Share via

Perguntas frequentes sobre o GDAP

  • Artigo

Funções apropriadas: Todos os usuários interessados no Partner Center

As permissões de administrador delegadas granulares (GDAP) dão aos parceiros acesso às cargas de trabalho de seus clientes de uma forma mais granular e limitada no tempo, o que pode ajudar a resolver as preocupações de segurança do cliente.

Com o GDAP, os parceiros podem fornecer mais serviços aos clientes que possam estar desconfortáveis com os altos níveis de acesso dos parceiros.

O GDAP também ajuda com os clientes que têm requisitos regulatórios para fornecer apenas acesso menos privilegiado aos parceiros.

Configuração do GDAP

Quem pode solicitar uma relação GDAP?

Alguém com a função de agente administrador em uma organização parceira pode criar uma solicitação de relacionamento GDAP.

Uma solicitação de relacionamento GDAP expira se o cliente não tomar nenhuma medida?

Sim. As solicitações de relacionamento GDAP expiram após 90 dias.

Posso tornar permanente uma relação GDAP com um cliente?

N.º As relações GDAP permanentes com os clientes não são possíveis por razões de segurança. A duração máxima de uma relação GDAP é de dois anos. Você pode definir Extensão automática como Habilitado para estender um relacionamento de administrador por seis meses, até que seja encerrado ou a extensão automática seja definida como Desabilitada.

Um relacionamento GDAP com um cliente pode se estender automaticamente?

Sim. Uma relação GDAP pode se estender automaticamente por seis meses até ser encerrada ou a extensão automática definida como Desabilitada.

O que devo fazer quando a relação GDAP com um cliente expira?

Se o relacionamento GDAP com seu cliente expirar, solicite um relacionamento GDAP novamente.

Você pode usar a análise de relacionamento GDAP para acompanhar as datas de expiração do relacionamento GDAP e se preparar para sua renovação.

Como um cliente pode estender ou renovar um relacionamento GDAP?

Para estender ou renovar um relacionamento GDAP, o parceiro ou cliente deve definir Auto extend como Enabled.

Um GDAP ativo que expira em breve pode ser atualizado para auto extended?

Sim, se o GDAP estiver ativo, ele pode ser estendido.

Quando é que a extensão automática entra em ação?

Digamos que um GDAP seja criado por 365 dias com a extensão automática definida como Habilitado. No 365º dia, a Data Final seria efetivamente atualizada em 180 dias.

Os e-mails seriam enviados quando a extensão automática fosse alternada entre Ativado/Desativado?

Nenhum e-mail seria enviado para parceiro e cliente.

Um GDAP criado com PLT (Partner Led Tool), MLT (Microsoft Led Tool), Partner Center UI, Partner Center API pode ser estendido automaticamente?

Sim, qualquer GDAP ativo pode ser estendido automaticamente.

Não, o consentimento do cliente não é necessário para definir a extensão automática como Ativado em relação a um GDAP ativo existente.

As permissões granulares devem ser reatribuídas a grupos de segurança após a extensão automática?

Não, as permissões granulares atribuídas a grupos de segurança continuam como estão.

Um relacionamento de administrador com a função de Administrador Global pode ser estendido automaticamente?

Não, a relação de administrador com a função de Administrador Global não pode ser estendida automaticamente.

Por que não consigo ver a página Relações granulares expirando no espaço de trabalho Clientes?

A página Relações granulares expirando ajuda na filtragem em GDAPs que expiram em diferentes linhas do tempo, ajuda com a funcionalidade de atualizar um ou mais GDAPs para extensão automática (habilitar/desabilitar), está disponível apenas para usuários parceiros com funções de Administradores Globais e Agente de Administração.

Se um relacionamento GDAP expirar, as assinaturas existentes do cliente serão afetadas?

N.º Não há alteração nas assinaturas existentes de um cliente quando um relacionamento GDAP expira.

Como um cliente pode redefinir sua senha e dispositivo MFA se estiver bloqueado de sua conta e não puder aceitar uma solicitação de relacionamento GDAP de um parceiro?

Consulte Solucionar problemas de autenticação multifator do Microsoft Entra e Não é possível usar a autenticação multifator do Microsoft Entra para entrar em serviços de nuvem depois que você perder seu telefone ou as alterações de número de telefone para obter orientação.

De que funções um parceiro precisa para redefinir uma senha de administrador e um dispositivo MFA se um administrador do cliente estiver bloqueado de sua conta e não puder aceitar uma solicitação de relacionamento GDAP de um parceiro?

O parceiro deve solicitar a função Microsoft Entra de administrador de autenticação privilegiada ao criar o primeiro GDAP, para poder redefinir a senha e o método de autenticação de um usuário (administrador ou não administrador). A função de Administrador de Autenticação Privilegiada faz parte das funções que estão sendo configuradas pelo MLT (Microsoft Led Tool) e está planejada para estar disponível com GDAP padrão durante o fluxo Criar Cliente (planejado para setembro).

O parceiro pode pedir ao administrador do cliente que tente Redefinir senha. Como precaução, o parceiro deve configurar SSPR (Self-service password reset) para seus clientes. Consulte Permitir que as pessoas reponham as suas próprias palavras-passe.

Quem recebe um e-mail de notificação de término de relacionamento GDAP?

Dentro de uma organização parceira , as pessoas com a função de agente administrador recebem uma notificação de encerramento.

Dentro de uma organização de clientes , as pessoas com a função de administrador global recebem uma notificação de encerramento.

