在 Microsoft 365 Lighthouse 中为客户设置 GDAP

现在,你可以通过 Microsoft 365 Lighthouse (GDAP) 为所有客户设置精细委派管理员权限,无论其许可证或大小如何。 通过使用 GDAP 为管理的客户租户设置组织,组织中的用户具有完成其工作所需的权限,同时确保客户租户的安全。 Lighthouse 使你可以快速将组织过渡到 GDAP,并开始向客户委派访问权限的最小特权之旅。

通过委托的管理员权限 (DAP) 或 GDAP 进行委派访问是客户租户完全加入 Lighthouse 的先决条件。 因此,与客户建立 GDAP 关系可能是在 Lighthouse 中管理客户租户的第一步。

在 GDAP 设置过程中,可以通过配置组织所需的支持角色和安全组来创建 GDAP 模板。 然后,将客户租户分配到 GDAP 模板。 GDAP 角色的范围限定为 Microsoft Entra 内置角色,设置 GDAP 时,会看到有关不同作业职能所需的一组角色的建议。

监视:设置 GDAP

查看 YouTube 频道上的其他 Microsoft 365 Lighthouse 视频

开始之前

  • 需要在合作伙伴租户中具有特定权限:

    • 若要建立 GDAP 安全组、添加用户和创建 GDAP 模板,你必须是合作伙伴租户中的全局管理员。 可以在 Microsoft Entra ID 中分配此角色。

    • 若要创建和完成 GDAP 关系,你必须是合作伙伴中心“管理员代理”组的成员。

  • 在 Lighthouse 中管理的客户需要在合作伙伴中心设置经销商关系或现有委托关系 (DAP 或 GDAP) 。

注意

Lighthouse GDAP 模板使用可分配角色的安全组。 需要 Microsoft Entra ID P1 许可证才能将用户添加到这些组。 若要启用实时 (JIT) 角色,需要 Microsoft Entra IDE 治理或 Microsoft Entra ID P2 许可证。

首次设置 GDAP

首次设置 GDAP 时,必须按顺序完成以下部分。 完成后,可以返回并根据需要编辑任何部分。

如果在 GDAP 设置过程中遇到任何问题,请参阅 排查 Microsoft 365 Lighthouse 中的错误消息和问题:GDAP 设置和管理 以获取指导。

首先,请执行以下操作:

  1. Lighthouse 的左侧导航窗格中,选择“ 主页”。

  2. “设置 GDAP” 卡上,选择“ 设置 GDAP”。

  3. 按顺序完成以下部分。

    步骤 1:角色和权限

    步骤 2:GDAP 模板

    步骤 3:安全组

    步骤 4:租户分配

    步骤 5:查看并完成

步骤 1:角色和权限

根据员工的工作职能选择所需的 Microsoft Entra 角色。

  1. “角色和权限 ”页上,根据员工的工作职能选择所需的 Microsoft Entra 角色。 执行下列操作之一:

    • 采用建议的角色
    • 编辑 Microsoft Entra 角色选择

    默认情况下,Lighthouse 包括五个支持角色:客户经理、服务台代理、专家、升级工程师和 JIT 代理。 可以通过选择“编辑支持角色”来重命名 支持角色,以匹配组织的首选项。 某些 Microsoft Entra 角色无法添加到不同的支持角色,例如,JIT 代理支持角色中的 Microsoft Entra 角色不能添加到任何其他支持角色。

    如果 GDAP 设置不需要所有支持角色,则可以在下一步中从 GDAP 模板中排除一个或多个支持角色。

  2. 选择“下一步”。

  3. 选择“ 保存并关闭 ”以保存设置并退出 GDAP 安装程序。

步骤 2:GDAP 模板

GDAP 模板是:

  • 支持角色
  • 安全组
  • 每个安全组中的用户

若要创建 GDAP 模板,请执行以下操作:

  1. “GDAP 模板 ”页上,选择“ 创建模板”。

  2. 在模板窗格中,在相应的字段中输入模板名称和说明。

  3. 从列表中选择一个或多个支持角色。

  4. 选择“保存”

