Вопросы и ответы о GDAP

Соответствующие роли: все пользователи, заинтересованные в Центре партнеров

Детализированные делегированные разрешения администратора (GDAP) предоставляют партнерам доступ к рабочим нагрузкам своих клиентов таким образом, что более детализировано и привязано к времени, что может помочь решить проблемы безопасности клиентов.

С помощью GDAP партнеры могут предоставлять клиентам больше услуг, которые могут быть неудобны с высоким уровнем доступа к партнеру.

GDAP также помогает клиентам, у которых есть нормативные требования, чтобы предоставить только наименее привилегированный доступ к партнерам.

Настройка GDAP

Кто может запросить связь GDAP?

Кто-то с ролью агента Администратор в партнерской организации может создать запрос на связь GDAP.

Истекает ли срок действия запроса на связь GDAP, если клиент не принимает никаких действий?

Да. Срок действия запросов связи GDAP истекает через 90 дней.

Можно ли сделать связь GDAP с клиентом постоянным?

№ Постоянные отношения GDAP с клиентами не возможны по соображениям безопасности. Максимальная длительность отношения GDAP составляет два года. Автоматическое продление можно задать для включения, чтобы продлить связь администратора на шесть месяцев, пока не будет прекращено или автоматически продлено значение "Отключено".

Можно ли расширить связь GDAP с клиентом autorenew/auto?

Да. Связь GDAP может автоматически продлиться на шесть месяцев, пока не завершится или не будет автоматически продлено значение "Отключено".

Что делать, когда срок действия отношения GDAP с клиентом истекает?

Если срок действия связи GDAP с клиентом истекает, запросите связь GDAP еще раз.

Вы можете использовать аналитику связей GDAP для отслеживания дат окончания срока действия связи GDAP и подготовки к их продлению.

Как клиент может расширить или продлить связь GDAP?

Чтобы расширить или продлить связь GDAP, партнер или клиент должны задать автоматическое расширение в значение "Включено".

Можно ли в ближайшее время обновить активный срок действия GDAP до автоматического расширения?

Да, если GDAP активна, его можно расширить.

Когда автоматически расширяется действие?

Предположим, что GDAP создается в течение 365 дней с автоматическим расширением включено. В 365-й день дата окончания будет эффективно обновлена на 180 дней.

Будут ли отправляться сообщения электронной почты, когда автоматическое расширение переключается между включенным или отключенным?

Сообщения электронной почты не будут отправляться партнеру и клиенту.

Может ли GDAP создать с помощью PLT (средство мониторинга партнеров), MLT (Microsoft Led Tool), пользовательского интерфейса Центра партнеров, API Центра партнеров будет автоматически расширен?

Да, любой активный GDAP может быть расширен автоматически.

Требуется ли согласие клиента для автоматического расширения для существующих активных GDAP?

Нет, согласие клиента не требуется для автоматического расширения для существующего активного GDAP.

Следует ли переназначить детализированные разрешения группам безопасности после автоматического расширения?

Нет, детализированные разрешения, назначенные группам безопасности, продолжаются.

Может ли связь администратора с ролью Глобального Администратор istrator быть расширена автоматически?

Нет, связь администратора с ролью глобального Администратор istrator не может быть расширена автоматически.

Почему не удается просмотреть страницу "Просроченные отношения " в рабочей области "Клиенты"?

Страница с истекающим сроком действия гранулярных связей помогает фильтровать в GDAPs с истекающим сроком действия разных временная шкала, помогает обновлять одну или несколько GDAPs для автоматического расширения (включить или отключить), доступно только для пользователей партнеров с глобальными Администратор istratorами и ролями агента Администратор.

Если срок действия связи GDAP истекает, влияют ли существующие подписки клиента?

№ При истечении срока действия отношения GDAP нет изменений в существующих подписках клиента.

Как клиент может сбросить пароль и устройство MFA, если они заблокированы из своей учетной записи и не могут принять запрос на связь GDAP от партнера?

Сведения об устранении неполадок с многофакторной проверкой подлинности Microsoft Entra см. в статье "Устранение неполадок с многофакторной проверкой подлинности Майкрософт" и "Не удается использовать многофакторную проверку подлинности Microsoft Entra" для входа в облачные службы после потери телефона или номера телефона.

Какие роли требуются партнеру для сброса пароля администратора и устройства MFA, если администратор клиента заблокирован из учетной записи и не может принять запрос на связь GDAP от партнера?

Партнер должен запросить роль Microsoft Entra с привилегированной проверкой подлинности при создании первого GDAP, чтобы иметь возможность сброса пароля и метода проверки подлинности для пользователя (администратора или неадмин). Роль Администратор istrator с привилегированной проверкой подлинности является частью ролей, настроенных MLT (средство Microsoft Led Tool), и планируется быть доступным с помощью GDAP по умолчанию во время создания потока клиента (запланировано на сентябрь).

У партнера может быть пароль сброса пароля администратором клиента. В качестве меры предосторожности партнер должен настроить SSPR (самостоятельный сброс пароля) для своих клиентов. Ознакомьтесь с разделом "Разрешить пользователям сбрасывать свои собственные пароли".

Кто получает уведомление об окончании связи GDAP?

В партнерской организации пользователи с ролью агента Администратор получают уведомление об окончании работы.