Posso ver quando um cliente remove o GDAP nos logs de atividades?

Sim. Os parceiros podem ver quando um cliente remove o GDAP nos logs de atividades do Partner Center.

Preciso criar um relacionamento GDAP com todos os meus clientes?

N.º O GDAP é um recurso opcional para parceiros que desejam gerenciar os serviços de seus clientes de forma mais granular e limitada no tempo. Você pode escolher com quais clientes deseja criar um relacionamento GDAP.

Se eu tiver vários clientes, preciso ter vários grupos de segurança para esses clientes?

A resposta depende de como você quer gerenciar seus clientes.

  • Se você quiser que os usuários parceiros possam gerenciar todos os clientes, você pode colocar todos os usuários parceiros em um grupo de segurança e esse grupo pode gerenciar todos os seus clientes.

  • Se você preferir ter vários usuários parceiros gerenciando vários clientes, atribua esses usuários parceiros a grupos de segurança separados para isolamento do cliente.

Os revendedores indiretos podem criar solicitações de relacionamento GDAP no Partner Center?

Sim. Revendedores indiretos (e provedores indiretos e parceiros de cobrança direta) podem criar solicitações de relacionamento GDAP no Partner Center.

Por que um usuário parceiro com GDAP não pode acessar uma carga de trabalho como AOBO (Admin em nome de)?

Como parte da configuração do GDAP, verifique se os grupos de segurança criados no locatário parceiro com usuários parceiros estão selecionados. Verifique também se as funções desejadas do Microsoft Entra estão atribuídas ao grupo de segurança. Consulte Atribuir funções do Microsoft Entra.

Os clientes agora podem excluir CSPs da política de acesso condicional para que os parceiros possam fazer a transição para o GDAP sem serem bloqueados.

Incluir usuários - Essa lista de usuários geralmente inclui todos os usuários que uma organização está segmentando em uma política de Acesso Condicional.

As seguintes opções estão disponíveis para inclusão ao criar uma política de Acesso Condicional:

  • Selecionar usuários e grupos
    • Usuários convidados ou externos (visualização)
      • Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos de usuários convidados ou externos específicos e locatários específicos que contêm esses tipos de usuários. Há vários tipos diferentes de convidados ou usuários externos que podem ser selecionados, e várias seleções podem ser feitas:
        • Usuários de provedores de serviços, por exemplo, um CSP (Provedor de Soluções na Nuvem).
      • Um ou mais locatários podem ser especificados para os tipos de usuário selecionados, ou você pode especificar todos os locatários.

Acesso de parceiro externo - As políticas de acesso condicional direcionadas a usuários externos podem interferir no acesso do provedor de serviços, por exemplo, privilégios de administrador delegado granulares. Para obter mais informações, consulte Introdução aos privilégios de administrador delegado granular (GDAP). Para políticas destinadas a locatários do provedor de serviços, use o tipo de usuário externo do provedor de serviços disponível nas opções de seleção Convidado ou usuários externos.

Captura de tela da UX da política de autoridade de certificação direcionada a tipos de usuários convidados e externos de organizações específicas do Microsoft Entra.

Excluir usuários - Quando as organizações incluem e excluem um usuário ou grupo, o usuário ou grupo é excluído da política, pois uma ação de exclusão substitui uma ação de inclusão na política.

As seguintes opções estão disponíveis para exclusão ao criar uma política de Acesso Condicional:

  • Utilizadores convidados ou externos
    • Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos de usuários convidados ou externos específicos e locatários específicos que contêm esses tipos de usuários. Há vários tipos diferentes de convidados ou usuários externos que podem ser selecionados, e várias seleções podem ser feitas:
      • Usuários de provedores de serviços, por exemplo, um CSP (Provedor de Soluções na Nuvem)
    • Um ou mais locatários podem ser especificados para os tipos de usuário selecionados, ou você pode especificar todos os locatários.

Captura de ecrã da política da AC.

Para obter mais informações, consulte:

Preciso de um relacionamento GDAP para criar tíquetes de suporte, embora eu tenha o Suporte Premier para Parceiros?

Sim, independentemente do plano de suporte que você tenha, a função menos privilegiada para que os usuários parceiros possam criar tíquetes de suporte para seus clientes é o administrador de suporte de serviço.

O GDAP no status de Aprovação Pendente pode ser rescindido pelo parceiro?

Não, o parceiro não pode atualmente encerrar um GDAP no status Aprovação pendente . Expiraria em 90 dias se o cliente não tomasse nenhuma medida.

Depois que um relacionamento GDAP for encerrado, posso reutilizar o mesmo nome de relacionamento GDAP para criar um novo relacionamento?

Somente após 365 dias (limpeza) após a relação GDAP ser encerrada ou expirada, você poderá reutilizar o mesmo nome para criar uma nova relação GDAP.

API do GDAP

As APIs estão disponíveis para criar um relacionamento GDAP com os clientes?

Para obter informações sobre APIs e GDAP, consulte a documentação do desenvolvedor do Partner Center.

Posso usar as APIs GDAP beta para produção?

Sim. Recomendamos que os parceiros usem as APIs GDAP beta para produção e, posteriormente, alternem para APIs v.1 quando estiverem disponíveis.

Embora haja um aviso, "O uso dessas APIs em aplicativos de produção não é suportado", essa orientação genérica é para qualquer API beta no Graph e não é aplicável às APIs beta do GDAP Graph.

Posso criar vários relacionamentos GDAP com clientes diferentes ao mesmo tempo?

