分享方式:


GDAP 常見問題集

適當角色:對合作夥伴中心感興趣的所有使用者

細微委派的系統管理員許可權 (GDAP) 可讓合作夥伴以更細微且時間限制的方式存取其客戶的工作負載,這有助於解決客戶的安全性考慮。

透過 GDAP,合作夥伴可以提供更多服務給可能對高層級合作夥伴存取感到不舒服的客戶。

GDAP 也可協助具有法規需求的客戶,只提供最低許可權的合作夥伴存取權。

設定 GDAP

誰可以要求 GDAP 關聯性?

合作夥伴組織具有 系統管理員代理程式 角色的人員可以 建立 GDAP 關聯性要求

如果客戶未採取任何動作,GDAP 關聯性要求是否會過期?

是。 GDAP 關聯性要求會在90天后到期。

我可以與客戶建立 GDAP 關係嗎?

否。 基於安全性考慮,無法與客戶建立永久 GDAP 關聯性。 GDAP 關聯性的最大持續時間為兩年。 您可以將 [自動擴充] 設定[已啟用],以將系統管理員關聯性延長六個月,直到終止或自動擴充設定為 [已停用]。

GDAP 關聯性是否支援 Enterprise 合約?

否,GDAP 關聯性不支援透過 Enterprise 合約購買的訂用帳戶。

GDAP 與客戶的關聯性是否可以自動重新新增/自動擴充?

是。 GDAP 關聯性可以自動延長六個月,直到終止或自動擴充設定為 [已停用]。

當 GDAP 與客戶的關係到期時,該怎麼辦?

如果與您的客戶的 GDAP 關聯性過期,請 再次要求 GDAP 關聯性

您可以使用 GDAP 關聯性分析 來追蹤 GDAP 關聯性到期日,並準備更新。

客戶如何延長或更新 GDAP 關係?

若要延長或更新 GDAP 關聯性,合作夥伴或客戶必須將 [自動擴充] 設定[已啟用]。 若要深入瞭解,請參閱 管理 GDAP 自動擴充API

作用中的 GDAP 即將到期是否可以更新為自動延長?

是,如果 GDAP 為使用中,就可以擴充它。

自動擴充何時生效?

假設已建立 GDAP 365 天,並將自動擴充設定為 [已啟用]。 在第 365 天,結束日期將有效更新 180 天。

在啟用/停用之間切換自動擴充時,是否會傳送電子郵件?

不會傳送電子郵件給合作夥伴和客戶。

使用 PLT 建立的 GDAP(合作夥伴導向工具)、MLT(Microsoft Led 工具)、合作夥伴中心 UI、合作夥伴中心 API 是否可以自動擴充?

是,任何作用中的 GDAP 都可以自動擴充。

否,客戶同意不需要針對現有的使用中 GDAP 將自動擴充設定為 Enabled。

自動擴充后,是否應將細微許可權重新指派給安全組?

否,指派給安全組的細微許可權會繼續如往下。

是否可以自動擴充與全域管理員角色的管理員關聯性?

否,無法自動擴充與全域管理員角色的管理員關聯性。

為什麼我在 [客戶] 工作區底下看不到 [過期細微關聯性 ] 頁面?

[ 即將到期的細微關聯性 ] 頁面僅適用於具有全域管理員和系統管理員代理程式角色的合作夥伴使用者。

此頁面可協助篩選跨不同時間軸到期的 GDAP,並協助更新一或多個 GDAP 的自動擴充(啟用/停用)。

如果 GDAP 關聯性到期,客戶現有的訂用帳戶是否受到影響?

否。 GDAP 關聯性到期時,不會變更客戶現有的訂用帳戶。

如果客戶被鎖定其帳戶,且無法接受合作夥伴的 GDAP 關聯性要求,客戶如何重設其密碼和 MFA 裝置?

請參閱針對Microsoft Entra 多重要素驗證問題進行疑難解答,且無法在遺失電話或電話號碼變更指引后,使用 Microsoft Entra 多重要素驗證來登入雲端服務。

如果客戶管理員被鎖定其帳戶,且無法接受合作夥伴的 GDAP 關聯性要求,合作夥伴需要哪些角色才能重設系統管理員密碼和 MFA 裝置?

合作夥伴必須在建立第一個 GDAP 時要求 特殊許可權驗證系統管理員 Microsoft Entra 角色,才能重設使用者(系統管理員或非系統管理員)的密碼和驗證方法。 特殊許可權驗證系統管理員角色是 MLT (Microsoft Led Tool) 所設定的角色的一部分,並計劃於建立客戶流程期間使用預設 GDAP(計劃於 9 月使用)。

合作夥伴可以讓客戶系統管理員嘗試 重設密碼。 基於預防措施,合作夥伴必須為其客戶設定 SSPR(自助式密碼重設)。 請參閱讓使用者重設自己的密碼

誰會收到 GDAP 關聯性終止通知電子郵件?

合作夥伴 組織中,具有 系統管理員代理程式 角色的人員會收到終止通知。

客戶 組織內,具有 全域管理員 角色的人員會收到終止通知。

我是否可以在活動記錄中看到客戶何時移除 GDAP?

是。 合作夥伴可以看到客戶何時在合作夥伴中心活動記錄中移除 GDAP。

我需要建立與所有客戶的 GDAP 關聯性嗎?