В организации клиента пользователи с ролью глобального администратора получают уведомление об окончании работы.

Можно ли увидеть, когда клиент удаляет GDAP в журналах действий?

Да. Партнеры могут видеть, когда клиент удаляет GDAP в журналах действий Центра партнеров.

Нужно ли создать связь GDAP со всеми клиентами?

№ GDAP — это необязательная возможность для партнеров, которые хотят управлять службами своих клиентов более детализированной и ограниченной временем. Вы можете выбрать, с какими клиентами вы хотите создать связь GDAP.

Если у меня несколько клиентов, нужно ли иметь несколько групп безопасности для этих клиентов?

Ответ зависит от того, как вы хотите управлять клиентами.

• Если вы хотите, чтобы пользователи-партнеры могли управлять всеми клиентами, вы можете поместить всех пользователей-партнеров в одну группу безопасности и что одна группа может управлять всеми вашими клиентами.

• Если вы предпочитаете управлять различными клиентами, назначьте этим партнерам отдельные группы безопасности для изоляции клиентов.

Могут ли косвенные торговые посредники создавать запросы на связь GDAP в Центре партнеров?

Да. Косвенные торговые посредники (и косвенные поставщики и партнеры с прямым выставлением счетов) могут создавать запросы на связь GDAP в Центре партнеров.

Почему пользователь-партнер с GDAP не может получить доступ к рабочей нагрузке как AOBO (Администратор От имени)?

В рамках настройки GDAP убедитесь, что выбраны группы безопасности, созданные в клиенте партнера с пользователями-партнерами. Также убедитесь, что требуемые роли Microsoft Entra назначаются группе безопасности. Назначьте роли Microsoft Entra.

Что такое следующий шаг, если политика условного доступа, установленная клиентом, блокирует весь внешний доступ, включая доступ CSP (AOBO) к клиенту клиента?

Теперь клиенты могут исключить поставщики СЛУЖБ из политики условного доступа, чтобы партнеры могли перейти в GDAP без блокировки.

Включить пользователей . Обычно этот список пользователей включает всех пользователей, предназначенных для организации в политике условного доступа.

При создании политики условного доступа доступны следующие параметры:

• Выбор пользователей и групп
  • Гостевые или внешние пользователи (предварительная версия)
    • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
      • Пользователи поставщика услуг, например поставщик облачных решений (CSP).
    • Один или несколько клиентов можно указать для выбранных типов пользователей или указать все клиенты.

Доступ к внешним партнерам — политики условного доступа , предназначенные для внешних пользователей, могут препятствовать доступу к поставщику услуг, например детализированные делегированные права администратора. Дополнительные сведения см. в разделе "Общие сведения о детализированных делегированных привилегиях администратора ( GDAP)". Для политик, предназначенных для целевых клиентов поставщика услуг, используйте тип внешнего пользователя поставщика услуг, доступный в параметрах выбора гостевых или внешних пользователей .

Исключить пользователей . Если организации включают и исключают пользователя или группу, пользователь или группа исключены из политики, так как действие исключения переопределяет действие включения в политику.

При создании политики условного доступа доступны следующие параметры.

• Гостевые или внешние пользователи
  • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
    • Пользователи поставщика услуг, например поставщик облачных решений (CSP)
  • Один или несколько клиентов можно указать для выбранных типов пользователей или указать все клиенты.

Дополнительные сведения см. в разделе:

• Интерфейс API Graph: бета-версия API с новыми сведениями о типе внешнего пользователя
• Политика условного доступа
• Внешние пользователи условного доступа

Нужна ли связь GDAP для создания запросов в службу поддержки, хотя у меня есть поддержка Premier для партнеров?

Да, независимо от плана поддержки, у вас есть наименее привилегированная роль для пользователей партнеров, чтобы иметь возможность создавать билеты в службу поддержки для своих клиентов — администратор службы поддержки.

Может ли GDAP в состоянии "Ожидание утверждения" быть прекращен партнером?

Нет, партнер в настоящее время не может завершить GDAP в состоянии "Ожидание утверждения". Срок действия истекает через 90 дней, если клиент не принимает никаких действий.

После завершения отношения GDAP можно повторно использовать то же имя связи GDAP для создания новой связи?

Только после 365 дней (очистка) после завершения или истечения срока действия связи GDAP можно повторно использовать то же имя, чтобы создать новую связь GDAP.

GDAP API

Доступны ли API для создания связи GDAP с клиентами?

Сведения об API и GDAP см. в документации разработчика Центра партнеров.

Можно ли использовать api GDAP бета-версии для рабочей среды?

Да. Мы рекомендуем партнерам использовать бета-версии API GDAP для рабочей среды, а затем переключиться на API версии 1, когда они становятся доступными.

Хотя есть предупреждение "Использование этих API в рабочих приложениях не поддерживается", что универсальное руководство предназначено для любого бета-API в graph и не применимо к БЕТА-API GDAP Graph.

Можно ли одновременно создать несколько связей GDAP с разными клиентами?

Да. Связи GDAP можно создавать с помощью API, позволяя партнерам масштабировать этот процесс. Однако создание нескольких связей GDAP недоступно в Центре партнеров. Сведения об API и GDAP см. в документации разработчика Центра партнеров.

Можно ли назначить несколько групп безопасности в связи GDAP с помощью одного вызова API?

