Perguntas frequentes sobre GDAP
Funções apropriadas: todos os usuários interessados no Partner Center
As permissões de administrador delegado granulares (GDAP) dão aos parceiros acesso às cargas de trabalho de seus clientes de uma forma mais granular e com limite de tempo, o que pode ajudar a resolver as preocupações de segurança do cliente.
Com o GDAP, os parceiros podem fornecer mais serviços aos clientes que podem se sentir desconfortáveis com os altos níveis de acesso ao parceiro.
O GDAP também ajuda os clientes que têm requisitos regulatórios a fornecer apenas acesso com privilégios mínimos aos parceiros.
Configuração de GDAP
Quem pode solicitar um relacionamento GDAP?
Alguém com a função de agente administrador em uma organização parceira pode criar uma solicitação de relacionamento GDAP.
Uma solicitação de relacionamento GDAP expira se o cliente não realizar nenhuma ação?
Sim. As solicitações de relacionamento GDAP expiram após 90 dias.
Posso tornar permanente um relacionamento GDAP com um cliente?
Não. As relações GDAP permanentes com os clientes não são possíveis por motivos de segurança. A duração máxima de uma relação GDAP é de dois anos. Você pode definir a extensão automática como Habilitada para estender uma relação de administrador por seis meses, até que seja encerrada ou a extensão automática seja definida como Desabilitada.
O relacionamento GDAP suporta o contrato empresarial?
Não, a relação GDAP não dá suporte a assinaturas adquiridas por meio de contratos empresariais.
Uma relação GDAP com a renovação automática/extensão automática de um cliente pode ser estendida?
Sim. Um relacionamento GDAP pode ser estendido automaticamente por seis meses até ser encerrado ou estendido automaticamente definido como Desabilitado.
O que devo fazer quando o relacionamento GDAP com um cliente expirar?
Se a relação GDAP com seu cliente expirar, solicite uma relação GDAP novamente.
Você pode usar a análise de relacionamento GDAP para rastrear as datas de expiração do relacionamento GDAP e se preparar para sua renovação.
Como um cliente pode estender ou renovar um relacionamento GDAP?
Para estender ou renovar uma relação GDAP, o parceiro ou cliente deve definir a extensão automática como Habilitada. Saiba mais em Gerenciar extensão automática e API GDAP.
Um GDAP ativo que expira em breve pode ser atualizado para extensão automática?
Sim, se o GDAP estiver ativo, ele poderá ser estendido.
Quando a extensão automática entra em ação?
Digamos que um GDAP seja criado por 365 dias com a extensão automática definida como Habilitada. No 365º dia, a Data de Término seria efetivamente atualizada em 180 dias.
Os e-mails seriam enviados quando a extensão automática fosse alternada entre Ativado/Desativado?
Nenhum e-mail seria enviado ao parceiro e ao cliente.
Um GDAP criado com PLT (Partner Led Tool), MLT (Microsoft Led Tool), interface do usuário do Partner Center, API do Partner Center pode ser estendido automaticamente?
Sim, qualquer GDAP ativo pode ser estendido automaticamente.
O consentimento do cliente é necessário para definir a extensão automática em relação aos GDAPs ativos existentes?
Não, o consentimento do cliente não é necessário para definir a extensão automática como Habilitado em relação a um GDAP ativo existente.
As permissões granulares devem ser reatribuídas aos grupos de segurança após a extensão automática?
Não, as permissões granulares atribuídas a grupos de segurança continuam como estão.
Uma relação de administrador com a função de Administrador Global pode ser estendida automaticamente?
Não, a relação de administrador com a função de Administrador Global não pode ser estendida automaticamente.
Por que não consigo ver a página Relações Granulares Expirando no espaço de trabalho Clientes?
A página Relações granulares expirando está disponível apenas para usuários parceiros com funções de Administradores Globais e Agente Administrador.
Esta página ajuda a filtrar GDAPs que expiram em diferentes linhas do tempo e ajuda a atualizar a extensão automática (ativar/desativar) para um ou mais GDAPs.
Se uma relação GDAP expirar, as assinaturas existentes do cliente serão afetadas?
Não. Não há alteração nas assinaturas existentes de um cliente quando uma relação GDAP expira.
Como um cliente pode redefinir sua senha e dispositivo MFA se estiver bloqueado em sua conta e não puder aceitar uma solicitação de relacionamento GDAP de um parceiro?
Consulte Solucionar problemas de autenticação multifator do Microsoft Entra e Não é possível usar a autenticação multifator do Microsoft Entra para entrar nos serviços de nuvem depois que você perder seu telefone ou o número de telefone for alterado para obter diretrizes.
Quais funções um parceiro precisa para redefinir uma senha de administrador e um dispositivo MFA se um administrador do cliente estiver bloqueado em sua conta e não puder aceitar uma solicitação de relacionamento GDAP de um parceiro?
O parceiro deve solicitar a função de administrador de autenticação privilegiada do Microsoft Entra ao criar o primeiro GDAP, para poder redefinir a senha e o método de autenticação para um usuário (administrador ou não administrador). A função de Administrador de Autenticação Privilegiada faz parte das funções que estão sendo configuradas pelo MLT (Microsoft Led Tool) e está planejada para estar disponível com o GDAP Padrão durante o fluxo Criar Cliente (planejado para setembro).
O parceiro pode fazer com que o administrador do cliente tente redefinir senha. Como precaução, o parceiro deve configurar a SSPR (redefinição de senha de autoatendimento) para seus clientes. Consulte Permitir que as pessoas redefinam suas próprias senhas.
Quem recebe um e-mail de notificação de rescisão de relacionamento GDAP?
Em uma organização parceira , as pessoas com a função de agente administrador recebem uma notificação de encerramento.
Em uma organização de cliente , as pessoas com a função de administrador global recebem uma notificação de encerramento.
