Поделиться через


Вопросы и ответы о GDAP

Соответствующие роли: все пользователи, заинтересованные в Центре партнеров

Детализированные делегированные разрешения администратора (GDAP) предоставляют партнерам доступ к рабочим нагрузкам своих клиентов таким образом, что более детализировано и привязано к времени, что может помочь решить проблемы безопасности клиентов.

С помощью GDAP партнеры могут предоставлять клиентам больше услуг, которые могут быть неудобны с высоким уровнем доступа к партнеру.

GDAP также помогает клиентам, у которых есть нормативные требования, чтобы предоставить только наименее привилегированный доступ к партнерам.

Настройка GDAP

Кто может запросить связь GDAP?

Кто-то с ролью агента администрирования в партнерской организации может создать запрос на связь GDAP.

Истекает ли срок действия запроса на связь GDAP, если клиент не принимает никаких действий?

Да. Срок действия запросов связи GDAP истекает через 90 дней.

Можно ли сделать связь GDAP с клиентом постоянным?

№ Постоянные отношения GDAP с клиентами не возможны по соображениям безопасности. Максимальная длительность отношения GDAP составляет два года. Автоматическое продление можно задать для включения, чтобы продлить связь администратора на шесть месяцев, пока не будет прекращено или автоматически продлено значение "Отключено".

Поддерживает ли связь GDAP соглашение enterprise?

Нет, связь GDAP не поддерживает подписки, приобретенные через корпоративные соглашения.

Можно ли расширить связь GDAP с клиентом autorenew/auto?

Да. Связь GDAP может автоматически продлиться на шесть месяцев, пока не завершится или не будет автоматически продлено значение "Отключено".

Что делать, когда срок действия отношения GDAP с клиентом истекает?

Если срок действия связи GDAP с клиентом истекает, запросите связь GDAP еще раз.

Вы можете использовать аналитику связей GDAP для отслеживания дат окончания срока действия связи GDAP и подготовки к их продлению.

Как клиент может расширить или продлить связь GDAP?

Чтобы расширить или продлить связь GDAP, партнер или клиент должны задать автоматическое расширение в значение "Включено". Дополнительные сведения об управлении расширением gDAP Auto и API.

Можно ли в ближайшее время обновить активный срок действия GDAP до автоматического расширения?

Да, если GDAP активна, его можно расширить.

Когда автоматически расширяется действие?

Предположим, что GDAP создается в течение 365 дней с автоматическим расширением включено. В 365-й день дата окончания будет эффективно обновлена на 180 дней.

Будут ли отправляться сообщения электронной почты, когда автоматическое расширение переключается между включенным или отключенным?

Сообщения электронной почты не будут отправляться партнеру и клиенту.

Может ли GDAP создать с помощью PLT (средство мониторинга партнеров), MLT (Microsoft Led Tool), пользовательского интерфейса Центра партнеров, API Центра партнеров будет автоматически расширен?

Да, любой активный GDAP может быть расширен автоматически.

Нет, согласие клиента не требуется для автоматического расширения для существующего активного GDAP.

Следует ли переназначить детализированные разрешения группам безопасности после автоматического расширения?

Нет, детализированные разрешения, назначенные группам безопасности, продолжаются.

Может ли связь администратора с ролью глобального администратора быть расширена автоматически?

Нет, связь администратора с ролью глобального администратора не может быть расширена автоматически.

Почему не удается просмотреть страницу "Просроченные отношения " в рабочей области "Клиенты"?

Страница "Срок действия детализированных связей " доступна только для пользователей партнеров с ролями глобального администратора и агента администрирования.

Эта страница помогает фильтровать срок действия GDAPs по разным временным шкалам и помогает обновить автоматическое расширение (включить или отключить) для одного или нескольких GDAPs.

Если срок действия связи GDAP истекает, влияют ли существующие подписки клиента?

№ При истечении срока действия отношения GDAP нет изменений в существующих подписках клиента.

Как клиент может сбросить пароль и устройство MFA, если они заблокированы из своей учетной записи и не могут принять запрос на связь GDAP от партнера?

Сведения об устранении неполадок с многофакторной проверкой подлинности Microsoft Entra см. в статье "Устранение неполадок с многофакторной проверкой подлинности Майкрософт" и "Не удается использовать многофакторную проверку подлинности Microsoft Entra" для входа в облачные службы после потери телефона или номера телефона.

Какие роли требуются партнеру для сброса пароля администратора и устройства MFA, если администратор клиента заблокирован из учетной записи и не может принять запрос на связь GDAP от партнера?

Партнер должен запросить роль Microsoft Entra с привилегированной проверкой подлинности при создании первого GDAP, чтобы иметь возможность сброса пароля и метода проверки подлинности для пользователя (администратора или неадмин). Роль администратора привилегированной проверки подлинности является частью ролей, настроенных MLT (microsoft Led Tool) и планируется быть доступным с помощью GDAP по умолчанию во время создания потока клиентов (запланировано на сентябрь).

У партнера может быть пароль сброса пароля администратором клиента. В качестве меры предосторожности партнер должен настроить SSPR (самостоятельный сброс пароля) для своих клиентов. Ознакомьтесь с разделом "Разрешить пользователям сбрасывать свои собственные пароли".

Кто получает уведомление об окончании отношения GDAP?

В партнерской организации пользователи с ролью агента администрирования получают уведомление об окончании работы.