API работает для одной группы безопасности одновременно, но вы можете сопоставить несколько групп безопасности с несколькими ролями в Центре партнеров.

Как запросить несколько разрешений ресурсов для приложения?

Выполните отдельные вызовы для каждого ресурса. При выполнении одного запроса POST передайте только один ресурс и соответствующие область.

Например, чтобы запросить разрешения для https://graph.windows.net/Directory.AccessAsUser.Allhttps://graph.microsoft.com/Organization.Read.Allобоих и сделать два разных запроса, по одному для каждого.

Как найти идентификатор ресурса для данного ресурса?

Используйте указанную ссылку для поиска имени ресурса: проверьте приложения Майкрософт в отчетах о входе в Active Directory. Пример:

Чтобы найти идентификатор ресурса (например, 0000003-00000-0000-c000-000000000000000 для graph.microsoft.com):

Что делать, если возникла ошибка "Request_UnsupportedQuery" с сообщением: "Неподдерживаемое или недопустимое предложение фильтра запросов, указанное для свойства AppId" ресурса "ServicePrincipal"?

Эта ошибка обычно возникает, когда неправильный идентификатор используется в фильтре запросов.

Чтобы устранить эту проблему, убедитесь, что вы используете свойство enterpriseApplicationId с правильным идентификатором ресурса, а не именем ресурса.

• Неправильный запрос

  Для enterpriseApplicationId не используйте имя ресурса, например graph.microsoft.com.

  

• Правильный запрос

  Вместо этого для enterpriseApplicationId используйте идентификатор ресурса, например 0000003-0000-0000-c000-0000-00000000000000.

  

Как добавить новые область в ресурс приложения, которое уже было предоставлено клиенту?

Пример. Ранее в graph.microsoft.com ресурс "профиль" область был предоставлен согласие. Теперь мы хотим добавить профиль и user.read.

Чтобы добавить новые область в ранее согласие приложения, выполните приведенные выше действия.

1. Используйте метод DELETE, чтобы отозвать существующее согласие приложения от клиента.

2. Используйте метод POST для создания согласия нового приложения с дополнительными область.

   Примечание.

   Если приложению требуются разрешения для нескольких ресурсов, выполните метод POST отдельно для каждого ресурса.

Разделы справки укажите несколько область для одного ресурса (enterpriseApplicationId)?

Объединение необходимых область с помощью запятой, за которой следует пробел. Пример: "область": "profile, User.Read"

Что делать, если я получаю ошибку "400 Недопустимый запрос" с сообщением "Неподдерживаемый токен". Не удалось инициализировать контекст авторизации"?

1. Убедитесь, что свойства displayName и ApplicationId в тексте запроса точны и соответствуют приложению, которое вы пытаетесь предоставить клиенту.

2. Убедитесь, что вы используете то же приложение для создания маркера доступа, который вы пытаетесь предоставить клиенту.

   Пример. Если идентификатор приложения равен "12341234-1234-1234-12341234", то утверждение appId в маркере доступа должно быть "12341234-1234-1234-1234-1234-1234-12341234".

3. Убедитесь, что выполняется одно из следующих условий:

   • У вас есть активный делегированный Администратор привилегии (DAP), а пользователь также является членом группы безопасности агентов Администратор в клиенте партнера.

   • У вас есть активное отношение "Детализированный делегированный" Администратор привилегий (GDAP) с клиентом клиента с по крайней мере одной из следующих трех ролей GDAP, и вы завершили назначение доступа:

     • Роль глобального Администратор istrator, application Администратор istrator или Cloud Application Администратор istrator.
     • Пользователь партнера является членом группы безопасности, указанной в назначении доступа.

Роли

Какие роли GDAP необходимы для доступа к подписке Azure?

• Чтобы управлять Azure с секционированием доступа для каждого клиента (рекомендуется), создайте группу безопасности (например, диспетчеры Azure) и вложите ее в Администратор агентов.

• Чтобы получить доступ к подписке Azure в качестве владельца клиента, можно назначить любую встроенную роль Microsoft Entra (например, читатели каталогов, наименьшую привилегированную роль) группе безопасности Диспетчеров Azure.

  Инструкции по настройке Azure GDAP см. в статьях "Рабочие нагрузки", поддерживаемые подробными делегированными правами администратора (GDAP).

Есть ли рекомендации по наименее привилегированным ролям, которые можно назначить пользователям для определенных задач?

Да. Сведения об ограничении разрешений администратора пользователя путем назначения наименее привилегированных ролей в Microsoft Entra см. в разделе "Наименее привилегированные роли по задачам в Microsoft Entra".

Что такое наименее привилегированная роль, которую я могу назначить клиенту клиента и по-прежнему иметь возможность создавать запросы в службу поддержки для клиента?

Рекомендуется назначить роль администратора службы поддержки. Дополнительные сведения см. в статье "Наименее привилегированные роли по задачам" в Microsoft Entra.

Можно ли открыть запросы в службу поддержки для клиента в связи GDAP, из которой были исключены все роли Microsoft Entra?

№ Наименее привилегированная роль для пользователей партнеров, которые смогут создавать запросы в службу поддержки для своего клиента, является администратором службы поддержки. Таким образом, чтобы иметь возможность создавать запросы в службу поддержки для клиента, пользователь-партнер должен находиться в группе безопасности и назначен этому клиенту с этой ролью.