Sim. Os relacionamentos GDAP podem ser criados usando APIs, permitindo que os parceiros dimensionem esse processo. No entanto, a criação de vários relacionamentos GDAP não está disponível no Partner Center. Para obter informações sobre APIs e GDAP, consulte a documentação do desenvolvedor do Partner Center.

Vários grupos de segurança podem ser atribuídos em um relacionamento GDAP usando uma chamada de API?

A API funciona para um grupo de segurança de cada vez, mas você pode mapear vários grupos de segurança para várias funções no Partner Center.

Como posso solicitar várias permissões de recursos para o meu aplicativo?

Faça chamadas individuais para cada recurso. Ao fazer uma única solicitação POST, passe apenas um recurso e seus escopos correspondentes.

Por exemplo, para solicitar permissões para ambos https://graph.windows.net/Directory.AccessAsUser.All e https://graph.microsoft.com/Organization.Read.All, faça duas solicitações diferentes, uma para cada uma.

Como posso encontrar o ID do recurso para um determinado recurso?

Use o link fornecido para procurar o Nome do recurso: Verificar aplicativos primários da Microsoft em relatórios de entrada - Ative Directory. Exemplo:

Para localizar a ID do recurso (exemplo: 00000003-0000-0000-c000-00 graph.microsoft.com 0000000000000000000000000000000000000000000000000000000000003-0000-0000-c000-0000000000000000000000000000000000000000000000000

Captura de ecrã do ecrã Manifesto de uma aplicação de exemplo, com o respetivo ID de recurso realçado.

O que devo fazer se encontrar o erro "Request_UnsupportedQuery" com a mensagem: "Cláusula de filtro de consulta não suportada ou inválida especificada para a propriedade 'appId' do recurso 'ServicePrincipal'"?

Este erro geralmente ocorre quando um identificador incorreto é usado no filtro de consulta.

Para resolvê-lo, verifique se você está usando a propriedade enterpriseApplicationId com a ID do recurso correta, não o nome do recurso.

  • Pedido incorreto

    Para enterpriseApplicationId, não use um nome de recurso como graph.microsoft.com.

    Captura de tela de uma solicitação incorreta, onde o enterpriseApplicationId usa graph.microsoft.com.

  • Pedido correto

    Em vez disso, para enterpriseApplicationId, use a ID do recurso, como 00000003-0000-0000-c000-000000000000.

    Captura de tela de uma solicitação correta, onde o enterpriseApplicationId usa um GUID.

Como posso adicionar novos escopos ao recurso de um aplicativo que já foi consentido no locatário do Cliente?

Exemplo: No início graph.microsoft.com recurso apenas o escopo "perfil" foi consentido. Agora queremos adicionar perfil e user.read também.

Para adicionar novos escopos a um aplicativo previamente consentido:

  1. Use o método DELETE para revogar o consentimento do aplicativo existente do locatário do cliente.

  2. Use o método POST para criar um novo consentimento de aplicativo com os escopos adicionais.

    Nota

    Se seu aplicativo requer permissões para vários recursos, execute o método POST separadamente para cada recurso.

Como especifico vários escopos para um único recurso (enterpriseApplicationId)?

Concatene os escopos necessários usando uma vírgula seguida de um espaço. Exemplo: "scope": "profile, User.Read"

O que devo fazer se receber um erro "400 Bad Request" com a mensagem "Token não suportado. Não é possível inicializar o contexto de autorização"?

  1. Confirme se as propriedades 'displayName' e 'applicationId' no corpo da solicitação são precisas e correspondem ao aplicativo que você está tentando consentir com o locatário do cliente.

  2. Certifique-se de que está a utilizar a mesma aplicação para gerar o token de acesso que está a tentar consentir para o inquilino do cliente.

    Exemplo: Se o ID do aplicativo for "12341234-1234-1234-12341234", a declaração "appId" no token de acesso também deve ser "12341234-1234-1234-12341234".

  3. Verifique se uma das seguintes condições é atendida:

    • Você tem um Privilégio de Administrador Delegado (DAP) ativo e o usuário também é membro do grupo Segurança de Agentes de Administração no locatário parceiro.

    • Você tem um relacionamento GDAP (Granular Delegated Admin Privilege) ativo com o locatário do Cliente com pelo menos uma das três funções GDAP a seguir e concluiu a Atribuição de Acesso:

      • Função de Administrador Global, Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem.
      • O usuário parceiro é membro do Grupo de Segurança especificado na Atribuição de Acesso.

Funções

Quais funções GDAP são necessárias para acessar uma assinatura do Azure?
Há orientação sobre as funções menos privilegiadas que posso atribuir aos usuários para tarefas específicas?

Sim. Para obter informações sobre como restringir as permissões de administrador de um usuário atribuindo funções menos privilegiadas no Microsoft Entra, consulte Funções menos privilegiadas por tarefa no Microsoft Entra.

Qual é a função menos privilegiada que posso atribuir ao locatário de um cliente e ainda ser capaz de criar tíquetes de suporte para o cliente?

Recomendamos atribuir a função de administrador de suporte de serviço. Para saber mais, consulte Funções menos privilegiadas por tarefa no Microsoft Entra.

Posso abrir tíquetes de suporte para um cliente em um relacionamento GDAP do qual todas as funções do Microsoft Entra foram excluídas?

N.º A função menos privilegiada para que os usuários parceiros possam criar tíquetes de suporte para seus clientes é o administrador de suporte de serviço. Portanto, para poder criar tíquetes de suporte para o cliente, um usuário parceiro deve estar em um grupo de segurança e atribuído a esse cliente com essa função.