Posso ver quando um cliente remove o GDAP nos logs de atividades?
Sim. Os parceiros podem ver quando um cliente remove o GDAP nos logs de atividades do Partner Center.
Preciso criar um relacionamento GDAP com todos os meus clientes?
Não. O GDAP é um recurso opcional para parceiros que desejam gerenciar os serviços de seus clientes de maneira mais granular e com prazo determinado. Você pode escolher com quais clientes deseja criar um relacionamento GDAP.
Se eu tiver vários clientes, preciso ter vários grupos de segurança para eles?
A resposta depende de como você deseja gerenciar seus clientes.
Se você quiser que seus usuários parceiros possam gerenciar todos os clientes, você pode colocar todos os seus usuários parceiros em um grupo de segurança e esse grupo pode gerenciar todos os seus clientes.
Se você preferir que vários usuários parceiros gerenciem vários clientes, atribua esses usuários parceiros a grupos de segurança separados para isolamento do cliente.
Os revendedores indiretos podem criar solicitações de relação GDAP no Partner Center?
Sim. Revendedores indiretos (e provedores indiretos e parceiros de cobrança direta) podem criar solicitações de relação GDAP no Partner Center.
Por que um usuário parceiro com GDAP não pode acessar uma carga de trabalho como AOBO (Admin On Behalf Of)?
Como parte da configuração do GDAP, verifique se os grupos de segurança criados no locatário do parceiro com usuários parceiros estão selecionados. Verifique também se as funções desejadas do Microsoft Entra são atribuídas ao grupo de segurança. Consulte Atribuir funções do Microsoft Entra.
Qual é a próxima etapa recomendada se a política de acesso condicional definida pelo cliente bloquear todo o acesso externo, incluindo o AOBO (acesso do CSP) ao locatário do cliente?
Os clientes agora podem excluir CSPs da política de acesso condicional para que os parceiros possam fazer a transição para o GDAP sem serem bloqueados.
Incluir usuários – essa lista de usuários normalmente inclui todos os usuários que uma organização está direcionando em uma política de Acesso Condicional.
As seguintes opções estão disponíveis para inclusão ao criar uma política de Acesso Condicional:
- Selecionar Usuários e grupos
- Usuários convidados ou externos (versão prévia)
- Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
- Usuários do provedor de serviços, por exemplo, um CSP (Provedor de Soluções na Nuvem).
- Um ou mais locatários podem ser especificados para os tipos de usuário selecionados ou você pode especificar todos os locatários.
- Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
- Usuários convidados ou externos (versão prévia)
Acesso de parceiro externo – as políticas de Acesso Condicional direcionadas a usuários externos podem interferir no acesso do provedor de serviços, por exemplo, privilégios de administrador delegado granulares. Para obter mais informações, consulte Introdução aos privilégios de administrador delegado granulares (GDAP). Para políticas destinadas a locatários de provedores de serviços, use o tipo de usuário externo Usuário do provedor de serviços disponível nas opções de seleção Convidado ou usuários externos.
Excluir usuários - Quando as organizações incluem e excluem um usuário ou grupo, o usuário ou grupo é excluído da política, pois uma ação de exclusão substitui uma ação de inclusão na política.
As seguintes opções estão disponíveis para exclusão ao criar uma política de Acesso Condicional:
- Usuários convidados ou externos
- Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
- Usuários de provedores de serviços, por exemplo, um provedor de soluções em nuvem (CSP)
- Um ou mais locatários podem ser especificados para os tipos de usuário selecionados ou você pode especificar todos os locatários.
- Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
Para saber mais, veja:
- Experiência da API do Graph: API Beta com as novas informações de tipo de usuário externo
- Política de acesso condicional
- Usuários externos de acesso condicional
Preciso de um relacionamento GDAP para criar tíquetes de suporte, embora tenha o Suporte Premier para Parceiros?
Sim, independentemente do plano de suporte que você tem, a função menos privilegiada para que os usuários parceiros possam criar tíquetes de suporte para seus clientes é Administrador de suporte de serviço.
O GDAP no status Aprovação Pendente pode ser encerrado pelo parceiro?
Não, o parceiro não pode encerrar um GDAP no status Aprovação pendente . Ele expiraria em 90 dias se o cliente não tomasse nenhuma ação.
Depois que uma relação GDAP for encerrada, posso reutilizar o mesmo nome da relação GDAP para criar uma nova relação?
Somente após 365 dias (limpeza) após a relação GDAP ser Encerrada ou Expirada, você poderá reutilizar o mesmo nome para criar uma nova relação GDAP.
Um parceiro em uma região pode gerenciar seus clientes em diferentes regiões?
Sim, um parceiro pode gerenciar seus clientes entre regiões sem criar novos locatários de parceiros por região do cliente. Observe que isso é aplicável somente à função de gerenciamento de clientes fornecida pelo GDAP (Admin Relationships). A função e os recursos da transação ainda estão limitados ao seu território autorizado
O provedor de serviços pode fazer parte de uma organização multilocatário?
Não, o provedor de serviços não pode fazer parte de uma organização multilocatário, eles são mutuamente exclusivos.
API de GDAP
As APIs estão disponíveis para criar um relacionamento GDAP com os clientes?
Para obter informações sobre APIs e GDAP, consulte a documentação do desenvolvedor do Partner Center.
Posso usar as APIs GDAP beta para produção?
Sim. Recomendamos que os parceiros usem as APIs GDAP beta para produção e, posteriormente, mudem para as APIs v.1 quando estiverem disponíveis.
Embora haja um aviso, "Não há suporte para o uso dessas APIs em aplicativos de produção", essa orientação genérica é para qualquer API beta no Graph e não é aplicável às APIs beta do GDAP Graph.
Posso criar vários relacionamentos de GDAP com clientes diferentes de uma só vez?