Где можно найти сведения обо всех ролях и рабочих нагрузках, включенных в GDAP?

Дополнительные сведения обо всех ролях см. в статье о встроенных ролях Microsoft Entra.

Сведения о рабочих нагрузках см. в разделе "Рабочие нагрузки", поддерживаемые подробными делегированными правами администратора (GDAP).

Какая роль GDAP предоставляет доступ к Центру Администратор Microsoft 365?

Многие роли используются для Центра Администратор Microsoft 365. Дополнительные сведения см. в разделе Часто используемые роли Центра администрирования Microsoft 365.

Можно ли создавать пользовательские группы безопасности для GDAP?

Да. Создайте группу безопасности, назначьте утвержденные роли и назначьте пользователям клиента партнера эту группу безопасности.

Какие роли GDAP предоставляют доступ только для чтения к подпискам клиента и поэтому не позволяют пользователю управлять ими?

Доступ только для чтения к подпискам клиента предоставляется ролями поддержки глобального читателя, читателя каталогов и партнеров уровня 2.

Какую роль следует назначить своим агентам-партнерам (в настоящее время Администратор агенты), если я хотел бы управлять клиентом, но не изменять подписки клиента?

Мы рекомендуем удалить агенты партнеров из роли агента Администратор и добавить их только в группу безопасности GDAP. Таким образом, они могут администрировать службы (запросы на управление службами и службу журналов, например), но они не могут приобретать подписки (изменять количество, отмену, планировать изменения и т. д.).

Что произойдет, если клиент предоставляет роли GDAP партнеру, а затем удаляет роли или удаляет связь GDAP?

Группы безопасности, назначенные связи, теряют доступ к данному клиенту. То же самое происходит, если клиент завершает связь DAP.

Может ли партнер продолжать транзакцию для клиента после удаления всех отношений GDAP с клиентом?

Да, удаление отношений GDAP с клиентом не завершает отношения торгового посредника партнеров с клиентом. Партнеры по-прежнему могут приобретать продукты для клиента и управлять бюджетом Azure и другими связанными действиями.

Могут ли некоторые роли в отношениях GDAP с моим клиентом иметь больше времени, чем другие?

№ Все роли в связи GDAP имеют одно и то же время окончания срока действия: длительность, выбранная при создании связи.

Требуется ли GDAP для выполнения заказов для новых и существующих клиентов в Центре партнеров?

№ Для выполнения заказов для новых и существующих клиентов не требуется GDAP. Вы можете продолжать использовать тот же процесс для выполнения заказов клиентов в Центре партнеров.

Нужно ли назначить одну роль агента партнера всем клиентам или назначить роль агента партнера одному клиенту?

Связи GDAP являются клиентами. Вы можете иметь несколько связей для каждого клиента. Каждая связь GDAP может иметь разные роли и использовать разные группы Microsoft Entra в клиенте CSP.

В Центре партнеров назначение ролей работает на уровне отношений между клиентами и GDAP. Если требуется назначение ролей с несколькими клиентами, вы можете автоматизировать работу с помощью API.

Может ли пользователь-партнер иметь роли GDAP и гостевую учетную запись?

Гостевые учетные записи поддерживаются GDAP, но не с отношениями DAP.

Требуется ли DAP/GDAP для подготовки подписки Azure?

Нет, для приобретения планов Azure и подготовки подписок Azure для клиента не требуется DAP или GDAP. Процесс создания подписки Azure для клиента описан при создании подписки для клиента партнера — Microsoft Cost Management + Billing. По умолчанию группа агентов Администратор в клиенте партнера становится владельцем подписок Azure, подготовленных для клиента. Войдите в портал Azure с помощью идентификатора Центра партнеров.

Для подготовки доступа к клиенту необходимо отношение GDAP. Связь GDAP должна включать как минимум роль Microsoft Entra для читателей каталогов. Чтобы подготовить доступ в Azure, используйте страницу управления доступом (IAM). Для AOBO войдите в Центр партнеров и используйте страницу управления службами для подготовки доступа к клиенту.

Какие роли Microsoft Entra поддерживаются GDAP?

GDAP в настоящее время поддерживает только встроенные роли Microsoft Entra. Пользовательские роли Microsoft Entra не поддерживаются.

Почему администраторы GDAP + пользователи B2B не могут добавлять методы проверки подлинности в aka.ms/mysecurityinfo?

Гостевые администраторы GDAP не могут управлять собственными сведениями о безопасности в My Security-Info. Вместо этого они будут нуждаться в помощи администратора клиента, в который они являетесь гостем для регистрации, обновления или удаления сведений о безопасности. Организации могут настроить политики доступа между клиентами для доверия MFA из доверенного клиента CSP. В противном случае гостевые администраторы GDAP будут ограничены только методами, регистрируемыми администратором клиентов (это SMS или голосовая связь). Дополнительные сведения см. в разделе "Политики доступа между клиентами".

DAP и GDAP

Заменяет ли GDAP DAP?

Да. В течение переходного периода DAP и GDAP будут сосуществовать с разрешениями GDAP, которые имеют приоритет над разрешениями DAP для рабочих нагрузок Microsoft 365, Dynamics 365 и Azure .