Onde posso encontrar informações sobre todas as funções e cargas de trabalho incluídas no GDAP?

Para obter informações sobre todas as funções, consulte Funções internas do Microsoft Entra.

Para obter informações sobre cargas de trabalho, consulte Cargas de trabalho suportadas por privilégios de administrador delegado granular (GDAP).

Qual função GDAP dá acesso ao Centro de Administração do Microsoft 365?

Muitas funções são usadas para o Microsoft 365 Admin Center. Para obter mais informações, veja Funções utilizadas com frequência no centro de administração do Microsoft 365.

Posso criar grupos de segurança personalizados para GDAP?

Sim. Crie um grupo de segurança, atribua funções aprovadas e, em seguida, atribua usuários locatários parceiros a esse grupo de segurança.

Quais funções GDAP dão acesso somente leitura às assinaturas do cliente e, portanto, não permitem que o usuário as gerencie?

O acesso somente leitura às assinaturas do cliente é fornecido pelas funções de suporte Leitor global, Leitor de diretório e Parceiro de nível 2.

Que função devo atribuir aos meus agentes parceiros (atualmente agentes administrativos) se eu quiser que eles gerenciem o locatário do cliente, mas não modifiquem as assinaturas do cliente?

Recomendamos remover os agentes parceiros da função de agente Admin e adicioná-los apenas a um grupo de segurança GDAP. Dessa forma, eles podem administrar serviços (gerenciamento de serviços e solicitações de serviço de log, por exemplo), mas não podem comprar e gerenciar assinaturas (alterar quantidade, cancelar, agendar alterações e assim por diante).

O que acontece se um cliente conceder funções GDAP ao parceiro e, em seguida, remover funções ou cortar a relação GDAP?

Os grupos de segurança atribuídos ao relacionamento perdem o acesso a esse cliente. A mesma coisa acontece se um cliente encerra um relacionamento DAP.

Um parceiro pode continuar a transacionar para um cliente depois de remover todo o relacionamento GDAP com o cliente?

Sim, remover as relações GDAP com um cliente não encerra o relacionamento de revendedor dos parceiros com o cliente. Os parceiros ainda podem comprar produtos para o cliente e gerenciar o orçamento do Azure e outras atividades relacionadas.

Algumas funções no meu relacionamento GDAP com meu cliente podem ter um tempo maior até a expiração do que outras?

N.º Todas as funções em um relacionamento GDAP têm o mesmo tempo para expiração: a duração que foi escolhida quando o relacionamento foi criado.

Preciso do GDAP para atender pedidos de clientes novos e existentes no Partner Center?

N.º Você não precisa de GDAP para atender pedidos de clientes novos e existentes. Você pode continuar a usar o mesmo processo para atender aos pedidos dos clientes no Partner Center.

Tenho de atribuir uma função de agente de parceiro a todos os clientes ou posso atribuir uma função de agente de parceiro a apenas um cliente?

As relações GDAP são por cliente. Você pode ter vários relacionamentos por cliente. Cada relação GDAP pode ter funções diferentes e usar grupos diferentes do Microsoft Entra dentro do seu locatário CSP.

No Partner Center, a atribuição de função funciona no nível de relacionamento cliente-GDAP. Se quiser atribuir funções a vários clientes, você pode automatizar usando APIs.

Um usuário parceiro pode ter funções GDAP e uma conta de convidado?

As contas de convidado são suportadas pelo GDAP, mas não com a relação DAP.

Preciso de DAP/GDAP para provisionamento de assinatura do Azure?

Não, você não precisa de DAP ou GDAP para comprar Planos do Azure e provisionar assinaturas do Azure para um cliente. O processo para criar uma Subscrição do Azure para um cliente está documentado em Criar uma subscrição para o cliente de um parceiro - Microsoft Cost Management + Billing. Por padrão, o grupo Agentes de Administração no locatário do Parceiro torna-se o proprietário das Assinaturas do Azure provisionadas para o cliente. Entre no portal do Azure usando sua ID do Partner Center.

Para provisionar o acesso ao cliente, você precisa de um relacionamento GDAP. A relação GDAP deve incluir, no mínimo, a função Microsoft Entra de Leitores de Diretório. Para provisionar o acesso no Azure, use a página de controle de acesso (IAM). Para AOBO, entre no Partner Center e use a página Gerenciamento de Serviços para provisionar o acesso ao cliente.

Quais funções do Microsoft Entra são suportadas pelo GDAP?

Atualmente, o GDAP suporta apenas funções internas do Microsoft Entra. Não há suporte para funções personalizadas do Microsoft Entra.

Por que os administradores GDAP + usuários B2B não conseguem adicionar métodos de autenticação no aka.ms/mysecurityinfo?

Os administradores convidados do GDAP não conseguem gerenciar suas próprias informações de segurança em My Security-Info. Em vez disso, eles precisarão da assistência do administrador do locatário do qual são convidados para qualquer registro, atualização ou exclusão de informações de segurança. As organizações podem configurar políticas de acesso entre locatários para confiar no MFA do locatário CSP confiável. Caso contrário, os administradores convidados do GDAP serão limitados apenas aos métodos registráveis pelo administrador dos inquilinos (que é SMS ou Voz). Para saber mais, consulte Políticas de acesso entre locatários.

DAP e GDAP

O GDAP está substituindo o DAP?