Sim. Os relacionamentos GDAP podem ser criados usando APIs, permitindo que os parceiros dimensionem esse processo. No entanto, a criação de várias relações GDAP não está disponível no Partner Center. Para obter informações sobre APIs e GDAP, consulte a documentação do desenvolvedor do Partner Center.
Vários grupos de segurança podem ser atribuídos em um relacionamento de GDAP usando uma chamada à API?
A API funciona para um grupo de segurança por vez, mas você pode mapear vários grupos de segurança para várias funções no Partner Center.
Como posso solicitar permissões de vários recursos para meu aplicativo?
Faça chamadas individuais para cada recurso. Ao fazer uma única solicitação POST, passe apenas um recurso e seus escopos correspondentes.
Por exemplo, para solicitar permissões para ambos e https://graph.windows.net/Directory.AccessAsUser.All
https://graph.microsoft.com/Organization.Read.All
, faça duas solicitações diferentes, uma para cada.
Como posso encontrar a ID do recurso para um determinado recurso?
Use o link fornecido para pesquisar o nome do recurso: Verificar aplicativos primários da Microsoft em relatórios de entrada – Active Directory. Exemplo:
Para localizar a ID do Recurso (exemplo: 00000003-0000-0000-c000-00000000000000000000 para graph.microsoft.com):
O que devo fazer se encontrar o erro "Request_UnsupportedQuery" com a mensagem: "Cláusula de filtro de consulta inválida ou sem suporte especificada para a propriedade 'appId' do recurso 'ServicePrincipal'"?
Esse erro geralmente ocorre quando um identificador incorreto é usado no filtro de consulta.
Para resolvê-lo, verifique se você está usando a propriedade enterpriseApplicationId com a ID de recurso correta, não o nome do recurso.
Solicitação incorreta
Para enterpriseApplicationId, não use um nome de recurso como graph.microsoft.com.
Solicitação correta
Em vez disso, para enterpriseApplicationId, use a ID do recurso, como 00000003-0000-0000-c000-0000000000000.
Como posso adicionar novos escopos ao recurso de um aplicativo que já foi consentido no locatário do cliente?
Exemplo: anteriormente em graph.microsoft.com escopo de "perfil" somente de recurso foi consentido. Agora queremos adicionar perfil e usuário.leia também.
Para adicionar novos escopos a um aplicativo consentido anteriormente:
Use o método DELETE para revogar o consentimento do aplicativo existente do locatário do cliente.
Use o método POST para criar um novo consentimento de aplicativo com os escopos adicionais.
Observação
Se o aplicativo exigir permissões para vários recursos, execute o método POST separadamente para cada recurso.
Como especifico vários escopos para um único recurso (enterpriseApplicationId)?
Concatene os escopos necessários usando uma vírgula seguida por um espaço. Exemplo: "scope": "profile, User.Read"
O que devo fazer se receber um erro "400 Bad Request" com a mensagem "Token não suportado. Não é possível inicializar o contexto de autorização"?
Confirme se as propriedades 'displayName' e 'applicationId' no corpo da solicitação são precisas e correspondem ao aplicativo que você está tentando consentir no locatário do cliente.
Verifique se você está usando o mesmo aplicativo para gerar o token de acesso que está tentando consentir no locatário do cliente.
Exemplo: se a ID do aplicativo for "12341234-1234-1234-12341234", a declaração "appId" no token de acesso também deverá ser "12341234-1234-1234-12341234".
Verifique se uma das seguintes condições foi atendida:
Você tem um DAP (Privilégio de Administrador Delegado) ativo e o usuário também é membro do grupo Segurança de Agentes Administrativos no locatário do parceiro.
Você tem uma relação GDAP (Privilégio de Administrador Delegado Granular) ativa com o locatário do Cliente com pelo menos uma das três funções GDAP a seguir e concluiu a Atribuição de Acesso:
- Função de Administrador Global, Administrador de Aplicativos ou Administrador de Aplicativos de Nuvem.
- O usuário parceiro é membro do Grupo de Segurança especificado na Atribuição de Acesso.
Funções
Quais funções de GDAP são necessárias para acessar uma assinatura do Azure?
Para gerenciar o Azure com particionamento de acesso por cliente (que é a prática recomendada recomendada), crie um grupo de segurança (como Gerentes do Azure) e aninhe-o em Agentes de administração.
Para acessar uma assinatura do Azure como proprietário de um cliente, você pode atribuir qualquer função interna do Microsoft Entra (como leitores de diretório, a função com privilégios mínimos) ao grupo de segurança Gerentes do Azure.
Para obter as etapas de configuração do GDAP do Azure, consulte Cargas de trabalho compatíveis com GDAP (privilégios de administrador delegado) granulares.
Há diretrizes sobre as funções com privilégios mínimos que posso atribuir aos usuários para tarefas específicas?
Sim. Para obter informações sobre como restringir as permissões de administrador de um usuário atribuindo funções com privilégios mínimos no Microsoft Entra, consulte Funções com privilégios mínimos por tarefa no Microsoft Entra.
Qual é a função com privilégios mínimos que posso atribuir ao locatário de um cliente e ainda poder criar tíquetes de suporte para o cliente?
Recomendamos atribuir a função de administrador de suporte de serviço. Para saber mais, consulte Funções com privilégios mínimos por tarefa no Microsoft Entra.
Quais funções do Microsoft Entra foram disponibilizadas na interface do usuário do Partner Center em julho de 2024?
Para reduzir a lacuna entre as funções do Microsoft Entra disponíveis via. API do Partner Center vs. interface do usuário, abaixo da lista de 9 funções foram disponibilizadas na interface do usuário do Partner Center em julho de 2024.
Em Colaboração:
- Administrador do Edge
- Administrador de visitas virtuais
- Administrador do Viva Goals
- Administrador do Viva Pulse
- Administrador do Yammer
Em Identidade:
- Administrador de gerenciamento de permissões
- Administrador de fluxos de trabalho do ciclo de vida
Em Outros:
- Administrador de identidade visual organizacional
- Aprovador de mensagens organizacionais
Posso abrir tíquetes de suporte para um cliente em uma relação GDAP da qual todas as funções do Microsoft Entra foram excluídas?
