Vanliga frågor och svar om GDAP
Lämpliga roller: Alla användare som är intresserade av Partnercenter
Detaljerade delegerade administratörsbehörigheter (GDAP) ger partner åtkomst till sina kunders arbetsbelastningar på ett sätt som är mer detaljerat och tidsbegränsat, vilket kan hjälpa till att hantera kundens säkerhetsproblem.
Med GDAP kan partner tillhandahålla fler tjänster till kunder som kan vara obekväma med den höga nivån av partneråtkomst.
GDAP hjälper även till med kunder som har regelkrav för att endast ge minst privilegierad åtkomst till partner.
Konfigurera GDAP
Vem kan begära en GDAP-relation?
Någon med rollen Administratörsagent i en partnerorganisation kan skapa en GDAP-relationsbegäran.
Upphör en GDAP-relationsbegäran att gälla om kunden inte vidtar några åtgärder?
Ja. GDAP-relationsbegäranden upphör att gälla efter 90 dagar.
Kan jag skapa en GDAP-relation med en kund permanent?
Nej. Permanenta GDAP-relationer med kunder är inte möjliga av säkerhetsskäl. Den maximala varaktigheten för en GDAP-relation är två år. Du kan ange Automatisk utökning till Aktiverad för att utöka en administratörsrelation med sex månader tills avslutad eller automatisk förlängning har angetts till Inaktiverad.
Har GDAP-relationen stöd för enterprise-avtal?
Nej, GDAP-relationen stöder inte prenumerationer som köpts via företagsavtal.
Kan en GDAP-relation med en kund automatiskt förlängas?
Ja. En GDAP-relation kan förlängas automatiskt med sex månader tills den avslutas eller automatiskt utökas till Inaktiverad.
Vad gör jag när GDAP-relationen med en kund upphör att gälla?
Om GDAP-relationen med kunden upphör att gälla begär du en GDAP-relation igen.
Du kan använda GDAP-relationsanalys för att spåra förfallodatum för GDAP-relationer och förbereda för förnyelse.
Hur kan en kund utöka eller förnya en GDAP-relation?
Om du vill utöka eller förnya en GDAP-relation måste partnern eller kunden ange Automatisk utökning till Aktiverad. Läs mer i Hantera GDAP Automatisk utökning och API.
Kan ett aktivt GDAP snart uppdateras till automatiskt utökat?
Ja, om GDAP är aktivt kan det utökas.
När fungerar automatisk utökning?
Anta att en GDAP har skapats i 365 dagar med automatisk utökning inställd på Aktiverad. Den 365:e dagen uppdateras slutdatumet effektivt med 180 dagar.
Skulle e-postmeddelanden skickas när automatisk utökning växlas mellan Aktiverad/Inaktiverad?
Inga e-postmeddelanden skickas till partner och kund.
Kan ett GDAP som skapats med PLT (Partner Led Tool), MLT (Microsoft Led Tool), Partner Center UI, Partner Center API utökas automatiskt?
Ja, alla aktiva GDAP kan utökas automatiskt.
Krävs kundens medgivande för att ställa in automatisk utökning mot befintliga aktiva GDAP:er?
Nej, kundens medgivande behövs inte för att ställa in automatisk utökning till Aktiverad mot en befintlig aktiv GDAP.
Ska detaljerade behörigheter omtilldelas till säkerhetsgrupper efter automatisk utökning?
Nej, detaljerade behörigheter som tilldelats säkerhetsgrupper fortsätter som de är.
Kan en administratörsrelation med rollen Global administratör utökas automatiskt?
Nej, administratörsrelationen med rollen Global administratör kan inte utökas automatiskt.
Varför kan jag inte se sidan Förfallna detaljerade relationer under arbetsytan Kunder?
Sidan Förfallna detaljerade relationer är endast tillgänglig för partneranvändare som har globala administratörer och administratörsagentroller.
Den här sidan hjälper till att filtrera GDAP:er som upphör att gälla mellan olika tidslinjer och hjälper till att uppdatera automatisk utökning (aktivera/inaktivera) för en eller flera GDAP:er.
Påverkas kundens befintliga prenumerationer om en GDAP-relation upphör?
Nej. En kunds befintliga prenumerationer ändras inte när en GDAP-relation upphör att gälla.
Hur kan en kund återställa sina lösenord och MFA-enheter om de är utelåst från sitt konto och inte kan acceptera en GDAP-relationsbegäran från en partner?
Se Felsöka problem med multifaktorautentisering i Microsoft Entra och Det går inte att använda Microsoft Entra multifaktorautentisering för att logga in på molntjänster när du har förlorat din telefon eller telefonnumret ändras för vägledning.
Vilka roller behöver en partner för att återställa ett administratörslösenord och en MFA-enhet om en kundadministratör är utelåst från sitt konto och inte kan acceptera en GDAP-relationsbegäran från en partner?
Partner måste begära rollen Administratör för privilegierad autentisering , Microsoft Entra när du skapar första GDAP, för att kunna återställa lösenords- och autentiseringsmetoden för en användare (administratör eller icke-administratör). Rollen Administratör för privilegierad autentisering är en del av de roller som konfigureras av MLT (Microsoft Led Tool) och planeras vara tillgänglig med GDAP som standard under Skapa kundflöde (planerat till september).
Partnern kan låta kundadministratören försöka återställa lösenordet. Som en försiktighetsåtgärd måste partnern konfigurera SSPR (självbetjäning av lösenordsåterställning) för sina kunder. Se Låt personer återställa sina egna lösenord.
Vem får ett e-postmeddelande om avslut av GDAP-relationer?
Inom en partnerorganisation får personer med rollen Administratörsagent ett uppsägningsmeddelande.
Inom en kundorganisation får personer med rollen Global administratör ett uppsägningsmeddelande.
Kan jag se när en kund tar bort GDAP i aktivitetsloggarna?
Ja. Partner kan se när en kund tar bort GDAP i partnercentrets aktivitetsloggar.