В организации клиента пользователи с ролью глобального администратора получают уведомление об окончании работы.

Можно ли увидеть, когда клиент удаляет GDAP в журналах действий?

Да. Партнеры могут видеть, когда клиент удаляет GDAP в журналах действий Центра партнеров.

Нужно ли создать связь GDAP со всеми клиентами?

№ GDAP — это необязательная возможность для партнеров, которые хотят управлять службами своих клиентов более детализированной и ограниченной временем. Вы можете выбрать, с какими клиентами вы хотите создать связь GDAP.

Если у меня несколько клиентов, нужно ли иметь несколько групп безопасности для этих клиентов?

Ответ зависит от того, как вы хотите управлять клиентами.

  • Если вы хотите, чтобы пользователи-партнеры могли управлять всеми клиентами, вы можете поместить всех пользователей-партнеров в одну группу безопасности и что одна группа может управлять всеми вашими клиентами.

  • Если вы предпочитаете управлять различными клиентами, назначьте этим партнерам отдельные группы безопасности для изоляции клиентов.

Могут ли косвенные торговые посредники создавать запросы на связь GDAP в Центре партнеров?

Да. Косвенные торговые посредники (и косвенные поставщики и партнеры с прямым выставлением счетов) могут создавать запросы на связь GDAP в Центре партнеров.

Почему пользователь-партнер с GDAP не может получить доступ к рабочей нагрузке как AOBO (администратор от имени)?

В рамках настройки GDAP убедитесь, что выбраны группы безопасности, созданные в клиенте партнера с пользователями-партнерами. Также убедитесь, что требуемые роли Microsoft Entra назначаются группе безопасности. Назначьте роли Microsoft Entra.

Теперь клиенты могут исключить поставщики СЛУЖБ из политики условного доступа, чтобы партнеры могли перейти в GDAP без блокировки.

Включить пользователей . Обычно этот список пользователей включает всех пользователей, предназначенных для организации в политике условного доступа.

При создании политики условного доступа доступны следующие параметры:

  • Выбор пользователей и групп
    • Гостевые или внешние пользователи (предварительная версия)
      • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
        • Пользователи поставщика услуг, например поставщик облачных решений (CSP).
      • Один или несколько клиентов можно указать для выбранных типов пользователей или указать все клиенты.

Доступ к внешним партнерам — политики условного доступа , предназначенные для внешних пользователей, могут препятствовать доступу к поставщику услуг, например детализированные делегированные права администратора. Дополнительные сведения см. в разделе "Общие сведения о детализированных делегированных привилегиях администратора ( GDAP)". Для политик, предназначенных для целевых клиентов поставщика услуг, используйте тип внешнего пользователя поставщика услуг, доступный в параметрах выбора гостевых или внешних пользователей .

Снимок экрана: ПОЛЬЗОВАТЕЛЬСКИЙ интерфейс политики ЦС, предназначенный для гостевых и внешних типов пользователей из определенных организаций Microsoft Entra.

Исключить пользователей . Если организации включают и исключают пользователя или группу, пользователь или группа исключены из политики, так как действие исключения переопределяет действие включения в политику.

При создании политики условного доступа доступны следующие параметры.

  • Гостевые или внешние пользователи
    • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
      • Пользователи поставщика услуг, например поставщик облачных решений (CSP)
    • Один или несколько клиентов можно указать для выбранных типов пользователей или указать все клиенты.

Снимок экрана: политика ЦС.

Дополнительные сведения см. в разделе:

Нужна ли связь GDAP для создания запросов в службу поддержки, хотя у меня есть поддержка Premier для партнеров?

Да, независимо от плана поддержки, у вас есть наименее привилегированная роль для пользователей партнеров, чтобы иметь возможность создавать билеты в службу поддержки для своих клиентов — администратор службы поддержки.

Может ли GDAP в состоянии "Ожидание утверждения" быть прекращен партнером?

Нет, партнер в настоящее время не может завершить GDAP в состоянии "Ожидание утверждения". Срок действия истекает через 90 дней, если клиент не принимает никаких действий.

После завершения отношения GDAP можно повторно использовать то же имя связи GDAP для создания новой связи?

Только после 365 дней (очистка) после завершения или истечения срока действия связи GDAP можно повторно использовать то же имя, чтобы создать новую связь GDAP.

Может ли партнер в одном регионе управлять своими клиентами в разных регионах?

Да, партнер может управлять своими клиентами в разных регионах без создания новых клиентов партнеров в каждом регионе клиента. Обратите внимание, что это применимо только к роли управления клиентами, предоставляемой GDAP (отношения администратора). Роль и возможности транзакций по-прежнему ограничены вашей авторизованной территорией

Может ли поставщик услуг быть частью мультитенантной организации?

Нет, поставщик услуг не может быть частью мультитенантной организации, они являются взаимоисключающими.

GDAP API

Доступны ли API для создания связи GDAP с клиентами?

Сведения об API и GDAP см. в документации разработчика Центра партнеров.

Можно ли использовать api GDAP бета-версии для рабочей среды?

Да. Мы рекомендуем партнерам использовать бета-версии API GDAP для рабочей среды, а затем переключиться на API версии 1, когда они становятся доступными.

Хотя есть предупреждение "Использование этих API в рабочих приложениях не поддерживается", что универсальное руководство предназначено для любого бета-API в graph и не применимо к БЕТА-API GDAP Graph.

