawnień firmy Microsoft Entra w dzierżawie klienta. Ich przypisania ról RBAC platformy Azure są również przechowywane w dzierżawie partnera.

  • W scenariuszu GDAP użytkownicy z dzierżawy partnera logować się do dzierżawy klienta, a przypisanie roli RBAC platformy Azure do grupy agentów administracyjnych znajduje się również w dzierżawie klienta. Możesz zablokować ścieżkę GDAP (użytkownicy nie mogą już się zalogować), gdy ścieżka usługi Azure Lighthouse nie ma wpływu. Z drugiej strony, można zerwać relację Lighthouse (projekcja) bez wpływu na GDAP. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Lighthouse .

Jak działa GDAP z usługą Microsoft 365 Lighthouse?

Dostawcy usług zarządzanych (MSP) zarejestrowani w programie Dostawca rozwiązań w chmurze (CSP) jako odsprzedawcy pośredni lub partnerzy rozliczani bezpośrednio mogą teraz używać usługi Microsoft 365 Lighthouse do konfigurowania GDAP dla dowolnej dzierżawy klienta. Ponieważ istnieje kilka sposobów, w jaki partnerzy zarządzają już ich przejściem do GDAP, ten kreator umożliwia partnerom Lighthouse przyjęcie zaleceń dotyczących ról specyficznych dla ich potrzeb biznesowych. Umożliwia również im wdrażanie środków zabezpieczeń, takich jak dostęp just in time (JIT). Dostawcy usług zarządzanych mogą również tworzyć szablony GDAP za pośrednictwem usługi Lighthouse, aby łatwo zapisywać i ponownie stosować ustawienia, które umożliwiają dostęp klientów z najniższymi uprawnieniami. Aby uzyskać więcej informacji i wyświetlić pokaz, zobacz Kreator instalacji lighthouse GDAP.

Deputowani mogą skonfigurować GDAP dla dowolnej dzierżawy klienta w lighthouse. Aby uzyskać dostęp do danych obciążenia klienta w usłudze Lighthouse, wymagana jest relacja GDAP lub DAP. Jeśli GDAP i DAP współistnieją w dzierżawie klienta, uprawnienia GDAP mają pierwszeństwo dla techników MSP w grupach zabezpieczeń z obsługą GDAP. Aby uzyskać więcej informacji na temat wymagań usługi Microsoft 365 Lighthouse, zobacz Wymagania dotyczące usługi Microsoft 365 Lighthouse.

Jaki jest najlepszy sposób przejścia na platformę GDAP i usunięcia usługi DAP bez utraty dostępu do subskrypcji platformy Azure, jeśli mam klientów z platformą Azure?

Prawidłową sekwencją do naśladowania w tym scenariuszu jest:

  1. Utwórz relację GDAP dla platformy Microsoft 365 i platformy Azure.
  2. Przypisz role firmy Microsoft Entra do grup zabezpieczeń dla platformy Microsoft 365 i platformy Azure.
  3. Skonfiguruj usługę GDAP, aby mieć pierwszeństwo przed usługą DAP.
  4. Usuń język DAP.

Ważne

Jeśli nie wykonasz tych kroków, istniejący agenci administracyjni zarządzający platformą Azure mogą utracić dostęp do subskrypcji platformy Azure dla klienta.

Następująca sekwencja może spowodować utratę dostępu do subskrypcji platformy Azure:

  1. Usuń język DAP.

    Niekoniecznie utracisz dostęp do subskrypcji platformy Azure, usuwając język DAP. Jednak w tej chwili nie można przeglądać katalogu klienta w celu wykonania żadnych przypisań ról RBAC platformy Azure (takich jak przypisywanie nowego użytkownika klienta jako współautora kontroli dostępu opartej na rolach subskrypcji).

  2. Utwórz relację GDAP dla platformy Microsoft 365 i platformy Azure razem.

    W tym kroku możesz utracić dostęp do subskrypcji platformy Azure zaraz po skonfigurowaniu aplikacji GDAP.

  3. Przypisywanie ról firmy Microsoft Entra do grup zabezpieczeń dla platformy Microsoft 365 i platformy Azure

    Po zakończeniu konfiguracji usługi Azure GDAP odzyskasz dostęp do subskrypcji platformy Azure.

Mam klientów z subskrypcjami platformy Azure bez języka DAP. Jeśli przeniosę je do usługi GDAP dla platformy Microsoft 365, utracę dostęp do subskrypcji platformy Azure?

Jeśli masz subskrypcje platformy Azure bez usługi DAP, którymi zarządzasz jako właściciel, dodając do tego klienta usługę GDAP dla platformy Microsoft 365, możesz utracić dostęp do subskrypcji platformy Azure. Aby tego uniknąć, przenieś klienta do usługi Azure GDAP w tym samym czasie , aby przenieść klienta na platformę Microsoft 365 GDAP.

Ważne

Jeśli te kroki nie zostały wykonane, istniejący agenci administracyjni zarządzający platformą Azure mogą utracić dostęp do subskrypcji platformy Azure dla klienta.

