Aracılığıyla paylaş


GDAP rol kılavuzu

Uygun roller: Yönetici aracısı

Bu makale, her ayrıntılı yönetici ayrıcalıkları (GDAP) özelliği için hangi en az ayrıcalıklı Microsoft Entra yerleşik rolünün kullanılabileceğini gösterir. Örneğin, bir müşteri adına destek istekleri göndermek için, müşterinizin kiracısında en az ayrıcalıklı Microsoft Entra yerleşik rolü olan Hizmet destek yöneticisi rolü gerekir.

Destek istekleri oluşturma

Dolaylı kurumsal bayiler Azure için destek istekleri oluşturamaz. Bunun yerine dolaylı sağlayıcılarıyla çalışmalıdır.

Destek isteği oluşturmak için: Doğrudan fatura iş ortakları ve dolaylı sağlayıcılar aşağıdaki en az ayrıcalıklı role sahip olmalıdır:
Microsoft 365 yönetim merkezi Microsoft 365 Hizmet destek yöneticisi gibi Microsoft.office365.supportTickets/allEntities/allTasks izinlerine sahip bir role GDAP rol ataması
Power Platform Yönetim Merkezi'nde Dynamics 365 Hizmet destek yöneticisi gibi Microsoft.office365.supportTickets/allEntities/allTasks izinlerine sahip bir role GDAP rol ataması
Azure portalında Azure abonelik kaynağı Ön koşul: Müşterinin Azure aboneliğini kullanan müşteriler adına istekler oluşturmak için, iş ortaklarının CSP bölgesel yetkilendirmesinde açıklandığı gibi müşteriyle kurumsal bayi ilişkisine sahip olması gerekir. Daha fazla bilgi için bkz . Azure GDAP kurulumu adımları.

Dizin okuyucuları gibi bir Microsoft Entra rolüne yapılan tüm GDAP atamaları,

-VE-

Destek isteği katkıda bulunanı gibi Microsoft.Support/supportTickets/write izinlerine sahip bir role Azure rol tabanlı erişim denetimi (RBAC) rol ataması
Azure portalında Microsoft Entra Id Alternatif 1: Müşterinin Microsoft Entra Id P1 veya P2

Önkoşulu
yoksa: Müşterinin Azure aboneliğini kullanan müşteriler adına istekler oluşturmak için iş ortaklarının CSP bölgesel yetkilendirmesi başına müşteriyle kurumsal bayi ilişkisi olması gerekir. Daha fazla bilgi için bkz . Azure GDAP kurulumu adımları.

Dizin okuyucuları gibi bir Microsoft Entra rolüne yapılan tüm GDAP atamaları,

-VE-

Microsoft.Support/supportTickets/write izinleri olan bir role Azure RBAC rol ataması, örneğin Destek isteği katkıda bulunanı

Alternatif 2: Müşterinin Microsoft Entra Kimliği P1 veya P2
Varsa Microsoft Entra rolüne herhangi bir GDAP ataması: microsoft.azure.supportTickets/allEntities/allTasks izinleri, örneğin Hizmet destek yöneticisi gibi

İş ortağı türlerine göre GDAP rolleri

Dolaylı sağlayıcılar

Dolaylı sağlayıcıların işlem yapıp yönetmesi için aşağıdaki roller önerilir:

  • Yeni müşteri kiracısı oluşturma
  • Kurumsal bayi ilişkisi kurulumu
  • Satın alma
  • Abonelik yönetimi
  • Yükseltmeler
  • Dönüşümler
  • Müşteri kullanıcı oluşturma ve lisans ataması
  • Müşteri hizmetleri istekleri (müşteri adına oluşturma istekleri)
Rol Açıklama
Okuyucu rolleri:
Dizin okuyucuları Temel dizin bilgilerini okuyabilir. Genellikle uygulamalara ve konuklara dizin okuma erişimi vermek için kullanılır
Dizin yazarları Temel dizin bilgilerini okuyabilir ve yazabilir. Uygulamalara erişim vermek için, kullanıcılar için tasarlanmamıştır.
Genel okuyucu Genel yöneticinin okuyabildiği her şeyi okuyabilir, ancak hiçbir şeyi güncelleştiremez
Kullanıcı yönetimi ve lisans yönetimi:
Kullanıcı yöneticisi Sınırlı yöneticilerin parolalarını sıfırlama dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir
Lisans yöneticisi Kullanıcılar ve gruplardaki ürün lisanslarını yönetebilir
Hizmet desteği yöneticisi Hizmet durumu bilgilerini okuyabilir ve destek isteklerini yönetebilir
Yardım Masası:
Yardım Masası yöneticisi Yönetici olmayanlar ve Yardım Masası yöneticileri için parolaları sıfırlayabilir

Doğrudan fatura iş ortakları, dolaylı kurumsal bayiler ve danışmanlar

MsP'lerin rolünü de üstlenen dolaylı kurumsal bayiler, danışmanlar ve doğrudan fatura iş ortakları için aşağıdaki roller önerilir. Bunların tümü, müşterinin ortamını tamamen dış kaynaklı BT departmanı olarak yöneten özelleştirilmiş yönetilen hizmet sağlayıcıları (MSP) olarak kategorilere ayrılmıştır. Bu bölüm, görevler ve işlevler için gereken kategorilere ayrılmış rollerdir.