Можно ли одновременно создать несколько связей GDAP с разными клиентами?

Да. Связи GDAP можно создавать с помощью API, позволяя партнерам масштабировать этот процесс. Однако создание нескольких связей GDAP недоступно в Центре партнеров. Сведения об API и GDAP см. в документации разработчика Центра партнеров.

Можно ли назначить несколько групп безопасности в связи GDAP с помощью одного вызова API?

API работает для одной группы безопасности одновременно, но вы можете сопоставить несколько групп безопасности с несколькими ролями в Центре партнеров.

Как запросить несколько разрешений ресурсов для приложения?

Выполните отдельные вызовы для каждого ресурса. При выполнении одного запроса POST передайте только один ресурс и соответствующие области.

Например, чтобы запросить разрешения для https://graph.windows.net/Directory.AccessAsUser.All https://graph.microsoft.com/Organization.Read.Allобоих и сделать два разных запроса, по одному для каждого.

Как найти идентификатор ресурса для данного ресурса?

Используйте указанную ссылку для поиска имени ресурса: проверьте приложения Майкрософт в отчетах о входе в Active Directory. Пример:

Чтобы найти идентификатор ресурса (например, 0000003-00000-0000-c000-000000000000000 для graph.microsoft.com):

Снимок экрана: экран манифеста для примера приложения с выделенным идентификатором ресурса.

Что делать, если возникла ошибка "Request_UnsupportedQuery" с сообщением: "Неподдерживаемое или недопустимое предложение фильтра запросов, указанное для свойства AppId" ресурса "ServicePrincipal"?

Эта ошибка обычно возникает, когда неправильный идентификатор используется в фильтре запросов.

Чтобы устранить эту проблему, убедитесь, что вы используете свойство enterpriseApplicationId с правильным идентификатором ресурса, а не именем ресурса.

  • Неправильный запрос

    Для enterpriseApplicationId не используйте имя ресурса, например graph.microsoft.com.

    Снимок экрана: неправильный запрос, в котором enterpriseApplicationId использует graph.microsoft.com.

  • Правильный запрос

    Вместо этого для enterpriseApplicationId используйте идентификатор ресурса, например 0000003-0000-0000-c000-0000-00000000000000.

    Снимок экрана: правильный запрос, в котором enterpriseApplicationId использует GUID.

Как добавить новые области в ресурс приложения, которое уже было предоставлено согласие клиенту?

Пример. Ранее в graph.microsoft.com области ресурса "профиль" было предоставлено согласие. Теперь мы хотим добавить профиль и user.read.

Чтобы добавить новые области в ранее согласие приложения, выполните приведенные выше действия.

  1. Используйте метод DELETE, чтобы отозвать существующее согласие приложения от клиента.

  2. Используйте метод POST для создания согласия нового приложения с дополнительными областями.

    Примечание.

    Если приложению требуются разрешения для нескольких ресурсов, выполните метод POST отдельно для каждого ресурса.

Разделы справки укажите несколько областей для одного ресурса (enterpriseApplicationId)?

Объединение необходимых областей с помощью запятой, за которой следует пробел. Пример: "scope": "profile, User.Read"

Что делать, если я получаю ошибку "400 Недопустимый запрос" с сообщением "Неподдерживаемый токен". Не удалось инициализировать контекст авторизации"?
  1. Убедитесь, что свойства displayName и ApplicationId в тексте запроса точны и соответствуют приложению, которое вы пытаетесь предоставить клиенту.

  2. Убедитесь, что вы используете то же приложение для создания маркера доступа, который вы пытаетесь предоставить клиенту.

    Пример. Если идентификатор приложения равен "12341234-1234-1234-12341234", то утверждение appId в маркере доступа должно быть "12341234-1234-1234-1234-1234-1234-12341234".

  3. Убедитесь, что выполняется одно из следующих условий:

    • У вас есть активные делегированные права администратора (DAP), а пользователь также является членом группы безопасности агентов администрирования в клиенте партнера.

    • У вас есть активные отношения с привилегированными делегированными правами администратора (GDAP) с клиентом клиента по крайней мере с одной из следующих трех ролей GDAP, и вы завершили назначение доступа:

      • Роль глобального администратора, администратора приложений или администратора облачных приложений.
      • Пользователь партнера является членом группы безопасности, указанной в назначении доступа.

Роли

Какие роли GDAP необходимы для доступа к подписке Azure?
Есть ли рекомендации по наименее привилегированным ролям, которые можно назначить пользователям для определенных задач?

Да. Сведения об ограничении разрешений администратора пользователя путем назначения наименее привилегированных ролей в Microsoft Entra см. в разделе "Наименее привилегированные роли по задачам в Microsoft Entra".

Что такое наименее привилегированная роль, которую я могу назначить клиенту клиента и по-прежнему иметь возможность создавать запросы в службу поддержки для клиента?

Рекомендуется назначить роль администратора службы поддержки. Дополнительные сведения см. в статье "Наименее привилегированные роли по задачам" в Microsoft Entra.

Какие роли Microsoft Entra были доступны в пользовательском интерфейсе Центра партнеров в июле 2024 г.?

Чтобы уменьшить разрыв между ролями Microsoft Entra, доступными через. API Центра партнеров и пользовательский интерфейс ниже перечислены 9 ролей, доступных в пользовательском интерфейсе Центра партнеров в июле 2024 года.