否。 GDAP 是一項選擇性功能,適用於想要以更細微且時間限制的方式管理其客戶服務的合作夥伴。 您可以選擇您要建立 GDAP 關聯性的客戶。

如果我有多個客戶,是否需要為那些客戶擁有多個安全組?

答案取決於您想要如何管理您的客戶。

  • 如果您想要讓合作夥伴使用者能夠管理所有客戶,您可以將所有合作夥伴使用者放入一個安全組,一個群組可以管理所有客戶。

  • 如果您想要讓各種合作夥伴使用者管理各種客戶,請將這些合作夥伴使用者指派給個別安全組,以進行客戶隔離。

間接轉銷商是否可以在合作夥伴中心建立 GDAP 關聯性要求?

是。 間接轉銷商(以及間接提供者和直接計費合作夥伴)可以在合作夥伴中心建立 GDAP 關係要求。

為什麼具有 GDAP 的合作夥伴用戶無法以 AOBO 身分存取工作負載(代表系統管理員)?

在 GDAP 設定中,確定已選取在合作夥伴租使用者中建立的安全組與合作夥伴使用者。 也請確定所需的Microsoft Entra 角色已指派給安全組。 請參閱 指派Microsoft Entra 角色

客戶現在可以將 CSP 從條件式存取原則中排除,讓合作夥伴可以轉換至 GDAP,而不會遭到封鎖。

包含使用者 - 此使用者清單通常包含組織以條件式存取原則為目標的所有使用者。

建立條件式存取原則時,可以包含下列選項:

  • 選取使用者和群組
    • 來賓或外部使用者 (預覽)
      • 此選取項目提供數個選項,可用來將條件式存取原則設為特定來賓或外部使用者類型,以及包含這些類型使用者的特定租用戶。 有數種不同類型的來賓或外部使用者可以選取,而且可以選取多個項目:
        • 服務提供者使用者,例如 雲端解決方案提供者(CSP)。
      • 可以針對選取的使用者類型指定一或多個租用戶,或者您可以指定所有租用戶。

外部合作夥伴存取 - 以外部用戶為目標的條件式存取 原則可能會干擾服務提供者存取,例如細微的委派系統管理員許可權。 如需詳細資訊,請參閱細微委派系統管理員許可權簡介(GDAP)。 針對目標為服務提供者租用戶的原則,請使用來賓或外部使用者選取項目中可用的服務提供者使用者外部使用者類型。

CA 原則 UX 以特定Microsoft Entra 組織的來賓和外部使用者類型為目標的螢幕快照。

排除使用者 - 當組織同時包含和排除使用者或群組時,使用者或群組會從原則中排除,因為排除動作會覆寫原則中的 Include 動作。

建立條件式存取原則時,可以使用下列選項來排除:

  • 來賓或外部使用者
    • 此選取項目提供數個選項,可用來將條件式存取原則設為特定來賓或外部使用者類型,以及包含這些類型使用者的特定租用戶。 有數種不同類型的來賓或外部使用者可以選取,而且可以選取多個項目:
      • 服務提供者使用者,例如雲端解決方案提供者 (CSP)
    • 可以針對選取的使用者類型指定一或多個租用戶,或者您可以指定所有租用戶。

CA 原則的螢幕快照。

如需詳細資訊,請參閱

我是否需要 GDAP 關聯性,才能建立支援票證,儘管我有合作夥伴的頂級支援?

是,不論您擁有的支援方案為何,合作夥伴用戶能夠為其客戶建立支援票證的最低特殊許可權角色是服務支持系統管理員。

合作夥伴是否可以終止核准擱置狀態中的 GDAP?

否,合作夥伴目前無法在核准擱置狀態中終止 GDAP。 如果客戶不採取任何動作,則會在90天內到期。

在 GDAP 關聯性終止之後,是否可以重複使用相同的 GDAP 關聯性名稱來建立新的關聯性?

只有在 365 天 (清除) 張貼 GDAP 關聯性終止或已過期之後,您才可以重複使用相同的名稱來建立新的 GDAP 關聯性。

某個區域中的合作夥伴是否可以管理不同區域中的客戶?

是,合作夥伴可以跨區域管理其客戶,而不需要為每個客戶區域建立新的合作夥伴租使用者。 請注意,這隻適用於 GDAP 所提供的客戶管理角色(管理員關聯性)。 交易角色和功能仍然受限於您的 授權領域

服務提供者是否屬於多租用戶組織的一部分?

否,服務提供者不能是多租用戶組織的一部分,它們互斥。

GDAP API (英文)

API 是否可供與客戶建立 GDAP 關聯性?

如需 API 和 GDAP 的相關信息,請參閱 合作夥伴中心開發人員檔

我可以將 Beta GDAP API 用於生產環境嗎?

是。 我們建議合作夥伴在生產環境中使用 Beta GDAP API ,並在其可供使用時切換至 API v.1。

雖然有警告:「不支援在生產應用程式中使用這些 API」,但一般指導方針適用於 Graph 下的任何 Beta API,不適用於 Beta GDAP Graph API。

我是否可以一次與不同的客戶建立多個 GDAP 關聯性?

