Partilhar via

Configurar o GDAP para os seus clientes no Microsoft 365 Lighthouse

  • Artigo

Agora, pode configurar todos os seus clientes com privilégios de administrador delegados granulares (GDAP) através do Microsoft 365 Lighthouse, independentemente das respetivas licenças ou tamanho. Ao configurar a sua organização com o GDAP para os inquilinos do cliente que gere, os utilizadores na sua organização têm as permissões necessárias para fazer o seu trabalho, mantendo os inquilinos dos clientes seguros. O Lighthouse permite-lhe fazer a transição rápida da sua organização para o GDAP e iniciar o percurso para o menor privilégio para o acesso delegado aos clientes.

O acesso delegado através de privilégios de administrador delegados (DAP) ou GDAP é um pré-requisito para que os inquilinos do cliente estejam totalmente integrados no Lighthouse. Por conseguinte, criar relações GDAP com os seus clientes pode ser o primeiro passo na gestão dos inquilinos dos clientes no Lighthouse.

Durante o processo de configuração do GDAP, cria modelos GDAP ao configurar as funções de suporte e os grupos de segurança necessários para a sua organização. Em seguida, atribua inquilinos de cliente a modelos GDAP. As funções GDAP estão confinadas às funções incorporadas do Microsoft Entra e, quando configura o GDAP, vê recomendações para um conjunto de funções necessárias para diferentes funções de trabalho.

Ver: Configurar o GDAP

Veja os outros vídeos do Microsoft 365 Lighthouse no nosso canal do YouTube.

Antes de começar

  • Tem de ter permissões específicas no inquilino do parceiro:

    • Para estabelecer grupos de segurança GDAP, adicionar utilizadores e criar modelos GDAP, tem de ser um Administrador Global no inquilino do parceiro. Esta função pode ser atribuída no Microsoft Entra ID.

    • Para criar e concluir relações GDAP, tem de ser membro do grupo Agentes de Administração no Centro de Parceiros.

  • Os clientes que gere no Lighthouse têm de ser configurados no Centro de Parceiros com uma relação de revendedor ou uma relação delegada existente (DAP ou GDAP).

Nota

Os modelos GDAP do Lighthouse utilizam grupos de segurança atribuíveis a funções. É necessária uma licença do Microsoft Entra ID P1 para adicionar utilizadores a estes grupos. Para ativar funções Just-in-Time (JIT), é necessária uma licença Microsoft Entra IDE Governance ou Microsoft Entra ID P2.

Configurar o GDAP pela primeira vez

Quando configurar o GDAP pela primeira vez, tem de concluir as secções seguintes por ordem. Depois de concluído, pode voltar e editar qualquer secção conforme necessário.

Se tiver problemas durante a configuração do GDAP, veja Resolver problemas e mensagens de erro no Microsoft 365 Lighthouse: configuração e gestão GDAP para obter orientações.

Para começar:

  1. No painel de navegação esquerdo no Lighthouse, selecione Base.

  2. No cartão Configurar GDAP , selecione Configurar GDAP.

  3. Conclua as secções seguintes por ordem.

    Passo 1: Funções e permissões

    Passo 2: modelos GDAP

    Passo 3: Grupos de segurança

    Passo 4: Atribuições de inquilinos

    Passo 5: Rever e concluir

Passo 1: Funções e permissões

Escolha as funções do Microsoft Entra necessárias com base nas funções de trabalho dos seus funcionários.

  1. Na página Funções e permissões , selecione as funções do Microsoft Entra necessárias com base nas funções de trabalho dos seus funcionários. Efetue um dos seguintes procedimentos:

    • Adotar funções recomendadas
    • Editar seleções de funções do Microsoft Entra

    Por predefinição, o Lighthouse inclui cinco funções de suporte: Gestor de conta, Agente de serviço, Especialista, Engenheiro de escalamento e agente JIT. Pode mudar o nome das funções de suporte para corresponder às preferências da sua organização ao selecionar Editar funções de suporte. Determinadas funções do Microsoft Entra não podem ser adicionadas a diferentes funções de suporte. Por exemplo, as funções do Microsoft Entra na função de suporte do agente JIT não podem ser adicionadas a qualquer outra função de suporte.

    Se nem todas as funções de suporte forem necessárias para a configuração do GDAP, pode excluir um ou mais dos seus modelos GDAP no próximo passo.

  2. Selecione Seguinte.

  3. Selecione Guardar e fechar para guardar as definições e sair da Configuração do GDAP.

Passo 2: modelos GDAP

Um modelo GDAP é uma coleção de:

  • Funções de suporte
  • Grupos de segurança
  • Utilizadores em cada grupo de segurança

Para criar um modelo GDAP:

  1. Na página Modelos GDAP , selecione Criar modelo.

  2. No painel do modelo, introduza o nome e a descrição do modelo nos campos adequados.

  3. Selecione uma ou mais funções de suporte na lista.

  4. Seleccione Guardar.

  5. Selecione Seguinte.

  6. Selecione Guardar e fechar para guardar as definições e sair da Configuração do GDAP.

Passo 3: Grupos de segurança

Precisa de, pelo menos, um grupo de segurança por função de suporte para cada modelo. Para o primeiro modelo, irá criar um novo grupo de segurança, mas para os modelos subsequentes, pode reutilizar grupos, se assim o desejar.