  • В разделе "Совместная работа"

    • Администратор Edge
    • Администратор виртуальных посещений
    • Администратор целей Viva
    • Администратор Viva Pulse
    • Администратор Yammer
  • В области "Идентификация":

    • Администратор управления разрешениями
    • Администратор рабочих процессов жизненного цикла
  • В разделе "Другое"

    • Администратор фирменной символики организации
    • Утверждающий организационные сообщения
Можно ли открыть запросы в службу поддержки для клиента в связи GDAP, из которой были исключены все роли Microsoft Entra?

№ Наименее привилегированная роль для пользователей партнеров, которые смогут создавать запросы в службу поддержки для своего клиента, является администратором службы поддержки. Таким образом, чтобы иметь возможность создавать запросы в службу поддержки для клиента, пользователь-партнер должен находиться в группе безопасности и назначен этому клиенту с этой ролью.

Где можно найти сведения обо всех ролях и рабочих нагрузках, включенных в GDAP?

Дополнительные сведения обо всех ролях см. в статье о встроенных ролях Microsoft Entra.

Сведения о рабочих нагрузках см. в разделе "Рабочие нагрузки", поддерживаемые подробными делегированными правами администратора (GDAP).

Какая роль GDAP предоставляет доступ к Центру администрирования Microsoft 365?

Многие роли используются для Центра администрирования Microsoft 365. Дополнительные сведения см. в разделе Часто используемые роли Центра администрирования Microsoft 365.

Можно ли создавать пользовательские группы безопасности для GDAP?

Да. Создайте группу безопасности, назначьте утвержденные роли и назначьте пользователям клиента партнера эту группу безопасности.

Какие роли GDAP предоставляют доступ только для чтения к подпискам клиента и поэтому не позволяют пользователю управлять ими?

Доступ только для чтения к подпискам клиента предоставляется ролями поддержки глобального читателя, читателя каталогов и партнеров уровня 2.

Какую роль следует назначить моим агентам-партнерам (в настоящее время агенты администрирования), если они хотели бы управлять клиентом, но не изменять подписки клиента?

Мы рекомендуем удалить агенты партнеров из роли агента администрирования и добавить их только в группу безопасности GDAP. Таким образом, они могут администрировать службы (запросы на управление службами и службу журналов, например), но они не могут приобретать подписки (изменять количество, отмену, планировать изменения и т. д.).

Что произойдет, если клиент предоставляет роли GDAP партнеру, а затем удаляет роли или удаляет связь GDAP?

Группы безопасности, назначенные связи, теряют доступ к данному клиенту. То же самое происходит, если клиент завершает связь DAP.

Может ли партнер продолжать транзакцию для клиента после удаления всех отношений GDAP с клиентом?

Да, удаление отношений GDAP с клиентом не завершает отношения торгового посредника партнеров с клиентом. Партнеры по-прежнему могут приобретать продукты для клиента и управлять бюджетом Azure и другими связанными действиями.

Могут ли некоторые роли в отношениях GDAP с моим клиентом иметь больше времени, чем другие?

№ Все роли в связи GDAP имеют одно и то же время окончания срока действия: длительность, выбранная при создании связи.

Требуется ли GDAP для выполнения заказов для новых и существующих клиентов в Центре партнеров?

№ Для выполнения заказов для новых и существующих клиентов не требуется GDAP. Вы можете продолжать использовать тот же процесс для выполнения заказов клиентов в Центре партнеров.

Нужно ли назначить одну роль агента партнера всем клиентам или назначить роль агента партнера одному клиенту?

Связи GDAP являются клиентами. Вы можете иметь несколько связей для каждого клиента. Каждая связь GDAP может иметь разные роли и использовать разные группы Microsoft Entra в клиенте CSP.

В Центре партнеров назначение ролей работает на уровне отношений между клиентами и GDAP. Если требуется назначение ролей с несколькими клиентами, вы можете автоматизировать работу с помощью API.

Может ли пользователь-партнер иметь роли GDAP и гостевую учетную запись?

Гостевые учетные записи не работают с GDAP. Клиенты должны удалить все гостевые учетные записи, чтобы получить GDAP для работы.

Требуется ли DAP/GDAP для подготовки подписки Azure?

Нет, для приобретения планов Azure и подготовки подписок Azure для клиента не требуется DAP или GDAP. Процесс создания подписки Azure для клиента описан при создании подписки для клиента партнера — Microsoft Cost Management + Billing. По умолчанию группа агентов администрирования в клиенте партнера становится владельцем подписок Azure, подготовленных для клиента. Войдите в портал Azure с помощью идентификатора Центра партнеров.

Для подготовки доступа к клиенту необходимо отношение GDAP. Связь GDAP должна включать как минимум роль Microsoft Entra для читателей каталогов. Чтобы подготовить доступ в Azure, используйте страницу управления доступом (IAM). Для AOBO войдите в Центр партнеров и используйте страницу управления службами для подготовки доступа к клиенту.

Какие роли Microsoft Entra поддерживаются GDAP?

GDAP в настоящее время поддерживает только встроенные роли Microsoft Entra. Пользовательские роли Microsoft Entra не поддерживаются.

Почему администраторы GDAP + пользователи B2B не могут добавлять методы проверки подлинности в aka.ms/mysecurityinfo?