L.p. Relacje, po zaakceptowaniu, nie są wielokrotnego użytku.

Jeśli mam relację odsprzedawcy z klientami bez języka DAP i którzy nie mają relacji GDAP, czy mogę uzyskać dostęp do subskrypcji platformy Azure?

Jeśli masz istniejącą relację odsprzedawcy z klientem, nadal musisz ustanowić relację GDAP, aby móc zarządzać subskrypcjami platformy Azure.

  1. Utwórz grupę zabezpieczeń (na przykład Azure Managers) w usłudze Microsoft Entra.
  2. Utwórz relację GDAP z rolą czytelnika katalogu.
  3. Ustaw grupę zabezpieczeń jako członka grupy agenta administracyjnego.

Po wykonaniu tej czynności będziesz mieć możliwość zarządzania subskrypcją platformy Azure klienta za pośrednictwem usługi AOBO. Nie można zarządzać subskrypcją za pośrednictwem interfejsu wiersza polecenia/programu PowerShell.

Czy mogę utworzyć plan platformy Azure dla klientów bez języka DAP i którzy nie mają relacji GDAP?

Tak, możesz utworzyć plan platformy Azure, nawet jeśli nie ma planu DAP lub GDAP z istniejącą relacją odsprzedawcy; jednak w celu zarządzania subskrypcją potrzebna będzie usługa DAP lub GDAP.

Dlaczego sekcja Szczegóły firmy na stronie Konto w obszarze Klienci nie wyświetla już szczegółów po usunięciu języka DAP?

Ponieważ partnerzy przechodzą z DAP do GDAP, muszą upewnić się, że istnieją następujące elementy, aby zobaczyć szczegóły firmy:

  • Aktywna relacja GDAP.
  • Przypisane są dowolne z następujących ról firmy Microsoft Entra: Administrator globalny, Czytelnicy katalogów, Czytelnik globalny. Zapoznaj się z tematem Udzielanie szczegółowych uprawnień do grup zabezpieczeń.
Dlaczego moja nazwa użytkownika jest zastępowana ciągiem "user_somenumber" w portal.azure.com, gdy istnieje relacja GDAP?

Gdy dostawca CSP loguje się do witryny Azure Portal klienta (portal.azure.come) przy użyciu poświadczeń dostawcy CSP i istnieje relacja GDAP, dostawca CSP zauważa, że jego nazwa użytkownika to "user_", po której następuje pewna liczba. Nie wyświetla rzeczywistej nazwy użytkownika, jak w języku DAP. Jest to celowe.

Zrzut ekranu przedstawiający nazwę użytkownika przedstawiającą zamianę.

Jakie są osie czasu zatrzymania dap i udzielenia domyślnej GDAP przy tworzeniu nowego klienta?
Typ dzierżawy Data udostępnienia Zachowanie interfejsu API Centrum partnerskiego (POST /v1/customers)
enableGDAPByDefault: true
Zachowanie interfejsu API Centrum partnerskiego (POST /v1/customers)
enableGDAPByDefault: false
Zachowanie interfejsu API Centrum partnerskiego (POST /v1/customers)
Brak zmian w żądaniu lub ładunku
Zachowanie interfejsu użytkownika Centrum partnerskiego
Piaskownica 25 września 2023 r. (tylko interfejs API) DAP = Nie. Domyślna GDAP = Tak DAP = Nie. Domyślna GDAP = Nie DAP = Tak. Domyślna GDAP = Nie Domyślna GDAP = Tak
Produkcyjne 10 października 2023 r. (interfejs API i interfejs użytkownika) DAP = Nie. Domyślna GDAP = Tak DAP = Nie. Domyślna GDAP = Nie DAP = Tak. Domyślna GDAP = Nie Dostępna rezygnacja/wyrażanie: Domyślna GDAP
Produkcyjne 27 listopada 2023 r. (wdrożenie ogólnodostępne zostało zakończone 2 grudnia) DAP = Nie. Domyślna GDAP = Tak DAP = Nie. Domyślna GDAP = Nie DAP = Nie. Domyślna GDAP = Tak Dostępna rezygnacja/wyrażanie: Domyślna GDAP

Partnerzy muszą jawnie udzielać szczegółowych uprawnień do grup zabezpieczeń w domyślnej usłudze GDAP.
Od 10 października 2023 r. platforma DAP nie jest już dostępna z relacjami odsprzedawcy. Zaktualizowany link Relacja odsprzedawcy żądań jest dostępny w interfejsie użytkownika Centrum partnerskiego, a adres URL właściwości "/v1/customers/relationship requests" zwraca adres URL zaproszenia do wysłania do administratora dzierżawy klienta.

Czy partner powinien udzielić szczegółowych uprawnień do grup zabezpieczeń w domyślnej usłudze GDAP?

Tak, partnerzy muszą jawnie udzielić szczegółowych uprawnień do grup zabezpieczeń w domyślnej GDAP do zarządzania klientem.

Jakie akcje mogą współpracować z relacją odsprzedawcy, ale nie daP i bez GDAP w Centrum partnerskim?

