Dela via


Konfigurera GDAP för dina kunder i Microsoft 365 Lighthouse

Nu kan du konfigurera alla dina kunder med detaljerade delegerade administratörsprivilegier (GDAP) via Microsoft 365 Lighthouse, oavsett deras licenser eller storlek. Genom att konfigurera din organisation med GDAP för de kundklientorganisationer som du hanterar har användare i din organisation de behörigheter som krävs för att utföra sitt arbete samtidigt som kundernas klientorganisationer skyddas. Med Lighthouse kan du snabbt överföra din organisation till GDAP och påbörja resan till lägsta behörighet för din delegerade åtkomst till kunder.

Delegerad åtkomst via delegerade administratörsprivilegier (DAP) eller GDAP är en förutsättning för att kundklienter ska kunna registreras helt i Lighthouse. Därför kan det första steget i att hantera dina kundklientorganisationer i Lighthouse vara att skapa GDAP-relationer med dina kunder.

Under GDAP-konfigurationsprocessen skapar du GDAP-mallar genom att konfigurera vilka supportroller och säkerhetsgrupper som behövs för din organisation. Sedan tilldelar du kundklienter till GDAP-mallar. GDAP-roller är begränsade till inbyggda Microsoft Entra-roller, och när du konfigurerar GDAP visas rekommendationer för en uppsättning roller som behövs för olika jobbfunktioner.

Klocka: Konfigurera GDAP

Kolla in de andra Microsoft 365 Lighthouse-videorna på vår YouTube-kanal.

Innan du börjar

  • Du måste ha specifika behörigheter i partnerklientorganisationen:

    • Om du vill upprätta GDAP-säkerhetsgrupper, lägga till användare och skapa GDAP-mallar måste du vara global administratör i partnerklientorganisationen. Den här rollen kan tilldelas i Microsoft Entra-ID.

    • Om du vill skapa och slutföra GDAP-relationer måste du vara medlem i gruppen Administratörsagenter i Partnercenter.

  • De kunder som du hanterar i Lighthouse måste konfigureras i Partnercenter med antingen en återförsäljarrelation eller en befintlig delegerad relation (DAP eller GDAP).

Obs!

Lighthouse GDAP-mallar använder rolltilldelningsbara säkerhetsgrupper. En Microsoft Entra ID P1-licens krävs för att lägga till användare i dessa grupper. För att aktivera JIT-roller (Just-in-Time) krävs Microsoft Entra IDE-styrning eller en Microsoft Entra ID P2-licens.

Konfigurera GDAP för första gången

När du konfigurerar GDAP för första gången måste du slutföra följande avsnitt i ordning. När du är klar kan du komma tillbaka och redigera alla avsnitt efter behov.

Om du stöter på problem under GDAP-installationen kan du läsa Felsöka felmeddelanden och problem i Microsoft 365 Lighthouse: GDAP-konfiguration och -hantering för vägledning.

Så här kommer du igång:

  1. I det vänstra navigeringsfönstret i Lighthouse väljer du Start.

  2. På kortet Konfigurera GDAP väljer du Konfigurera GDAP.

  3. Slutför följande avsnitt i ordning.

    Steg 1: Roller och behörigheter

    Steg 2: GDAP-mallar

    Steg 3: Säkerhetsgrupper

    Steg 4: Klienttilldelningar

    Steg 5: Granska och slutför

Steg 1: Roller och behörigheter

Välj de Microsoft Entra-roller som behövs baserat på dina anställdas jobbfunktioner.

  1. På sidan Roller och behörigheter väljer du de Microsoft Entra-roller som behövs baserat på dina anställdas jobbfunktioner. Gör något av följande:

    • Anta rekommenderade roller
    • Redigera rollval för Microsoft Entra

    Som standard innehåller Lighthouse fem supportroller: Kontoansvarig, Service Desk Agent, Specialist, Eskaleringstekniker och JIT-agent. Du kan byta namn på supportroller så att de matchar organisationens inställningar genom att välja Redigera supportroller. Vissa Microsoft Entra-roller kan inte läggas till i olika supportroller, till exempel kan Microsoft Entra-rollerna i JIT-agentens supportroll inte läggas till i någon annan supportroll.

    Om inte alla supportroller behövs för GDAP-konfigurationen kan du utesluta en eller flera från dina GDAP-mallar i nästa steg.

  2. Välj Nästa.

  3. Välj Spara och stäng för att spara inställningarna och avsluta GDAP-installationen.

Steg 2: GDAP-mallar

En GDAP-mall är en samling med:

  • Supportroller
  • Säkerhetsgrupper
  • Användare i varje säkerhetsgrupp

Så här skapar du en GDAP-mall:

  1. På sidan GDAP-mallar väljer du Skapa mall.

  2. I mallfönstret anger du mallnamnet och beskrivningen i lämpliga fält.

  3. Välj en eller flera supportroller i listan.

  4. Välj Spara.

  5. Välj Nästa.

  6. Välj Spara och stäng för att spara inställningarna och avsluta GDAP-installationen.

Steg 3: Säkerhetsgrupper

Du behöver minst en säkerhetsgrupp per supportroll för varje mall. För den första mallen skapar du en ny säkerhetsgrupp, men för efterföljande mallar kan du återanvända grupper om du vill.