Гостевые администраторы GDAP не могут управлять собственными сведениями о безопасности в My Security-Info. Вместо этого они будут нуждаться в помощи администратора клиента, в который они являетесь гостем для регистрации, обновления или удаления сведений о безопасности. Организации могут настроить политики доступа между клиентами для доверия MFA из доверенного клиента CSP. В противном случае гостевые администраторы GDAP будут ограничены только методами, регистрируемыми администратором клиентов (это SMS или голосовая связь). Дополнительные сведения см. в разделе "Политики доступа между клиентами".

Какие роли могут использовать партнер для автоматического расширения?

Выравнивание по принципу "Нулевое доверие": используйте минимальный доступ к привилегиям:

DAP и GDAP

Заменяет ли GDAP DAP?

Да. В течение переходного периода DAP и GDAP будут сосуществовать с разрешениями GDAP, которые имеют приоритет над разрешениями DAP для рабочих нагрузок Microsoft 365, Dynamics 365 и Azure .

Можно ли продолжать использовать DAP или перенести всех клиентов в GDAP?

DAP и GDAP сосуществуют во время переходного периода. Однако GDAP в конечном итоге заменит DAP, чтобы обеспечить более безопасное решение для наших партнеров и клиентов. Рекомендуется как можно скорее перейти клиентов в GDAP, чтобы обеспечить непрерывность.

Хотя DAP и GDAP сосуществуют, будут ли какие-либо изменения в том, как создается связь DAP?

В то время как DAP и GDAP не существуют изменения в существующем потоке связи DAP и GDAP.

Какие роли Microsoft Entra будут предоставлены для GDAP по умолчанию в рамках создания клиента?

DAP в настоящее время предоставляется при создании нового клиента. Начиная с 25 сентября 2023 года корпорация Майкрософт больше не предоставит DAP для создания нового клиента и вместо этого предоставит GDAP по умолчанию с определенными ролями. Роли по умолчанию зависят от типа партнера, как показано в следующей таблице:

Роли Microsoft Entra, предоставленные для GDAP по умолчанию Партнеры с прямым выставлением счетов Косвенные поставщики Косвенные торговые посредники Партнеры по домену поставщики панель управления (CPV) Advisor Отказ от GDAP по умолчанию (нет DAP)
1. Читатели каталогов. Может считывать сведения базового каталога. Обычно используется для предоставления доступа на чтение каталога приложениям и гостям. x x x x x
2. Записи каталогов. Может считывать и записывать базовые сведения о каталоге. Предназначено для предоставления доступа приложениям, а не пользователям. x x x x x
3. Администратор лицензии. Может управлять лицензиями продуктов для пользователей и групп. x x x x x
4. Администратор службы поддержки. Может просматривать сведения о работоспособности служб и работать с запросами в службу поддержки. x x x x x
5. Администратор пользователей. Может контролировать все аспекты работы пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами. x x x x x
6. Администратор привилегированных ролей. Может управлять назначениями ролей в Microsoft Entra и всеми аспектами управление привилегированными пользователями. x x x x x
7. Администратор службы технической поддержки. Может сбрасывать пароли для неадминистраторов и администраторов службы технической поддержки. x x x x x
8. Администратор привилегированной проверки подлинности. Может получить доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя (администратора или неадмин). x x x x x
9. Администратор облачных приложений. Может задавать и контролировать любые аспекты регистрации приложений и работы с корпоративными приложениями, за исключением прокси приложения. x x x x
10. Администратор приложения. Может создавать любые аспекты регистрации приложений и работы с корпоративными приложениями и управлять ими. x x x x
11. Глобальный читатель. Может прочитать все, что может глобальный администратор, но ничего не может обновить. x x x x x
12. Администратор внешнего поставщика удостоверений. Может управлять федерацией между организациями Microsoft Entra и внешними поставщиками удостоверений. x
13. Администратор доменного имени. Может управлять доменными именами в облаке и локально. x
Как GDAP будет работать с управление привилегированными пользователями в Microsoft Entra?

Партнеры могут реализовать управление привилегированными пользователями (PIM) в группе безопасности GDAP в клиенте партнера, чтобы повысить уровень доступа нескольких пользователей с высоким уровнем привилегий( JIT) для предоставления им ролей с высоким уровнем привилегий, таких как администраторы паролей с автоматическим удалением доступа.

До января 2023 года требуется, чтобы каждая группа привилегированного доступа (прежнее имя функции PIM для групп ) должна была находиться в группе с возможностью назначения ролей. Это ограничение было удалено. Учитывая это, можно включить более 500 групп на каждого клиента в PIM, но только 500 групп можно назначить роль.

Сводка:

  • Партнеры могут использовать группы, назначаемые ролью, и группы, не назначаемые ролем, в PIM. Это эффективно удаляет ограничение на 500 групп или клиентов в PIM.

  • С последними обновлениями можно будет подключить группу к PIM (UX-мудрый): из меню PIM или из меню "Группы". Независимо от выбранного способа, чистый результат совпадает.

    • Возможность подключения групп, назначаемых ролем или не назначаемых ролем, через меню PIM уже доступна.

    • Возможность подключения групп, назначаемых ролем или не назначаемых ролем, с помощью меню "Группы" уже доступна.

  • Дополнительные сведения см. в разделе управление привилегированными пользователями (PIM) для групп (предварительная версия) — Microsoft Entra.