Behöver jag skapa en GDAP-relation med alla mina kunder?
Nej. GDAP är en valfri funktion för partner som vill hantera sina kunders tjänster på ett mer detaljerat och tidsbundet sätt. Du kan välja vilka kunder du vill skapa en GDAP-relation med.
Behöver jag ha flera säkerhetsgrupper för dessa kunder om jag har flera kunder?
Svaret beror på hur du vill hantera dina kunder.
Om du vill att dina partneranvändare ska kunna hantera alla kunder kan du placera alla dina partneranvändare i en säkerhetsgrupp och den gruppen kan hantera alla dina kunder.
Om du föredrar att ha olika partneranvändare som hanterar olika kunder tilldelar du dessa partneranvändare till separata säkerhetsgrupper för kundisolering.
Kan indirekta återförsäljare skapa GDAP-relationsbegäranden i Partnercenter?
Ja. Indirekta återförsäljare (och indirekta leverantörer och direktfaktureringspartner) kan skapa GDAP-relationsbegäranden i Partnercenter.
Varför kan inte en partneranvändare med GDAP komma åt en arbetsbelastning som AOBO (admin på uppdrag av)?
Som en del av GDAP-konfigurationen kontrollerar du att säkerhetsgrupper som skapats i partnerklientorganisationen med partneranvändare har valts. Kontrollera också att önskade Microsoft Entra-roller har tilldelats till säkerhetsgruppen. Se Tilldela Microsoft Entra-roller.
Vilket är det rekommenderade nästa steget om den princip för villkorlig åtkomst som kunden anger blockerar all extern åtkomst, inklusive CSP:s åtkomst (AOBO) till kundens klientorganisation?
Kunder kan nu exkludera CSP:er från principen för villkorsstyrd åtkomst så att partner kan övergå till GDAP utan att blockeras.
Inkludera användare – Den här listan över användare innehåller vanligtvis alla användare som en organisation riktar in sig på i en princip för villkorsstyrd åtkomst.
Följande alternativ är tillgängliga när du skapar en princip för villkorsstyrd åtkomst:
- Välj användare och grupper
- Gästanvändare eller externa användare (förhandsversion)
- Det här valet innehåller flera alternativ som kan användas för att rikta principer för villkorsstyrd åtkomst till specifika gäst- eller externa användartyper och specifika klientorganisationer som innehåller dessa typer av användare. Det finns flera olika typer av gästanvändare eller externa användare som kan väljas och flera val kan göras:
- Tjänstleverantörsanvändare, till exempel en Molnlösningsleverantör (CSP).
- En eller flera klienter kan anges för de valda användartyperna, eller så kan du ange alla klienter.
- Det här valet innehåller flera alternativ som kan användas för att rikta principer för villkorsstyrd åtkomst till specifika gäst- eller externa användartyper och specifika klientorganisationer som innehåller dessa typer av användare. Det finns flera olika typer av gästanvändare eller externa användare som kan väljas och flera val kan göras:
- Gästanvändare eller externa användare (förhandsversion)
Extern partneråtkomst – Principer för villkorsstyrd åtkomst som riktar sig till externa användare kan störa tjänstleverantörens åtkomst, till exempel detaljerade delegerade administratörsprivilegier. Mer information finns i Introduktion till detaljerade delegerade administratörsprivilegier (GDAP). För principer som är avsedda att rikta in sig på tjänstleverantörsklientorganisationer använder du den externa användartypen Tjänstleverantör som är tillgänglig i alternativen För gäst- eller externa användare .
Exkludera användare – När organisationer både inkluderar och exkluderar en användare eller grupp undantas användaren eller gruppen från principen, eftersom en exkluderingsåtgärd åsidosätter en inkluderingsåtgärd i principen.
Följande alternativ är tillgängliga att undanta när du skapar en princip för villkorsstyrd åtkomst:
- Gästanvändare eller externa användare
- Det här valet innehåller flera alternativ som kan användas för att rikta principer för villkorsstyrd åtkomst till specifika gäst- eller externa användartyper och specifika klientorganisationer som innehåller dessa typer av användare. Det finns flera olika typer av gästanvändare eller externa användare som kan väljas och flera val kan göras:
- Tjänstleverantörsanvändare, till exempel en Molnlösningsleverantör (CSP)
- En eller flera klienter kan anges för de valda användartyperna, eller så kan du ange alla klienter.
- Det här valet innehåller flera alternativ som kan användas för att rikta principer för villkorsstyrd åtkomst till specifika gäst- eller externa användartyper och specifika klientorganisationer som innehåller dessa typer av användare. Det finns flera olika typer av gästanvändare eller externa användare som kan väljas och flera val kan göras:
Mer information finns i:
- Graph API-upplevelse: Beta-API med den nya externa användartypsinformationen
- Princip för villkorlig åtkomst
- Externa användare med villkorsstyrd åtkomst
Behöver jag en GDAP-relation för att skapa supportärenden även om jag har Premier Support för partner?
Ja, oavsett vilken supportplan du har är tjänstsupportadministratören den minst privilegierade rollen för partneranvändare att kunna skapa supportärenden för kunden.
Kan GDAP i Väntande status för godkännande avslutas av partner?
Nej, partnern kan för närvarande inte avsluta en GDAP i Status väntar på godkännande. Den upphör att gälla om 90 dagar om kunden inte vidtar några åtgärder.
Kan jag återanvända samma GDAP-relationsnamn när en GDAP-relation har avslutats för att skapa en ny relation?
Först efter 365 dagar (rensning) efter att GDAP-relationen har avslutats eller upphört att gälla kan du återanvända samma namn för att skapa en ny GDAP-relation.
Kan en partner i en region hantera sina kunder i olika regioner?
Ja, en partner kan hantera sina kunder i flera regioner utan att skapa nya partnerklienter per kundregion. Observera att detta endast gäller för kundhanteringsrollen som tillhandahålls av GDAP (adminrelationer). Transaktionsrollen och funktionerna är fortfarande begränsade till ditt auktoriserade område
Kan tjänsteleverantören vara en del av organisationen för flera innehavare?