是。 您可以使用 API 建立 GDAP 關聯性,讓合作夥伴能夠調整此程式。 不過,合作夥伴中心無法使用建立多個 GDAP 關聯性。 如需 API 和 GDAP 的相關信息,請參閱 合作夥伴中心開發人員檔

是否可以使用一個 API 呼叫在 GDAP 關聯性中指派多個安全組?

API 一次適用於一個安全組,但您可以將多個安全組對應至合作夥伴中心的多個角色。

如何要求應用程式的多個資源許可權?

針對每個資源進行個別呼叫。 提出單一 POST 要求時,只傳遞一個資源及其對應的範圍。

例如,若要同時要求 和https://graph.microsoft.com/Organization.Read.All的許可權https://graph.windows.net/Directory.AccessAsUser.All,請提出兩個不同的要求,每個要求各一個。

如何尋找指定資源的資源識別碼?

使用提供的連結來搜尋資源名稱: 確認登入報告中的第一方Microsoft應用程式 - Active Directory。 範例:

若要尋找資源標識碼 (例如:00000003-0000-0000-c000-00000000000000 graph.microsoft.com):

範例應用程式的指令清單畫面螢幕快照,其中已醒目提示其資源標識碼。

如果我遇到「Request_UnsupportedQuery」錯誤,應該怎麼做:「資源 』ServicePrincipal' 屬性 'appId' 所指定的查詢篩選子句不受支援或無效」?

當查詢篩選中使用不正確的標識符時,通常會發生此錯誤。

若要解決此問題,請確定您使用 enterpriseApplicationId 屬性具有正確的 資源識別碼,而不是資源名稱。

  • 不正確的要求

    針對 enterpriseApplicationId,請勿使用資源名稱,例如 graph.microsoft.com。

    不正確的要求螢幕快照,其中 enterpriseApplicationId 使用 graph.microsoft.com。

  • 正確要求

    相反地,針對 enterpriseApplicationId,請使用資源標識符,例如 000000003-0000-0000-c000-000000000000。

    正確要求的螢幕快照,其中 enterpriseApplicationId 使用 GUID。

如何將新範圍新增至已同意給客戶租用戶的應用程式資源?

範例:先前 graph.microsoft.com 資源僅同意「配置檔」範圍。 現在我們也想要新增配置檔和user.read。

若要將新的範圍新增至先前同意的應用程式:

  1. 使用 DELETE 方法來撤銷客戶租使用者的現有應用程式同意。

  2. 使用 POST 方法來建立具有其他範圍的新應用程式同意。

    注意

    如果您的應用程式需要多個資源的許可權,請針對每個資源分別執行 POST 方法。

如何? 為單一資源指定多個範圍(enterpriseApplicationId)?

使用逗號後面接著空格,串連必要的範圍。 範例:“scope”: “profile, User.Read”

如果我收到「400 不正確的要求」錯誤,並出現「不支援的令牌」訊息,該怎麼辦。 無法初始化授權內容」?
  1. 確認要求本文中的 『displayName』 和 『applicationId』 屬性正確無誤,並符合您嘗試同意客戶租用戶的應用程式。

  2. 請確定您使用相同的應用程式來產生您嘗試同意客戶租使用者的存取令牌。

    範例:如果應用程式標識碼是 「12341234-1234-1234-12341234」,則存取令牌中的 “appId” 宣告也應該是 “12341234-1234-1234-12341234”。

  3. 確認符合下列其中一個條件:

    • 您有作用中的委派系統管理員許可權 (DAP),而且使用者也是合作夥伴租使用者中管理員代理程式安全組的成員。

    • 您與客戶租使用者具有至少下列三個 GDAP 角色之一的作用中細微委派系統管理員許可權 (GDAP) 關聯性,且您已完成存取指派:

      • 全域管理員、應用程式管理員或雲端應用程式管理員角色。
      • 合作夥伴使用者是存取指派中指定的安全組成員。

角色

存取 Azure 訂用帳戶需要哪些 GDAP 角色?
是否有關於可指派給使用者特定工作之最低許可權角色的指引?

是。 如需如何在 Microsoft Entra 中指派最低特殊許可權角色來限制使用者的系統管理員許可權的相關信息,請參閱 Microsoft Entra 中的工作最低許可權角色。

我可以指派給客戶租使用者的最低特殊許可權角色為何,而且仍然可以為客戶建立支援票證?

我們建議指派 服務支持系統管理員 角色。 若要深入瞭解,請參閱 在 entra 中依工作Microsoft最低特殊許可權角色。

2024 年 7 月合作夥伴中心 UI 中提供哪些Microsoft Entra 角色?

若要減少透過 Microsoft Entra 角色之間的差距。 合作夥伴中心 API 與 UI,在 2024 年 7 月的合作夥伴中心 UI 中提供 9 個角色的清單。

  • 在 [共同作業] 底下:

    • Edge 系統管理員
    • Virtual Visits 系統管理員
    • Viva Goals 系統管理員
    • Viva Pulse 系統管理員
    • Yammer 系統管理員
  • 在 [身分識別] 底下:

    • 權限管理系統管理員
    • 生命週期工作流程系統管理員
  • 在 [其他] 下:

    • 組織商標系統管理員
    • 組織訊息核准者
我可以在已排除所有Microsoft Entra 角色的 GDAP 關聯性中為客戶開啟支援票證嗎?

