共用方式為

在 Microsoft 365 Lighthouse 中設定 GDAP

  • 發行項

GDAP) (細微委派的系統管理許可權是客戶租使用者完全上線到 Lighthouse 的必要條件。 您可以透過 Microsoft 365 Lighthouse 使用 GDAP 來設定所有客戶。 藉由為您管理的客戶租使用者設定 GDAP,您可以協助保護客戶的安全,同時確保合作夥伴組織中的使用者具有執行其工作所需的許可權。

若要逐步解說如何在合作夥伴組織中設定 GDAP,請完成安全 Microsoft 365 Lighthouse 互動式指南

如果您在 GDAP 安裝期間遇到任何問題,而且需要指引,請參閱針對 Microsoft 365 Lighthouse 中的錯誤訊息和問題進行疑難解答:GDAP 設定和管理

開始之前

  • 您必須在 Microsoft Entra ID 和/或合作夥伴中心保留特定角色,如委派存取角色需求數據表中所述。

  • 您在 Lighthouse 中管理的客戶必須在合作夥伴中心設定轉銷商關係或現有的 GDAP 關係。

設定 GDAP

  1. Lighthouse 的左側瀏覽窗格中,選取 [ 首頁]

  2. 在 [ 設定 GDAP ] 卡片上,選取 [設定 GDAP]

  3. 在 [ 委派的存取權 ] 頁面上,選取 [GDAP 範本] 索引 卷標,然後選取 [ 建立範本]

  4. 在 [ 建立範本] 窗 格中,輸入範本的名稱和選擇性描述。

  5. [支援角色] 底下,Lighthouse 包含五個默認支援角色:帳戶管理員、服務台代理程序、專家、呈報工程師和系統管理員。 針對您想要使用的每個支援角色,執行下列動作:

    1. 取 [編輯 ] 以開啟 [ 編輯支援角色] 窗格。

    2. 視需要更新支援角色名稱和描述,以符合合作夥伴組織中的支援角色。

    3. [Entra 角色] 底下,根據角色的作業功能,選取支援角色所需的 Microsoft Entra 角色。 下列為可用的選項:

      • 使用Microsoft建議的 Microsoft Entra 角色。
      • 將篩選設定為 [全部],然後選取您慣用的 Microsoft Entra 角色。

      若要深入瞭解,請參閱 Microsoft Entra 內建角色

    4. 選取 [儲存]

  6. 針對您想要使用的每個支援角色,選取支援角色旁邊的 [新增或建立安全組 ] 圖示,以開啟 [ 選取或建立安全組 ] 窗格。 如果您不想要使用特定的支援角色,請勿將任何安全組指派給該角色。

    注意事項

    每個 GDAP 範本都需要您將至少一個安全組指派給支援角色。

  7. 執行下列其中一項:

    • 若要使用現有的安全組,請選取 [ 使用現有的安全組],從清單中選擇一或多個安全組,然後選取 [ 儲存]

    • 若要建立新的安全組,請選取 [ 建立新的安全組],然後執行下列動作:

      1. 輸入新安全組的名稱和選擇性描述。

      2. 如果適用,請選取 [ 建立 Just-In-Time (JIT) 此安全組的存取原則],然後定義用戶資格到期、JIT 存取持續時間和 JIT 核准者安全組。

        注意事項

        若要為新的安全組建立 Just-In-Time (JIT) 存取原則,您必須擁有 Microsoft Entra ID P2 授權。 如果您無法選取複選框來建立 JIT 存取原則,請確認您有 Microsoft Entra ID P2 授權。

      3. 將使用者新增至安全組,然後選取 [ 儲存]

        注意事項

        屬於 JIT 代理程式安全組的使用者不會在 Microsoft Entra ID 中自動獲得 GDAP 角色的存取權。 這些用戶必須先從 「我的存取權」入口網站 要求存取權,而 JIT 核准者安全組的成員必須檢閱 JIT 存取要求。

