GDAP rol kılavuzu
Uygun roller: Yönetici aracısı
Bu makale, her ayrıntılı yönetici ayrıcalıkları (GDAP) özelliği için hangi en az ayrıcalıklı Microsoft Entra yerleşik rolünün kullanılabileceğini gösterir. Örneğin, bir müşteri adına destek istekleri göndermek için, müşterinizin kiracısında en az ayrıcalıklı Microsoft Entra yerleşik rolü olan Hizmet destek yöneticisi rolü gerekir.
Destek istekleri oluşturma
Dolaylı kurumsal bayiler Azure için destek istekleri oluşturamaz. Bunun yerine dolaylı sağlayıcılarıyla çalışmalıdır.
| Destek isteği oluşturmak için: | Doğrudan fatura iş ortakları ve dolaylı sağlayıcılar aşağıdaki en az ayrıcalıklı role sahip olmalıdır: |
|---|---|
| Microsoft 365 yönetim merkezi Microsoft 365 | Hizmet destek yöneticisi gibi Microsoft.office365.supportTickets/allEntities/allTasks izinlerine sahip bir role GDAP rol ataması |
| Power Platform Yönetim Merkezi'nde Dynamics 365 | Hizmet destek yöneticisi gibi Microsoft.office365.supportTickets/allEntities/allTasks izinlerine sahip bir role GDAP rol ataması |
| Azure portalında Azure abonelik kaynağı | Ön koşul: Müşterinin Azure aboneliğini kullanan müşteriler adına istekler oluşturmak için, iş ortaklarının CSP bölgesel yetkilendirmesinde açıklandığı gibi müşteriyle kurumsal bayi ilişkisine sahip olması gerekir. Daha fazla bilgi için bkz . Azure GDAP kurulumu adımları. Dizin okuyucuları gibi bir Microsoft Entra rolüne yapılan tüm GDAP atamaları, -VE- Destek isteği katkıda bulunanı gibi Microsoft.Support/supportTickets/write izinlerine sahip bir role Azure rol tabanlı erişim denetimi (RBAC) rol ataması |
| Azure portalında Microsoft Entra Id | Alternatif 1: Müşterinin Microsoft Entra Id P1 veya P2 Önkoşulu yoksa: Müşterinin Azure aboneliğini kullanan müşteriler adına istekler oluşturmak için iş ortaklarının CSP bölgesel yetkilendirmesi başına müşteriyle kurumsal bayi ilişkisi olması gerekir. Daha fazla bilgi için bkz . Azure GDAP kurulumu adımları. Dizin okuyucuları gibi bir Microsoft Entra rolüne yapılan tüm GDAP atamaları, -VE- Microsoft.Support/supportTickets/write izinleri olan bir role Azure RBAC rol ataması, örneğin Destek isteği katkıda bulunanı Alternatif 2: Müşterinin Microsoft Entra Kimliği P1 veya P2 Varsa Microsoft Entra rolüne herhangi bir GDAP ataması: microsoft.azure.supportTickets/allEntities/allTasks izinleri, örneğin Hizmet destek yöneticisi gibi |
İş ortağı türlerine göre GDAP rolleri
Dolaylı sağlayıcılar
Dolaylı sağlayıcıların işlem yapıp yönetmesi için aşağıdaki roller önerilir:
- Yeni müşteri kiracısı oluşturma
- Kurumsal bayi ilişkisi kurulumu
- Satın alma
- Abonelik yönetimi
- Yükseltmeler
- Dönüşümler
- Müşteri kullanıcı oluşturma ve lisans ataması
- Müşteri hizmetleri istekleri (müşteri adına oluşturma istekleri)
| Rol | Açıklama |
|---|---|
| Okuyucu rolleri: | |
| Dizin okuyucuları | Temel dizin bilgilerini okuyabilir. Genellikle uygulamalara ve konuklara dizin okuma erişimi vermek için kullanılır |
| Dizin yazarları | Temel dizin bilgilerini okuyabilir ve yazabilir. Uygulamalara erişim vermek için, kullanıcılar için tasarlanmamıştır. |
| Genel okuyucu | Genel yöneticinin okuyabildiği her şeyi okuyabilir, ancak hiçbir şeyi güncelleştiremez |
| Kullanıcı yönetimi ve lisans yönetimi: | |
| Kullanıcı yöneticisi | Sınırlı yöneticilerin parolalarını sıfırlama dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir |
| Lisans yöneticisi | Kullanıcılar ve gruplardaki ürün lisanslarını yönetebilir |
| Hizmet desteği yöneticisi | Hizmet durumu bilgilerini okuyabilir ve destek isteklerini yönetebilir |
| Yardım Masası: | |
| Yardım Masası yöneticisi | Yönetici olmayanlar ve Yardım Masası yöneticileri için parolaları sıfırlayabilir |
Doğrudan fatura iş ortakları, dolaylı kurumsal bayiler ve danışmanlar
MsP'lerin rolünü de üstlenen dolaylı kurumsal bayiler, danışmanlar ve doğrudan fatura iş ortakları için aşağıdaki roller önerilir. Bunların tümü, müşterinin ortamını tamamen dış kaynaklı BT departmanı olarak yöneten özelleştirilmiş yönetilen hizmet sağlayıcıları (MSP) olarak kategorilere ayrılmıştır. Bu bölüm, görevler ve işlevler için gereken kategorilere ayrılmış rollerdir.