Можно ли продолжать использовать DAP или перенести всех клиентов в GDAP?

DAP и GDAP сосуществуют во время переходного периода. Однако GDAP в конечном итоге заменит DAP, чтобы обеспечить более безопасное решение для наших партнеров и клиентов. Рекомендуется как можно скорее перейти клиентов в GDAP, чтобы обеспечить непрерывность.

Хотя DAP и GDAP сосуществуют, будут ли какие-либо изменения в том, как создается связь DAP?

В то время как DAP и GDAP не существуют изменения в существующем потоке связи DAP и GDAP.

Какие роли Microsoft Entra будут предоставлены для GDAP по умолчанию в рамках создания клиента?

DAP в настоящее время предоставляется при создании нового клиента. Начиная с 25 сентября 2023 года корпорация Майкрософт больше не предоставит DAP для создания нового клиента и вместо этого предоставит GDAP по умолчанию с определенными ролями. Роли по умолчанию зависят от типа партнера, как показано в следующей таблице:

Роли Microsoft Entra, предоставленные для GDAP по умолчанию	Партнеры с прямым выставлением счетов	Косвенные поставщики	Косвенные торговые посредники	Партнеры по домену	поставщики панель управления (CPV)	Помощник	Отказ от GDAP по умолчанию (нет DAP)
1. Читатели каталогов. Может считывать сведения базового каталога. Обычно используется для предоставления доступа на чтение каталога приложениям и гостям.	x	x	x	x	x
2. Записи каталогов. Может считывать и записывать базовые сведения о каталоге. Предназначено для предоставления доступа приложениям, а не пользователям.	x	x	x	x	x
3. Лицензия Администратор istrator. Может управлять лицензиями продуктов для пользователей и групп.	x	x	x	x	x
4. Служба поддержки Администратор istrator. Может просматривать сведения о работоспособности служб и работать с запросами в службу поддержки.	x	x	x	x	x
5. Пользователь Администратор istrator. Может контролировать все аспекты работы пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами.	x	x	x	x	x
6. Привилегированная роль Администратор istrator. Может управлять назначениями ролей в Microsoft Entra и всеми аспектами управление привилегированными пользователями.	x	x	x	x	x
7. Helpdesk Администратор istrator. Может сбрасывать пароли для неадминистраторов и администраторов службы технической поддержки.	x	x	x	x	x
8. Привилегированная проверка подлинности Администратор istrator. Может получить доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя (администратора или неадмин).	x	x	x	x	x
9. Облачные приложения Администратор istrator. Может задавать и контролировать любые аспекты регистрации приложений и работы с корпоративными приложениями, за исключением прокси приложения.	x	x		x	x
10. Приложение Администратор istrator. Может создавать любые аспекты регистрации приложений и работы с корпоративными приложениями и управлять ими.	x	x		x	x
11. Глобальный читатель. Может прочитать все, что может глобальный администратор, но ничего не может обновить.	x	x	x	x	x
12. Внешний поставщик удостоверений Администратор istrator. Может управлять федерацией между организациями Microsoft Entra и внешними поставщиками удостоверений.				x
13. Доменное имя Администратор istrator. Может управлять доменными именами в облаке и локально.				x

Как GDAP будет работать с управление привилегированными пользователями в Microsoft Entra?

Партнеры могут реализовать управление привилегированными пользователями (PIM) в группе безопасности GDAP в клиенте партнера, чтобы повысить уровень доступа нескольких пользователей с высоким уровнем привилегий( JIT) для предоставления им ролей с высоким уровнем привилегий, таких как администраторы паролей с автоматическим удалением доступа.

Чтобы включить эту реализацию, подписка на Microsoft Entra ID P2 необходима PIM бесплатно. Партнеры Майкрософт могут войти в систему, чтобы получить сведения.

До января 2023 года требуется, чтобы каждая группа привилегированного доступа (прежнее имя функции PIM для групп ) должна была находиться в группе с возможностью назначения ролей. Это ограничение было удалено. Учитывая это, можно включить более 500 групп на каждого клиента в PIM, но только 500 групп можно назначить роль.

Сводка:

• Партнеры могут использовать группы, назначаемые ролью, и группы, не назначаемые ролем, в PIM. Это эффективно удаляет ограничение на 500 групп или клиентов в PIM.

• С последними обновлениями можно будет подключить группу к PIM (UX-мудрый): из меню PIM или из меню "Группы". Независимо от выбранного способа, чистый результат совпадает.

  • Возможность подключения групп, назначаемых ролем или не назначаемых ролем, через меню PIM уже доступна.

  • Возможность подключения групп, назначаемых ролем или не назначаемых ролем, с помощью меню "Группы" уже доступна.

• Дополнительные сведения см. в разделе управление привилегированными пользователями (PIM) для групп (предварительная версия) — Microsoft Entra.

Как DAP и GDAP сосуществуют, если клиент покупает Microsoft Azure и Microsoft 365 или Dynamics 365?

GDAP общедоступен для всех коммерческих облачных служб Майкрософт (Microsoft 365, Dynamics 365, Microsoft Azure и Microsoft Power Platform). Дополнительные сведения о том, как DAP и GDAP могут сосуществовать и как GDAP имеет приоритет, см. в статье о том, как GDAP будет иметь приоритет над DAP.

