GDAP 角色指引
適當的角色:系統管理代理程式
本文提供哪些最低許可權Microsoft Entra 內建角色可用於每個細微委派系統管理員許可權 (GDAP) 功能的指引。 例如,若要代表客戶提交支援要求,需要 服務支持系統管理員 角色,這是客戶租使用者上最低許可權Microsoft Entra 內建角色。
建立支援要求
間接轉銷商無法建立 Azure 的支援要求。 相反地,他們必須與間接提供者合作。
| 若要建立下列項目的支援要求: | 直接計費合作夥伴和間接提供者必須具有下列最低許可權角色: |
|---|---|
| Microsoft 365 在 Microsoft 365 系統管理中心 | GDAP 角色指派給具有 Microsoft.office365.supportTickets/allEntities/allTasks 許可權的角色,例如 服務支持系統管理員 |
| Power Platform 系統管理中心的 Dynamics 365 | GDAP 角色指派給具有 Microsoft.office365.supportTickets/allEntities/allTasks 許可權的角色,例如 服務支持系統管理員 |
| Azure 入口網站 中的 Azure 訂用帳戶資源 | 必要條件:若要代表客戶使用客戶的 Azure 訂用帳戶建立要求,合作夥伴必須與客戶建立經銷商關係,如 CSP 區域授權中所述。 如需詳細資訊,請參閱 設定 Azure GDAP 的步驟。 Microsoft Entra 角色的任何 GDAP 指派,例如目錄讀取器 -和- Azure 角色型訪問控制 (RBAC) 角色指派給具有 Microsoft.Support/supportTickets/write 許可權的角色,例如 支援要求參與者 |
| Azure 入口網站 中的 Microsoft Entra 識別符 | 替代 1:如果客戶沒有Microsoft Entra ID P1 或 P2 必要條件:若要代表客戶使用客戶的 Azure 訂用帳戶建立要求,合作夥伴必須具有與每位 CSP 區域授權客戶的轉銷商關係。 如需詳細資訊,請參閱 設定 Azure GDAP 的步驟。 Microsoft Entra 角色的任何 GDAP 指派,例如目錄讀取器 -和- Azure RBAC 角色指派給具有 Microsoft.Support/supportTickets/write 許可權的角色,例如支援要求參與者 替代 2:如果客戶Microsoft Entra ID P1 或 P2 任何 GDAP 指派給具有:microsoft.azure.supportTickets/allEntities/allTasks 許可權的 Microsoft Entra 角色指派,例如服務支援管理員 |
依合作夥伴類型排序的 GDAP 角色
間接服務提供者
建議使用下列角色,讓間接提供者進行交易和管理:
- 建立新的客戶租使用者
- 轉銷商關聯性設定
- 購買
- 訂用帳戶管理
- 升級
- 轉換
- 客戶使用者建立和授權指派
- 客戶服務要求(代表客戶建立要求)
| Role | 說明 |
|---|---|
| 讀取者角色: | |
| 目錄讀取器 | 可讀取基本目錄資訊。 通常用來將目錄讀取許可權授與應用程式和來賓 |
| 目錄寫入器 | 可讀取和寫入基本目錄資訊。 用來授與應用程式的存取權,不適用於使用者。 |
| 全域讀取器 | 可以讀取全域管理員可以讀取但無法更新任何專案 |
| 使用者管理和授權管理: | |
| 使用者管理員 | 可以管理使用者和群組的所有層面,包括重設有限系統管理員的密碼 |
| 授權管理員 | 可以管理使用者和群組的產品授權 |
| 服務支援系統管理員 | 可讀取服務健康情況資訊及管理支援要求 |
| 技術支援中心: | |
| 技術支援中心管理員 | 可以重設非系統管理員和技術支援中心系統管理員的密碼 |
直接計費合作夥伴、間接轉銷商和顧問
對於同時扮演 MSP 角色的間接轉銷商、顧問和直接計費合作夥伴,建議使用下列角色。 它們全都分類為專門的受控服務提供者(MSP),他們完全將客戶的環境管理為外包 IT 部門。 本節是工作和函式所需的角色分類。
受控服務中第 1 層技術人員的典型工作
| Role | Task | Function |
|---|---|---|
| 服務支援系統管理員 | 代表客戶提交支援要求。 | 技術支援中心會建立及管理支援要求。 |