Não. A função menos privilegiada para que os usuários parceiros possam criar tíquetes de suporte para seus clientes é o administrador de suporte do serviço. Portanto, para poder criar tíquetes de suporte para o cliente, um usuário parceiro deve estar em um grupo de segurança e ser atribuído a esse cliente com essa função.
Onde posso encontrar informações sobre todas as funções e cargas de trabalho incluídas no GDAP?
Para obter informações sobre todas as funções, consulte Funções internas do Microsoft Entra.
Para obter informações sobre cargas de trabalho, consulte Cargas de trabalho compatíveis com GDAP (privilégios de administrador delegado granular).
Qual função GDAP dá acesso ao Centro de Administração do Microsoft 365?
Muitas funções são usadas para o Centro de Administração do Microsoft 365. Para obter mais informações, confira Funções do centro de administração do Microsoft 365 frequentemente usadas.
Posso criar grupos de segurança personalizados para GDAP?
Sim. Crie um grupo de segurança, atribua funções aprovadas e atribua usuários de locatário de parceiro a esse grupo de segurança.
Quais funções GDAP fornecem acesso somente leitura às assinaturas do cliente e, portanto, não permitem que o usuário as gerencie?
O acesso somente leitura às assinaturas do cliente é fornecido pelas funções de suporte Leitor global, Leitor de diretório e Nível 2 do parceiro.
Que função devo atribuir aos meus agentes parceiros (atualmente agentes administradores) se quiser que eles gerenciem o locatário do cliente, mas não modifiquem as assinaturas do cliente?
Recomendamos remover os agentes parceiros da função Agente administrador e adicioná-los somente a um grupo de segurança GDAP. Dessa forma, eles podem administrar serviços (gerenciamento de serviços e solicitações de serviço de log, por exemplo), mas não podem comprar e gerenciar assinaturas (alterar quantidade, cancelar, agendar alterações e assim por diante).
O que acontece se um cliente conceder funções GDAP ao parceiro e, em seguida, remover funções ou romper a relação GDAP?
Os grupos de segurança atribuídos ao relacionamento perdem o acesso a esse cliente. A mesma coisa acontece se um cliente encerrar um relacionamento DAP.
Um parceiro pode continuar a fazer transações para um cliente depois de remover toda a relação GDAP com o cliente?
Sim, a remoção das relações GDAP com um cliente não encerra a relação de revendedor dos parceiros com o cliente. Os parceiros ainda podem comprar produtos para o cliente e gerenciar o orçamento do Azure e outras atividades relacionadas.
Algumas funções em meu relacionamento GDAP com meu cliente podem ter um tempo de expiração mais longo do que outras?
Não. Todas as funções em uma relação GDAP têm o mesmo tempo de expiração: a duração escolhida quando a relação foi criada.
Preciso do GDAP para atender a pedidos de clientes novos e existentes no Partner Center?
Não. Você não precisa do GDAP para atender pedidos de clientes novos e existentes. Você pode continuar usando o mesmo processo para atender aos pedidos de clientes no Partner Center.
Preciso atribuir uma função de agente parceiro a todos os clientes ou posso atribuir uma função de agente parceiro a apenas um cliente?
As relações GDAP são por cliente. Você pode ter vários relacionamentos por cliente. Cada relação GDAP pode ter funções diferentes e usar diferentes grupos do Microsoft Entra em seu locatário CSP.
No Partner Center, a atribuição de função funciona no nível de relação cliente-GDAP. Se quiser atribuir funções a vários clientes, você pode automatizar o uso de APIs.
Um usuário parceiro pode ter funções GDAP e uma conta de convidado?
As contas de convidado não funcionam com GDAP. Os clientes devem remover todas as contas de convidado para que o GDAP funcione.
Preciso de DAP/GDAP para provisionamento de assinatura do Azure?
Não, você não precisa de DAP ou GDAP para comprar Planos do Azure e provisionar assinaturas do Azure para um cliente. O processo para criar uma assinatura do Azure para um cliente está documentado em Criar uma assinatura para o cliente de um parceiro – Gerenciamento de Custos da Microsoft + Cobrança. Por padrão, o grupo Agentes Administrativos no locatário do Parceiro se torna o proprietário das Assinaturas do Azure provisionadas para o cliente. Entre no portal do Azure usando sua ID do Partner Center.
Para provisionar o acesso ao cliente, você precisa de uma relação GDAP. A relação GDAP deve incluir, no mínimo, a função Microsoft Entra de Leitores de Diretório. Para provisionar o acesso no Azure, use a página de controle de acesso (IAM). Para AOBO, entre no Partner Center e use a página Gerenciamento de Serviços para provisionar o acesso ao cliente.
Quais funções do Microsoft Entra têm suporte no GDAP?
Atualmente, o GDAP dá suporte apenas a funções internas do Microsoft Entra. Não há suporte para funções personalizadas do Microsoft Entra.
Por que os administradores do GDAP + usuários B2B não conseguem adicionar métodos de autenticação no aka.ms/mysecurityinfo?
Os administradores convidados do GDAP não conseguem gerenciar suas próprias informações de segurança em Minhas informações de segurança. Em vez disso, eles precisarão da assistência do administrador do locatário em que são convidados para qualquer registro, atualização ou exclusão de informações de segurança. As organizações podem configurar políticas de acesso entre locatários para confiar na MFA do locatário CSP confiável. Caso contrário, os administradores convidados GDAP serão limitados apenas a métodos registráveis pelo administrador de locatários (que é SMS ou Voz). Para saber mais, consulte Políticas de acesso entre locatários.
Quais funções um parceiro pode usar para habilitar a extensão automática?