否。 合作夥伴用戶能夠為其客戶建立支援票證的最低特殊許可權角色是 服務支持系統管理員。 因此,若要能夠為客戶建立支援票證,合作夥伴用戶必須位於安全組中,並將該角色指派給該客戶。

哪裡可以找到 GDAP 中包含的所有角色和工作負載的相關信息?

如需所有角色的相關信息,請參閱 Microsoft Entra 內建角色

如需工作負載的相關信息,請參閱細微委派系統管理員許可權所支援的工作負載(GDAP)。

哪些 GDAP 角色可存取 Microsoft 365 系統管理 中心?

許多角色都用於 Microsoft 365 系統管理 中心。 如需詳細資訊,請參閱常用的 Microsoft 365 系統管理中心角色

我可以建立 GDAP 的自定義安全組嗎?

是。 建立安全組、指派核准的角色,然後將合作夥伴租用戶使用者指派給該安全組。

哪些 GDAP 角色提供客戶訂用帳戶的唯讀存取權,因此不允許使用者管理這些訂用帳戶?

全域讀取器、目錄讀取器和合作夥伴第 2 層支援角色會提供客戶訂用帳戶的唯讀存取權。

如果想要他們管理客戶租使用者,但不要修改客戶的訂用帳戶,我應該將哪些角色指派給我的合作夥伴代理程式(目前是系統管理員代理程式?

建議您從 系統管理員代理程式角色中移除合作夥伴代理程式 ,並只將它們新增至 GDAP 安全組。 如此一來,他們就可以管理服務(例如服務管理和記錄服務要求),但無法購買和管理訂用帳戶(變更數量、取消、排程變更等等)。

如果客戶將 GDAP 角色授與合作夥伴,然後移除角色或斷除 GDAP 關聯性,會發生什麼事?

指派給關聯性的安全組會失去該客戶的存取權。 如果客戶終止 DAP 關係,就會發生同樣的情況。

合作夥伴是否可以在移除與客戶的所有 GDAP 關係之後繼續交易客戶?

是,移除與客戶的 GDAP 關聯性並不會終止合作夥伴與客戶的轉銷商關係。 合作夥伴仍然可以為客戶購買產品,並管理 Azure 預算和其他相關活動。

我與客戶 GDAP 關係中的某些角色可以比其他人更長的時間到期嗎?

否。 GDAP 關聯性中的所有角色都有相同的到期時間:建立關聯性時所選擇的持續時間。

我需要 GDAP 才能履行合作夥伴中心新客戶和現有客戶的訂單嗎?

否。 您不需要 GDAP 來履行新客戶和現有客戶的訂單。 您可以繼續使用相同的程式,在合作夥伴中心履行客戶訂單。

我是否必須將一個合作夥伴代理程式角色指派給所有客戶,或者我只能將合作夥伴代理程式角色指派給一個客戶嗎?

GDAP 關聯性是個別客戶。 每個客戶可以有多個關聯性。 每個 GDAP 關聯性都可以有不同的角色,並在 CSP 租使用者內使用不同的Microsoft Entra 群組。

在合作夥伴中心,角色指派可在客戶對 GDAP 關聯性層級運作。 如果您想要多客戶角色指派,您可以使用 API 自動執行。

合作夥伴使用者是否可以擁有 GDAP 角色和來賓帳戶?

來賓帳戶不適用於 GDAP。 客戶必須移除任何來賓帳戶,才能讓 GDAP 運作。

我需要 AZURE 訂用帳戶布建的 DAP/GDAP 嗎?

否,您不需要 DAP 或 GDAP 來購買 Azure 方案,併為客戶布建 Azure 訂用帳戶。 為客戶建立 Azure 訂用帳戶的程式記載於 為合作夥伴的客戶建立訂用帳戶 - Microsoft成本管理 + 計費。 根據預設, 合作夥伴租使用者中的管理員代理程式 群組會成為為客戶布建的 Azure 訂用帳戶擁有者。 使用合作夥伴中心標識碼登入 Azure 入口網站。

若要布建對客戶的存取權,您需要 GDAP 關聯性。 GDAP 關聯性至少必須包含目錄讀取Microsoft Entra 角色。 若要在 Azure 中布建存取權,請使用存取權(IAM) 頁面。 若為 AOBO,請登入合作夥伴中心,並使用 [服務管理 ] 頁面來布建客戶的存取權。

GDAP 支援哪些Microsoft Entra 角色?

GDAP 目前僅支援 Microsoft Entra 內建角色。 不支援自定義Microsoft Entra 角色。

為什麼 GDAP 系統管理員 + B2B 使用者無法在 aka.ms/mysecurityinfo 中新增驗證方法?

GDAP 來賓系統管理員無法在 My Security-Info 管理自己的安全性資訊。 相反地,他們將需要其為來賓的租用戶系統管理員協助,以取得任何安全性資訊註冊、更新或刪除。 組織可以設定跨租使用者存取原則,以信任受信任 CSP 租使用者的 MFA。 否則,GDAP 來賓系統管理員將僅限於租用戶系統管理員註冊的方法(也就是簡訊或語音)。 若要深入瞭解,請參閱 跨租使用者存取原則

合作夥伴可以使用哪些角色來啟用自動擴充?