      4. 如果您已建立安全組的 JIT 存取原則,您可以在 Microsoft Entra 系統管理中心 的 [身分識別控管] 儀錶板上檢閱已建立的原則。

        如需 JIT 代理程式如何要求存取權的詳細資訊,請 參閱在權利管理中要求存取套件

        如需核准者如何核准要求的詳細資訊,請參閱在 Privileged Identity Management 中核准或拒絕 Microsoft Entra 角色的要求

  8. 當您完成定義支援角色和安全組時,請在 [建立範本] 窗格中選取 [儲存] 以儲存 GDAP 範本。

    新的範本現在會出現在 [委派存] 頁面之 [GDAP 範本] 索引卷標上的範本清單中。

  9. 請遵循步驟 3 到 8,視需要建立更多 GDAP 範本。

  10. 在 [委派的存取權] 頁面的 [GDAP 範本] 索引標籤上,選取三個點 (清單中範本旁邊) 更多動作,然後選取 [指派範本]

  11. 在 [ 將此範本指派給租使用者 ] 窗格中,選擇您要指派範本的一或多個客戶租用戶,然後選取 [ 下一步]

    注意事項

    每個客戶租使用者一次只能與一個 GDAP 範本相關聯。 如果您想要將新的範本指派給客戶,則會儲存現有的 GDAP 關聯性,而且只會建立以新範本為基礎的新關聯性。

  12. 檢閱指派詳細數據,然後選取 [ 指派]

    GDAP 範本指派可能需要一兩分鐘的時間才能套用。 若要重新整理 [GDAP 範本] 索引 標籤上的資料,請選取 [ 重新整理]

  13. 請遵循步驟 10 到 12,視需要將其他範本指派給租使用者。

取得客戶核准以管理其產品

在 GDAP 安裝程式中,會為每個沒有現有 GDAP 與合作夥伴組織關係的客戶產生 GDAP 關聯性要求連結。 您必須先將連結傳送給客戶租使用者中的系統管理員,以便他們選取連結來核准 GDAP 關聯性,才能為其管理產品。

  1. 在 [ 委派的存取權] 頁面上,選取 [ 關聯性] 索引標籤

  2. 展開您需要核准的客戶租使用者。

  3. 選取顯示 [擱置 中] 狀態的 GDAP 關聯性,以開啟 [關聯性詳細數據] 窗格。

  4. 選取 [ 在電子郵件中開 啟] 或 [ 將電子郵件複製到剪貼簿],視需要編輯文字 (但不要編輯所需的連結 URL,以授與您系統管理許可權) ,然後將 GDAP 關聯性要求電子郵件傳送給客戶租使用者中的系統管理員。

一旦客戶租使用者中的系統管理員選取連結來核准 GDAP 關聯性,就會套用 GDAP 範本設定。 在關聯性核准之後,可能需要一小時的時間,變更才會出現在 Lighthouse 中。

GDAP 關聯性會顯示在合作夥伴中心,而安全組會顯示在 Microsoft Entra ID 中。

編輯 GDAP 設定

完成 GDAP 設定之後,您可以隨時更新或變更角色、安全組或範本。

  1. Lighthouse 的左側瀏覽窗格中,選取 [權 >委派的存取權]

  2. [GDAP 範本] 索引 標籤上,對 GDAP 範本或其相關聯的設定進行任何必要的變更,然後儲存您的變更。

  3. 將更新的 GDAP 範本指派給適當的客戶租使用者,讓這些租用戶擁有來自範本的更新組態。

相關內容

Microsoft 365 Lighthouse (文章中的許可權概觀)
Microsoft 365 Lighthouse (文章中的委派存取頁面概觀)
針對 Microsoft 365 Lighthouse (文章中的錯誤訊息和問題進行疑難解答)
設定 Microsoft 365 Lighthouse 入口網站安全性 (文章)
GDAP) - 合作夥伴中心 (文章 (更細微 委派的系統管理員許可權簡介)
Microsoft Entra 文章 (內建角色)
瞭解 Microsoft Entra ID (文章中的群組和訪問權限)
什麼是 Microsoft Entra 權利管理? (文章)