У меня есть большая клиентская база (например, 10 000 учетных записей клиентов). Разделы справки переход с DAP на GDAP?

Это действие можно выполнить с помощью API.

Будет ли мой партнер заработанный кредит (PEC) затронут при переходе от DAP к GDAP? Будет ли какое-либо влияние на партнер Администратор Link (PAL)?

№ Ваши доходы PEC не будут затронуты при переходе на GDAP. Нет изменений в PAL с переходом, гарантируя, что вы продолжаете зарабатывать PEC.

Влияет ли PEC при удалении DAP/GDAP?

• Если клиент партнера имеет только DAP и DAP удаляется, PEC не теряется.
• Если клиент партнера имеет DAP, и они перемещаются в GDAP для Office и Azure одновременно, а DAP удаляется, PEC не теряется.
• Если клиент партнера имеет DAP, и они переходят в GDAP для Office, но сохраняют Azure как есть (они не перемещаются в GDAP) и DAP удалены, PEC не будет потерян, но доступ к подписке Azure будет потерян.
• Если роль RBAC удалена, PEC теряется, но удаление GDAP не удаляет RBAC.

Как разрешения GDAP имеют приоритет над разрешениями DAP в то время как DAP и GDAP сосуществуют?

Если пользователь входит в группу безопасности GDAP и группу агентов DAP Администратор, а клиент имеет отношения DAP и GDAP, доступ GDAP имеет приоритет на уровне партнера, клиента и рабочей нагрузки.

Например, если пользователь-партнер входит в определенную рабочую нагрузку, а для роли глобального администратора и GDAP для роли "Глобальный читатель" пользователь-партнер получает разрешения только глобального читателя.

Если существует три клиента с назначениями ролей GDAP только группе безопасности GDAP (а не Администратор агентов):

Клиент	Отношения с партнером
Клиент 1	DAP (без GDAP)
Клиент 2	DAP + GDAP оба
Клиент 3	GDAP (без DAP)

В следующей таблице описывается, когда пользователь входит в другой клиент клиента.

Пример пользователя	Пример клиента	Поведение	Комментарии
Пользователь 1	Клиент 1	DAP	В этом примере используется DAP as-is.
Пользователь 1	Клиент 2	DAP	Нет назначения роли GDAP группе агентов Администратор, что приводит к поведению DAP.
Пользователь 1	Клиент 3	Нет доступа	Нет связи DAP, поэтому группа агентов Администратор не имеет доступа к клиенту 3.
Пользователь 2	Клиент 1	DAP	В этом примере используется DAP as-is
Пользователь 2	Клиент 2	GDAP	GDAP имеет приоритет над DAP, так как существует роль GDAP, назначенная пользователю 2 через группу безопасности GDAP, даже если пользователь является частью группы агентов Администратор.
Пользователь 2	Клиент 3	GDAP	В этом примере используется только клиент GDAP.
Пользователь 3	Клиент 1	Нет доступа	Для клиента 1 не назначена роль GDAP.
Пользователь 3	Клиент 2	GDAP	Пользователь 3 не является частью группы агентов Администратор, что приводит к поведению только GDAP.
Пользователь 3	Клиент 3	GDAP	Поведение, доступное только для GDAP

Отключает ли DAP или переход на GDAP влияет на мои устаревшие преимущества компетенции или обозначения партнеров решений, которые я достиг?

DAP и GDAP не являются подходящими типами ассоциаций для назначений партнеров решений и отключения или перехода с DAP на GDAP не повлияют на достижение назначений партнеров решений. Продление устаревших преимуществ компетенций или преимуществ партнеров решений также не будет затронуто.

Перейдите к обозначениям партнеров По решениям Центра партнеров, чтобы просмотреть, какие другие типы ассоциаций партнеров имеют право на назначение партнеров решений.

Как GDAP работает с Azure Lighthouse? Влияют ли GDAP и Azure Lighthouse друг на друга?

Что касается отношений между Azure Lighthouse и DAP/GDAP, думайте о них как о развязанных параллельных путях к ресурсам Azure, поэтому отключать их не следует.

• В сценарии Azure Lighthouse пользователи из партнера никогда не войдите в клиент клиента и не имеют разрешений Microsoft Entra в клиенте клиента. Назначения ролей Azure RBAC также хранятся в клиенте партнера.

• В сценарии GDAP пользователи из клиента партнера войдите в клиент клиента, а назначение роли Azure RBAC группе агентов Администратор также входит в клиент клиента. Вы можете заблокировать путь GDAP (пользователи больше не могут войти), пока путь Azure Lighthouse не влияет. И наоборот, можно отключить связь Lighthouse (проекция), не влияя на GDAP. Дополнительные сведения см. в документации по Azure Lighthouse .

Как GDAP работает с Microsoft 365 Lighthouse?

Управляемые поставщики услуг (MSPs), зарегистрированные в программе поставщик облачных решений (CSP) в качестве косвенных торговых посредников или партнеров с прямым выставлением счетов, теперь могут использовать Microsoft 365 Lighthouse для настройки GDAP для любого клиента клиента. Поскольку существует несколько способов, которыми партнеры управляют переходом в GDAP, этот мастер позволяет партнерам Lighthouse принимать рекомендации по роли, относящиеся к их бизнес-потребностям. Он также позволяет им принимать меры безопасности, такие как JIT-доступ. MSPs также может создавать шаблоны GDAP с помощью Lighthouse, чтобы легко сохранять и повторно применять параметры, которые обеспечивают доступ клиентов с минимальными привилегиями. Дополнительные сведения и просмотр демонстрации см. в мастере настройки GDAP Lighthouse.