| 安全性讀取者 | 檢視跨 Microsoft 365 服務的安全性相關原則。 | 技術支援中心會收集客戶租使用者的探索,以針對安全性與合規性入口網站原則進行疑難解答或更新,例如數據外泄防護原則。 |
| Intune 系統管理員 | 能夠管理 Intune 產品的所有層面。 | 技術支援中心會處理客戶裝置註冊和疑難解答。 |
| SharePoint 系統管理員 | 可管理 SharePoint 服務的所有層面。 | 技術支援中心會管理 SharePoint 網站許可權。 |
| Teams 通訊支持專家 | 能夠管理 Microsoft Teams 服務。 | 技術支援中心會針對通話質量問題進行疑難解答。 |
| 技術支援中心管理員 | 可以重設非系統管理員和這些系統管理員的密碼:目錄讀者來賓邀請者技術支援中心管理員訊息中心讀者密碼管理員報告讀者。 | 技術支援中心會重設密碼。 |
| 計算機分析系統管理員 | 可以存取和管理桌面管理工具和服務。 | 技術支持人員可以檢視資產清查和讀取授權原則的標準屬性,來管理桌面分析服務。 |
| 驗證管理員 | 可存取任何非系統管理員使用者的檢視、設定及重設驗證方法資訊。 | 技術支援中心可以存取任何非系統管理員使用者的檢視、設定及重設驗證方法資訊(例如 MFA 和條件式存取)。 |
| Exchange 系統管理員 | 當服務存在時,具有此角色的使用者在 Exchange Online Microsoft具有全域許可權。 也能夠建立和管理所有Microsoft 365 個群組、管理支援要求,以及監視服務健康情況:可以傳送 OBO 並管理收件匣。 | 技術支援中心會管理共用信箱、協助解決信箱配額問題,以及建立和管理傳輸規則。 |
| 授權系統管理員 | 可以指派、移除和更新授權指派。 | 在疑難解答期間,技術支援中心會評估並補救支援要求是否有授權問題。 |
| 使用者管理員 | 可以管理使用者和群組的所有層面,包括重設有限系統管理員的密碼;可以封鎖使用者登入。 | 技術支援中心會管理使用者和群組的所有層面,包括重設有限系統管理員的密碼,以及封鎖前客戶員工存取Microsoft 365 服務。 |
| 群組系統管理員 | 此角色的成員可以建立/管理群組、建立/管理群組設定,例如命名和到期原則,以及查看群組活動和審核報表。 | 技術支援中心會將擁有者新增至群組,並將成員新增至群組。 |
| 目錄讀取者 | 具備此角色的使用者可讀取基本目錄資訊。 | 技術支援中心可以在疑難解答時讀取基本目錄資訊。 |
| 訊息中心讀取者 | 只可在 Office 365 訊息中心讀取及更新其組織的訊息。 | 技術支援中心會讀取訊息中心,以針對支持問題進行疑難解答。 |
| 印表機管理 | 具有此角色的用戶可以在 Microsoft通用列印解決方案中註冊印表機及管理所有印表機設定的所有層面,包括通用列印連接器設定。 他們可以同意所有委派的列印權限要求。 印表機系統管理員也可以存取印報表。 | 技術支援中心會管理印表機設定,並針對印表機問題進行疑難解答。 |
| 來賓邀請者 | 此角色中的使用者可以管理Microsoft Entra B2B 來賓用戶邀請。 | 技術支援中心可以邀請獨立於成員可以邀請來賓設定的 來賓 使用者。 |
依工作指派最低許可權的角色
下表顯示每個 GDAP 功能內的工作,以及執行每個工作所需的最低許可權角色。
| GDAP 功能 | Task | 最低許可權角色 |
|---|---|---|
| 支援 | 提交支援票證 | 服務支援系統管理員 |
| 使用者 | 將使用者新增至目錄角色 | 特殊許可權角色管理員 |
| 將使用者新增至群組 | 使用者管理員 | |
| 指派授權 | 授權管理員 | |
| 建立來賓使用者 | 來賓邀請者 | |
| 重設來賓用戶邀請 | 使用者管理員 | |
| 建立使用者 | 使用者管理員 | |
| 刪除使用者 | 使用者管理員 | |
| 使有限系統管理員的重新整理令牌失效 | 使用者管理員 | |
| 使 nonadmin 的重新整理令牌失效 | 密碼管理員 | |
| 使特殊許可權系統管理員的重新整理令牌失效 | 特殊許可權驗證系統管理員 | |
| 讀取基本設定 | 預設使用者角色 | |
| 重設有限系統管理員的密碼 | 使用者管理員 | |
| 為 nonadmin 重設密碼 | 密碼管理員 | |