符合 零信任 的指導原則:使用最低許可權存取

  • 我們建議依工作和工作負載工作使用最低許可權角色:GDAP 所支援的細微委派系統管理員許可權 (GDAP) 支援的工作負載。
  • 當需要解決列出的已知問題時,請與客戶合作,要求有時間限制的全域管理員角色。
  • 不建議將全域管理員角色取代為所有可能Microsoft Entra 角色。

DAP 和 GDAP

GDAP 是否取代 DAP?

是。 在轉換期間,DAP 和 GDAP 將會共存,GDAP 許可權優先於 Microsoft 365Dynamics 365Azure 工作負載的 DAP 許可權

我是否可以繼續使用 DAP,或者我是否必須將所有客戶轉換為 GDAP?

在轉換期間,DAP 和 GDAP 並存。 不過,GDAP 最終會取代 DAP,以確保我們為合作夥伴和客戶提供更安全的解決方案。 建議您儘快將客戶轉換為 GDAP,以確保持續性。

雖然 DAP 和 GDAP 並存,但 DAP 關聯性建立方式是否有任何變更?

DAP 和 GDAP 並存時,現有的 DAP 關聯性流程不會有任何變更。

建立客戶時,預設 GDAP 會授與哪些Microsoft Entra 角色?

建立新的客戶租使用者時,目前會授與 DAP。 自 2023 年 9 月 25 日起,Microsoft將不再將 DAP 授與新客戶建立,而是將預設 GDAP 授與特定角色。 預設角色會因合作夥伴類型而異,如下表所示:

Microsoft為預設 GDAP 授與的 Entra 角色 直接帳單合作夥伴 間接提供者 間接轉銷商 網域合作夥伴 控制台 廠商 (CPV) Advisor 退出預設 GDAP (無 DAP)
1. 目錄讀取器。 可讀取基本目錄資訊。 通常用來授與目錄讀取存取權給應用程式和來賓。 x x x x x
2. 目錄寫入器。 可讀取和寫入基本目錄資訊。 用來授與應用程式的存取權,不適用於使用者。 x x x x x
3. 授權系統管理員。 可管理使用者和群組的產品授權。 x x x x x
4. 服務支持系統管理員。 可讀取服務健康情況資訊及管理支援票證。 x x x x x
5. 使用者管理員。 可管理使用者與群組的所有層面,包含為受限系統管理員重設密碼。 x x x x x
6. 特殊許可權角色管理員。 可以在 Microsoft Entra 中管理角色指派,以及 Privileged Identity Management 的所有層面。 x x x x x
7. 技術服務人員系統管理員。 可以重設非系統管理員和技術支援中心系統管理員的密碼。 x x x x x
8. 特殊許可權驗證管理員。 可以存取任何使用者的檢視、設定及重設驗證方法資訊(系統管理員或非系統管理員)。 x x x x x
9. 雲端應用程式管理員。 可建立及管理應用程式註冊與企業應用程式的所有層面,但應用程式 Proxy 除外。 x x x x
10. 應用程式管理員。 可建立及管理應用程式註冊與企業應用程式的所有層面。 x x x x
11. 全域讀者。 可以讀取全域管理員可以讀取但無法更新任何專案的所有專案。 x x x x x
12. 外部識別提供者管理員。 可以管理Microsoft Entra 組織與外部識別提供者之間的同盟。 x
13. 功能變數名稱管理員。 可管理雲端及內部部署中的網域名稱。 x
GDAP 如何在 Microsoft Entra 中使用 Privileged Identity Management?

合作夥伴可以在合作夥伴租使用者中的 GDAP 安全組上實 作 Privileged Identity Management (PIM), 以提升少數高許可權使用者的存取權,只要及時(JIT)即可授與他們高許可權角色,例如密碼管理員自動移除存取權。

在 2023 年 1 月之前,每個特殊許可權存取群組(群組的 PIM 前名稱)都必須位於可指派角色的群組中移除此限制。 鑒於此,您可以在 PIM 中啟用每個租用戶超過 500 個群組,但最多可以指派 500 個群組。

摘要:

  • 合作夥伴可以在 PIM 中使用可 指派角色和非角色指派 的群組。 這實際上 會移除 PIM 中 500 個群組/租使用者的限制。

  • 透過最新的更新,有兩種方式可將群組上線至 PIM(UX-wise):從 PIM 功能表或從 [群組] 功能表。 無論您選擇何種方式,凈結果都相同。

    • 透過 PIM 功能表將可指派/不可角色指派的群組上線的能力已經可供使用。

    • 可透過 [群組] 功能表將可指派/不可角色指派的群組上線的能力已經可供使用。

  • 如需詳細資訊,請參閱 群組的特殊許可權身分識別管理 (PIM) (預覽) - Microsoft Entra

如果客戶購買 Microsoft azure 和 Microsoft 365 或Dynamics 365,DAP 和 GDAP 如何共存?

GDAP 已正式推出,支援所有Microsoft商業雲端服務(Microsoft 365Dynamics 365Microsoft AzureMicrosoft Power Platform 工作負載)。 如需 DAP 和 GDAP 如何共存以及如何優先使用 GDAP 的詳細資訊,請參閱 GDAP 如何優先於 DAP

例如,我有一個大型的客戶群(例如 10,000 個客戶帳戶)。 如何? 從 DAP 轉換到 GDAP?