MSPs может настроить GDAP для любого клиента в Lighthouse. Для доступа к данным рабочей нагрузки клиента в Lighthouse требуется связь GDAP или DAP. Если GDAP и DAP совместно работают в клиенте, разрешения GDAP имеют приоритет для технических специалистов MSP в группах безопасности с поддержкой GDAP. Дополнительные сведения о требованиях для Microsoft 365 Lighthouse см. в разделе "Требования к Microsoft 365 Lighthouse".

Как лучше всего перейти к GDAP и удалить DAP без потери доступа к подпискам Azure, если у меня есть клиенты с Azure?

Правильная последовательность для этого сценария:

1. Создайте связь GDAP для Microsoft 365 и Azure.
2. Назначение ролей Microsoft Entra группам безопасности для Microsoft 365 и Azure.
3. Настройте GDAP, чтобы иметь приоритет над DAP.
4. Удалите DAP.

Внимание

Если вы не выполните эти действия, существующие агенты Администратор управления Azure могут потерять доступ к подпискам Azure для клиента.

Следующая последовательность может привести к потере доступа к подпискам Azure:

1. Удалите DAP.

   Вы не обязательно потеряете доступ к подписке Azure, удалив DAP. Но в настоящее время вы не можете просмотреть каталог клиента, чтобы выполнить какие-либо назначения ролей Azure RBAC (например, назначение нового пользователя клиента в качестве подписки RBAC участник).

2. Создайте связь GDAP для Microsoft 365 и Azure вместе.

   Вы можете потерять доступ к подписке Azure на этом шаге после настройки GDAP.

3. Назначение ролей Microsoft Entra группам безопасности для Microsoft 365 и Azure

   После завершения установки Azure GDAP вы получите доступ к подпискам Azure.

У меня есть клиенты с подписками Azure без DAP. Если я переместю их в GDAP для Microsoft 365, я потеряю доступ к подпискам Azure?

Если у вас есть подписки Azure без DAP , которым вы управляете как владелец, добавив GDAP для Microsoft 365 к клиенту, вы можете потерять доступ к подпискам Azure. Чтобы избежать этого, переместите клиента в GDAP Azure одновременно, чтобы переместить клиента в Microsoft 365 GDAP.

Внимание

Если эти действия не выполнены, существующие агенты Администратор управления Azure могут потерять доступ к подпискам Azure для клиента.

Можно ли использовать одну связь с несколькими клиентами?

№ Отношения, принятые после принятия, не будут повторно использоваться.

Если у меня есть отношения торгового посредника с клиентами без DAP и у которых нет отношений GDAP, можно ли получить доступ к своей подписке Azure?

Если у вас есть отношения торгового посредника с клиентом, вам по-прежнему потребуется установить связь GDAP, чтобы управлять подписками Azure.

1. Создайте группу безопасности (например, диспетчеры Azure) в Microsoft Entra.
2. Создайте связь GDAP с ролью читателя каталогов.
3. Сделайте группу безопасности членом группы агентов Администратор.

После этого вы сможете управлять подпиской Azure клиента с помощью AOBO. Подписка не может управляться с помощью ИНТЕРФЕЙСА командной строки или PowerShell.

Можно ли создать план Azure для клиентов без DAP и у которых нет связей GDAP?

Да, вы можете создать план Azure, даже если нет DAP или GDAP с существующими отношениями торгового посредника; однако для управления этой подпиской потребуется DAP или GDAP.

Почему раздел "Сведения о компании" на странице "Учетная запись" в разделе "Клиенты" больше не отображаются при удалении DAP?

При переходе от DAP к GDAP партнеры должны убедиться, что они должны иметь следующие сведения, чтобы просмотреть сведения о компании:

• Активная связь GDAP.
• Назначаются любые из следующих ролей Microsoft Entra: глобальный Администратор istrator, читатели каталогов, глобальный читатель. Дополнительные сведения о предоставлении подробных разрешений группам безопасности.

Почему имя пользователя заменено на "user_somenumber" в portal.azure.com, когда существует связь GDAP?

Когда поставщик служб CSP входит в портал Azure клиента (portal.azure.come), используя свои учетные данные CSP и существует связь GDAP, CSP замечает, что его имя пользователя является "user_", за которым следует некоторое число. Он не отображает фактическое имя пользователя, как в DAP. Это сделано намеренно.

Что такое временная шкала для Stop DAP и предоставьте GDAP по умолчанию с созданием нового клиента?

