Настройка GDAP в Microsoft 365 Lighthouse
Детализированные делегированные административные привилегии (GDAP) являются необходимым условием для полного подключения клиентов к Lighthouse. Вы можете настроить для всех клиентов GDAP с помощью Microsoft 365 Lighthouse. Настроив GDAP для клиентов, которыми вы управляете, вы помогаете обеспечить безопасность клиентов, обеспечивая при этом у пользователей в партнерской организации разрешения, необходимые для выполнения своей работы.
Чтобы узнать, как настроить GDAP в партнерской организации, ознакомьтесь с интерактивным руководством по обеспечению безопасности Microsoft 365 Lighthouse.
Если во время установки GDAP возникают проблемы и требуется руководство, см. статью Устранение ошибок и проблем в Microsoft 365 Lighthouse: настройка GDAP и управление ими.
Подготовка к работе
Необходимо хранить определенные роли в Microsoft Entra ID и (или) Центре партнеров, как описано в таблице Требования к роли делегированного доступа.
Клиенты, которыми вы управляете в Lighthouse, должны быть настроены в Центре партнеров с помощью отношения торгового посредника или существующего отношения GDAP.
Настройка GDAP
В области навигации слева в Lighthouse выберите Главная.
На карта Настройка GDAP выберите Настроить GDAP.
На странице Делегированный доступ перейдите на вкладку Шаблоны GDAP и выберите Создать шаблон.
На панели Создание шаблона введите имя шаблона и необязательное описание.
В разделе Роли поддержки Lighthouse включает пять ролей поддержки по умолчанию: менеджер по работе с клиентами, агент службы поддержки, специалист, инженер эскалации и администратор. Для каждой роли поддержки, которую вы хотите использовать, сделайте следующее:
Выберите Изменить , чтобы открыть область Изменить роль поддержки .
При необходимости обновите имя и описание роли поддержки в соответствии с ролями поддержки в партнерской организации.
В разделе Роли Entra выберите Microsoft Entra роли поддержки на основе функции задания роли. Доступны следующие варианты представления:
- Используйте Microsoft Entra роли, рекомендованные корпорацией Майкрософт.
- Задайте для фильтра значение Все и выберите предпочитаемые Microsoft Entra роли.
Дополнительные сведения см. в разделе Microsoft Entra встроенных ролей.
Выберите Сохранить.
Для каждой роли поддержки, которую вы хотите использовать, щелкните значок Добавить или создать группу безопасности рядом с ролью поддержки, чтобы открыть панель Выбор или создание группы безопасности . Если вы не хотите использовать определенную роль поддержки, не назначайте ей группы безопасности.
Примечание.
Для каждого шаблона GDAP требуется назначить роль поддержки по крайней мере одну группу безопасности.
Выполните одно из следующих действий.
Чтобы использовать существующую группу безопасности, выберите Использовать существующую группу безопасности, выберите одну или несколько групп безопасности из списка, а затем нажмите кнопку Сохранить.
Чтобы создать новую группу безопасности, выберите Создать новую группу безопасности, а затем выполните следующие действия.
Введите имя и необязательное описание для новой группы безопасности.
Если применимо, выберите Создать JIT-политику доступа для этой группы безопасности, а затем определите срок действия пользователя, срок действия JIT-доступа и группу безопасности утверждающего JIT.
Примечание.
Чтобы создать JIT-политику доступа для новой группы безопасности, необходимо иметь лицензию Microsoft Entra ID P2. Если вам не удается установить флажок для создания политики JIT-доступа, убедитесь, что у вас есть лицензия Microsoft Entra ID P2.
Добавьте пользователей в группу безопасности и нажмите кнопку Сохранить.
Примечание.
Пользователи, входящие в группу безопасности JIT-агента, не получают автоматически доступ к ролям GDAP в Microsoft Entra ID. Эти пользователи должны сначала запросить доступ на портале "Мой доступ" , а член группы безопасности утверждающего JIT должен просмотреть запрос на JIT-доступ.