Nej, tjänsteleverantören kan inte vara en del av flera klientorganisationer, de är ömsesidigt uteslutande.
GDAP-API
Är API:er tillgängliga för att skapa en GDAP-relation med kunder?
Information om API:er och GDAP finns i utvecklardokumentationen för Partnercenter.
Kan jag använda BETA GDAP-API:er för produktion?
Ja. Vi rekommenderar att partner använder BETA GDAP API:er för produktion och senare växlar till API:er v.1 när de blir tillgängliga.
Även om det finns en varning om att "Användning av dessa API:er i produktionsprogram inte stöds" är den allmänna vägledningen för beta-API:et under Graph och inte tillämpligt för BETA GDAP Graph-API:er.
Kan jag skapa flera GDAP-relationer med olika kunder samtidigt?
Ja. GDAP-relationer kan skapas med hjälp av API:er, vilket gör det möjligt för partner att skala den här processen. Att skapa flera GDAP-relationer är dock inte tillgängligt i Partnercenter. Information om API:er och GDAP finns i utvecklardokumentationen för Partnercenter.
Kan flera säkerhetsgrupper tilldelas i en GDAP-relation med hjälp av ett API-anrop?
API:et fungerar för en säkerhetsgrupp i taget, men du kan mappa flera säkerhetsgrupper till flera roller i Partnercenter.
Hur begär jag flera resursbehörigheter för mitt program?
Gör enskilda anrop för varje resurs. När du gör en enda POST-begäran skickar du bara en resurs och dess motsvarande omfång.
Om du till exempel vill begära behörigheter för båda https://graph.windows.net/Directory.AccessAsUser.All
och https://graph.microsoft.com/Organization.Read.All
gör du två olika begäranden, en för var och en.
Hur hittar jag resurs-ID:t för en viss resurs?
Använd den angivna länken för att söka efter resursnamnet: Verifiera Microsoft-program från första part i inloggningsrapporter – Active Directory. Exempel:
Så här hittar du resurs-ID (exempel: 00000003-0000-0000-c000-0000000000000 för graph.microsoft.com):
Vad ska jag göra om jag stöter på felet "Request_UnsupportedQuery" med meddelandet" "Satsen För frågefilter som inte stöds eller är ogiltig har angetts för egenskapen 'appId' för resursen 'ServicePrincipal'"?
Det här felet uppstår vanligtvis när en felaktig identifierare används i frågefiltret.
Lös problemet genom att kontrollera att du använder egenskapen enterpriseApplicationId med rätt resurs-ID, inte resursnamnet.
Felaktig begäran
För enterpriseApplicationId ska du inte använda ett resursnamn som graph.microsoft.com.
Rätt begäran
I stället använder du resurs-ID för enterpriseApplicationId, till exempel 00000003-0000-0000-c000-0000000000000.
Hur kan jag lägga till nya omfång i resursen för ett program som redan har godkänts i kundens klientorganisation?
Exempel: Tidigare i graph.microsoft.com har endast "profil"-omfånget godkänts. Nu vill vi lägga till profil och user.read också.
Så här lägger du till nya omfång i ett tidigare godkänt program:
Använd metoden DELETE för att återkalla det befintliga programmedgivandet från kundens klientorganisation.
Använd POST-metoden för att skapa ett nytt programmedgivande med de ytterligare omfången.
Kommentar
Om programmet kräver behörigheter för flera resurser kör du POST-metoden separat för varje resurs.
Hur gör jag för att ange flera omfång för en enskild resurs (enterpriseApplicationId)?
Sammanfoga de nödvändiga omfången med hjälp av ett kommatecken följt av ett blanksteg. Exempel: "scope": "profile, User.Read"
Vad ska jag göra om jag får felet "400 Felaktig begäran" med meddelandet "Token stöds inte. Kan du inte initiera auktoriseringskontexten?
Bekräfta att egenskaperna "displayName" och "applicationId" i begärandetexten är korrekta och matchar det program som du försöker godkänna i kundens klientorganisation.
Se till att du använder samma program för att generera den åtkomsttoken som du försöker godkänna i kundens klientorganisation.
Exempel: Om program-ID:t är "12341234-1234-12341234" ska "appId"-anspråket i åtkomsttoken också vara "12341234-1234-1234-12341234".
Kontrollera att något av följande villkor är uppfyllt:
Du har ett aktivt delegerat administratörsprivilegier (DAP) och användaren är också medlem i säkerhetsgruppen Administratörsagenter i partnerklientorganisationen.
Du har en aktiv GDAP-relation (Granular Delegated Admin Privilege) med kundklientorganisationen med minst en av följande tre GDAP-roller och du har slutfört åtkomsttilldelningen:
- Global administratör, programadministratör eller molnprogramadministratörsroll.
- Partneranvändaren är medlem i säkerhetsgruppen som anges i åtkomsttilldelningen.
Roller
Vilka GDAP-roller behövs för att få åtkomst till en Azure-prenumeration?
Om du vill hantera Azure med åtkomstpartitionering per kund (vilket är den rekommenderade bästa praxisen) skapar du en säkerhetsgrupp (till exempel Azure Managers) och kapslade den under Administratörsagenter.
För att få åtkomst till en Azure-prenumeration som ägare för en kund kan du tilldela valfri inbyggd Microsoft Entra-roll (till exempel Katalogläsare, den minst privilegierade rollen) till Azure Managers-säkerhetsgruppen .
Anvisningar för hur du konfigurerar Azure GDAP finns i Arbetsbelastningar som stöds av detaljerade delegerade administratörsprivilegier (GDAP).
Finns det vägledning om de minst privilegierade roller som jag kan tilldela användare för specifika uppgifter?
Ja. Information om hur du begränsar en användares administratörsbehörigheter genom att tilldela minst privilegierade roller i Microsoft Entra finns i Minst privilegierade roller efter uppgift i Microsoft Entra.