Alinhando-se ao princípio orientador de Zero Trust: Use o acesso com privilégios mínimos:
- Recomendamos o uso de uma função com privilégios mínimos por tarefa e tarefas de carga de trabalho Cargas de trabalho com suporte por GDAP (privilégios de administrador delegado granular) com suporte
- Quando for necessário contornar os problemas conhecidos listados, trabalhe com seu cliente para solicitar uma função de Administrador Global com limite de tempo.
- Não recomendamos substituir a função de Administrador Global por todas as funções possíveis do Microsoft Entra.
DAP e GDAP
O GDAP está substituindo o DAP?
Sim. Durante o período de transição, o DAP e o GDAP coexistirão, com as permissões GDAP tendo precedência sobre as permissões DAP para cargas de trabalho do Microsoft 365, Dynamics 365 e Azure .
Posso continuar a usar o DAP ou preciso fazer a transição de todos os meus clientes para o GDAP?
DAP e GDAP coexistem durante o período de transição. No entanto, o GDAP acabará substituindo o DAP para garantir que forneçamos uma solução mais segura para nossos parceiros e clientes. É aconselhável que você faça a transição de seus clientes para o GDAP o mais rápido possível para garantir a continuidade.
Ainda que o DAP e o GDAP coexistam, haverá alterações na forma como um relacionamento do DAP é criado?
Não haverá alterações no fluxo de relacionamento do DAP existente enquanto o DAP e o GDAP coexistirem.
Quais funções do Microsoft Entra seriam concedidas para GDAP padrão como parte de Criar cliente?
No momento, o DAP é concedido quando um locatário do cliente é criado. A partir de 25 de setembro de 2023, a Microsoft não concederá mais DAP para a criação de novos clientes e, em vez disso, concederá GDAP padrão com funções específicas. As funções padrão variam de acordo com o tipo de parceiro, conforme mostrado na tabela a seguir:
Funções do Microsoft Entra concedidas para GDAP padrão | Parceiros de cobrança direta | Provedores indiretos | Revendedores indiretos | Parceiros de domínio | Fornecedores de painéis de controle (CPVs) | Supervisor | Recusado o GDAP padrão (sem DAP) |
---|---|---|---|---|---|---|---|
1. Leitores de diretório. Pode ler informações básicas do diretório. Normalmente usado para conceder acesso de leitura de diretório a aplicativos e convidados. | x | x | x | x | x | ||
2. Escritores de diretórios. Pode fazer a leitura e gravação de informações básicas do diretório. Para permitir acesso a aplicativos, não destinado a usuários. | x | x | x | x | x | ||
3. Administrador de licenças. Pode gerenciar licenças de produto em usuários e grupos. | x | x | x | x | x | ||
4. Administrador de Suporte de Serviço. Pode ler informações de integridade do serviço e gerenciar os tíquetes de suporte. | x | x | x | x | x | ||
5. Administrador do usuário. Pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados. | x | x | x | x | x | ||
6. Administrador de função privilegiada. Pode gerenciar atribuições de função no Microsoft Entra e todos os aspectos do Privileged Identity Management. | x | x | x | x | x | ||
7. Administrador de helpdesk. Pode redefinir senhas para não administradores e administradores de Help Desk. | x | x | x | x | x | ||
8. Administrador de autenticação privilegiada. Pode acessar para exibir, definir e redefinir informações do método de autenticação para qualquer usuário (administrador ou não administrador). | x | x | x | x | x | ||
9. Administrador de aplicativos em nuvem. Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais, exceto o proxy de aplicativo. | x | x | x | x | |||
10. Administrador de aplicativos. Pode criar e gerenciar todos os aspectos de registros de aplicativo e aplicativos empresariais. | x | x | x | x | |||
11. Leitor Global. Pode ler tudo o que um administrador global pode, mas não pode atualizar nada. | x | x | x | x | x | ||
12. Administrador do provedor de identidade externo. Pode gerenciar a federação entre organizações do Microsoft Entra e provedores de identidade externos. | x | ||||||
13. Administrador de Nomes de Domínio. Pode gerenciar nomes de domínio na nuvem e no local. | x |
Como o GDAP funcionará com o Privileged Identity Management no Microsoft Entra?
Os parceiros podem implementar o PIM (Privileged Identity Management) em um grupo de segurança GDAP no locatário do parceiro para elevar o acesso de alguns usuários de alto privilégio, JIT (just in time) para conceder a eles funções de alto privilégio, como administradores de senha, com remoção automática de acesso.
Até janeiro de 2023, era necessário que cada Grupo de Acesso Privilegiado (antigo nome do recurso PIM para Grupos ) estivesse em um grupo atribuível a função. Esta restrição foi removida. Diante disso, é possível habilitar mais de 500 grupos por locatário no PIM, mas apenas até 500 grupos podem ser atribuídos a funções.
Resumo:
Os parceiros podem usar grupos atribuíveis a funções e não atribuíveis a funções no PIM. Isso remove efetivamente o limite de 500 grupos/locatário no PIM.
Com as atualizações mais recentes, haverá duas maneiras de integrar o grupo ao PIM (em termos de UX): no menu PIM ou no menu Grupos. Independentemente da maneira que você escolher, o resultado líquido é o mesmo.
A capacidade de integrar grupos atribuíveis/não atribuíveis a funções por meio do menu PIM já está disponível.
A capacidade de integrar grupos atribuíveis/não atribuíveis por função por meio do menu Grupos já está disponível.
Para obter mais informações, consulte PIM (Privileged Identity Management) para Grupos (versão prévia) – Microsoft Entra.
Como o DAP e o GDAP coexistem se um cliente comprar o Microsoft Azure e o Microsoft 365 ou o Dynamics 365?
