Einrichten von GDAP in Microsoft 365 Lighthouse

Differenzierte delegierte Administratorrechte (GDAP) sind eine Voraussetzung für das vollständige Onboarding von Kundenmandanten in Lighthouse. Sie können alle Ihre Kunden mit GDAP über Microsoft 365 Lighthouse einrichten. Indem Sie GDAP für die von Ihnen verwalteten Kundenmandanten einrichten, tragen Sie dazu bei, die Sicherheit Ihrer Kunden zu gewährleisten und gleichzeitig sicherzustellen, dass Benutzer in Ihrem Partner organization über die erforderlichen Berechtigungen verfügen, um ihre Arbeit zu erledigen.

Informationen zum Einrichten von GDAP in Ihrem Partner-organization finden Sie im interaktiven Leitfaden secure Microsoft 365 Lighthouse.

Wenn während der GDAP-Einrichtung Probleme auftreten und Anleitungen erforderlich sind, finden Sie weitere Informationen unter Behandeln von Fehlermeldungen und Problemen in Microsoft 365 Lighthouse: GDAP-Einrichtung und -Verwaltung.

Bevor Sie beginnen

  • Sie müssen bestimmte Rollen in Microsoft Entra ID und/oder Partner Center besitzen, wie in der Tabelle Mit den Rollenanforderungen für delegierten Zugriff beschrieben.

  • Die Kunden, die Sie in Lighthouse verwalten, müssen im Partner Center entweder mit einer Handelspartnerbeziehung oder einer vorhandenen GDAP-Beziehung eingerichtet werden.

Einrichten von GDAP

  1. Wählen Sie im linken Navigationsbereich in Lighthousedie Option Start aus.

  2. Wählen Sie im Karte GDAP einrichten die Option GDAP einrichten aus.

  3. Wählen Sie auf der Seite Delegierter Zugriff die Registerkarte GDAP-Vorlagen und dann Vorlage erstellen aus.

  4. Geben Sie im Bereich Vorlage erstellen einen Namen für die Vorlage und eine optionale Beschreibung ein.

  5. Unter Supportrollen enthält Lighthouse fünf Standardsupportrollen: Konto-Manager, Service Desk-Agent, Spezialist, Eskalationstechniker und Administrator. Gehen Sie für jede Supportrolle, die Sie verwenden möchten, wie folgt vor:

    1. Wählen Sie Bearbeiten aus, um den Bereich Supportrolle bearbeiten zu öffnen.

    2. Aktualisieren Sie den Namen und die Beschreibung der Supportrolle nach Bedarf, um sie an den Supportrollen in Ihrem Partner organization anzupassen.

    3. Wählen Sie unter Entra-Rollen die Microsoft Entra Rollen aus, die die Supportrolle basierend auf der Jobfunktion der Rolle benötigt. Die folgenden Optionen sind verfügbar:

      • Verwenden Sie die von Microsoft empfohlenen Microsoft Entra Rollen.
      • Legen Sie den Filter auf Alle fest, und wählen Sie Ihre bevorzugten Microsoft Entra Rollen aus.

      Weitere Informationen finden Sie unter Microsoft Entra integrierten Rollen.

    4. Klicken Sie auf Speichern.

  6. Wählen Sie für jede Supportrolle, die Sie verwenden möchten, das Symbol Sicherheitsgruppe hinzufügen oder erstellen neben der Supportrolle aus, um den Bereich Sicherheitsgruppe auswählen oder erstellen zu öffnen. Wenn Sie keine bestimmte Supportrolle verwenden möchten, weisen Sie ihr keine Sicherheitsgruppen zu.

    Hinweis

    Jede GDAP-Vorlage erfordert, dass Sie einer Supportrolle mindestens eine Sicherheitsgruppe zuweisen.

  7. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie eine vorhandene Sicherheitsgruppe verwenden möchten, wählen Sie Vorhandene Sicherheitsgruppe verwenden aus, wählen Sie eine oder mehrere Sicherheitsgruppen aus der Liste aus, und wählen Sie dann Speichern aus.

    • Um eine neue Sicherheitsgruppe zu erstellen, wählen Sie Neue Sicherheitsgruppe erstellen aus, und gehen Sie dann wie folgt vor:

      1. Geben Sie einen Namen und eine optionale Beschreibung für die neue Sicherheitsgruppe ein.

      2. Wählen Sie ggf . JiT-Zugriffsrichtlinie für diese Sicherheitsgruppe erstellen aus, und definieren Sie dann den Ablauf der Benutzerberechtigung, die JIT-Zugriffsdauer und die Sicherheitsgruppe der genehmigenden JIT-Person.

        Hinweis

        Um eine JIT-Zugriffsrichtlinie (Just-In-Time) für eine neue Sicherheitsgruppe zu erstellen, benötigen Sie eine Microsoft Entra ID P2-Lizenz. Wenn Sie das Kontrollkästchen zum Erstellen einer JIT-Zugriffsrichtlinie nicht aktivieren können, überprüfen Sie, ob Sie über eine Microsoft Entra ID P2-Lizenz verfügen.

      3. Fügen Sie der Sicherheitsgruppe Benutzer hinzu, und wählen Sie dann Speichern aus.

        Hinweis

        Benutzern, die Teil einer JIT-Agent-Sicherheitsgruppe sind, erhalten nicht automatisch Zugriff auf GDAP-Rollen in Microsoft Entra ID. Diese Benutzer müssen zuerst den Zugriff über das Portal "Mein Zugriff " anfordern, und ein Mitglied der Sicherheitsgruppe jit-genehmigender Personen muss die JIT-Zugriffsanforderung überprüfen.