此動作可由 API 執行。

否。 當您轉換至 GDAP 時,您的 PEC 收益不會受到影響。 轉換對 PAL 沒有任何變更,可確保您繼續賺取 PEC。

拿掉 DAP/GDAP 時,PEC 是否受到影響?
  • 如果合作夥伴的客戶只有 DAP 且 DAP 已移除,則 PEC 不會遺失。
  • 如果合作夥伴的客戶有 DAP,且他們同時移至適用於 Office 和 Azure 的 GDAP,而且會移除 DAP,則不會遺失 PEC。
  • 如果合作夥伴的客戶有 DAP,且他們移至 Office 的 GDAP,但保留 Azure 的身分(他們不會移至 GDAP),而 DAP 會被移除,PEC 將不會遺失,但 Azure 訂用帳戶存取權將會遺失。
  • 如果移除 RBAC 角色,PEC 會遺失,但移除 GDAP 並不會移除 RBAC。
GDAP 許可權在 DAP 和 GDAP 共存時,如何優先於 DAP 許可權?

當使用者同時屬於 GDAP 安全組和 DAP 系統管理員代理程式群組 ,且 客戶同時具有 DAP 和 GDAP 關聯性時,GDAP 存取優先於合作夥伴、客戶和工作負載層級。

例如,如果合作夥伴使用者登入指定的工作負載,且全域管理員角色有 DAP,而全域讀取者角色的 GDAP 則合作夥伴使用者只會取得全域讀取者許可權。

如果只有三個具有 GDAP 角色指派給 GDAP 安全組的客戶(而非系統管理員代理程式):

此圖顯示不同使用者之間的關聯性為 *Admin agent* 和 GDAP 安全組的成員。

客戶 與合作夥伴的關係
客戶 1 DAP (無 GDAP)
客戶 2 DAP + GDAP 兩者
客戶 3 GDAP (沒有 DAP)

下表描述使用者何時登入不同的客戶租使用者。

範例使用者 範例客戶租使用者 行為 註解
使用者 1 客戶 1 磷酸 二 銨 此範例是 DAP 即為。
使用者 1 客戶 2 磷酸 二 銨 系統管理代理程式群組沒有 GDAP 角色指派,這會導致 DAP 行為。
使用者 1 客戶 3 不允許存取 沒有 DAP 關聯性,因此 管理員代理程式 群組無法存取客戶 3。
使用者 2 客戶 1 磷酸 二 銨 此範例是 DAP 即為
使用者 2 客戶 2 GDAP GDAP 優先於 DAP,因為即使使用者是系統管理員代理程式群組的一部分,也會透過 GDAP 安全組將 GDAP 角色指派給使用者 2。
使用者 2 客戶 3 GDAP 此範例是僅限 GDAP 的客戶。
使用者 3 客戶 1 不允許存取 沒有 GDAP 角色指派給客戶 1。
使用者 3 客戶 2 GDAP 使用者 3 不是系統管理員代理程式群組的一部分,這會導致僅限 GDAP 的行為。
使用者 3 客戶 3 GDAP 僅限 GDAP 的行為
停用 DAP 或轉換至 GDAP 會影響我已達到的舊版專長認證權益或解決方案合作夥伴指定嗎?

DAP 和 GDAP 不符合解決方案合作夥伴指定資格的關聯類型,而且無法停用或從 DAP 轉換至 GDAP,不會影響您對解決方案合作夥伴的指定。 您續約舊版專長認證權益或解決方案合作夥伴權益也不會受到影響。

移至 合作夥伴中心解決方案合作夥伴指定 ,以檢視其他合作夥伴關聯類型是否符合解決方案合作夥伴指定資格。

GDAP 如何與 Azure Lighthouse 搭配運作? GDAP 和 Azure Lighthouse 是否彼此影響?

就 Azure Lighthouse 與 DAP/GDAP 之間的關聯性而言,請將它們視為將平行路徑分離至 Azure 資源,因此斷線不應影響另一個資源。

  • 在 Azure Lighthouse 案例中,來自合作夥伴租用戶的用戶永遠不會登入客戶租使用者,而且客戶租用戶中沒有任何Microsoft Entra 許可權。 其 Azure RBAC 角色指派也會保留在合作夥伴租使用者中。

  • 在 GDAP 案例中,來自合作夥伴租用戶的使用者登入客戶租使用者,而將 Azure RBAC 角色指派指派給系統管理員代理程式群組也位於客戶租使用者中。 當 Azure Lighthouse 路徑不受影響時,您可以封鎖 GDAP 路徑(使用者無法再登入)。 相反地,您可以斷斷 Lighthouse 關聯性(投影),而不會影響 GDAP。 如需詳細資訊,請參閱 Azure Lighthouse 檔。

GDAP 如何與 Microsoft 365 Lighthouse 搭配運作?