O GDAP está em disponibilidade geral com suporte para todos os serviços de nuvem comerciais da Microsoft (cargas de trabalho do Microsoft 365, Dynamics 365, Microsoft Azure e Microsoft Power Platform ). Para obter mais informações sobre como o DAP e o GDAP podem coexistir e como o GDAP tem precedência, consulte Como o GDAP terá precedência sobre o DAP.
Tenho uma grande base de clientes (10.000 contas de clientes, por exemplo). Como faço a transição do DAP para o GDAP?
Essa ação pode ser realizada por APIs.
Os ganhos do meu parceiro de crédito ganho (PEC) serão afetados quando eu fizer a transição do DAP para o GDAP? Haverá algum efeito no Partner Admin Link (PAL)?
Não. Seus ganhos de PEC não serão afetados quando você fizer a transição para o GDAP. Não há alterações no PAL com a transição, garantindo que você continue ganhando PEC.
A PEC é afetada quando o DAP/GDAP é removido?
- Se o cliente de um parceiro tiver apenas DAP e o DAP for removido, o PEC não será perdido.
- Se o cliente de um parceiro tiver o DAP e ele migrar para o GDAP para Office e Azure simultaneamente e o DAP for removido, o PEC não será perdido.
- Se o cliente do parceiro tiver o DAP e ele mudar para o GDAP para Office, mas mantiver o Azure como está (ele não se move para o GDAP) e o DAP for removido, o PEC não será perdido, mas o acesso à assinatura do Azure será perdido.
- Se uma função RBAC for removida, o PEC será perdido, mas a remoção do GDAP não removerá o RBAC.
Como as permissões GDAP têm precedência sobre as permissões DAP enquanto o DAP e o GDAP coexistem?
Quando o usuário faz parte do grupo de segurança GDAP e do grupo de agentes de administração do DAP e o cliente tem relacionamentos DAP e GDAP, o acesso GDAP tem precedência no nível do parceiro, do cliente e da carga de trabalho.
Por exemplo, se um usuário parceiro entrar para uma determinada carga de trabalho e houver DAP para a função de administrador global e GDAP para a função de leitor global, o usuário parceiro só obterá permissões de leitor global.
Se houver três clientes com atribuições de funções GDAP apenas para o grupo de segurança GDAP (não agentes administrativos):
Customer | Relacionamento com parceiro |
---|---|
Cliente 1 | DAP (não GDAP) |
Cliente 2 | DAP e GDAP |
Cliente 3 | GDAP (não DAP) |
A tabela a seguir descreve quando um usuário entra em um locatário de cliente diferente.
Usuário de exemplo | Exemplo de locatário do cliente | Comportamento | Comentários |
---|---|---|---|
Usuário 1 | Cliente 1 | DAP | Este exemplo é o DAP no estado em que se encontra. |
Usuário 1 | Cliente 2 | DAP | Não há nenhuma atribuição de função GDAP ao grupo Agentes administradores, o que resulta no comportamento do DAP. |
Usuário 1 | Cliente 3 | Sem acesso | Não há relação DAP, portanto, o grupo Agentes administradores não tem acesso ao cliente 3. |
Usuário 2 | Cliente 1 | DAP | Este exemplo é o DAP no estado em que se encontra |
Usuário 2 | Cliente 2 | GDAP | O GDAP tem precedência sobre o DAP porque há uma função GDAP atribuída ao usuário 2 por meio do grupo de segurança GDAP, mesmo que o usuário faça parte do grupo de agentes Admin. |
Usuário 2 | Cliente 3 | GDAP | Este exemplo é um cliente somente GDAP. |
Usuário 3 | Cliente 1 | Sem acesso | Não há atribuição de função GDAP para o cliente 1. |
Usuário 3 | Cliente 2 | GDAP | O usuário 3 não faz parte do grupo de agentes administradores, o que resulta em um comportamento somente GDAP. |
Usuário 3 | Cliente 3 | GDAP | Comportamento somente GDAP |
A desativação do DAP ou a transição para o GDAP afetará meus benefícios de competência legados ou designações de Parceiro de Soluções que obtive?
O DAP e o GDAP não são tipos de associação qualificados para designações de Parceiro de Soluções e desabilitar ou fazer a transição do DAP para o GDAP não afetará a obtenção de designações de Parceiro de Soluções. Sua renovação de benefícios de competência legada ou benefícios de parceiro de soluções também não será afetada.
Acesse Designações de parceiros de soluções do Partner Center para exibir quais outros tipos de associação de parceiros estão qualificados para designações de parceiros de soluções.
Como o GDAP funciona com o Azure Lighthouse? O GDAP e o Azure Lighthouse afetam um ao outro?
Sobre o relacionamento entre o Azure Lighthouse e o DAP/GDAP, pense neles como caminhos paralelos desacoplados para os recursos do Azure, portanto, desativar um não deverá afetar o outro.
No cenário do Azure Lighthouse, os usuários do locatário do parceiro nunca entram no locatário do cliente e não têm nenhuma permissão do Microsoft Entra no locatário do cliente. As atribuições de função RBAC do Azure deles também são mantidas no locatário do parceiro.
No cenário GDAP, os usuários do locatário do parceiro entram no locatário do cliente e a atribuição de função RBAC do Azure para o grupo de agentes administradores também está no locatário do cliente. Você pode bloquear o caminho GDAP (os usuários não podem mais entrar) enquanto o caminho do Azure Lighthouse não for afetado. Por outro lado, você pode desativar o relacionamento com o Lighthouse (projeção) sem afetar o GDAP. Para obter mais informações, consulte a documentação do Azure Lighthouse .
Como o GDAP funciona com o Microsoft 365 Lighthouse?