Yönetilen hizmetlerde katman 1 teknisyeninin tipik görevleri
| Rol | Görev | İşlev |
|---|---|---|
| Hizmet desteği yöneticisi | Müşteri adına destek istekleri gönderin. | Yardım Masası, destek isteklerini oluşturur ve yönetir. |
| Güvenlik okuyucusu | Microsoft 365 hizmetlerinde güvenlikle ilgili ilkeleri görüntüleyin. | Yardım Masası, veri kaybı önleme ilkeleri gibi güvenlik ve uyumluluk portalı ilkelerini gidermek veya güncelleştirmek için müşteri kiracısı üzerinde bulma toplar. |
| Intune yöneticisi | Intune ürününün tüm özelliklerini yönetebilir. | Yardım Masası, müşteri cihaz kaydını ve sorun gidermeyi işler. |
| SharePoint yöneticisi | SharePoint hizmetinin tüm yönlerini yönetebilir. | Yardım Masası, SharePoint site izinlerini yönetir. |
| Teams iletişim destek uzmanı | Microsoft Teams hizmetini yönetebilir. | Yardım Masası, arama kalitesi sorunlarını giderir. |
| Yardım Masası yöneticisi | Yönetici olmayanlar ve bu yöneticiler için parolaları sıfırlayabilir: Dizin Okuyucuları Konuk Davet Eden Yardım Masası yöneticisi İleti Merkezi Parola yöneticisi Rapor Okuyucusu. | Yardım Masası parolaları sıfırlar. |
| Masaüstü analizi yöneticisi | Masaüstü yönetim araçlarına ve hizmetlerine erişebilir ve bu araçları yönetebilir. | Yardım Masası, varlık envanterini görüntüleyerek ve yetkilendirme ilkelerinin standart özelliklerini okuyarak masaüstü analiz hizmetini yönetebilir. |
| Kimlik doğrulama yöneticisi | Yönetici olmayan kullanıcıların kimlik doğrulama yöntemi bilgilerini görüntüleme, ayarlama ve sıfırlama erişimine sahiptir. | Yardım Masası, yönetici olmayan kullanıcıların (örneğin, MFA ve koşullu erişim) kimlik doğrulama yöntemi bilgilerini görüntülemek, ayarlamak ve sıfırlamak için erişebilir. |
| Exchange yöneticisi | Bu role sahip kullanıcılar, hizmet mevcut olduğunda Microsoft Exchange Online'da genel izinlere sahiptir. Ayrıca tüm Microsoft 365 gruplarını oluşturup yönetebilir, destek isteklerini yönetebilir ve hizmet durumunu izleyebilir; OBO gönderebilir ve gelen kutularını yönetebilir. | Yardım Masası paylaşılan posta kutularını yönetir, posta kutusu kotası sorunlarını çözmeye yardımcı olur ve aktarım kuralları oluşturup yönetir. |
| Lisans yöneticisi | Lisans atamalarını atayabilir, kaldırabilir ve güncelleştirebilir. | Sorun giderme sırasında Yardım Masası, destek isteğiyle ilgili bir lisanslama sorunu olup olmadığını değerlendirir ve düzeltir. |
| Kullanıcı yöneticisi | Sınırlı yöneticilerin parolalarını sıfırlama da dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir; kullanıcının oturum açmasını engelleyebilir. | Yardım Masası, sınırlı yöneticilerin parolalarını sıfırlama ve eski bir müşteri çalışanının Microsoft 365 hizmetlerine erişimini engelleme dahil olmak üzere kullanıcı ve grupların tüm yönlerini yönetir. |
| Grup yöneticisi | Bu rolün üyeleri grupları oluşturabilir/yönetebilir, adlandırma ve süre sonu ilkeleri gibi grup ayarlarını oluşturabilir/yönetebilir ve grup etkinliği ile denetim raporlarını görüntüleyebilir. | Yardım Masası, gruplara sahipler ekler ve gruplara üye ekler. |
| Dizin okuyucu | Bu roldeki kullanıcılar temel dizin bilgilerini okuyabilir. | Yardım Masası, sorun giderme işleminin bir parçası olarak temel dizin bilgilerini okuyabilir. |
| İleti merkezi okuyucusu | Yalnızca Office 365 İleti Merkezi'nde kuruluşlarının iletilerini ve güncelleştirmelerini okuyabilir. | Yardım Masası, destek sorunlarını gidermek için İleti Merkezi'ni okur. |
| Yazıcı yönetimi | Bu role sahip kullanıcılar, Evrensel Yazdırma Bağlayıcısı ayarları da dahil olmak üzere Microsoft Evrensel Yazdırma çözümünde yazıcıları kaydedebilir ve tüm yazıcı yapılandırmalarını tüm yönleriyle yönetebilir. Tüm temsilcili yazdırma izni isteklerini onaylayabilirler. Yazıcı yöneticileri raporları yazdırmaya da erişebilir. | Yardım Masası yazıcı yapılandırmalarını yönetebilir ve yazıcı sorunlarını giderebilir. |
| Konuk davet eden | Bu roldeki kullanıcılar Microsoft Entra B2B konuk kullanıcı davetlerini yönetebilir. | Yardım Masası, Üyeler konuk davet edebilir ayarından bağımsız olarak konuk kullanıcıları davet edebilir. |
Göreve göre en az ayrıcalıklı rol
Aşağıdaki tabloda her bir GDAP özelliği içindeki görevler ve her görevi gerçekleştirmek için gereken en az ayrıcalıklı rol gösterilir.