以間接轉銷商直接計費合作夥伴身分註冊 雲端解決方案提供者 (CSP) 計劃的受控服務提供者(MSP)現在可以使用 Microsoft 365 Lighthouse 為任何客戶租用戶設定 GDAP。 由於合作夥伴已經管理其轉換至 GDAP 的方式很多,此精靈可讓 Lighthouse 合作夥伴採用其商務需求特定的角色建議。 它也允許他們採取安全措施,例如 Just-In-Time (JIT) 存取。 MSP 也可以透過 Lighthouse 建立 GDAP 範本,以輕鬆儲存及重新套用啟用最低許可權客戶存取的設定。 如需詳細資訊,以及檢視示範,請參閱 Lighthouse GDAP 安裝精靈

MSP 可以為 Lighthouse 中的任何客戶租用戶設定 GDAP。 若要在 Lighthouse 中存取客戶的工作負載數據,則需要 GDAP 或 DAP 關聯性。 如果 GDAP 和 DAP 並存於客戶租使用者中,GDAP 許可權優先於已啟用 GDAP 的安全組中的 MSP 技術人員。 如需Microsoft 365 Lighthouse 需求的詳細資訊,請參閱 Microsoft 365 Lighthouse 的需求。

如果我有 Azure 的客戶,可以移至 GDAP 並移除 DAP,而不會失去 Azure 訂用帳戶的存取權的最佳方式為何?

此案例要遵循的正確順序如下:

  1. 為 Microsoft 365 和 Azure 建立 GDAP 關聯性
  2. 將 Microsoft Entra 角色指派給Microsoft 365 和 Azure安全組。
  3. 將 GDAP 設定為優先於 DAP。
  4. 拿掉 DAP。

重要

如果您未遵循這些步驟,管理 Azure 的現有系統管理員代理程式可能會失去客戶對 Azure 訂用帳戶的存取權。

下列順序可能會導致 失去 Azure 訂用帳戶的存取 權:

  1. 拿掉 DAP。

    拿掉 DAP,您不一定會失去 Azure 訂用帳戶的存取權。 但目前您無法瀏覽客戶的目錄以執行任何 Azure RBAC 角色指派(例如將新客戶使用者指派為訂用帳戶 RBAC 參與者)。

  2. 同時為 Microsoft 365 和 Azure 建立 GDAP 關聯性。

    設定 GDAP 之後,您可能會在此步驟中失去 Azure 訂用帳戶的存取權。

  3. 將 Microsoft Entra 角色指派給Microsoft 365 和 Azure 的 安全組

    完成 Azure GDAP 設定之後,您將重新取得 Azure 訂用帳戶的存取權。

我有沒有 DAP 的 Azure 訂用帳戶的客戶。 如果我將他們移至 Microsoft 365 的 GDAP,我是否會失去 Azure 訂用帳戶的存取權?

如果您的 Azure 訂用帳戶 沒有以擁有者身分管理的 DAP ,請將 Microsoft 365 的 GDAP 新增至該客戶,您可能會失去 Azure 訂用帳戶的存取權。 若要避免這種情況,請將客戶移至 Azure GDAP ,同時 將客戶移至 Microsoft 365 GDAP。

重要

如果未遵循這些步驟,管理 Azure 的現有系統管理員代理程式可能會失去客戶對 Azure 訂用帳戶的存取權。

否。 一旦接受關聯性,就無法重複使用。

如果我與沒有 DAP 且沒有 GDAP 關聯性的客戶有轉銷商關係,我可以存取其 Azure 訂用帳戶嗎?

如果您有與客戶的現有轉銷商關係,您仍然需要建立 GDAP 關聯性,才能管理其 Azure 訂用帳戶。

  1. 在 Microsoft Entra 中建立安全組(例如 Azure 管理員)。
  2. 建立與目錄讀取者角色的 GDAP 關聯性。
  3. 將安全組設為系統管理員代理程式群組的成員

完成後,您將能夠透過 AOBO 管理客戶的 Azure 訂用帳戶。 無法透過 CLI/Powershell 管理訂用帳戶。

我可以為沒有 DAP 且沒有 GDAP 關係的客戶建立 Azure 方案嗎?

是,即使沒有具有現有轉銷商關係的 DAP 或 GDAP,您也可以建立 Azure 方案;不過,若要管理該訂用帳戶,您需要 DAP 或 GDAP。

為何在 [客戶] 頁面的 [客戶] 下,[公司詳細數據] 區段不再顯示 DAP 移除時的詳細數據?

當合作夥伴從 DAP 轉換到 GDAP 時,他們必須確保下列專案已就緒,才能查看公司詳細數據:

  • 作用中的 GDAP 關聯性。
  • 下列任一Microsoft Entra 角色都會指派:全域管理員、目錄讀取者、全域讀取者。 請參閱授 與安全組細微的許可權。
為什麼當 GDAP 關聯性存在時,我的用戶名稱會取代為 portal.azure.com 中的 「user_somenumber」?