Os MSPs (Provedores de Serviços Gerenciados) registrados no programa CSP (Provedor de Soluções na Nuvem) como revendedores indiretos ou parceiros de cobrança direta agora podem usar o Microsoft 365 Lighthouse para configurar o GDAP para qualquer locatário do cliente. Como já existem algumas maneiras pelas quais os parceiros já estão gerenciando sua transição para o GDAP, esse assistente permite que os parceiros do Lighthouse adotem recomendações de função específicas para suas necessidades de negócios. Também permite que eles adotem medidas de segurança, como acesso just-in-time (JIT). Os MSPs também podem criar modelos GDAP por meio do Lighthouse para salvar e reaplicar facilmente as configurações que permitem o acesso de clientes com privilégios mínimos. Para obter mais informações e exibir uma demonstração, consulte o assistente de configuração GDAP do Lighthouse.
Os MSPs podem configurar o GDAP para qualquer locatário do cliente no Lighthouse. Para acessar os dados de carga de trabalho do cliente no Lighthouse, é necessário um relacionamento GDAP ou DAP. Se o GDAP e o DAP coexistirem em um locatário do cliente, as permissões GDAP terão precedência para técnicos MSP em grupos de segurança habilitados para GDAP. Para obter mais informações sobre os requisitos do Microsoft 365 Lighthouse, consulte Requisitos do Microsoft 365 Lighthouse.
Qual é a melhor maneira de migrar para o GDAP e remover o DAP sem perder o acesso às assinaturas do Azure se eu tenho clientes com o Azure?
A sequência correta a seguir para este cenário é:
- Crie um relacionamento com o GDAP para Microsoft 365 e para o Azure.
- Atribua funções do Microsoft Entra a grupos de segurança para o Microsoft 365 e o Azure.
- Configure o GDAP para ter precedência sobre o DAP.
- Remova o DAP.
Importante
Se você não seguir essas etapas, os agentes administrativos existentes que gerenciam o Azure poderão perder o acesso às assinaturas do Azure para o cliente.
A sequência a seguir pode resultar na perda de acesso às assinaturas do Azure:
Remova o DAP.
Você não perderá necessariamente o acesso a uma assinatura do Azure removendo o DAP. Mas, no momento, você não pode navegar no diretório do cliente para fazer nenhuma atribuição de função RBAC do Azure (como atribuir um novo usuário cliente como colaborador do RBAC de assinatura).
Crie uma relação GDAP para o Microsoft 365 e o Azure juntos.
Você pode perder o acesso à assinatura do Azure nesta etapa assim que o GDAP for configurado.
Atribuir funções do Microsoft Entra a grupos de segurança para o Microsoft 365 e o Azure
Você recuperará o acesso às assinaturas do Azure após a conclusão da configuração do GDAP do Azure.
Tenho clientes com assinaturas do Azure sem DAP. Se eu movê-los para o GDAP para Microsoft 365, perderei o acesso às assinaturas do Azure?
Se você tiver assinaturas do Azure sem DAP que gerencia como proprietário, adicionando GDAP para Microsoft 365 a esse cliente, poderá perder o acesso às assinaturas do Azure. Para evitar isso, mova o cliente para o Azure GDAP ao mesmo tempo em que move o cliente para o Microsoft 365 GDAP.
Importante
Se essas etapas não forem seguidas, os agentes administrativos existentes que gerenciam o Azure poderão perder o acesso às assinaturas do Azure para o cliente.
Um único link de relacionamento pode ser usado com vários clientes?
Não. Relacionamentos, uma vez aceitos, não são reutilizáveis.
Se eu tiver uma relação de revendedor com clientes sem DAP e que não têm relação GDAP, poderei acessar sua assinatura do Azure?
Se você tiver uma relação de revendedor existente com o cliente, ainda precisará estabelecer uma relação GDAP para poder gerenciar suas assinaturas do Azure.
- Crie um grupo de segurança (por exemplo, Gerentes do Azure) no Microsoft Entra.
- Crie uma relação GDAP com a função de leitor de diretório.
- Torne o grupo de segurança um membro do grupo Agente Administrador .
Depois que isso for feito, você poderá gerenciar a assinatura do Azure do seu cliente por meio do AOBO. A assinatura não pode ser gerenciada por meio da CLI/Powershell.
Posso criar um plano do Azure para clientes sem DAP e que não têm relação GDAP?
Sim, você pode criar um plano do Azure mesmo que não haja DAP ou GDAP com uma relação de revendedor existente; no entanto, para gerenciar essa assinatura, você precisará do DAP ou do GDAP.
Por que a seção Detalhes da empresa na página Conta em Clientes não exibe mais detalhes quando o DAP é removido?
À medida que os parceiros fazem a transição do DAP para o GDAP, eles devem garantir que o seguinte esteja em vigor para ver os detalhes da empresa:
- Uma relação GDAP ativa.
- Qualquer uma das seguintes funções do Microsoft Entra é atribuída: Administrador Global, Leitores de Diretório, Leitor Global. Consulte conceder permissões granulares a grupos de segurança.
Por que meu nome de usuário é substituído por "user_somenumber" em portal.azure.com quando existe uma relação GDAP?
Quando um CSP faz logon no portal do Azure do cliente (portal.azure.come) usando suas credenciais do CSP e existe uma relação GDAP, o CSP percebe que seu nome de usuário é "user_" seguido por algum número. Ele não exibe seu nome de usuário real como no DAP. Isso ocorre por design.
Quais são os cronogramas para interromper o DAP e conceder GDAP padrão com a criação de um novo cliente?