Если вы создали политику JIT-доступа для группы безопасности, вы можете просмотреть созданную политику на панели мониторинга управления удостоверениями в Центр администрирования Microsoft Entra.
Дополнительные сведения о том, как JIT-агенты могут запрашивать доступ, см. в разделе Запрос доступа к пакету доступа в управлении правами.
Дополнительные сведения о том, как утверждающие могут утверждать запросы, см. в статье Утверждение или отклонение запросов для Microsoft Entra ролей в управление привилегированными пользователями.
Завершив определение ролей поддержки и групп безопасности, нажмите кнопку Сохранить в области Создание шаблона, чтобы сохранить шаблон GDAP.
Теперь новый шаблон появится в списке шаблонов на вкладке Шаблоны GDAP на странице Делегированный доступ .
При необходимости выполните шаги 3–8, чтобы создать дополнительные шаблоны GDAP.
На вкладке Шаблоны GDAP на странице Делегированный доступ выберите три точки (дополнительные действия) рядом с шаблоном в списке, а затем выберите Назначить шаблон.
В области Назначение этого шаблона клиентам выберите одного или нескольких клиентов, которым требуется назначить шаблон, и нажмите кнопку Далее.
Примечание.
Каждый клиент клиента может быть связан только с одним шаблоном GDAP одновременно. Если вы хотите назначить клиенту новый шаблон, существующие связи GDAP сохраняются и создаются только новые связи на основе нового шаблона.
Просмотрите сведения о назначении и нажмите кнопку Назначить.
Применение назначений шаблонов GDAP может занять минуту или две. Чтобы обновить данные на вкладке Шаблоны GDAP , выберите Обновить.
Выполните шаги 10–12, чтобы при необходимости назначить клиентам дополнительные шаблоны.
Получение согласия клиента на администрирование своих продуктов
В рамках процесса настройки GDAP создается ссылка на запрос связи GDAP для каждого клиента, у которого нет отношений GDAP с вашей партнерской организацией. Прежде чем управлять продуктами для них, необходимо отправить ссылку администратору в клиенте клиента, чтобы он смог выбрать ссылку для утверждения связи GDAP.
На странице Делегированный доступ выберите вкладку Связи .
Разверните клиент клиента, утверждение которого требуется.
Выберите отношение GDAP, отображающее состояние Ожидания , чтобы открыть область сведений о связях.
Выберите Открыть по электронной почте или Копировать электронную почту в буфер обмена, при необходимости измените текст (но не изменяйте URL-адрес ссылки, который нужно выбрать, чтобы предоставить вам разрешение на администрирование), а затем отправьте электронное письмо с запросом на связь GDAP администратору в клиенте клиента.
После того как администратор клиента клиента выберет ссылку для утверждения отношения GDAP, будут применены параметры шаблона GDAP. После утверждения отношений изменения могут появиться в Lighthouse до часа.
Связи GDAP отображаются в Центре партнеров, а группы безопасности — в Microsoft Entra ID.
Изменение параметров GDAP
После завершения настройки GDAP можно в любое время обновлять или изменять роли, группы безопасности или шаблоны.
В левой области навигации в Lighthouse выберите Разрешения>Делегированный доступ.
На вкладке Шаблоны GDAP внесите все необходимые изменения в шаблоны GDAP или связанные с ними конфигурации, а затем сохраните изменения.
Назначьте обновленные шаблоны GDAP соответствующим клиентам, чтобы эти клиенты имели обновленные конфигурации из шаблонов.
Связанные материалы
Общие сведения о разрешениях в Microsoft 365 Lighthouse (статья)
Обзор страницы делегированного доступа в Microsoft 365 Lighthouse (статья)
Устранение ошибок и проблем в Microsoft 365 Lighthouse (статья)
Настройка безопасности портала Microsoft 365 Lighthouse (статья)
Общие сведения о детализированных делегированных правах администратора (GDAP) — Центр партнеров (статья)
Microsoft Entra встроенные роли (статья)
Сведения о группах и правах доступа в Microsoft Entra ID (статья)
Что такое управление правами Microsoft Entra? (статья)