Sim. Durante o período de transição, o DAP e o GDAP coexistirão, com as permissões GDAP tendo precedência sobre as permissões DAP para cargas de trabalho do Microsoft 365, Dynamics 365 e Azure .

Posso continuar a usar o DAP ou tenho que fazer a transição de todos os meus clientes para o GDAP?

O DAP e o GDAP coexistem durante o período de transição. No entanto, o GDAP acabará substituindo o DAP para garantir que fornecemos uma solução mais segura para nossos parceiros e clientes. É aconselhável que você faça a transição de seus clientes para o GDAP o mais rápido possível para garantir a continuidade.

Embora DAP e GDAP coexistam, haverá alguma mudança na forma como um relacionamento DAP é criado?

Não há alterações no fluxo de relacionamento DAP existente enquanto DAP e GDAP coexistem.

Quais funções do Microsoft Entra seriam concedidas para GDAP padrão como parte do cliente Create?

Atualmente, o DAP é concedido quando um novo locatário do cliente é criado. A partir de 25 de setembro de 2023, a Microsoft não concederá mais DAP para a criação de novos clientes e, em vez disso, concederá GDAP padrão com funções específicas. As funções padrão variam de acordo com o tipo de parceiro, conforme mostrado na tabela a seguir:

Funções do Microsoft Entra concedidas para GDAP padrão Parceiros de faturação direta Fornecedores Indiretos Revendedores Indiretos Parceiros de Domínio Fornecedores de painéis de controle (CPVs) Assistente Optou por não receber o GDAP padrão (sem DAP)
1. Leitores de diretórios. É capaz de ler informações básicas do diretório. Comumente usado para conceder acesso de leitura de diretório a aplicativos e convidados. x x x x x
2. Escritores de diretórios. É capaz de ler e escrever informações básicas de diretório. Para conceder acesso a aplicações, não se destina a utilizadores. x x x x x
3. Administrador de licenças. Pode gerenciar licenças de produtos em usuários e grupos. x x x x x
4. Administrador de Suporte de Serviços. Pode ler informações de integridade do serviço e gerenciar tíquetes de suporte. x x x x x
5. Administrador do usuário. Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados. x x x x x
6. Administrador de Função Privilegiada. Pode gerenciar atribuições de função no Microsoft Entra, e todos os aspetos do Privileged Identity Management. x x x x x
7. Administrador do serviço de assistência. Pode redefinir senhas para não-administradores e administradores de Help Desk. x x x x x
8. Administrador de autenticação privilegiada. Pode acessar para exibir, definir e redefinir informações de método de autenticação para qualquer usuário (administrador ou não administrador). x x x x x
9. Administrador de aplicativos na nuvem. Pode criar e gerir todos os aspetos de registos de aplicações e aplicações empresariais, exceto o Proxy de Aplicações. x x x x
10. Administrador de Aplicações. Pode criar e gerir todos os aspetos de registos de aplicações e aplicações empresariais. x x x x
11. Leitor Global. Pode ler tudo o que um administrador global pode, mas não pode atualizar nada. x x x x x
12. Administrador do provedor de identidade externo. Pode gerenciar a federação entre organizações do Microsoft Entra e provedores de identidade externos. x
13. Administrador de Nomes de Domínio. Pode gerir nomes de domínio na nuvem e no local. x
Como o GDAP funcionará com o Privileged Identity Management no Microsoft Entra?

Os parceiros podem implementar o Gerenciamento Privilegiado de Identidades (PIM) em um grupo de segurança GDAP no locatário do parceiro para elevar o acesso de alguns usuários de alto privilégio, just in time (JIT) para conceder-lhes funções de alto privilégio, como administradores de senha com remoção automática de acesso.

Para habilitar essa implementação, a assinatura do Microsoft Entra ID P2 é exigida pelo PIM está disponível gratuitamente. Os parceiros da Microsoft podem iniciar sessão para obter os detalhes.

Até janeiro de 2023, era exigido que cada Grupo de Acesso Privilegiado (antigo nome do recurso PIM for Groups ) estivesse em um grupo atribuível por função. Esta restrição foi removida. Diante disso, é possível habilitar mais de 500 grupos por locatário no PIM, mas apenas até 500 grupos podem ser atribuíveis por função.

Resumo:

  • Os parceiros podem usar grupos atribuíveis e não atribuíveis no PIM. Isso efetivamente remove o limite de 500 grupos/locatários no PIM.

  • Com as últimas atualizações, haverá duas maneiras de integrar o grupo ao PIM (UX-wise): no menu PIM ou no menu Grupos. Independentemente da forma escolhida, o resultado líquido é o mesmo.

    • A capacidade de integrar grupos atribuíveis/não atribuíveis por meio do menu PIM já está disponível.

    • A capacidade de integrar grupos atribuíveis ou não atribuíveis por meio do menu Grupos já está disponível.

  • Para obter mais informações, consulte Privileged Identity Management (PIM) for Groups (preview) - Microsoft Entra.

Como o DAP e o GDAP coexistem se um cliente comprar o Microsoft Azure e o Microsoft 365 ou o Dynamics 365?

O GDAP está geralmente disponível com suporte para todos os serviços de nuvem comerciais da Microsoft (cargas de trabalho do Microsoft 365, Dynamics 365, Microsoft Azure e Microsoft Power Platform ). Para obter mais informações sobre como o DAP e o GDAP podem coexistir e como o GDAP tem precedência, consulte Como o GDAP terá precedência sobre o DAP.

Tenho uma grande base de clientes (10.000 contas de clientes, por exemplo). Como faço a transição do DAP para o GDAP?