Tipo de locatário | Data de disponibilidade | Comportamento da API do Partner Center (POST /v1/customers) enableGDAPByDefault: verdadeiro |
Comportamento da API do Partner Center (POST /v1/customers) enableGDAPByDefault: falso |
Comportamento da API do Partner Center (POST /v1/customers) Nenhuma alteração na solicitação ou na carga |
Comportamento da interface do usuário do Partner Center |
---|---|---|---|---|---|
Área restrita | 25 de setembro de 2023 (somente API) | DAP = Não. GDAP padrão = Sim | DAP = Não. GDAP padrão = Não | DAP = Sim. GDAP padrão = Não | GDAP padrão = Sim |
Produção | 10 de outubro de 2023 (API + interface do usuário) | DAP = Não. GDAP padrão = Sim | DAP = Não. GDAP padrão = Não | DAP = Sim. GDAP padrão = Não | Aceitação/recusa disponível: GDAP padrão |
Produção | 27 de novembro de 2023 (lançamento do GA concluído em 2 de dezembro) | DAP = Não. GDAP padrão = Sim | DAP = Não. GDAP padrão = Não | DAP = Não. GDAP padrão = Sim | Aceitação/recusa disponível: GDAP padrão |
Os parceiros devem conceder explicitamente permissões granulares a grupos de segurança no GDAP Padrão.
A partir de 10 de outubro de 2023, o DAP não estará mais disponível com relacionamentos de revendedor. O link Solicitar Relação de Revendedor atualizado está disponível na interface do usuário do Partner Center e a URL da propriedade "/v1/customers/relationship requests" do contrato de API retorna a URL de convite a ser enviada ao administrador do locatário do cliente.
Um parceiro deve conceder permissões granulares a grupos de segurança no GDAP padrão?
Sim, os parceiros devem conceder explicitamente permissões granulares a grupos de segurança no GDAP padrão para gerenciar o cliente.
Quais ações um parceiro com relação de revendedor, mas sem DAP e sem GDAP, pode executar no Partner Center?
Os parceiros com relacionamento de revendedor somente sem DAP ou GDAP podem criar clientes, fazer e gerenciar pedidos, baixar chaves de software e gerenciar a RI do Azure. Eles não podem exibir os detalhes da empresa do cliente, não podem exibir usuários ou atribuir licenças aos usuários, não podem registrar tíquetes em nome dos clientes e não podem acessar e administrar centros de administração específicos do produto (por exemplo, centro de administração do Teams).
Que ação um parceiro deve realizar ao passar do DAP para o GDAP em relação ao consentimento?
Para que um parceiro ou CPV acesse e gerencie um locatário do cliente, a entidade de serviço do aplicativo deve ser consentida no locatário do cliente. Quando o DAP está ativo, eles devem adicionar a entidade de serviço do aplicativo ao SG de Agentes Administrativos no locatário do parceiro. Com o GDAP, o parceiro deve garantir que seu aplicativo seja consentido no locatário do cliente. Se o aplicativo usar permissões delegadas (Aplicativo + Usuário) e existir um GDAP ativo com qualquer uma das três funções (Administrador de Aplicativos de Nuvem, Administrador de Aplicativos, Administrador Global), a API de consentimento poderá ser usada. Se o aplicativo usar permissões somente de aplicativo, ele deverá ser consentido manualmente, seja pelo parceiro ou cliente com qualquer uma das três funções (Administrador de Aplicativos de Nuvem, Administrador de Aplicativos, Administrador Global), usando a URL de consentimento do administrador em todo o locatário.
Que ação um parceiro deve executar para um erro 715-123220 ou conexões anônimas não são permitidas para este serviço?
Se você estiver vendo o seguinte erro:
"Não podemos validar sua solicitação de 'Criar novo relacionamento GDAP' no momento. Esteja ciente de que conexões anônimas não são permitidas para este serviço. Se você acredita que recebeu esta mensagem por engano, tente sua solicitação novamente. Clique para saber mais sobre a ação que você pode tomar. Se o problema persistir, entre em contato com o suporte e consulte o código de mensagem 715-123220 e o ID da transação: guid."
Altere a forma como você se conecta à Microsoft para permitir que nosso serviço de verificação de identidade seja executado corretamente, para que possamos garantir que sua conta não tenha sido comprometida e esteja em conformidade com os regulamentos que a Microsoft deve cumprir.
O que você pode fazer:
- Limpar o cache do navegador.
- Desativar a prevenção de rastreamento em seu navegador ou adicionar nosso site à sua lista de exceções/sites seguros.
- Desativar qualquer programa ou serviço de rede privada virtual (VPN) que você possa estar usando.
- Conectar-se diretamente do seu dispositivo local, em vez de por meio de uma máquina virtual (VM).
Depois de tentar essas etapas, você ainda não consegue se conectar, sugerimos consultar seu Help Desk de TI para verificar suas configurações e ver se eles podem ajudar a identificar o que está causando o problema. Às vezes, o problema está nas configurações de rede da sua empresa, caso em que seu administrador de TI precisaria resolver o problema, por exemplo, colocando nosso site na lista segura ou outros ajustes nas configurações de rede.
Quais ações GDAP são permitidas para um parceiro que está fora de serviço (restrito, suspenso) e desligado?
- Restrito (Cobrança Direta): Novo GDAP (Relações de Administrador) NÃO PODE ser criado. Os GDAPs existentes e suas atribuições de função PODEM ser atualizados.
- Suspenso (Fatura Direta/Provedor Indireto/Revendedor Indireto): Novo GDAP NÃO PODE ser criado. Os GDAPs existentes e suas atribuições de função NÃO PODEM ser atualizados.
- Restrito (Faturamento Direto) + Ativo (Revendedor Indireto): Para Faturamento Direto Restrito: Novo GDAP (Relações de Administrador) NÃO PODE ser criado. Os GDAPs existentes e suas atribuições de função PODEM ser atualizados. Para o Revendedor Indireto Ativo: Novo GDAP PODE ser criado, GDAPs existentes e suas atribuições de função PODEM ser atualizados.
Quando o novo GDAP desativado não pode ser criado, o GDAP existente e suas atribuições de função não podem ser atualizados.
Ofertas
O gerenciamento de assinaturas do Azure está incluído nessa versão do GDAP?
Sim. A versão atual do GDAP dá suporte a todos os produtos: Microsoft 365, Dynamics 365, Microsoft Power Platform e Microsoft Azure.