| 重設特殊許可權系統管理員的密碼 | 特殊許可權驗證系統管理員 | |
| 撤銷授權 | 授權管理員 | |
| 更新用戶主體名稱以外的所有屬性 | 使用者管理員 | |
| 更新有限系統管理員的用戶主體名稱 | 使用者管理員 | |
| 更新特殊許可權系統管理員的用戶主體名稱 | 全域管理員 | |
| 更新用戶設定 | 全域管理員 | |
| 更新驗證方法 | 驗證管理員 | |
| 群組 | 指派授權 | 使用者管理員 |
| 建立群組 | 群組管理員 | |
| 建立、更新或刪除群組或應用程式的存取權檢閱 | 使用者管理員 | |
| 管理群組到期日 | 使用者管理員 | |
| 管理群組設定 | 群組管理員 | |
| 讀取所有設定 (隱藏的成員資格除外) | 目錄讀取器 | |
| 讀取隱藏的成員資格 | 群組成員 | |
| 讀取具有隱藏成員資格之群組的成員資格 | 技術支援中心管理員 | |
| 撤銷授權 | 授權管理員 | |
| 更新群組成員資格 | 群組擁有者 | |
| 更新群組擁有者 | 群組擁有者 | |
| 更新群組屬性 | 群組擁有者 | |
| 刪除群組 | 群組管理員 | |
| 許可證 | 指派授權 | 授權管理員 |
| 讀取所有設定 | 目錄讀取器 | |
| 撤銷授權 | 授權管理員 |
依複雜度的角色
| 角色 | 簡單 | 中 | Complex |
|---|---|---|---|
| 應用程式系統管理員 | x | ||
| 應用程式開發人員 | x | ||
| 攻擊承載作者 | x | ||
| 攻擊模擬系統管理員 | x | ||
| 驗證管理員 | x | ||
| Microsoft已加入 Entra 的裝置本機系統管理員 | x | ||
| Azure DevOps 系統管理員 | x | ||
| Azure 資訊保護系統管理員 | x | ||
| 計費管理員 | x | ||
| 雲端應用程式管理員 | x | x | |
| 雲端裝置系統管理員 | x | ||
| 合規性系統管理員 | x | ||
| 條件式存取管理員 | x | ||
| 計算機分析系統管理員 | x | ||
| 目錄讀取器 | x | x | x |
| 目錄同步處理帳戶 | x | ||
| 功能變數名稱管理員 | x | ||
| Dynamics 365 管理員 | x | x | |
| Exchange 系統管理員 | x | x | |
| Exchange 收件者系統管理員 | x | ||
| 外部身分識別提供者管理員 | x | ||
| 全域讀取器 | x | x | x |
| 群組管理員 | x | ||
| 來賓邀請者 | x | ||
| 技術服務人員系統管理員 | x | x | x |
| 混合式識別系統管理員 | x | ||
| 深入解析系統管理員 | x | ||
| Intune 系統管理員 | x | x | |
| 授權管理員 | x | x | x |
| 訊息中心隱私權讀取者 | x | ||
| 訊息中心讀取者 | x | ||
| 網路管理員 | x | ||
| Office 應用程式 系統管理員 | x | ||
| 密碼管理員 | x | ||
| Power BI 系統管理員 | x | x | |
| Power Platform 管理員 | x | x | |
| 印表機管理員 | x | ||
| 印表機技術人員 | x | ||
| 特殊許可權驗證系統管理員 | x | ||
| 特殊許可權角色管理員 | x | ||
| 報表讀取者 | x | x | |
| 搜尋管理員 | x | ||
| 搜尋編輯器 | x | ||
| 安全性系統管理員 | x | x | |
| 安全性讀取器 | x | x | |
| 服務支援系統管理員 | x | x | x |
| SharePoint 系統管理員 | x | x | |
| 商務用 Skype 系統管理員 | x | ||
| Teams 系統管理員 | x | x | |
| Teams 通訊管理員 | x | ||
| Teams 通訊支持工程師 | x | ||
| Teams 通訊支持專家 | x | ||
| Teams 裝置系統管理員 | x | ||
| 使用者管理員 | x | x | x |
| Windows 365 系統管理員 | x | x |