Как DAP и GDAP сосуществуют, если клиент покупает Microsoft Azure и Microsoft 365 или Dynamics 365?

GDAP общедоступен для всех коммерческих облачных служб Майкрософт (Microsoft 365, Dynamics 365, Microsoft Azure и Microsoft Power Platform). Дополнительные сведения о том, как DAP и GDAP могут сосуществовать и как GDAP имеет приоритет, см. в статье о том, как GDAP будет иметь приоритет над DAP.

У меня есть большая клиентская база (например, 10 000 учетных записей клиентов). Разделы справки переход с DAP на GDAP?

Это действие можно выполнить с помощью API.

№ Ваши доходы PEC не будут затронуты при переходе на GDAP. Нет изменений в PAL с переходом, гарантируя, что вы продолжаете зарабатывать PEC.

Влияет ли PEC при удалении DAP/GDAP?
  • Если клиент партнера имеет только DAP и DAP удаляется, PEC не теряется.
  • Если клиент партнера имеет DAP, и они перемещаются в GDAP для Office и Azure одновременно, а DAP удаляется, PEC не теряется.
  • Если клиент партнера имеет DAP, и они переходят в GDAP для Office, но сохраняют Azure как есть (они не перемещаются в GDAP) и DAP удалены, PEC не будет потерян, но доступ к подписке Azure будет потерян.
  • Если роль RBAC удалена, PEC теряется, но удаление GDAP не удаляет RBAC.
Как разрешения GDAP имеют приоритет над разрешениями DAP в то время как DAP и GDAP сосуществуют?

Если пользователь входит в группу безопасности GDAP и группу агентов администрирования DAP, а клиент имеет отношения DAP и GDAP, доступ GDAP имеет приоритет на уровне партнера, клиента и рабочей нагрузки.

Например, если пользователь-партнер входит в определенную рабочую нагрузку, а для роли глобального администратора и GDAP для роли "Глобальный читатель" пользователь-партнер получает разрешения только глобального читателя.

Если существует три клиента с назначениями ролей GDAP только группе безопасности GDAP (а не агентам администратора):

Схема, показывающая связь между разными пользователями в качестве членов групп безопасности *Admin Agent* и GDAP.

Клиент Отношения с партнером
Клиент 1 DAP (без GDAP)
Клиент 2 DAP + GDAP оба
Клиент 3 GDAP (без DAP)

В следующей таблице описывается, когда пользователь входит в другой клиент клиента.

Пример пользователя Пример клиента Поведение Комментарии
Пользователь 1 Клиент 1 ПОДПРЫГИВАНИЕ В этом примере используется DAP as-is.
Пользователь 1 Клиент 2 ПОДПРЫГИВАНИЕ Нет назначения роли GDAP группе агентов администрирования, что приводит к поведению DAP.
Пользователь 1 Клиент 3 Нет доступа Нет связи DAP, поэтому группа агентов администрирования не имеет доступа к клиенту 3.
Пользователь 2 Клиент 1 ПОДПРЫГИВАНИЕ В этом примере используется DAP as-is
Пользователь 2 Клиент 2 GDAP GDAP имеет приоритет над DAP, так как существует роль GDAP, назначенная пользователю 2 через группу безопасности GDAP, даже если пользователь является частью группы агентов администрирования.
Пользователь 2 Клиент 3 GDAP В этом примере используется только клиент GDAP.
Пользователь 3 Клиент 1 Нет доступа Для клиента 1 не назначена роль GDAP.
Пользователь 3 Клиент 2 GDAP Пользователь 3 не является частью группы агентов администрирования, что приводит к поведению только GDAP.
Пользователь 3 Клиент 3 GDAP Поведение, доступное только для GDAP
Отключает ли DAP или переход на GDAP влияет на мои устаревшие преимущества компетенции или обозначения партнеров решений, которые я достиг?

DAP и GDAP не являются подходящими типами ассоциаций для назначений партнеров решений и отключения или перехода с DAP на GDAP не повлияют на достижение назначений партнеров решений. Продление устаревших преимуществ компетенций или преимуществ партнеров решений также не будет затронуто.

Перейдите к обозначениям партнеров По решениям Центра партнеров, чтобы просмотреть, какие другие типы ассоциаций партнеров имеют право на назначение партнеров решений.

Как GDAP работает с Azure Lighthouse? Влияют ли GDAP и Azure Lighthouse друг на друга?

Что касается отношений между Azure Lighthouse и DAP/GDAP, думайте о них как о развязанных параллельных путях к ресурсам Azure, поэтому отключать их не следует.

  • В сценарии Azure Lighthouse пользователи из партнера никогда не войдите в клиент клиента и не имеют разрешений Microsoft Entra в клиенте клиента. Назначения ролей Azure RBAC также хранятся в клиенте партнера.

  • В сценарии GDAP пользователи из партнера войдите в клиент клиента, а назначение роли Azure RBAC группе агентов администрирования также находится в клиенте клиента. Вы можете заблокировать путь GDAP (пользователи больше не могут войти), пока путь Azure Lighthouse не влияет. И наоборот, можно отключить связь Lighthouse (проекция), не влияя на GDAP. Дополнительные сведения см. в документации по Azure Lighthouse .

Как GDAP работает с Microsoft 365 Lighthouse?

