Configurar o GDAP no Microsoft 365 Lighthouse
Os privilégios administrativos delegados granulares (GDAP) são um pré-requisito para que os inquilinos dos clientes estejam totalmente integrados no Lighthouse. Pode configurar todos os seus clientes com GDAP através de Microsoft 365 Lighthouse. Ao configurar o GDAP para os inquilinos do cliente que gere, ajuda a manter os seus clientes seguros, ao mesmo tempo que garante que os utilizadores na sua organização parceira têm as permissões necessárias para fazer o seu trabalho.
Para saber como configurar o GDAP na sua organização parceira, conclua o guia interativo Secure Microsoft 365 Lighthouse.
Se encontrar problemas durante a configuração do GDAP e precisar de orientação, veja Resolver problemas e mensagens de erro no Microsoft 365 Lighthouse: configuração e gestão do GDAP.
Antes de começar
Tem de ter funções específicas no Microsoft Entra ID e/ou Centro de Parceiros, conforme descrito na tabela Requisitos de Funções de Acesso Delegado.
Os clientes que gere no Lighthouse têm de ser configurados no Centro de Parceiros com uma relação de revendedor ou uma relação GDAP existente.
Configurar o GDAP
No painel de navegação esquerdo no Lighthouse, selecione Base.
No cartão Configurar GDAP , selecione Configurar GDAP.
Na página Acesso delegado , selecione o separador Modelos GDAP e, em seguida, selecione Criar um modelo.
No painel Criar um modelo , introduza um nome para o modelo e uma descrição opcional.
Em Funções de suporte, o Lighthouse inclui cinco funções de suporte predefinidas: Gestor de conta, Agente de suporte, Especialista, Engenheiro de escalamento e Administrador. Para cada função de suporte que pretende utilizar, faça o seguinte:
Selecione Editar para abrir o painel Editar função de suporte .
Atualize o nome e a descrição da função de suporte, conforme necessário, para se alinhar com as funções de suporte na sua organização parceira.
Em Funções de Entra, selecione o Microsoft Entra funções que a função de suporte necessita com base na função de trabalho da função. The following options are available:
- Utilize as funções Microsoft Entra que a Microsoft recomenda.
- Defina o filtro como Tudo e selecione as suas funções de Microsoft Entra preferidas.
Para saber mais, veja Microsoft Entra funções incorporadas.
Seleccione Guardar.
Para cada função de suporte que pretende utilizar, selecione o ícone Adicionar ou criar um grupo de segurança junto à função de suporte para abrir o painel Selecionar ou criar um grupo de segurança . Se não quiser utilizar uma função de suporte específica, não atribua grupos de segurança à mesma.
Nota
Cada modelo GDAP requer que atribua, pelo menos, um grupo de segurança a uma função de suporte.
Efetue um dos seguintes procedimentos:
Para utilizar um grupo de segurança existente, selecione Utilizar um grupo de segurança existente, escolha um ou mais grupos de segurança na lista e, em seguida, selecione Guardar.
Para criar um novo grupo de segurança, selecione Criar um novo grupo de segurança e, em seguida, faça o seguinte:
Introduza um nome e uma descrição opcional para o novo grupo de segurança.
Se aplicável, selecione Criar uma política de acesso just-in-time (JIT) para este grupo de segurança e, em seguida, defina a expiração da elegibilidade do utilizador, a duração do acesso JIT e o grupo de segurança do aprovador JIT.
Nota
Para criar uma política de acesso just-in-time (JIT) para um novo grupo de segurança, tem de ter uma licença Microsoft Entra ID P2. Se não conseguir selecionar a caixa de verificação para criar uma política de acesso JIT, verifique se tem uma licença do Microsoft Entra ID P2.
Adicione utilizadores ao grupo de segurança e, em seguida, selecione Guardar.
Nota
Os utilizadores que fazem parte de um grupo de segurança de agente JIT não têm acesso automático às funções GDAP no Microsoft Entra ID. Estes utilizadores têm primeiro de pedir acesso a partir do portal O Meu Acesso e um membro do grupo de segurança do aprovador JIT tem de rever o pedido de acesso JIT.