Vilken är den minst privilegierade roll jag kan tilldela till en kunds klientorganisation och fortfarande kunna skapa supportärenden för kunden?
Vi rekommenderar att du tilldelar rollen tjänstsupportadministratör . Mer information finns i Minst privilegierade roller efter uppgift i Microsoft Entra.
Vilka Microsoft Entra-roller gjordes tillgängliga i Partnercenter-användargränssnittet i juli 2024?
Minska klyftan mellan Microsoft Entra-roller som är tillgängliga via. Partnercenter-API jämfört med användargränssnitt, nedan lista över 9 roller gjordes tillgängliga i Partnercenter-användargränssnittet i juli 2024.
Under Samarbete:
- Edge-administratör
- Administratör för virtuella besök
- Viva-måladministratör
- Viva Pulse-administratör
- Yammer-administratör
Under Identitet:
- Administratör för behörighetshantering
- Administratör för livscykelarbetsflöden
Under Övrigt:
- Organisationsanpassningsadministratör
- Godkännare för organisationsmeddelanden
Kan jag öppna supportärenden för en kund i en GDAP-relation som alla Microsoft Entra-roller har exkluderats från?
Nej. Den minst privilegierade rollen för partneranvändare att kunna skapa supportärenden för sina kunder är supportadministratören för tjänsten. För att kunna skapa supportärenden för kunden måste en partneranvändare därför vara i en säkerhetsgrupp och tilldelas den kunden med den rollen.
Var hittar jag information om alla roller och arbetsbelastningar som ingår i GDAP?
Information om alla roller finns i Inbyggda Microsoft Entra-roller.
Information om arbetsbelastningar finns i Arbetsbelastningar som stöds av detaljerade delegerade administratörsprivilegier (GDAP).
Vilken GDAP-roll ger åtkomst till Administrationscenter för Microsoft 365?
Många roller används för Administrationscenter för Microsoft 365. Mer information finns i Vanliga Microsoft 365-roller i administrationscentret.
Kan jag skapa anpassade säkerhetsgrupper för GDAP?
Ja. Skapa en säkerhetsgrupp, tilldela godkända roller och tilldela sedan partnerklientanvändare till den säkerhetsgruppen.
Vilka GDAP-roller ger skrivskyddad åtkomst till kundens prenumerationer och tillåter därför inte användaren att hantera dem?
Skrivskyddad åtkomst till kundens prenumerationer tillhandahålls av supportrollerna Global läsare, Katalogläsare och Partnernivå 2.
Vilken roll ska jag tilldela mina partneragenter (för närvarande administratörsagenter) om jag vill att de ska hantera kundklientorganisationen men inte ändra kundens prenumerationer?
Vi rekommenderar att du tar bort partneragenterna från rollen Administratörsagent och lägger endast till dem i en GDAP-säkerhetsgrupp. På så sätt kan de administrera tjänster (t.ex. tjänsthantering och loggtjänstbegäranden), men de kan inte köpa och hantera prenumerationer (ändra kvantitet, avbryta, schemalägga ändringar och så vidare).
Vad händer om en kund beviljar GDAP-roller till partner och sedan tar bort roller eller delar upp GDAP-relationen?
De säkerhetsgrupper som tilldelats relationen förlorar åtkomsten till kunden. Samma sak händer om en kund avslutar en DAP-relation.
Kan en partner fortsätta att handla för en kund efter att ha tagit bort alla GDAP-relationer med kunden?
Ja, att ta bort GDAP-relationerna med en kund avslutar inte partnerns återförsäljarrelation med kunden. Partner kan fortfarande köpa produkter för kunden och hantera Azure-budget och andra relaterade aktiviteter.
Kan vissa roller i min GDAP-relation med min kund ha längre tid att upphöra än andra?
Nej. Alla roller i en GDAP-relation har samma tid till förfallodatum: den varaktighet som valdes när relationen skapades.
Behöver jag GDAP för att uppfylla beställningar för nya och befintliga kunder i Partnercenter?
Nej. Du behöver inte GDAP för att uppfylla order för nya och befintliga kunder. Du kan fortsätta att använda samma process för att uppfylla kundbeställningar i Partnercenter.
Måste jag tilldela en partneragentroll till alla kunder, eller kan jag bara tilldela en partneragentroll till en kund?
GDAP-relationer är per kund. Du kan ha flera relationer per kund. Varje GDAP-relation kan ha olika roller och använda olika Microsoft Entra-grupper i din CSP-klientorganisation.
I Partnercenter fungerar rolltilldelning på relationsnivå från kund till GDAP. Om du vill tilldela fleranpassade roller kan du automatisera med HJÄLP av API:er.
Kan en partneranvändare ha GDAP-roller och ett gästkonto?
Gästkonton fungerar inte med GDAP. Kunder måste ta bort alla gästkonton för att GDAP ska fungera.
Behöver jag DAP/GDAP för azure-prenumerationsetablering?
Nej, du behöver inte DAP eller GDAP för att köpa Azure-planer och etablera Azure-prenumerationer för en kund. Processen för att skapa en Azure-prenumeration för en kund dokumenteras i Skapa en prenumeration för en partners kund – Microsoft Cost Management + Fakturering. Som standard blir gruppen Administratörsagenter i partnerns klientorganisation ägare till de Azure-prenumerationer som har etablerats för kunden. Logga in på Azure Portal med ditt partnercenter-ID.
Om du vill etablera åtkomst till kunden behöver du en GDAP-relation. GDAP-relationen måste minst innehålla Microsoft Entra-rollen katalogläsare. Om du vill etablera åtkomst i Azure använder du sidan åtkomstkontroll (IAM). För AOBO loggar du in på Partnercenter och använder sidan Tjänsthantering för att etablera åtkomst till kunden.
Vilka Microsoft Entra-roller stöds av GDAP?
GDAP stöder för närvarande endast inbyggda Microsoft Entra-roller. Anpassade Microsoft Entra-roller stöds inte.