  1. Na página Grupos de segurança , selecione Criar grupo de segurança.

  2. No painel do grupo de segurança, introduza um nome e uma descrição.

  3. Selecione Adicionar utilizadores.

  4. Na lista Adicionar utilizadores, selecione os utilizadores que pretende incluir neste grupo de segurança.

  5. Seleccione Guardar.

  6. Selecione Guardar novamente.

  7. Selecione Seguinte.

  8. Selecione Guardar e fechar para guardar as definições e sair da Configuração do GDAP.

Os utilizadores do grupo de segurança do agente JIT são elegíveis para pedir acesso a funções GDAP altamente privilegiadas; Não lhes é concedido acesso automaticamente. Como parte da Configuração do GDAP, selecione um grupo de segurança do aprovador JIT do seu inquilino para aprovar pedidos de acesso de agentes JIT.

O grupo de segurança do aprovador JIT tem de ser atribuível a funções. Se não vir um grupo de segurança a aparecer na Configuração do GDAP, confirme que o grupo de segurança é atribuível a funções. Para obter mais informações sobre como gerir atribuições de funções, consulte Utilizar grupos do Microsoft Entra para gerir atribuições de funções.

Depois de concluir a configuração do GDAP, é criada uma política de acesso JIT para os agentes JIT pedirem acesso. Pode rever a política criada no portal de Governação do Microsoft Entra ID e os agentes do JIT podem pedir acesso às respetivas funções a partir do portal O Meu Acesso. Para obter mais informações sobre como os agentes JIT podem pedir acesso, veja Gerir o acesso aos recursos. Para obter mais informações sobre como os aprovadores podem aprovar pedidos, veja Aprovar ou negar pedidos.

Passo 4: Atribuições de inquilinos

Atribuir grupos de clientes a cada modelo. Cada cliente só pode ser atribuído a um modelo. Uma vez selecionado, esse inquilino do cliente não será apresentado como uma opção nos modelos subsequentes. Se voltar a executar a Configuração do GDAP, as atribuições de inquilino por modelo GDAP serão guardadas.

  • Para adicionar novos inquilinos a um modelo GDAP, execute novamente a Configuração do GDAP. Mantenha as atribuições de inquilino guardadas e selecione novos inquilinos para atribuir ao modelo GDAP. As novas relações GDAP só serão criadas para os inquilinos recentemente atribuídos.

  • Para remover inquilinos de um modelo GDAP, execute novamente a Configuração do GDAP. Remova a atribuição de inquilino. Remover a atribuição de inquilino não removerá a relação GDAP criada de uma atribuição anterior, mas permite reatribuir o inquilino do cliente a um modelo GDAP diferente, se necessário.

Certifique-se de que todos os inquilinos que pretende atribuir a um modelo GDAP estão selecionados antes de selecionar Seguinte. Pode filtrar a lista de inquilinos com a caixa de pesquisa no canto superior direito.

  1. Na página Atribuições de inquilinos , selecione os inquilinos que pretende atribuir ao GDAP que criou.

  2. Selecione Seguinte para ir para a secção seguinte ou selecione Guardar e fechar para guardar as definições e sair da Configuração do GDAP.

Passo 5: Rever e concluir

  1. Na página Rever definições , reveja as definições que criou para confirmar que estão corretas.

  2. Selecione Concluir.

Pode demorar um ou dois minutos para que as definições que configurou se apliquem. Se precisar de atualizar os dados, siga as instruções. A configuração estará incompleta se sair da Configuração do GDAP sem selecionar Concluir.

Nota

Para clientes com uma relação DAP existente, estas definições são aplicadas automaticamente. Os clientes com um estado Ativo na última página da Configuração do GDAP são atribuídos a funções e grupos de segurança, conforme definido no modelo GDAP.

Nota

Para clientes sem uma relação DAP existente, é gerada uma ligação de pedido de relação de administrador para cada cliente na última página da Configuração do GDAP. A partir daí, pode enviar a ligação para o Administrador Global do cliente para que este possa aprovar a relação de administrador. Assim que a relação for aprovada, as definições do modelo GDAP serão aplicadas. Pode demorar até uma hora após a aprovação da relação para que as alterações sejam apresentadas no Lighthouse.

Depois de concluir a Configuração do GDAP, pode navegar para diferentes passos para atualizar ou alterar funções, grupos de segurança ou modelos. As relações GDAP estão agora visíveis no Centro de Parceiros e os grupos de segurança estão agora visíveis no ID do Microsoft Entra.

Conteúdos relacionados

Descrição geral das permissões (artigo)
Resolver problemas e mensagens de erro (artigo)
Configurar a segurança do portal (artigo)
Introdução aos privilégios de administrador delegados granulares (GDAP) (artigo)
Funções incorporadas do Microsoft Entra (artigo)
Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID (artigo)
O que é a gestão de direitos do Microsoft Entra? (artigo)