Тип клиента	Дата доступности	Поведение API Центра партнеров (POST /v1/customers) enableGDAPByDefault: true	Поведение API Центра партнеров (POST /v1/customers) enableGDAPByDefault: false	Поведение API Центра партнеров (POST /v1/customers) Нет изменений для запроса или полезных данных	Поведение пользовательского интерфейса Центра партнеров
Песочница	25 сентября 2023 г. (только API)	DAP = Нет. GDAP по умолчанию = Да	DAP = Нет. GDAP по умолчанию = Нет	DAP = Да. GDAP по умолчанию = Нет	GDAP по умолчанию = Да
Рабочая среда	10 октября 2023 г. (API +UI)	DAP = Нет. GDAP по умолчанию = Да	DAP = Нет. GDAP по умолчанию = Нет	DAP = Да. GDAP по умолчанию = Нет	Отказ в доступе: GDAP по умолчанию
Рабочая среда	27 ноября 2023 г. (развертывание общедоступной версии завершено 2 декабря)	DAP = Нет. GDAP по умолчанию = Да	DAP = Нет. GDAP по умолчанию = Нет	DAP = Нет. GDAP по умолчанию = Да	Отказ в доступе: GDAP по умолчанию

Партнеры должны явно предоставлять подробные разрешения группам безопасности в GDAP по умолчанию.
По состоянию на 10 октября 2023 года DAP больше недоступен с отношениями торгового посредника. Обновленная ссылка связи посредника запросов доступна в пользовательском интерфейсе Центра партнеров, а URL-адрес свойства "/v1/customers/relationship request" возвращает URL-адрес приглашения, который будет отправлен администратору клиента.

Следует ли партнеру предоставлять детализированные разрешения группам безопасности в GDAP по умолчанию?

Да, партнеры должны явно предоставлять детализированные разрешения группам безопасности в GDAP по умолчанию для управления клиентом.

Какие действия могут выполнять партнерские отношения с торговым посредником, но не DAP и GDAP не выполняются в Центре партнеров?

Партнеры с отношениями торгового посредника только без DAP или GDAP могут создавать клиентов, размещать заказы и управлять заказами, скачивать ключи программного обеспечения, управлять Azure RI. Они не могут просматривать сведения о компании клиента, не могут просматривать пользователей или назначать лицензии пользователям, не могут регистрировать билеты от имени клиентов и не могут получать доступ к конкретным центрам администрирования продукта (например, Центр администрирования Teams).

Какое действие должно выполнять партнер, переход от DAP к GDAP относительно согласия?

Для доступа к клиенту клиента и управления ими партнер или CPV субъект-служба приложения должна быть предоставлена в клиенте клиента. Если DAP активен, они должны добавить субъект-службу приложения в группу SG агентов Администратор в клиенте партнера. С помощью GDAP партнер должен убедиться, что их приложение предоставлено согласие в клиенте клиента. Если приложение использует делегированные разрешения (App + User) и активная GDAP существует с любой из трех ролей (Cloud Application Администратор istrator, Application Администратор istrator, Global Администратор istrator) можно использовать API согласия. Если приложение использует только разрешения приложения, оно должно быть предоставлено вручную партнером или клиентом с любой из трех ролей (Cloud Application Администратор istrator, Application Администратор istrator, Global Администратор istrator), используя URL-адрес согласия администратора на уровне клиента.

Какое действие должно выполнять партнер для ошибки 715-123220 или анонимных подключений для этой службы?

Если вы видите следующую ошибку:

"Мы не можем проверить запрос "Создать связь GDAP" в настоящее время. Рекомендуется пользоваться анонимными подключениями для этой службы. Если вы считаете, что вы получили это сообщение в ошибке, повторите запрос. Щелкните, чтобы узнать о действиях, которые можно предпринять. Если проблема сохранится, обратитесь в службу поддержки и справочный код сообщения 715-123220 и идентификатор транзакции: guid".

Измените способ подключения к корпорации Майкрософт, чтобы обеспечить правильную работу службы проверки подлинности, чтобы убедиться, что ваша учетная запись не была скомпрометирована и соответствует нормативным требованиям, которые корпорация Майкрософт должна соблюдать.

Действия, которые можно выполнить.

• Очистите кэш браузера.
• Отключите защиту отслеживания в браузере или добавьте наш сайт в список исключений или безопасных данных.
• Отключите все программы или службы виртуальной частной сети (VPN), которые вы можете использовать.
• Подключайтесь напрямую с локального устройства, а не через виртуальную машину (ВМ).

После выполнения этих действий вам по-прежнему не удается подключиться, мы рекомендуем консультироваться с ИТ-службой технической поддержки, чтобы проверка ваши параметры, чтобы узнать, может ли они помочь определить, что вызывает проблему. Иногда проблема связана с параметрами сети вашей компании, в этом случае ИТ-администратору потребуется решить проблему, задав безопасный список настроек сайта или других параметров сети.

Какие действия GDAP разрешены для партнера, который отключен (ограничен, приостановлен)?

• Ограниченный (прямой счет): создать новую GDAP (Администратор связи) невозможно. Существующие GDAPs и их назначения ролей МОГУТ быть обновлены.
• Приостановлено (прямой счет, косвенный поставщик или косвенный торговый посредник): создать новый GDAP НЕ МОЖЕТ. Существующие GDAPs и их назначения ролей не могут быть обновлены.
• Ограниченный (прямой счет) + активный (косвенный торговый посредник): можно создать новый GDAP (Администратор связи). Существующие GDAPs и их назначения ролей МОГУТ быть обновлены.

Предложения

Входит ли управление подписками Azure в этот выпуск GDAP?

Да. Текущий выпуск GDAP поддерживает все продукты: Microsoft 365, Dynamics 365, Microsoft Power Platform и Microsoft Azure.