  1. På sidan Säkerhetsgrupper väljer du Skapa säkerhetsgrupp.

  2. I fönstret säkerhetsgrupp anger du ett namn och en beskrivning.

  3. Välj Lägg till användare.

  4. I listan Lägg till användare väljer du de användare som du vill inkludera i den här säkerhetsgruppen.

  5. Välj Spara.

  6. Välj Spara igen.

  7. Välj Nästa.

  8. Välj Spara och stäng för att spara inställningarna och avsluta GDAP-installationen.

JIT-agentens säkerhetsgruppsanvändare är berättigade att begära åtkomst till mycket privilegierade GDAP-roller. de får inte åtkomst till dem automatiskt. Som en del av GDAP-installationen väljer du en säkerhetsgrupp för JIT-godkännare från din klientorganisation för att godkänna åtkomstbegäranden från JIT-agenter.

JIT-godkännarens säkerhetsgrupp måste vara rolltilldelningsbar. Om du inte ser att en säkerhetsgrupp visas i GDAP-konfigurationen kontrollerar du att säkerhetsgruppen kan tilldelas rollen. Mer information om hur du hanterar rolltilldelningar finns i Använda Microsoft Entra-grupper för att hantera rolltilldelningar.

När du har slutfört GDAP-installationen skapas en JIT-åtkomstprincip för JIT-agenter för att begära åtkomst. Du kan granska principen som skapats i Microsoft Entra ID-styrningsportalen, och JIT-agenter kan begära åtkomst till sina roller från My Access-portalen. Mer information om hur JIT-agenter kan begära åtkomst finns i Hantera åtkomst till resurser. Mer information om hur godkännare kan godkänna begäranden finns i Godkänna eller neka begäran.

Steg 4: Klienttilldelningar

Tilldela grupper av kunder till varje mall. Varje kund kan bara tilldelas en mall. När den har valts visas inte kundens klientorganisation som ett alternativ för efterföljande mallar. Om du kör GDAP-installationen igen sparas dina klienttilldelningar per GDAP-mall.

  • Om du vill lägga till nya klienter i en GDAP-mall kör du GDAP-installationen igen. Behåll sparade klienttilldelningar och välj nya klienter att tilldela till GDAP-mallen. Nya GDAP-relationer skapas bara för de nyligen tilldelade klienterna.

  • Om du vill ta bort klienter från en GDAP-mall kör du GDAP-installationen igen. Ta bort klienttilldelningen. Om du tar bort klienttilldelningen tas inte den GDAP-relation som skapats från en tidigare tilldelning bort, men du kan omtilldela kundens klientorganisation till en annan GDAP-mall om det behövs.

Kontrollera att alla klienter som du vill tilldela till en GDAP-mall är markerade innan du väljer Nästa. Du kan filtrera listan över klienter med hjälp av sökrutan i det övre högra hörnet.

  1. På sidan Klienttilldelningar väljer du de klienter som du vill tilldela till den MALL FÖR GDAP som du skapade.

  2. Välj Nästa för att gå till nästa avsnitt eller välj Spara och stäng för att spara inställningarna och avsluta GDAP-installationen.

Steg 5: Granska och slutför

  1. På sidan Granska inställningar granskar du de inställningar som du har skapat för att bekräfta att de är korrekta.

  2. Välj Slutför.

Det kan ta en minut eller två för de inställningar som du har konfigurerat att tillämpa. Om du behöver uppdatera data följer du anvisningarna. Installationen är ofullständig om du avslutar GDAP-installationen utan att välja Slutför.

Obs!

För kunder med en befintlig DAP-relation tillämpas de här inställningarna automatiskt. Kunder med aktiv status på den sista sidan i GDAP-konfigurationen tilldelas roller och säkerhetsgrupper enligt definitionen i GDAP-mallen.

Obs!

För kunder utan en befintlig DAP-relation genereras en länk för begäran om administratörsrelation för varje kund på den sista sidan i GDAP-installationen. Därifrån kan du skicka länken till kundens globala administratör så att de kan godkänna administratörsrelationen. När relationen har godkänts tillämpas inställningarna för GDAP-mallen. Det kan ta upp till en timme efter att relationen har godkänts för att ändringar ska visas i Lighthouse.

När du har slutfört GDAP-installationen kan du gå till olika steg för att uppdatera eller ändra roller, säkerhetsgrupper eller mallar. GDAP-relationer visas nu i Partnercenter och säkerhetsgrupperna visas nu i Microsoft Entra-ID.

Översikt över behörigheter (artikel)
Felsöka felmeddelanden och problem (artikel)
Konfigurera portalsäkerhet (artikel)
Introduktion till detaljerade delegerade administratörsprivilegier (GDAP) (artikel)
Inbyggda roller i Microsoft Entra (artikel)
Läs mer om grupper och åtkomsträttigheter i Microsoft Entra ID (artikel)
Vad är Microsoft Entra-berättigandehantering? (artikel)