Esta ação pode ser realizada por APIs.

N.º Seus ganhos PEC não serão afetados quando você fizer a transição para o GDAP. Não há alterações no PAL com a transição, garantindo que você continue a ganhar PEC.

O PEC é afetado quando o DAP/GDAP é removido?
  • Se o cliente de um parceiro tiver apenas DAP e o DAP for removido, o PEC não será perdido.
  • Se o cliente de um parceiro tiver DAP e ele mudar para o GDAP para Office e Azure simultaneamente, e o DAP for removido, o PEC não será perdido.
  • Se o cliente do parceiro tiver DAP e ele mudar para GDAP para Office, mas manter o Azure como está (eles não se movem para GDAP) e o DAP for removido, o PEC não será perdido, mas o acesso à assinatura do Azure será perdido.
  • Se uma função RBAC for removida, o PEC será perdido, mas a remoção do GDAP não removerá o RBAC.
Como as permissões GDAP têm precedência sobre as permissões DAP enquanto DAP e GDAP coexistem?

Quando o usuário faz parte do grupo de segurança GDAP e do grupo de agentes de administração de DAP e o cliente tem relações DAP e GDAP, o acesso GDAP tem precedência no nível de parceiro, cliente e carga de trabalho.

Por exemplo, se um usuário parceiro entrar para uma determinada carga de trabalho e houver DAP para a função de administrador Global e GDAP para a função de leitor Global, o usuário parceiro obterá apenas permissões de leitor Global.

Se houver três clientes com atribuições de funções GDAP apenas para o grupo de segurança GDAP (não agentes Admin):

Diagrama mostrando a relação entre diferentes usuários como membros de grupos de segurança *Admin agent* e GDAP.

Cliente Relação com o parceiro
Cliente 1 DAP (sem GDAP)
Cliente 2 DAP + GDAP ambos
Cliente 3 GDAP (sem DAP)

A tabela a seguir descreve quando um usuário entra em um locatário de cliente diferente.

Utilizador de exemplo Exemplo de locatário do cliente Comportamento Comentários
Utilizador 1 Cliente 1 DAP Este exemplo é o DAP no estado em que se encontra.
Utilizador 1 Cliente 2 DAP Não há atribuição de função GDAP ao grupo de agentes Admin, o que resulta em comportamento DAP.
Utilizador 1 Cliente 3 Sem acesso Não há nenhuma relação DAP, portanto, o grupo de agentes administradores não tem acesso ao cliente 3.
Utilizador 2 Cliente 1 DAP Este exemplo é DAP como está
Utilizador 2 Cliente 2 GDAP O GDAP tem precedência sobre o DAP porque há uma função GDAP atribuída ao usuário 2 por meio do grupo de segurança GDAP, mesmo que o usuário faça parte do grupo de agentes Admin.
Utilizador 2 Cliente 3 GDAP Este exemplo é um cliente somente GDAP.
Utilizador 3 Cliente 1 Sem acesso Não há atribuição de função GDAP ao cliente 1.
Utilizador 3 Cliente 2 GDAP O usuário 3 não faz parte do grupo de agentes Admin, o que resulta em comportamento somente GDAP.
Utilizador 3 Cliente 3 GDAP Comportamento somente GDAP
A desativação do DAP ou a transição para o GDAP afetará meus benefícios de competência herdados ou designações de Parceiro de Soluções que alcancei?

DAP e GDAP não são tipos de associação qualificados para designações de Parceiros de Soluções e desabilitar ou fazer a transição de DAP para GDAP não afetará a obtenção de designações de Parceiros de Soluções. A renovação dos benefícios de competência legados ou dos benefícios do Parceiro de Soluções também não será afetada.

Vá para Designações de Parceiros de Soluções do Partner Center para ver quais outros tipos de associação de parceiros são qualificados para designações de Parceiros de Soluções.

Como o GDAP funciona com o Azure Lighthouse? O GDAP e o Azure Lighthouse afetam um ao outro?

Com relação à relação entre o Azure Lighthouse e o DAP/GDAP, pense neles como caminhos paralelos dissociados para os recursos do Azure, portanto, separar um não deve afetar o outro.

  • No cenário do Azure Lighthouse, os usuários do locatário parceiro nunca entram no locatário do cliente e não têm nenhuma permissão do Microsoft Entra no locatário do cliente. Suas atribuições de função do RBAC do Azure também são mantidas no locatário parceiro.

  • No cenário GDAP, os usuários do locatário parceiro entram no locatário do cliente e a atribuição da função RBAC do Azure ao grupo de agentes Admin também está no locatário do cliente. Você pode bloquear o caminho GDAP (os usuários não podem mais entrar) enquanto o caminho do Azure Lighthouse não for afetado. Por outro lado, você pode cortar a relação Farol (projeção) sem afetar o GDAP. Para obter mais informações, consulte a documentação do Azure Lighthouse .

Como funciona o GDAP com o Microsoft 365 Lighthouse?

Os Provedores de Serviços Gerenciados (MSPs) inscritos no programa CSP (Provedor de Soluções na Nuvem) como revendedores indiretos ou parceiros de cobrança direta agora podem usar o Microsoft 365 Lighthouse para configurar o GDAP para qualquer locatário do cliente. Como já existem algumas maneiras pelas quais os parceiros já estão gerenciando sua transição para o GDAP, esse assistente permite que os parceiros do Lighthouse adotem recomendações de função específicas para suas necessidades de negócios. Também lhes permite adotar medidas de segurança, como o acesso just-in-time (JIT). Os MSPs também podem criar modelos GDAP através do Lighthouse para salvar e reaplicar facilmente as configurações que permitem o acesso do cliente com privilégios mínimos. Para obter mais informações e visualizar uma demonstração, consulte o assistente de configuração do Lighthouse GDAP.