  5. 选择“下一步”。

  6. 选择“ 保存并关闭 ”以保存设置并退出 GDAP 安装程序。

步骤 3:安全组

对于每个模板,每个支持角色至少需要一个安全组。 对于第一个模板,你将创建新的安全组,但对于后续模板,可以根据需要重用组。

  1. “安全组 ”页上,选择“ 创建安全组”。

  2. 在安全组窗格中,输入名称和说明。

  3. 选择 “添加用户”。

  4. 从“添加用户”列表中,选择要包含在此安全组中的用户。

  5. 选择“保存”。

  6. 再次选择 保存

  7. 选择“下一步”。

  8. 选择“ 保存并关闭 ”以保存设置并退出 GDAP 安装程序。

JIT 代理安全组用户有资格请求访问高特权 GDAP 角色;他们不会自动获得访问权限。 作为 GDAP 设置的一部分,请从租户中选择 JIT 审批者安全组,以批准来自 JIT 代理的访问请求。

JIT 审批者安全组必须可分配角色。 如果 GDAP 安装程序中未显示安全组,请确认该安全组可分配角色。 有关如何管理角色分配的详细信息,请参阅 使用 Microsoft Entra 组管理角色分配

完成 GDAP 设置后,将创建 JIT 访问策略,供 JIT 代理请求访问。 可以查看在 Microsoft Entra ID 治理门户中创建的策略,JIT 代理可以从 “我的访问”门户请求对其角色的访问权限。 有关 JIT 代理如何请求访问权限的详细信息,请参阅 管理对资源的访问权限。 有关审批者如何批准请求的详细信息,请参阅 批准或拒绝请求

步骤 4:租户分配

将客户组分配到每个模板。 每个客户只能分配到一个模板。 选择后,该客户租户将不会在后续模板上显示为选项。 如果重新运行 GDAP 安装程序,则会保存每个 GDAP 模板的租户分配。

  • 若要向 GDAP 模板添加新租户,请重新运行 GDAP 安装程序。 保留已保存的租户分配,然后选择要分配给 GDAP 模板的新租户。 将仅为新分配的租户创建新的 GDAP 关系。

  • 若要从 GDAP 模板中删除租户,请重新运行 GDAP 安装程序。 删除租户分配。 删除租户分配不会删除从以前的分配创建的 GDAP 关系,但允许根据需要将客户租户重新分配到其他 GDAP 模板。

在选择“下一步”之前,请确保选择了要分配给 GDAP 模板的所有租户。 可以使用右上角的搜索框筛选租户列表。

  1. “租户分配 ”页上,选择要分配给已创建模板的 GDAP 的租户。

  2. 选择“ 下一步 ”转到下一部分,或选择“ 保存并关闭 ”以保存设置并退出 GDAP 安装程序。

步骤 5:查看并完成

  1. 在“ 查看设置” 页上,查看创建的设置以确认其正确。

  2. 选择“完成”

配置要应用的设置可能需要一两分钟的时间。 如果需要刷新数据,请按照提示操作。 如果退出 GDAP 安装程序而不选择“ 完成”,则安装程序将不完整。

注意

对于具有现有 DAP 关系的客户,将自动应用这些设置。 在 GDAP 安装程序的最后一页上处于“活动”状态的客户将分配到 GDAP 模板中定义的角色和安全组。

注意

对于没有现有 DAP 关系的客户,将在 GDAP 安装程序的最后一页上为每个客户生成管理员关系请求链接。 从那里,你可以将链接发送给客户的全局管理员,以便他们可以批准管理关系。 关系获得批准后,将应用 GDAP 模板设置。 关系批准后,更改可能需要长达一小时才会显示在 Lighthouse 中。

完成 GDAP 设置后,可以导航到不同的步骤来更新或更改角色、安全组或模板。 GDAP 关系现在在合作伙伴中心可见,安全组现在在 Microsoft Entra ID 中可见。

文章) (权限概述
排查错误消息和问题 (文章)
配置门户安全性 (文章)
GDAP) (文章) (精细委派管理员权限简介
Microsoft Entra 内置角色 (文章)
了解 Microsoft Entra ID 中的组和访问权限 (文章)
什么是 Microsoft Entra 权利管理? (文章)