| GDAP özelliği | Görev | En az ayrıcalıklı rol |
|---|---|---|
| Destek | Destek bileti gönderme | Hizmet desteği yöneticisi |
| Kullanıcılar | Dizin rolüne kullanıcı ekleme | Ayrıcalıklı rol yöneticisi |
| Gruba kullanıcı ekleme | Kullanıcı yöneticisi | |
| Lisans atama | Lisans yöneticisi | |
| Konuk kullanıcı oluşturma | Konuk davet eden | |
| Konuk kullanıcı daveti sıfırla | Kullanıcı yöneticisi | |
| Kullanıcı oluşturma | Kullanıcı yöneticisi | |
| Kullanıcıyı silme | Kullanıcı yöneticisi | |
| Sınırlı yöneticinin yenileme belirteçlerini geçersiz kılma | Kullanıcı yöneticisi | |
| Yönetici olmayanların yenileme belirteçlerini geçersiz kılma | Parola yöneticisi | |
| Ayrıcalıklı yöneticinin yenileme belirteçlerini geçersiz kılma | Ayrıcalıklı kimlik doğrulama yöneticisi | |
| Temel yapılandırmayı okuma | Varsayılan kullanıcı rolü | |
| Sınırlı yönetici için parolayı sıfırlama | Kullanıcı yöneticisi | |
| Yönetici olmayanlar için parolayı sıfırlama | Parola yöneticisi | |
| Ayrıcalıklı yöneticinin parolasını sıfırlama | Ayrıcalıklı kimlik doğrulama yöneticisi | |
| Lisansı iptal etme | Lisans yöneticisi | |
| Kullanıcı asıl adı dışındaki tüm özellikleri güncelleştirme | Kullanıcı yöneticisi | |
| Sınırlı yönetici için kullanıcı asıl adını güncelleştirme | Kullanıcı yöneticisi | |
| Ayrıcalıklı yönetici için kullanıcı asıl adını güncelleştirme | Genel yönetici | |
| Kullanıcı ayarlarını güncelleştirme | Genel yönetici | |
| Kimlik doğrulama yöntemlerini güncelleştirme | Kimlik doğrulama yöneticisi | |
| Gruplar | Lisans atama | Kullanıcı yöneticisi |
| Grup oluştur | Grup yöneticisi | |
| Grup veya uygulamanın erişim gözden geçirmesini oluşturma, güncelleştirme veya silme | Kullanıcı yöneticisi | |
| Grup süre sonunu yönetme | Kullanıcı yöneticisi | |
| Grup ayarlarını yönetme | Grup yöneticisi | |
| Tüm yapılandırmayı okuma (gizli üyelik hariç) | Dizin okuyucuları | |
| Gizli üyeliği okuma | Grup üyesi | |
| Gizli üyeliği olan grupların üyeliğini okuma | Yardım Masası yöneticisi | |
| Lisansı iptal etme | Lisans yöneticisi | |
| Grup üyeliğini güncelleştirme | Grup sahibi | |
| Grup sahiplerini güncelleştirme | Grup sahibi | |
| Grup özelliklerini güncelleştirme | Grup sahibi | |
| Grubu silme | Grup yöneticisi | |
| Lisansları | Lisans atama | Lisans yöneticisi |
| Tüm yapılandırmayı okuma | Dizin okuyucuları | |
| Lisansı iptal etme | Lisans yöneticisi |