Управляемые поставщики услуг (MSPs), зарегистрированные в программе поставщик облачных решений (CSP) в качестве косвенных торговых посредников или партнеров с прямым выставлением счетов, теперь могут использовать Microsoft 365 Lighthouse для настройки GDAP для любого клиента клиента. Поскольку существует несколько способов, которыми партнеры управляют переходом в GDAP, этот мастер позволяет партнерам Lighthouse принимать рекомендации по роли, относящиеся к их бизнес-потребностям. Он также позволяет им принимать меры безопасности, такие как JIT-доступ. MSPs также может создавать шаблоны GDAP с помощью Lighthouse, чтобы легко сохранять и повторно применять параметры, которые обеспечивают доступ клиентов с минимальными привилегиями. Дополнительные сведения и просмотр демонстрации см. в мастере настройки GDAP Lighthouse.

MSPs может настроить GDAP для любого клиента в Lighthouse. Для доступа к данным рабочей нагрузки клиента в Lighthouse требуется связь GDAP или DAP. Если GDAP и DAP совместно работают в клиенте, разрешения GDAP имеют приоритет для технических специалистов MSP в группах безопасности с поддержкой GDAP. Дополнительные сведения о требованиях для Microsoft 365 Lighthouse см. в разделе "Требования к Microsoft 365 Lighthouse".

Как лучше всего перейти к GDAP и удалить DAP без потери доступа к подпискам Azure, если у меня есть клиенты с Azure?

Правильная последовательность для этого сценария:

  1. Создайте связь GDAP для Microsoft 365 и Azure.
  2. Назначение ролей Microsoft Entra группам безопасности для Microsoft 365 и Azure.
  3. Настройте GDAP, чтобы иметь приоритет над DAP.
  4. Удалите DAP.

Внимание

Если вы не выполните эти действия, существующие агенты администрирования, управляющие Azure, могут потерять доступ к подпискам Azure для клиента.

Следующая последовательность может привести к потере доступа к подпискам Azure:

  1. Удалите DAP.

    Вы не обязательно потеряете доступ к подписке Azure, удалив DAP. Но в настоящее время вы не можете просмотреть каталог клиента, чтобы выполнить какие-либо назначения ролей Azure RBAC (например, назначение нового пользователя клиента в качестве участника RBAC подписки).

  2. Создайте связь GDAP для Microsoft 365 и Azure вместе.

    Вы можете потерять доступ к подписке Azure на этом шаге после настройки GDAP.

  3. Назначение ролей Microsoft Entra группам безопасности для Microsoft 365 и Azure

    После завершения установки Azure GDAP вы получите доступ к подпискам Azure.

У меня есть клиенты с подписками Azure без DAP. Если я переместю их в GDAP для Microsoft 365, я потеряю доступ к подпискам Azure?

Если у вас есть подписки Azure без DAP , которым вы управляете как владелец, добавив GDAP для Microsoft 365 к клиенту, вы можете потерять доступ к подпискам Azure. Чтобы избежать этого, переместите клиента в GDAP Azure одновременно, чтобы переместить клиента в Microsoft 365 GDAP.

Внимание

Если эти действия не выполнены, существующие агенты администрирования, управляющие Azure, могут потерять доступ к подпискам Azure для клиента.

№ Отношения, принятые после принятия, не будут повторно использоваться.

Если у меня есть отношения торгового посредника с клиентами без DAP и у которых нет отношений GDAP, можно ли получить доступ к своей подписке Azure?

Если у вас есть отношения торгового посредника с клиентом, вам по-прежнему потребуется установить связь GDAP, чтобы управлять подписками Azure.

  1. Создайте группу безопасности (например, диспетчеры Azure) в Microsoft Entra.
  2. Создайте связь GDAP с ролью читателя каталогов.
  3. Сделайте группу безопасности членом группы агента администрирования.

После этого вы сможете управлять подпиской Azure клиента с помощью AOBO. Подписка не может управляться с помощью ИНТЕРФЕЙСА командной строки или PowerShell.

Можно ли создать план Azure для клиентов без DAP и у которых нет связей GDAP?

Да, вы можете создать план Azure, даже если нет DAP или GDAP с существующими отношениями торгового посредника; однако для управления этой подпиской потребуется DAP или GDAP.

Почему раздел "Сведения о компании" на странице "Учетная запись" в разделе "Клиенты" больше не отображаются при удалении DAP?

При переходе от DAP к GDAP партнеры должны убедиться, что они должны иметь следующие сведения, чтобы просмотреть сведения о компании:

Почему имя пользователя заменено на "user_somenumber" в portal.azure.com, когда существует связь GDAP?

Когда поставщик служб CSP входит в портал Azure клиента (portal.azure.come), используя свои учетные данные CSP и существует связь GDAP, CSP замечает, что его имя пользователя является "user_", за которым следует некоторое число. Он не отображает фактическое имя пользователя, как в DAP. Это сделано намеренно.

Снимок экрана: замена имени пользователя.