Partnerzy z relacją odsprzedawcy tylko bez języka DAP lub GDAP mogą tworzyć klientów, składać zamówienia i zarządzać nimi, pobierać klucze oprogramowania, zarządzać wystąpieniami zarezerwowanymi platformy Azure. Nie mogą wyświetlać szczegółów firmy klienta, nie mogą wyświetlać użytkowników ani przypisywać licencji do użytkowników, nie mogą rejestrować biletów w imieniu klientów i nie mogą uzyskiwać dostępu do centrów administracyjnych specyficznych dla produktu i administrować nimi (na przykład centrum administracyjne usługi Teams).

Aby partner lub CPV mógł uzyskiwać dostęp do dzierżawy klienta i zarządzać nią, jednostka usługi aplikacji musi być wyrażona w dzierżawie klienta. Gdy usługa DAP jest aktywna, musi dodać jednostkę usługi aplikacji do administratora agentów SG w dzierżawie partnera. W przypadku aplikacji GDAP partner musi upewnić się, że aplikacja jest wyrażana w dzierżawie klienta. Jeśli aplikacja korzysta z delegowanych uprawnień (aplikacji i użytkownika), a aktywna aplikacja GDAP istnieje z dowolną z trzech ról (administrator aplikacji w chmurze, administrator aplikacji, administrator globalny) interfejs API zgody może być używany. Jeśli aplikacja używa tylko uprawnień aplikacji, musi ona zostać ręcznie wyrażona na zgodę przez partnera lub klienta z dowolną z trzech ról (administrator aplikacji w chmurze, administrator aplikacji, administrator globalny), przy użyciu adresu URL zgody administratora dla całej dzierżawy.

Jaką akcję musi wykonać partner w przypadku błędu 715-123220 lub anonimowych połączeń nie są dozwolone dla tej usługi?

Jeśli widzisz następujący błąd:

"Nie możemy w tej chwili zweryfikować żądania "Utwórz nową relację GDAP". Należy poinformować, że połączenia anonimowe nie są dozwolone dla tej usługi. Jeśli uważasz, że ten komunikat został wyświetlony w błędzie, spróbuj ponownie wysłać żądanie. Kliknij, aby dowiedzieć się więcej o akcji, którą możesz wykonać. Jeśli problem będzie się powtarzać, skontaktuj się z pomocą techniczną i kodem komunikatu referencyjnego 715-123220 i identyfikatorem transakcji: identyfikator guid".

Zmień sposób nawiązywania połączenia z firmą Microsoft w celu umożliwienia prawidłowego działania usługi weryfikacji tożsamości, aby zapewnić, że Twoje konto nie zostało naruszone i jest zgodne z przepisami, które firma Microsoft musi przestrzegać.

Czynności, które można wykonać:

  • Wyczyszczenie pamięci podręcznej przeglądarki.
  • Wyłącz zapobieganie śledzeniu w przeglądarce lub dodaj naszą witrynę do listy wyjątków/bezpiecznych witryn.
  • Wyłącz każdy używany program lub usługę wirtualnej sieci prywatnej (VPN).
  • Nawiąż połączenie bezpośrednio z urządzenia lokalnego, a nie za pośrednictwem maszyny wirtualnej.

Po wypróbowaniu tych kroków nadal nie możesz nawiązać połączenia, zalecamy skontaktowanie się z pomocą techniczną IT w celu sprawdzenia ustawień, aby sprawdzić, czy mogą one pomóc w zidentyfikowaniu przyczyn problemu. Czasami problem występuje w ustawieniach sieci firmy, w tym przypadku administrator IT musi rozwiązać ten problem, na przykład przez bezpieczne wyświetlenie naszej witryny lub innych korekt ustawień sieci.

Jakie akcje GDAP są dozwolone dla partnera, który jest odłączany (ograniczony, zawieszony) i odłączony?
  • Ograniczony (rachunek bezpośredni): Nie można utworzyć nowych relacji GDAP (relacje administracyjne). Istniejące GDAPs i ich przypisania ról MOŻNA zaktualizować.
  • Zawieszone (bezpośredni dostawca/dostawca pośredni/odsprzedawca pośredni): Nie można utworzyć nowej GDAP. Nie można zaktualizować istniejących elementów GDAPs i ich przypisań ról.
  • Ograniczony (rachunek bezpośredni) + aktywny (odsprzedawca pośredni): nie można utworzyć nowego rachunku bezpośredniego z ograniczeniami GDAP (relacje administracyjne). Istniejące GDAPs i ich przypisania ról MOŻNA zaktualizować. Dla aktywnego odsprzedawcy pośredniego: można utworzyć nowy GDAP, istniejące GDAPs i ich przypisania ról MOŻNA zaktualizować.

Nie można utworzyć odłączonego nowego modułu GDAP, nie można zaktualizować istniejących przypisań ról i ich przypisań ról.

Oferty

Czy zarządzanie subskrypcjami platformy Azure jest zawarte w tej wersji aplikacji GDAP?

Tak. Bieżąca wersja aplikacji GDAP obsługuje wszystkie produkty: Microsoft 365, Dynamics 365, Microsoft Power Platform i Microsoft Azure.