Se tiver criado uma política de acesso JIT para o grupo de segurança, pode rever a política criada no dashboard Governação de Identidades no centro de administração Microsoft Entra.
Para obter mais informações sobre como os agentes JIT podem pedir acesso, veja Pedir acesso a um pacote de acesso na gestão de direitos.
Para obter mais informações sobre como os aprovadores podem aprovar pedidos, veja Aprovar ou negar pedidos de Microsoft Entra funções no Privileged Identity Management.
Quando terminar de definir as funções de suporte e os grupos de segurança, selecione Guardar no painel Criar um modelo para guardar o modelo GDAP.
O novo modelo aparece agora na lista de modelos no separador Modelos GDAP da página Acesso delegado .
Siga os passos 3 a 8 para criar mais modelos GDAP, conforme necessário.
No separador Modelos GDAP da página Acesso delegado , selecione os três pontos (mais ações) junto a um modelo na lista e, em seguida, selecione Atribuir modelo.
No painel Atribuir este modelo a inquilinos , selecione um ou mais inquilinos de cliente aos quais pretende atribuir o modelo e, em seguida, selecione Seguinte.
Nota
Cada inquilino do cliente só pode ser associado a um modelo GDAP de cada vez. Se quiser atribuir um novo modelo a um cliente, as relações GDAP existentes são guardadas e apenas são criadas novas relações com base no novo modelo.
Reveja os detalhes da tarefa e, em seguida, selecione Atribuir.
A aplicação das atribuições de modeloS GDAP pode demorar um ou dois minutos. Para atualizar os dados no separador Modelos GDAP , selecione Atualizar.
Siga os passos 10 a 12 para atribuir modelos adicionais aos inquilinos, conforme necessário.
Obter a aprovação do cliente para administrar os respetivos produtos
Como parte do processo de configuração do GDAP, é gerada uma ligação de pedido de relação GDAP para cada cliente que não tenha uma relação GDAP existente com a sua organização parceira. Antes de poder administrar os produtos para os mesmos, tem de enviar a ligação para um administrador no inquilino do cliente para que este possa selecionar a ligação para aprovar a relação GDAP.
Na página Acesso delegado , selecione o separador Relações .
Expanda o inquilino do cliente cuja aprovação precisa.
Selecione a relação GDAP que mostra um estado Pendente para abrir o painel de detalhes da relação.
Selecione Abrir por e-mail ou Copiar e-mail para a área de transferência, edite o texto se necessário (mas não edite o URL da ligação que precisa de selecionar para lhe dar permissão de administração) e, em seguida, envie o e-mail do pedido de relação GDAP a um administrador no inquilino do cliente.
Assim que o administrador no inquilino do cliente selecionar a ligação para aprovar a relação GDAP, as definições do modelo GDAP são aplicadas. Pode demorar até uma hora após a aprovação da relação para que as alterações sejam apresentadas no Lighthouse.
As relações GDAP são visíveis no Centro de Parceiros e os grupos de segurança são visíveis no Microsoft Entra ID.
Editar definições de GDAP
Depois de concluir a configuração do GDAP, pode atualizar ou alterar funções, grupos de segurança ou modelos em qualquer altura.
No painel de navegação esquerdo do Lighthouse, selecione Permissões>Acesso delegado.
No separador Modelos GDAP , faça as alterações necessárias aos modelos GDAP ou às respetivas configurações associadas e, em seguida, guarde as alterações.
Atribua os modelos GDAP atualizados aos inquilinos do cliente adequados para que esses inquilinos tenham as configurações atualizadas dos modelos.
Conteúdos relacionados
Descrição geral das permissões no Microsoft 365 Lighthouse (artigo)
Descrição geral da página Acesso delegado no Microsoft 365 Lighthouse (artigo)
Resolver problemas e mensagens de erro no Microsoft 365 Lighthouse (artigo)
Configurar Microsoft 365 Lighthouse segurança do portal (artigo)
Introdução aos privilégios de administrador delegados granulares (GDAP) – Centro de Parceiros (artigo)
Microsoft Entra funções incorporadas (artigo)
Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID (artigo)
O que é Microsoft Entra gestão de direitos? (artigo)