Каковы временные шкалы для остановки DAP и предоставления GDAP по умолчанию с созданием нового клиента?
Тип клиента Дата доступности Поведение API Центра партнеров (POST /v1/customers)
enableGDAPByDefault: true
Поведение API Центра партнеров (POST /v1/customers)
enableGDAPByDefault: false
Поведение API Центра партнеров (POST /v1/customers)
Нет изменений для запроса или полезных данных
Поведение пользовательского интерфейса Центра партнеров
Песочница 25 сентября 2023 г. (только API) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Да. GDAP по умолчанию = Нет GDAP по умолчанию = Да
Рабочая среда 10 октября 2023 г. (API +UI) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Да. GDAP по умолчанию = Нет Отказ в доступе: GDAP по умолчанию
Рабочая среда 27 ноября 2023 г. (развертывание общедоступной версии завершено 2 декабря) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Нет. GDAP по умолчанию = Да Отказ в доступе: GDAP по умолчанию

Партнеры должны явно предоставлять подробные разрешения группам безопасности в GDAP по умолчанию.
По состоянию на 10 октября 2023 года DAP больше недоступен с отношениями торгового посредника. Обновленная ссылка связи посредника запросов доступна в пользовательском интерфейсе Центра партнеров, а URL-адрес свойства "/v1/customers/relationship request" возвращает URL-адрес приглашения, который будет отправлен администратору клиента.

Следует ли партнеру предоставлять детализированные разрешения группам безопасности в GDAP по умолчанию?

Да, партнеры должны явно предоставлять детализированные разрешения группам безопасности в GDAP по умолчанию для управления клиентом.

Какие действия могут выполнять партнерские отношения с торговым посредником, но не DAP и GDAP не выполняются в Центре партнеров?

Партнеры с отношениями торгового посредника только без DAP или GDAP могут создавать клиентов, размещать заказы и управлять заказами, скачивать ключи программного обеспечения, управлять Azure RI. Они не могут просматривать сведения о компании клиента, не могут просматривать пользователей или назначать лицензии пользователям, не могут регистрировать билеты от имени клиентов и не могут получать доступ к конкретным центрам администрирования продукта (например, Центр администрирования Teams).

Для доступа к клиенту клиента и управления ими партнер или CPV субъект-служба приложения должна быть предоставлена в клиенте клиента. Если DAP активен, они должны добавить субъект-службу приложения в группу SG агентов администрирования в клиенте партнера. С помощью GDAP партнер должен убедиться, что их приложение предоставлено согласие в клиенте клиента. Если приложение использует делегированные разрешения (App + User) и активная GDAP существует с любой из трех ролей (администратор облачных приложений, администратор приложений, глобальный администратор) можно использовать API согласия. Если приложение использует разрешения только для приложений, оно должно быть предоставлено вручную партнером или клиентом с тремя ролями (администратор облачных приложений, администратор приложений, глобальный администратор), с помощью URL-адреса согласия администратора на уровне клиента.

Какое действие должно выполнять партнер для ошибки 715-123220 или анонимных подключений для этой службы?

Если вы видите следующую ошибку:

"Мы не можем проверить запрос "Создать связь GDAP" в настоящее время. Рекомендуется пользоваться анонимными подключениями для этой службы. Если вы считаете, что вы получили это сообщение в ошибке, повторите запрос. Щелкните, чтобы узнать о действиях, которые можно предпринять. Если проблема сохранится, обратитесь в службу поддержки и справочный код сообщения 715-123220 и идентификатор транзакции: guid".

Измените способ подключения к корпорации Майкрософт, чтобы обеспечить правильную работу службы проверки подлинности, чтобы убедиться, что ваша учетная запись не была скомпрометирована и соответствует нормативным требованиям, которые корпорация Майкрософт должна соблюдать.

Действия, которые можно выполнить.

  • Очистите кэш браузера.
  • Отключите защиту отслеживания в браузере или добавьте наш сайт в список исключений или безопасных данных.
  • Отключите все программы или службы виртуальной частной сети (VPN), которые вы можете использовать.
  • Подключайтесь напрямую с локального устройства, а не через виртуальную машину (ВМ).

После выполнения этих действий вам по-прежнему не удается подключиться, мы рекомендуем проконсультироваться с ИТ-службой технической поддержки, чтобы проверить параметры, чтобы узнать, может ли они определить причину проблемы. Иногда проблема связана с параметрами сети вашей компании, в этом случае ИТ-администратору потребуется решить проблему, задав безопасный список настроек сайта или других параметров сети.

Какие действия GDAP разрешены для партнера, который отключен (ограничен, приостановлен) и отключен?
  • Ограниченный (прямой счет): создать новые отношения GDAP (отношения администратора) невозможно. Существующие GDAPs и их назначения ролей МОГУТ быть обновлены.
  • Приостановлено (прямой счет, косвенный поставщик или косвенный торговый посредник): создать новый GDAP НЕ МОЖЕТ. Существующие GDAPs и их назначения ролей не могут быть обновлены.
  • Ограниченный (прямой счет) + активный (косвенный торговый посредник): для ограниченного прямого счета: создать новый GDAP (отношения администратора) не может быть создано. Существующие GDAPs и их назначения ролей МОГУТ быть обновлены. Для активного косвенного торгового посредника: будет создано новое приложение GDAP, существующие GDAPs и их назначения ролей МОГУТ быть обновлены.

При отключении нового GDAP невозможно создать, существующие GDAP и их назначения ролей не могут быть обновлены.

Предложения

Входит ли управление подписками Azure в этот выпуск GDAP?

Да. Текущий выпуск GDAP поддерживает все продукты: Microsoft 365, Dynamics 365, Microsoft Power Platform и Microsoft Azure.