Os MSPs podem configurar o GDAP para qualquer locatário de cliente no Lighthouse. Para acessar os dados de carga de trabalho do cliente no Lighthouse, é necessário um relacionamento GDAP ou DAP. Se GDAP e DAP coexistirem em um locatário cliente, as permissões GDAP terão precedência para técnicos MSP em grupos de segurança habilitados para GDAP. Para obter mais informações sobre os requisitos do Microsoft 365 Lighthouse, consulte Requisitos para o Microsoft 365 Lighthouse.

Qual é a melhor maneira de mudar para o GDAP e remover o DAP sem perder o acesso às assinaturas do Azure se eu tiver clientes com o Azure?

A sequência correta a seguir para este cenário é:

  1. Crie uma relação GDAP para o Microsoft 365 e o Azure.
  2. Atribua funções do Microsoft Entra a grupos de segurança para o Microsoft 365 e o Azure.
  3. Configure o GDAP para ter precedência sobre o DAP.
  4. Remova o DAP.

Importante

Se você não seguir essas etapas, os agentes Admin existentes gerenciando o Azure poderão perder o acesso às assinaturas do Azure para o cliente.

A sequência a seguir pode resultar na perda de acesso às assinaturas do Azure:

  1. Remova o DAP.

    Você não necessariamente perderá o acesso a uma assinatura do Azure removendo o DAP. Mas, no momento, você não pode navegar no diretório do cliente para fazer nenhuma atribuição de função do RBAC do Azure (como atribuir um novo usuário do cliente como colaborador do RBAC de assinatura).

  2. Crie uma relação GDAP para o Microsoft 365 e o Azure juntos.

    Você pode perder o acesso à assinatura do Azure nesta etapa assim que o GDAP for configurado.

  3. Atribuir funções do Microsoft Entra a grupos de segurança para o Microsoft 365 e o Azure

    Você recuperará o acesso às assinaturas do Azure após a conclusão da instalação do GDAP do Azure.

Tenho clientes com subscrições do Azure sem DAP. Se eu movê-los para GDAP para Microsoft 365, perderei o acesso às assinaturas do Azure?

Se tiver subscrições do Azure sem DAP que gere como proprietário, ao adicionar GDAP para Microsoft 365 a esse cliente, poderá perder o acesso às subscrições do Azure. Para evitar isso, mova o cliente para o Azure GDAP ao mesmo tempo em que você move o cliente para o Microsoft 365 GDAP.

Importante

Se estas etapas não forem seguidas, os agentes Admin existentes que gerenciam o Azure poderão perder o acesso às assinaturas do Azure para o cliente.

N.º Os relacionamentos, uma vez aceitos, não são reutilizáveis.

Se eu tiver um relacionamento de revendedor com clientes sem DAP e que não tenham nenhum relacionamento GDAP, posso acessar sua assinatura do Azure?

Se você tiver um relacionamento de revendedor existente com o cliente, ainda precisará estabelecer um relacionamento GDAP para poder gerenciar suas assinaturas do Azure.

  1. Crie um grupo de segurança (por exemplo, Gerentes do Azure) no Microsoft Entra.
  2. Crie uma relação GDAP com a função de leitor de diretório.
  3. Torne o grupo de segurança um membro do grupo Admin Agent .

Feito isso, você poderá gerenciar a assinatura do Azure do seu cliente por meio do AOBO. A assinatura não pode ser gerenciada via CLI/Powershell.

Posso criar um plano do Azure para clientes sem DAP e que não têm relação GDAP?

Sim, você pode criar um plano do Azure mesmo que não haja DAP ou GDAP com um relacionamento de revendedor existente; no entanto, para gerenciar essa assinatura, você precisará de DAP ou GDAP.

Por que a seção Detalhes da empresa na página Conta em Clientes não exibe mais detalhes quando o DAP é removido?

À medida que os parceiros fazem a transição do DAP para o GDAP, eles devem garantir que o seguinte esteja em vigor para ver os detalhes da Empresa:

  • Uma relação GDAP ativa.
  • Qualquer uma das seguintes funções do Microsoft Entra é atribuída: Administrador Global, Leitores de Diretório, Leitor Global. Consulte conceder permissões granulares a grupos de segurança.
Por que meu nome de usuário é substituído por "user_somenumber" no portal.azure.com quando existe uma relação GDAP?

Quando um CSP faz logon no portal do Azure de seu cliente (portal.azure.come) usando suas credenciais CSP e existe uma relação GDAP, o CSP percebe que seu nome de usuário é "user_" seguido por algum número. Ele não exibe seu nome de usuário real como no DAP. Esta ação é propositada.

Captura de ecrã do nome de utilizador a mostrar a substituição.