Varför kan GDAP-administratörer + B2B-användare inte lägga till autentiseringsmetoder i aka.ms/mysecurityinfo?
GDAP-gästadministratörer kan inte hantera sin egen säkerhetsinformation på My Security-Info. I stället behöver de hjälp av klientadministratören som de är gäst i för registrering, uppdatering eller borttagning av säkerhetsinformation. Organisationer kan konfigurera åtkomstprinciper mellan klientorganisationer för att lita på MFA från den betrodda CSP-klientorganisationen. Annars begränsas GDAP-gästadministratörer endast till metoder som kan registreras av klientorganisationens administratör (som är SMS eller Röst). Mer information finns i Åtkomstprinciper för flera klientorganisationer.
Vilka roller kan en partner använda för att aktivera automatisk utökning?
Anpassa till den vägledande principen för Nolltillit: Använd åtkomst med minst behörighet:
- Vi rekommenderar att du använder en minst privilegierad roll efter uppgifts - och arbetsbelastningsuppgifter Arbetsbelastningar som stöds av detaljerade delegerade administratörsprivilegier (GDAP) som stöds av GDAP.
- När det är nödvändigt att kringgå kända problem kan du kontakta kunden för att begära en tidsbunden global administratörsroll.
- Vi rekommenderar inte att du ersätter rollen Global administratör med alla möjliga Microsoft Entra-roller.
DAP och GDAP
Ersätter GDAP DAP?
Ja. Under övergångsperioden samexisterar DAP och GDAP, med GDAP-behörigheter som har företräde framför DAP-behörigheter för Microsoft 365-, Dynamics 365- och Azure-arbetsbelastningar .
Kan jag fortsätta att använda DAP, eller måste jag överföra alla mina kunder till GDAP?
DAP och GDAP samexisterar under övergångsperioden. GDAP kommer dock så småningom att ersätta DAP för att säkerställa att vi tillhandahåller en säkrare lösning för våra partner och kunder. Vi rekommenderar att du överför dina kunder till GDAP så snart som möjligt för att säkerställa kontinuitet.
Kommer DAP och GDAP att samexistera, men kommer det att ske några ändringar i hur en DAP-relation skapas?
Det finns inga ändringar i det befintliga DAP-relationsflödet medan DAP och GDAP samexisterar.
Vilka Microsoft Entra-roller skulle beviljas för standard-GDAP som en del av Skapa kund?
DAP beviljas för närvarande när en ny kundklientorganisation skapas. Från och med den 25 september 2023 beviljar Microsoft inte längre DAP för att skapa nya kunder och beviljar i stället GDAP-standard med specifika roller. Standardrollerna varierar beroende på partnertyp, enligt följande tabell:
Microsoft Entra-roller som beviljats för standard-GDAP | Direktfaktureringspartner | Indirekta leverantörer | Indirekta återförsäljare | Domänpartner | Kontrollpanelen leverantörer (CPV:er) | Rådgivare | Avregistrerad från STANDARD-GDAP (ingen DAP) |
---|---|---|---|---|---|---|---|
1. Katalogläsare. Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster. | x | x | x | x | x | ||
2. Katalogförfattare. Kan läsa och skriva grundläggande kataloginformation. För att bevilja åtkomst till program, inte avsett för användare. | x | x | x | x | x | ||
3. Licensadministratör. Kan hantera produktlicenser för användare och grupper. | x | x | x | x | x | ||
4. Tjänstsupportadministratör. Kan läsa information om tjänstens hälsa och hantera supportärenden. | x | x | x | x | x | ||
5. Användaradministratör. Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer. | x | x | x | x | x | ||
6. Privilegierad rolladministratör. Kan hantera rolltilldelningar i Microsoft Entra och alla aspekter av Privileged Identity Management. | x | x | x | x | x | ||
7. Supportadministratör. Kan återställa lösenord för icke-administratörer och supportadministratörer. | x | x | x | x | x | ||
8. Administratör för privilegierad autentisering. Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör). | x | x | x | x | x | ||
9. Molnprogramadministratör. Kan skapa och hantera alla aspekter av appregistreringar och enterprise-appar förutom App Proxy. | x | x | x | x | |||
10. Programadministratör. Kan skapa och hantera alla aspekter av appregistreringar och enterprise-appar. | x | x | x | x | |||
11. Global läsare. Kan läsa allt som en Global administratör kan, men inte kan uppdatera något. | x | x | x | x | x | ||
12. Extern identitetsprovideradministratör. Kan hantera federation mellan Microsoft Entra-organisationer och externa identitetsprovidrar. | x | ||||||
13. Domännamnsadministratör. Kan hantera domännamn i molnet och lokalt. | x |
Hur fungerar GDAP med Privileged Identity Management i Microsoft Entra?
Partner kan implementera Privileged Identity Management (PIM) i en GDAP-säkerhetsgrupp i partnerns klientorganisation för att öka åtkomsten för några användare med hög behörighet, precis i tid (JIT) för att ge dem högprivilegier som lösenordsadministratörer med automatisk borttagning av åtkomst.
Fram till januari 2023 krävdes det att alla privilegierade åtkomstgrupper (tidigare namn för funktionen PIM för grupper ) måste finnas i en rolltilldelningsbar grupp. Den här begränsningen har tagits bort. Med tanke på detta är det möjligt att aktivera mer än 500 grupper per klientorganisation i PIM, men endast upp till 500 grupper kan vara rolltilldelningsbara.
Sammanfattning:
Partner kan använda både rolltilldelningsbara och icke-rolltilldelningsbara grupper i PIM. Detta tar effektivt bort gränsen för 500 grupper/klientorganisationer i PIM.
Med de senaste uppdateringarna finns det två sätt att registrera grupp till PIM (UX-vis): från PIM-menyn eller från menyn Grupper . Oavsett hur du väljer är nettoresultatet detsamma.
Det finns redan möjlighet att registrera rolltilldelningsbara/icke-rolltilldelningsbara grupper via PIM-menyn.