Yönetilen hizmetlerde katman 1 teknisyeninin tipik görevleri

Rol Görev İşlev
Hizmet desteği yöneticisi Müşteri adına destek istekleri gönderin. Yardım Masası, destek isteklerini oluşturur ve yönetir.
Güvenlik okuyucusu Microsoft 365 hizmetlerinde güvenlikle ilgili ilkeleri görüntüleyin. Yardım Masası, veri kaybı önleme ilkeleri gibi güvenlik ve uyumluluk portalı ilkelerini gidermek veya güncelleştirmek için müşteri kiracısı üzerinde bulma toplar.
Intune yöneticisi Intune ürününün tüm özelliklerini yönetebilir. Yardım Masası, müşteri cihaz kaydını ve sorun gidermeyi işler.
SharePoint yöneticisi SharePoint hizmetinin tüm yönlerini yönetebilir. Yardım Masası, SharePoint site izinlerini yönetir.
Teams iletişim destek uzmanı Microsoft Teams hizmetini yönetebilir. Yardım Masası, arama kalitesi sorunlarını giderir.
Yardım Masası yöneticisi Yönetici olmayanlar ve bu yöneticiler için parolaları sıfırlayabilir: Dizin Okuyucuları Konuk Davet Eden Yardım Masası yöneticisi İleti Merkezi Parola yöneticisi Rapor Okuyucusu. Yardım Masası parolaları sıfırlar.
Masaüstü analizi yöneticisi Masaüstü yönetim araçlarına ve hizmetlerine erişebilir ve bu araçları yönetebilir. Yardım Masası, varlık envanterini görüntüleyerek ve yetkilendirme ilkelerinin standart özelliklerini okuyarak masaüstü analiz hizmetini yönetebilir.
Kimlik doğrulama yöneticisi Yönetici olmayan kullanıcıların kimlik doğrulama yöntemi bilgilerini görüntüleme, ayarlama ve sıfırlama erişimine sahiptir. Yardım Masası, yönetici olmayan kullanıcıların (örneğin, MFA ve koşullu erişim) kimlik doğrulama yöntemi bilgilerini görüntülemek, ayarlamak ve sıfırlamak için erişebilir.
Exchange yöneticisi Bu role sahip kullanıcılar, hizmet mevcut olduğunda Microsoft Exchange Online'da genel izinlere sahiptir. Ayrıca tüm Microsoft 365 gruplarını oluşturup yönetebilir, destek isteklerini yönetebilir ve hizmet durumunu izleyebilir; OBO gönderebilir ve gelen kutularını yönetebilir. Yardım Masası paylaşılan posta kutularını yönetir, posta kutusu kotası sorunlarını çözmeye yardımcı olur ve aktarım kuralları oluşturup yönetir.
Lisans yöneticisi Lisans atamalarını atayabilir, kaldırabilir ve güncelleştirebilir. Sorun giderme sırasında Yardım Masası, destek isteğiyle ilgili bir lisanslama sorunu olup olmadığını değerlendirir ve düzeltir.
Kullanıcı yöneticisi Sınırlı yöneticilerin parolalarını sıfırlama da dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir; kullanıcının oturum açmasını engelleyebilir. Yardım Masası, sınırlı yöneticilerin parolalarını sıfırlama ve eski bir müşteri çalışanının Microsoft 365 hizmetlerine erişimini engelleme dahil olmak üzere kullanıcı ve grupların tüm yönlerini yönetir.
Grup yöneticisi Bu rolün üyeleri grupları oluşturabilir/yönetebilir, adlandırma ve süre sonu ilkeleri gibi grup ayarlarını oluşturabilir/yönetebilir ve grup etkinliği ile denetim raporlarını görüntüleyebilir. Yardım Masası, gruplara sahipler ekler ve gruplara üye ekler.
Dizin okuyucu Bu roldeki kullanıcılar temel dizin bilgilerini okuyabilir. Yardım Masası, sorun giderme işleminin bir parçası olarak temel dizin bilgilerini okuyabilir.
İleti merkezi okuyucusu Yalnızca Office 365 İleti Merkezi'nde kuruluşlarının iletilerini ve güncelleştirmelerini okuyabilir. Yardım Masası, destek sorunlarını gidermek için İleti Merkezi'ni okur.
Yazıcı yönetimi Bu role sahip kullanıcılar, Evrensel Yazdırma Bağlayıcısı ayarları da dahil olmak üzere Microsoft Evrensel Yazdırma çözümünde yazıcıları kaydedebilir ve tüm yazıcı yapılandırmalarını tüm yönleriyle yönetebilir. Tüm temsilcili yazdırma izni isteklerini onaylayabilirler. Yazıcı yöneticileri raporları yazdırmaya da erişebilir. Yardım Masası yazıcı yapılandırmalarını yönetebilir ve yazıcı sorunlarını giderebilir.
Konuk davet eden Bu roldeki kullanıcılar Microsoft Entra B2B konuk kullanıcı davetlerini yönetebilir. Yardım Masası, Üyeler konuk davet edebilir ayarından bağımsız olarak konuk kullanıcıları davet edebilir.

Göreve göre en az ayrıcalıklı rol

Aşağıdaki tabloda her bir GDAP özelliği içindeki görevler ve her görevi gerçekleştirmek için gereken en az ayrıcalıklı rol gösterilir.