當 CSP 使用其 CSP 認證登入客戶的 Azure 入口網站 (portal.azure.come),且 GDAP 關聯性存在時,CSP 會注意到其使用者名稱為 「user_」,後面接著一些數位。 它不會在 DAP 中顯示其實際用戶名稱。 這是原廠設定。

顯示取代之用戶名稱的螢幕快照。

停止 DAP 並授與預設 GDAP 建立新客戶的時程表為何?
租用戶類型 可用性日期 合作夥伴中心 API 行為 (POST /v1/customers)
enableGDAPByDefault: true
合作夥伴中心 API 行為 (POST /v1/customers)
enableGDAPByDefault: false
合作夥伴中心 API 行為 (POST /v1/customers)
要求或承載沒有變更
合作夥伴中心UI行為
沙箱 2023 年 9 月 25 日 (僅限 API) DAP = 否。 預設 GDAP = 是 DAP = 否。 預設 GDAP = 否 DAP = 是。 預設 GDAP = 否 預設 GDAP = 是
生產 2023 年 10 月 10 日 (API + UI) DAP = 否。 預設 GDAP = 是 DAP = 否。 預設 GDAP = 否 DAP = 是。 預設 GDAP = 否 選擇加入/退出可用:預設 GDAP
生產 2023 年 11 月 27 日 (GA 推出於 12 月 2 日完成) DAP = 否。 預設 GDAP = 是 DAP = 否。 預設 GDAP = 否 DAP = 否。 預設 GDAP = 是 選擇加入/退出可用:預設 GDAP

合作夥伴必須明確地 將細微許可權授與預設 GDAP 中的安全組
自 2023 年 10 月 10 日起,轉銷商關係已不再提供 DAP。 更新的要求轉銷商關係連結可在合作夥伴中心 UI 中使用,而 API 合約 “/v1/customers/relationship requests” 属性 URL 會傳回要傳送給客戶租使用者的系統管理員的邀請 URL。

合作夥伴是否應該將細微許可權授與預設 GDAP 中的安全組?

是,合作夥伴必須明確地 將細微許可權授與預設 GDAP 中的安全組 來管理客戶。

合作夥伴可採取哪些動作與轉銷商關係,但沒有 DAP,而且合作夥伴中心沒有 GDAP 執行?

只有沒有 DAP 或 GDAP 的經銷商關係合作夥伴才能建立客戶、下單和管理訂單、下載軟體密鑰、管理 Azure RI。 他們無法檢視客戶公司詳細數據、無法檢視使用者或指派授權給使用者、無法代表客戶記錄票證,且無法存取及管理產品特定的系統管理中心(例如 Teams 系統管理中心)。

若要讓合作夥伴或 CPV 存取和管理客戶租使用者,其應用程式的服務主體必須在客戶租使用者中同意。 當 DAP 作用中時,他們必須將應用程式的服務主體新增至合作夥伴租使用者中的管理員代理程式 SG。 透過 GDAP,合作夥伴必須確保其應用程式在客戶租使用者中已同意。 如果應用程式使用委派的許可權(應用程式 + 使用者)且作用中的 GDAP 存在於三個角色中的任何一個(雲端應用程式管理員、應用程式管理員、全域管理員) 同意 API 可以使用。 如果應用程式只使用應用程式許可權,則必須使用 全租用戶系統管理員同意 URL,由合作夥伴或客戶手動同意這三個角色之一(雲端應用程式管理員、應用程式管理員、全域管理員)。

此服務不允許合作夥伴針對 715-123220 錯誤或匿名連線執行哪些動作?

如果您看到下列錯誤:

「目前我們無法驗證您的「建立新的 GDAP 關聯性」要求。 建議此服務不允許匿名連線。 如果您認為您收到錯誤訊息,請再次嘗試您的要求。 按兩下以瞭解您可以採取的動作。 如果問題持續發生,請連絡支持人員及參考訊息碼 715-123220 和交易標識碼:guid。」

變更您連線到 Microsoft 的方式,以允許我們的身分識別驗證服務正常執行,因此我們可以確保您的帳戶未遭到入侵,且符合Microsoft必須遵守的法規。

您可以執行的動作:

  • 清除瀏覽器快取。
  • 關閉瀏覽器上的追蹤預防,或將網站新增至您的例外/安全清單。
  • 關閉您可能使用的任何虛擬私人網路 (VPN) 程式或服務。
  • 直接從本機裝置而不是透過虛擬機器 (VM) 進行連線。

嘗試這些步驟之後,您仍然無法連線,建議您洽詢 IT 技術支援中心來檢查您的設定,以查看它們是否有助於找出造成問題的原因。 有時候問題在於貴公司的網路設定中,在此情況下,IT 系統管理員需要藉由將網站或其他網路設定調整列入安全清單來解決問題。

下架的合作夥伴允許哪些 GDAP 動作(受限、已暫停)和下線?
  • 受限制(直接帳單):無法建立新的 GDAP(管理員關聯性)。 可以更新現有的 GDAP 及其角色指派。
  • 已暫停 (直接帳單/間接提供者/間接轉銷商):無法建立新的 GDAP。 無法更新現有的 GDAP 及其角色指派。
  • 受限制(直接帳單)+ 主動(間接轉銷商):對於受限制的直接帳單:無法建立新的 GDAP (管理員關係) 。 可以更新現有的 GDAP 及其角色指派。 針對作用中間接轉銷商:可以建立新的 GDAP,可以更新現有的 GDAP 及其角色指派。

無法建立離線的新 GDAP 時,無法更新現有的 GDAP 及其角色指派。

供應項目

此 GDAP 版本中是否包含 Azure 訂用帳戶的管理?

是。 目前版本的 GDAP 支援所有產品:Microsoft 365Dynamics 365、Microsoft Power PlatformMicrosoft Azure