Det finns redan möjlighet att registrera rolltilldelningsbara/icke-rolltilldelningsbara grupper via menyn Grupper.
Mer information finns i Privileged Identity Management (PIM) for Groups (preview) – Microsoft Entra.
Hur samexisterar DAP och GDAP om en kund köper Microsoft Azure och Microsoft 365 eller Dynamics 365?
GDAP är allmänt tillgängligt med stöd för alla Microsofts kommersiella molntjänster (Microsoft 365, Dynamics 365, Microsoft Azure och Microsoft Power Platform ).) Mer information om hur DAP och GDAP kan samexistera och hur GDAP har företräde finns i Hur kommer GDAP att ha företräde framför DAP.
Jag har en stor kundbas (till exempel 10 000 kundkonton). Hur gör jag för att övergång från DAP till GDAP?
Den här åtgärden kan utföras av API:er.
Kommer mina PEC-intäkter (PEC) att påverkas när jag övergår från DAP till GDAP? Kommer det att finnas någon effekt på partneradministratörslänken (PAL)?
Nej. Dina PEC-intäkter påverkas inte när du övergår till GDAP. Det finns inga ändringar i PAL med övergången, vilket säkerställer att du fortsätter att tjäna PEC.
Påverkas PEC när DAP/GDAP tas bort?
- Om en partners kund endast har DAP och DAP tas bort går inte PEC förlorad.
- Om en partners kund har DAP och de flyttas till GDAP för Office och Azure samtidigt, och DAP tas bort, går PEC inte förlorat.
- Om partnerns kund har DAP och de övergår till GDAP för Office men behåller Azure som det är (de flyttar inte till GDAP) och DAP tas bort går PEC inte förlorad, men åtkomsten till Azure-prenumerationen går förlorad.
- Om en RBAC-roll tas bort går PEC förlorad, men om du tar bort GDAP tas inte RBAC bort.
Hur har GDAP-behörigheter företräde framför DAP-behörigheter medan DAP och GDAP samexisterar?
När användaren ingår i både GDAP-säkerhetsgruppen och GRUPPEN DAP-administratörsagenter och kunden har både DAP- och GDAP-relationer har GDAP-åtkomst företräde på partner-, kund- och arbetsbelastningsnivå.
Om en partneranvändare till exempel loggar in för en viss arbetsbelastning och det finns DAP för rollen Global administratör och GDAP för rollen Global läsare, får partneranvändaren endast behörigheter för global läsare.
Om det finns tre kunder med GDAP-rolltilldelningar till endast GDAP-säkerhetsgruppen (inte administratörsagenter):
Kund | Relation med partner |
---|---|
Kund 1 | DAP (inget GDAP) |
Kund 2 | DAP + GDAP båda |
Kund 3 | GDAP (ingen DAP) |
I följande tabell beskrivs när en användare loggar in på en annan kundklientorganisation.
Exempelanvändare | Exempel på kundklientorganisation | Funktionssätt | Kommentarer |
---|---|---|---|
Användare 1 | Kund 1 | DAP | Det här exemplet är DAP som det är. |
Användare 1 | Kund 2 | DAP | Det finns ingen GDAP-rolltilldelning till gruppen Administratörsagenter , vilket resulterar i DAP-beteende. |
Användare 1 | Kund 3 | Ingen behörighet | Det finns ingen DAP-relation, så gruppen Administratörsagenter har inte åtkomst till kund 3. |
Användare 2 | Kund 1 | DAP | Det här exemplet är DAP som det är |
Användare 2 | Kund 2 | GDAP | GDAP har företräde framför DAP eftersom det finns en GDAP-roll tilldelad till användare 2 via GDAP-säkerhetsgruppen även om användaren ingår i gruppen Administratörsagent . |
Användare 2 | Kund 3 | GDAP | Det här exemplet är en GDAP-kund. |
Användare 3 | Kund 1 | Ingen behörighet | Det finns ingen GDAP-rolltilldelning till kund 1. |
Användare 3 | Kund 2 | GDAP | Användare 3 ingår inte i gruppen Administratörsagent , vilket resulterar i GDAP-beteende. |
Användare 3 | Kund 3 | GDAP | Endast GDAP-beteende |
Kommer inaktivering av DAP eller övergång till GDAP att påverka mina äldre kompetensfördelar eller lösningar partnerbeteckningar som jag har uppnått?
DAP och GDAP är inte berättigade associationstyper för Solutions Partner-beteckningar och inaktivering eller övergång från DAP till GDAP påverkar inte uppnåendet av Solutions Partner-beteckningar. Din förnyelse av äldre kompetensförmåner eller Solutions Partner-förmåner påverkas inte heller.
Gå till PartnerCenter Solutions Partnerbeteckningar för att se vilka andra partnerassociationstyper som är berättigade till Solutions Partner-beteckningar.
Hur fungerar GDAP med Azure Lighthouse? Påverkar GDAP och Azure Lighthouse varandra?
När det gäller relationen mellan Azure Lighthouse och DAP/GDAP kan du betrakta dem som frikopplade parallella sökvägar till Azure-resurser, så att dela upp den ena bör inte påverka den andra.
I Azure Lighthouse-scenariot loggar användare från partnerklientorganisationen aldrig in på kundklientorganisationen och har inga Microsoft Entra-behörigheter i kundklientorganisationen. Deras Azure RBAC-rolltilldelningar behålls också i partnerklientorganisationen.
I GDAP-scenariot loggar användare från partnerklientorganisationen in på kundklientorganisationen och Azure RBAC-rolltilldelningen till gruppen Administratörsagenter finns också i kundklientorganisationen. Du kan blockera GDAP-sökvägen (användarna kan inte längre logga in) medan Azure Lighthouse-sökvägen inte påverkas. Däremot kan du bryta Lighthouse-relationen (projektion) utan att påverka GDAP. Mer information finns i Azure Lighthouse-dokumentationen.
Hur fungerar GDAP med Microsoft 365 Lighthouse?