GDAP özelliği Görev En az ayrıcalıklı rol
Destek Destek bileti gönderme Hizmet desteği yöneticisi
Kullanıcılar Dizin rolüne kullanıcı ekleme Ayrıcalıklı rol yöneticisi
Gruba kullanıcı ekleme Kullanıcı yöneticisi
Lisans atama Lisans yöneticisi
Konuk kullanıcı oluşturma Konuk davet eden
Konuk kullanıcı daveti sıfırla Kullanıcı yöneticisi
Kullanıcı oluşturma Kullanıcı yöneticisi
Kullanıcıyı silme Kullanıcı yöneticisi
Sınırlı yöneticinin yenileme belirteçlerini geçersiz kılma Kullanıcı yöneticisi
Yönetici olmayanların yenileme belirteçlerini geçersiz kılma Parola yöneticisi
Ayrıcalıklı yöneticinin yenileme belirteçlerini geçersiz kılma Ayrıcalıklı kimlik doğrulama yöneticisi
Temel yapılandırmayı okuma Varsayılan kullanıcı rolü
Sınırlı yönetici için parolayı sıfırlama Kullanıcı yöneticisi
Yönetici olmayanlar için parolayı sıfırlama Parola yöneticisi
Ayrıcalıklı yöneticinin parolasını sıfırlama Ayrıcalıklı kimlik doğrulama yöneticisi
Lisansı iptal etme Lisans yöneticisi
Kullanıcı asıl adı dışındaki tüm özellikleri güncelleştirme Kullanıcı yöneticisi
Sınırlı yönetici için kullanıcı asıl adını güncelleştirme Kullanıcı yöneticisi
Ayrıcalıklı yönetici için kullanıcı asıl adını güncelleştirme Genel yönetici
Kullanıcı ayarlarını güncelleştirme Genel yönetici
Kimlik doğrulama yöntemlerini güncelleştirme Kimlik doğrulama yöneticisi
Gruplar Lisans atama Kullanıcı yöneticisi
Grup oluştur Grup yöneticisi
Grup veya uygulamanın erişim gözden geçirmesini oluşturma, güncelleştirme veya silme Kullanıcı yöneticisi
Grup süre sonunu yönetme Kullanıcı yöneticisi
Grup ayarlarını yönetme Grup yöneticisi
Tüm yapılandırmayı okuma (gizli üyelik hariç) Dizin okuyucuları
Gizli üyeliği okuma Grup üyesi
Gizli üyeliği olan grupların üyeliğini okuma Yardım Masası yöneticisi
Lisansı iptal etme Lisans yöneticisi
Grup üyeliğini güncelleştirme Grup sahibi
Grup sahiplerini güncelleştirme Grup sahibi
Grup özelliklerini güncelleştirme Grup sahibi
Grubu silme Grup yöneticisi
Lisansları Lisans atama Lisans yöneticisi
Tüm yapılandırmayı okuma Dizin okuyucuları
Lisansı iptal etme Lisans yöneticisi

Karmaşıklık düzeyine göre roller

Role Basit Orta Complex
Uygulama yöneticisi x
Uygulama geliştirici x
Saldırı yükü yazarı x
Saldırı Benzetimi yöneticisi x
Kimlik doğrulama yöneticisi x
Microsoft Entra'ya katılmış cihaz Yerel yönetici x
Azure DevOps yöneticisi x
Azure information protection yöneticisi x
Faturalama yöneticisi x
Bulut Uygulaması yöneticisi x x
Bulut cihazı yöneticisi x
Uyumluluk yöneticisi x
Koşullu erişim yöneticisi x
Masaüstü analizi yöneticisi x
Dizin okuyucuları x x x
Dizin eşitleme hesapları x
Etki alanı adı yöneticisi x
Dynamics 365 yöneticisi x x
Exchange yöneticisi x x
Exchange alıcı yöneticisi x
Dış kimlik sağlayıcısı yöneticisi x
Genel okuyucu x x x
Grup yöneticisi x
Konuk davet eden x
Yardım masası yöneticisi x x x
Karma tanımlama yöneticisi x
İçgörü yöneticisi x
Intune yöneticisi x x
Lisans yöneticisi x x x
İleti Merkezi gizlilik Okuyucusu x
İleti Merkezi okuyucusu x
Ağ yöneticisi x
Office uygulaması yöneticisi x
Parola yöneticisi x
Power BI yöneticisi x x
Power Platform yöneticisi x x
Yazıcı yöneticisi x
Yazıcı Teknisyeni x
Ayrıcalıklı kimlik doğrulama yöneticisi x
Ayrıcalıklı rol yöneticisi x
Rapor okuyucusu x x
Arama yöneticisi x
Arama düzenleyicisi x
Güvenlik yöneticisi x x
Güvenlik okuyucusu x x
Hizmet desteği yöneticisi x x x
SharePoint yöneticisi x x
Skype Kurumsal yöneticisi x
Teams yöneticisi x x
Teams iletişim yöneticisi x
Teams iletişim destek mühendisi x
Teams iletişim destek uzmanı x
Teams cihazları yöneticisi x
Kullanıcı yöneticisi x x x
Windows 365 yöneticisi x x