      4. Wenn Sie eine JIT-Zugriffsrichtlinie für die Sicherheitsgruppe erstellt haben, können Sie die erstellte Richtlinie im identity Governance-Dashboard im Microsoft Entra Admin Center überprüfen.

        Weitere Informationen dazu, wie JIT-Agents Zugriff anfordern können, finden Sie unter Anfordern des Zugriffs auf ein Zugriffspaket in der Berechtigungsverwaltung.

        Weitere Informationen dazu, wie genehmigende Personen Anforderungen genehmigen können, finden Sie unter Genehmigen oder Ablehnen von Anforderungen für Microsoft Entra Rollen in Privileged Identity Management.

  8. Wenn Sie mit dem Definieren der Supportrollen und Sicherheitsgruppen fertig sind, wählen Sie im Bereich Vorlage erstellen die Option Speichern aus, um die GDAP-Vorlage zu speichern.

    Die neue Vorlage wird jetzt in der Liste der Vorlagen auf der Registerkarte GDAP-Vorlagen der Seite Delegierter Zugriff angezeigt.

  9. Führen Sie die Schritte 3 bis 8 aus, um bei Bedarf weitere GDAP-Vorlagen zu erstellen.

  10. Wählen Sie auf der Registerkarte GDAP-Vorlagen der Seite Delegierter Zugriff die drei Punkte (weitere Aktionen) neben einer Vorlage in der Liste aus, und wählen Sie dann Vorlage zuweisen aus.

  11. Wählen Sie im Bereich Diese Vorlage Mandanten zuweisen einen oder mehrere Kundenmandanten aus, dem Sie die Vorlage zuweisen möchten, und wählen Sie dann Weiter aus.

    Hinweis

    Jeder Kundenmandant kann jeweils nur einer GDAP-Vorlage zugeordnet werden. Wenn Sie einem Kunden eine neue Vorlage zuweisen möchten, werden die vorhandenen GDAP-Beziehungen gespeichert, und es werden nur neue Beziehungen erstellt, die auf der neuen Vorlage basieren.

  12. Überprüfen Sie die Zuweisungsdetails, und wählen Sie dann Zuweisen aus.

    Es kann ein oder zwei Minuten dauern, bis die GDAP-Vorlagenzuweisungen angewendet werden. Um die Daten auf der Registerkarte GDAP-Vorlagen zu aktualisieren, wählen Sie Aktualisieren aus.

  13. Führen Sie die Schritte 10 bis 12 aus, um Mandanten bei Bedarf zusätzliche Vorlagen zuzuweisen.

Einholen der Kundengenehmigung für die Verwaltung ihrer Produkte

Im Rahmen des GDAP-Setupprozesses wird für jeden Kunden, der keine GDAP-Beziehungsbeziehung mit Ihrem Partner organization hat, ein Link zur GDAP-Beziehungsanforderung generiert. Bevor Sie Produkte für sie verwalten können, müssen Sie den Link an einen Administrator im Kundenmandanten senden, damit dieser den Link auswählen kann, um die GDAP-Beziehung zu genehmigen.

  1. Wählen Sie auf der Seite Delegierter Zugriff die Registerkarte Beziehungen aus.

  2. Erweitern Sie den Kundenmandanten, dessen Genehmigung Sie benötigen.

  3. Wählen Sie die GDAP-Beziehung aus, die eine ausstehende status anzeigt, um den Bereich mit den Beziehungsdetails zu öffnen.

  4. Wählen Sie entweder In E-Mail öffnen oder E-Mail in Zwischenablage kopieren aus, bearbeiten Sie den Text bei Bedarf (bearbeiten Sie jedoch nicht die Link-URL, die sie auswählen müssen, um Ihnen die Administratorberechtigung zu erteilen), und senden Sie dann die E-Mail für die GDAP-Beziehungsanforderung an einen Administrator im Kundenmandanten.

Sobald der Administrator im Kundenmandanten den Link zum Genehmigen der GDAP-Beziehung auswählt, werden die GDAP-Vorlageneinstellungen angewendet. Es kann bis zu einer Stunde nach der Genehmigung der Beziehung dauern, bis Änderungen in Lighthouse angezeigt werden.

GDAP-Beziehungen sind im Partner Center sichtbar, und die Sicherheitsgruppen sind in Microsoft Entra ID sichtbar.

Bearbeiten von GDAP-Einstellungen

Nachdem Sie das GDAP-Setup abgeschlossen haben, können Sie Rollen, Sicherheitsgruppen oder Vorlagen jederzeit aktualisieren oder ändern.

  1. Wählen Sie im linken Navigationsbereich von LighthouseBerechtigungen>Delegierter Zugriff aus.

  2. Nehmen Sie auf der Registerkarte GDAP-Vorlagen alle erforderlichen Änderungen an den GDAP-Vorlagen oder den zugehörigen Konfigurationen vor, und speichern Sie dann Ihre Änderungen.

  3. Weisen Sie die aktualisierten GDAP-Vorlagen den entsprechenden Kundenmandanten zu, damit diese Mandanten über die aktualisierten Konfigurationen aus den Vorlagen verfügen.

Übersicht über Berechtigungen in Microsoft 365 Lighthouse (Artikel)
Übersicht über die Seite "Delegierter Zugriff" in Microsoft 365 Lighthouse (Artikel)
Behandeln von Fehlermeldungen und Problemen in Microsoft 365 Lighthouse (Artikel)
Konfigurieren der Sicherheit Microsoft 365 Lighthouse Portals (Artikel)
Einführung in granulare delegierte Administratorrechte (GDAP) – Partner Center (Artikel)
Microsoft Entra integrierten Rollen (Artikel)
Informationen zu Gruppen und Zugriffsrechten in Microsoft Entra ID (Artikel)
Was ist Microsoft Entra Berechtigungsverwaltung? (Artikel)