Hanterade tjänstleverantörer (MSP) som registrerats i programmet Molnlösningsleverantör (CSP) som indirekta återförsäljare eller direktfaktureringspartner kan nu använda Microsoft 365 Lighthouse för att konfigurera GDAP för alla kundklientorganisationer. Eftersom det redan finns några sätt för partner att hantera övergången till GDAP låter den här guiden Lighthouse-partner anta rollrekommendationer som är specifika för deras affärsbehov. Det gör också att de kan vidta säkerhetsåtgärder som just-in-time-åtkomst (JIT). MSP:er kan också skapa GDAP-mallar via Lighthouse för att enkelt spara och tillämpa inställningar som möjliggör åtkomst till minst privilegierade kunder. Mer information och om du vill visa en demo finns i installationsguiden för Lighthouse GDAP.
MSP:er kan konfigurera GDAP för alla kundklientorganisationer i Lighthouse. För att få åtkomst till kundens arbetsbelastningsdata i Lighthouse krävs en GDAP- eller DAP-relation. Om GDAP och DAP samexisterar i en kundklientorganisation har GDAP-behörigheter företräde för MSP-tekniker i GDAP-aktiverade säkerhetsgrupper. Mer information om kraven för Microsoft 365 Lighthouse finns i Krav för Microsoft 365 Lighthouse.
Vilket är det bästa sättet att flytta till GDAP och ta bort DAP utan att förlora åtkomsten till Azure-prenumerationer om jag har kunder med Azure?
Rätt sekvens att följa för det här scenariot är:
- Skapa en GDAP-relation för både Microsoft 365 och Azure.
- Tilldela Microsoft Entra-roller till säkerhetsgrupper för både Microsoft 365 och Azure.
- Konfigurera GDAP att ha företräde framför DAP.
- Ta bort DAP.
Viktigt!
Om du inte följer de här stegen kan befintliga administratörsagenter som hanterar Azure förlora åtkomsten till Azure-prenumerationer för kunden.
Följande sekvens kan leda till att åtkomsten till Azure-prenumerationer går förlorad:
Ta bort DAP.
Du förlorar inte nödvändigtvis åtkomsten till en Azure-prenumeration genom att ta bort DAP. Men just nu kan du inte bläddra i kundens katalog för att utföra några Azure RBAC-rolltilldelningar (till exempel tilldela en ny kundanvändare som prenumerations-RBAC-deltagare).
Skapa en GDAP-relation för både Microsoft 365 och Azure tillsammans.
Du kan förlora åtkomsten till Azure-prenumerationen i det här steget så snart GDAP har konfigurerats.
Tilldela Microsoft Entra-roller till säkerhetsgrupper för både Microsoft 365 och Azure
Du får åtkomst till Azure-prenumerationer igen när Azure GDAP-installationen är klar.
Jag har kunder med Azure-prenumerationer utan DAP. Kommer jag att förlora åtkomsten till Azure-prenumerationerna om jag flyttar dem till GDAP för Microsoft 365?
Om du har Azure-prenumerationer utan DAP som du hanterar som ägare kan du förlora åtkomsten till Azure-prenumerationerna genom att lägga till GDAP för Microsoft 365 till kunden. Undvik detta genom att flytta kunden till Azure GDAP samtidigt som du flyttar kunden till Microsoft 365 GDAP.
Viktigt!
Om de här stegen inte följs kan befintliga administratörsagenter som hanterar Azure förlora åtkomsten till Azure-prenumerationer för kunden.
Kan en enda relationslänk användas med flera kunder?
Nej. Relationer, när de har accepterats, kan inte återanvändas.
Kan jag komma åt deras Azure-prenumeration om jag har en återförsäljarrelation med kunder utan DAP och som inte har någon GDAP-relation?
Om du har en befintlig återförsäljarrelation med kunden måste du fortfarande upprätta en GDAP-relation för att kunna hantera deras Azure-prenumerationer.
- Skapa en säkerhetsgrupp (till exempel Azure Managers) i Microsoft Entra.
- Skapa en GDAP-relation med katalogläsarrollen.
- Gör säkerhetsgruppen till medlem i gruppen Administratörsagent .
När detta är klart kan du hantera kundens Azure-prenumeration via AOBO. Det går inte att hantera prenumerationen via CLI/Powershell.
Kan jag skapa en Azure-plan för kunder utan DAP och som inte har någon GDAP-relation?
Ja, du kan skapa en Azure-plan även om det inte finns någon DAP- eller GDAP-relation med en befintlig återförsäljare. Men för att kunna hantera den prenumerationen behöver du DAP eller GDAP.
Varför visas inte längre information i avsnittet Företagsinformation på sidan Konto under Kunder när DAP tas bort?
När partner övergår från DAP till GDAP måste de se till att följande finns på plats för att se företagsinformation:
- En aktiv GDAP-relation.
- Någon av följande Microsoft Entra-roller tilldelas: Global administratör, Katalogläsare, Global läsare. Se bevilja detaljerade behörigheter till säkerhetsgrupper.
Varför ersätts mitt användarnamn med "user_somenumber" i portal.azure.com när det finns en GDAP-relation?
När en CSP loggar in på kundens Azure Portal (portal.azure.come) med sina CSP-autentiseringsuppgifter och det finns en GDAP-relation, ser CSP:n att deras användarnamn är "user_" följt av ett visst nummer. Det visar inte deras faktiska användarnamn som i DAP. Det här är avsiktligt.
Vilka är tidslinjerna för Att stoppa DAP och bevilja GDAP-standard med skapandet av en ny kund?