Quais são os cronogramas para Stop DAP e conceder GDAP padrão com a criação de um novo cliente?
Tipo de inquilino Data de disponibilidade Comportamento da API do Partner Center (POST /v1/customers)
enableGDAPByDefault: true		 Comportamento da API do Partner Center (POST /v1/customers)
enableGDAPByDefault: false		 Comportamento da API do Partner Center (POST /v1/customers)
Nenhuma alteração na solicitação ou carga útil		 Comportamento da interface do usuário do Partner Center
Área restrita 25 de setembro de 2023 (somente API) DAP = Não. GDAP padrão = Sim DAP = Não. GDAP padrão = Não DAP = Sim. GDAP padrão = Não GDAP padrão = Sim
Produção 10 de outubro de 2023 (API + UI) DAP = Não. GDAP padrão = Sim DAP = Não. GDAP padrão = Não DAP = Sim. GDAP padrão = Não Opt-in/out disponível: GDAP padrão
Produção 27 de novembro de 2023 (implementação da AG concluída em 2 de dezembro) DAP = Não. GDAP padrão = Sim DAP = Não. GDAP padrão = Não DAP = Não. GDAP padrão = Sim Opt-in/out disponível: GDAP padrão

Os parceiros devem conceder explicitamente permissões granulares a grupos de segurança no GDAP padrão.
A partir de 10 de outubro de 2023, o DAP não está mais disponível com relacionamentos de revendedores. O link Request Reseller Relationship atualizado está disponível na interface do usuário do Partner Center e a URL da propriedade "/v1/customers/relationship requests" do contrato de API retorna a URL do convite a ser enviada ao administrador do locatário do cliente.

Um parceiro deve conceder permissões granulares a grupos de segurança no GDAP padrão?

Sim, os parceiros devem conceder explicitamente permissões granulares a grupos de segurança no GDAP padrão para gerenciar o cliente.

Que ações um parceiro com relacionamento de revendedor, mas sem DAP e sem GDAP, pode executar no Partner Center?

Os parceiros com relacionamento de revendedor somente sem DAP ou GDAP podem criar clientes, fazer e gerenciar pedidos, baixar chaves de software, gerenciar o Azure RI. Eles não podem visualizar os detalhes da empresa do cliente, não podem visualizar usuários ou atribuir licenças aos usuários, não podem registrar tíquetes em nome dos clientes e não podem acessar centros de administração específicos do produto (por exemplo, centro de administração do Teams).

Para que um parceiro ou CPV acesse e gerencie um locatário do cliente, a entidade de serviço do aplicativo deve ser consentida no locatário do cliente. Quando o DAP está ativo, eles devem adicionar a entidade de serviço do aplicativo ao SG de Agentes Administrativos no locatário parceiro. Com o GDAP, o parceiro deve garantir que seu aplicativo seja consentido no locatário do cliente. Se o aplicativo usar permissões delegadas (Aplicativo + Usuário) e existir um GDAP ativo com qualquer uma das três funções (Administrador de Aplicativo na Nuvem, Administrador de Aplicativo, Administrador Global), a API de consentimento poderá ser usada. Se o aplicativo usar apenas permissões de aplicativo, ele deverá ser consentido manualmente, seja pelo parceiro ou cliente que tenha qualquer uma das três funções (Cloud Application Administrator, Application Administrator, Global Administrator), usando a URL de consentimento de administrador em todo o locatário.

Que ação um parceiro deve executar para um erro 715-123220 ou conexões anônimas não são permitidas para este serviço?

Se você estiver vendo o seguinte erro:

"Não podemos validar sua solicitação de 'Criar novo relacionamento GDAP' no momento. Esteja ciente de que conexões anônimas não são permitidas para este serviço. Se acredita que recebeu esta mensagem por engano, tente o seu pedido novamente. Clique para saber mais sobre as ações que você pode tomar. Se o problema persistir, entre em contato com o suporte e o código de mensagem de referência 715-123220 e ID da transação: guid."

Altere a forma como se liga à Microsoft para permitir que o nosso serviço de verificação de identidade funcione corretamente, para que possamos garantir que a sua conta não foi comprometida e está em conformidade com os regulamentos que a Microsoft tem de cumprir.

Coisas que pode fazer:

  • Limpar a cache do browser.
  • Desative a prevenção de rastreamento no seu navegador ou adicione o nosso site à sua lista de exceções/segurança.
  • Desative qualquer programa ou serviço de Rede Privada Virtual (VPN) que possa estar a utilizar.
  • Ligue-se diretamente a partir do seu dispositivo local em vez de o fazer através de uma máquina virtual (VM).

Depois de tentar essas etapas, você ainda não consegue se conectar, sugerimos consultar seu Help Desk de TI para verificar suas configurações e ver se elas podem ajudar a identificar o que está causando o problema. Às vezes, o problema está nas configurações de rede da sua empresa, caso em que o administrador de TI precisaria resolver o problema, por exemplo, colocando o nosso site na lista segura ou outros ajustes de configuração de rede.

Que ações GDAP são permitidas para um parceiro que está fora de bordo (restrito, suspenso)?
  • Restrito (Fatura Direta): Novo GDAP (Relações com Administradores) NÃO PODE ser criado. GDAPs existentes e suas atribuições de função PODEM ser atualizados.
  • Suspenso (fatura direta/provedor indireto/revendedor indireto): Novo GDAP NÃO pode ser criado. GDAPs existentes e suas atribuições de função NÃO podem ser atualizados.
  • Restrito (Fatura Direta) + Ativo (Revendedor Indireto): PODEM ser criados novos GDAP (Relações com Administradores). GDAPs existentes e suas atribuições de função PODEM ser atualizados.

Ofertas

O gerenciamento de assinaturas do Azure está incluído nesta versão do GDAP?

Sim. A versão atual do GDAP suporta todos os produtos: Microsoft 365, Dynamics 365, Microsoft Power Platform e Microsoft Azure.