Klienttyp | Tillgänglighetsdatum | Api-beteende för Partnercenter (POST /v1/customers) enableGDAPByDefault: true |
Api-beteende för Partnercenter (POST /v1/customers) enableGDAPByDefault: false |
Api-beteende för Partnercenter (POST /v1/customers) Ingen ändring av begäran eller nyttolast |
Användargränssnittsbeteende i Partnercenter |
---|---|---|---|---|---|
Sandbox-miljö | 25 september 2023 (endast API) | DAP = Nej. Standard-GDAP = Ja | DAP = Nej. Standard-GDAP = Nej | DAP = Ja. Standard-GDAP = Nej | Standard-GDAP = Ja |
Produktion | 10 oktober 2023 (API + UI) | DAP = Nej. Standard-GDAP = Ja | DAP = Nej. Standard-GDAP = Nej | DAP = Ja. Standard-GDAP = Nej | Anmäl dig/ut tillgängligt: Standard-GDAP |
Produktion | 27 november 2023 (GA-distributionen slutfördes den 2 december) | DAP = Nej. Standard-GDAP = Ja | DAP = Nej. Standard-GDAP = Nej | DAP = Nej. Standard-GDAP = Ja | Anmäl dig/ut tillgängligt: Standard-GDAP |
Partner måste uttryckligen bevilja detaljerade behörigheter till säkerhetsgrupper i STANDARD-GDAP.
Från och med den 10 oktober 2023 är DAP inte längre tillgängligt med återförsäljarrelationer. Den uppdaterade länken Förfrågningsåterförsäljarrelation är tillgänglig i Partnercenter-användargränssnittet, och API-kontraktets egenskaps-URL :en "/v1/customers/relationship requests" returnerar inbjudnings-URL:en som ska skickas till administratören för kundklientorganisationen.
Ska en partner bevilja detaljerade behörigheter till säkerhetsgrupper i GDAP som standard?
Ja, partner måste uttryckligen bevilja detaljerade behörigheter till säkerhetsgrupper i GDAP som standard för att hantera kunden.
Vilka åtgärder kan en partner med reseller-relation men ingen DAP och ingen GDAP utföra i Partnercenter?
Partner med återförsäljarrelation endast utan DAP eller GDAP kan skapa kunder, placera och hantera beställningar, ladda ned programvarunycklar, hantera Azure RI. De kan inte visa kundföretagsinformation, kan inte visa användare eller tilldela licenser till användare, kan inte logga biljetter för kundernas räkning och kan inte komma åt och administrera produktspecifika administrationscenter (till exempel Administrationscenter för Teams.)
Vilken åtgärd måste en partner utföra för att flytta från DAP till GDAP när det gäller medgivande?
För att en partner eller CPV ska få åtkomst till och hantera en kundklient måste appens tjänsthuvudnamn godkännas i kundens klientorganisation. När DAP är aktivt måste de lägga till appens tjänsthuvudnamn i administrationsagenternas SG i partnerklientorganisationen. Med GDAP måste partnern se till att deras app godkänns i kundens klientorganisation. Om appen använder delegerade behörigheter (App + Användare) och det finns en aktiv GDAP med någon av de tre rollerna (molnprogramadministratör, programadministratör, global administratör) kan medgivande-API användas. Om appen endast använder programbehörigheter måste den godkännas manuellt, antingen av partnern eller kunden som har någon av de tre rollerna (molnprogramadministratör, programadministratör, global administratör) med hjälp av url för administratörsmedgivande för hela klientorganisationen.
Vilken åtgärd måste en partner utföra för ett 715-123220-fel eller så tillåts inte anonyma anslutningar för den här tjänsten?
Om du ser följande fel:
"Vi kan inte verifiera din begäran om att skapa en ny GDAP-relation just nu. Observera att anonyma anslutningar inte tillåts för den här tjänsten. Om du tror att du har fått det här meddelandet i fel kan du prova din begäran igen. Klicka om du vill veta mer om åtgärder som du kan vidta. Om problemet kvarstår kontaktar du supporten och referensmeddelandekoden 715-123220 och transaktions-ID: guid."
Ändra hur du ansluter till Microsoft så att vår identitetsverifieringstjänst kan köras korrekt, så att vi kan se till att ditt konto inte har komprometterats och följer de regler som Microsoft måste följa.
Saker du kan göra:
- Rensa webbläsarens cache.
- Inaktivera spårningsskydd i webbläsaren eller lägg till vår webbplats i din undantagslista/säkerhetslista.
- Inaktivera alla VPN-program (Virtual Private Network) eller tjänster som du kanske använder.
- Anslut direkt från din lokala enhet i stället för via en virtuell dator (VM).
När du har provat de här stegen kan du fortfarande inte ansluta. Vi rekommenderar att du konsulterar IT-supportavdelningen för att kontrollera inställningarna för att se om de kan hjälpa dig att identifiera vad som orsakar problemet. Ibland finns problemet i företagets nätverksinställningar, i vilket fall IT-administratören skulle behöva åtgärda problemet till exempel genom att göra en säker lista över inställningar för vår webbplats eller andra inställningar för nätverksinställningar.
Vilka GDAP-åtgärder tillåts för en partner som är offboarding (begränsad, pausad) och avregistrerad?
- Begränsad (direktfaktura): Det går inte att skapa nya GDAP (administratörsrelationer). Befintliga GDAP:er och deras rolltilldelningar KAN uppdateras.
- Pausad (direktfakturering/indirekt leverantör/indirekt återförsäljare): Det går inte att skapa ny GDAP. Befintliga GDAP:er och deras rolltilldelningar KAN INTE uppdateras.
- Begränsad (direktfaktura) + Aktiv (indirekt återförsäljare): För begränsad direktfaktura: Det går inte att skapa nya GDAP (administratörsrelationer). Befintliga GDAP:er och deras rolltilldelningar KAN uppdateras. För aktiv indirekt återförsäljare: Nya GDAP KAN skapas, befintliga GDAP:er och deras rolltilldelningar KAN uppdateras.
När det inte går att skapa en ny GDAP kan befintliga GDAP och deras rolltilldelningar inte uppdateras.
Erbjudanden
Ingår hantering av Azure-prenumerationer i den här versionen av GDAP?
Ja. Den aktuella versionen av GDAP stöder alla produkter: Microsoft 365, Dynamics 365, Microsoft Power Platform och Microsoft Azure.