Recommandations de rôle GDAP
Rôles appropriés : Agent d’administration
Cet article fournit des conseils sur les rôles intégrés Microsoft Entra les moins privilégiés qui peuvent être utilisés pour chaque fonctionnalité de privilèges d’administrateur délégué (GDAP) granulaires. Par exemple, pour envoyer des demandes de support pour le compte d’un client, le rôle d’administrateur du support technique du service est le rôle intégré Microsoft Entra le moins privilégié sur le locataire de votre client.
Création de demandes de support
Les revendeurs indirects ne peuvent pas créer de demandes de support pour Azure. Au lieu de cela, ils doivent travailler avec leurs fournisseurs indirects.
| Pour créer une demande de support pour : | Les partenaires de facturation directe et les fournisseurs indirects doivent avoir le rôle le moins privilégié suivant : |
|---|---|
| Microsoft 365 dans le Centre d’administration Microsoft 365 | Attribution de rôle GDAP à un rôle disposant d’autorisations Microsoft.office365.supportTickets/allEntities/allTasks , telles que l’administrateur du support technique du service |
| Dynamics 365 dans le Centre d’administration Power Platform | Attribution de rôle GDAP à un rôle disposant d’autorisations Microsoft.office365.supportTickets/allEntities/allTasks , telles que l’administrateur du support technique du service |
| Ressource d’abonnement Azure dans le Portail Azure | Prérequis : pour créer des demandes pour le compte des clients à l’aide de l’abonnement Azure d’un client, les partenaires doivent avoir une relation de revendeur avec le client, comme expliqué dans l’autorisation régionale CSP. Pour plus d’informations, consultez Étapes de configuration d’Azure GDAP. Toute affectation GDAP à un rôle Microsoft Entra, comme les lecteurs d’annuaire, -ET- Attribution de rôle en fonction du rôle (RBAC) Azure à un rôle avec des autorisations Microsoft.Support/supportTickets/write , telles que contributeur de demande de support |
| Ouvrez Microsoft Entra ID dans le portail Azure | Alternative 1 : Si un client ne dispose pas de Microsoft Entra ID P1 ou P2 Prérequis : pour créer des demandes pour le compte des clients à l’aide de l’abonnement Azure d’un client, les partenaires doivent avoir une relation de revendeur avec le client par autorisation régionale CSP. Pour plus d’informations, consultez Étapes de configuration d’Azure GDAP. Toute affectation GDAP à un rôle Microsoft Entra, comme les lecteurs d’annuaire, -ET- Attribution de rôle RBAC Azure à un rôle avec les autorisations Microsoft.Support/supportTickets/write, telles que le contributeur de demande de support Alternative 2 : Si le client dispose d’une attribution MICROSOFT Entra ID P1 ou P2 Any GDAP à un rôle Microsoft Entra qui a : microsoft.azure.supportTickets/allEntities/allTasks autorisations, telles que l’administrateur du support technique du service |
Rôles GDAP par types de partenaire
Fournisseurs indirects
Les rôles suivants sont recommandés pour les fournisseurs indirects à effectuer des transactions et à les gérer :
- Création d’un locataire de client
- Configuration d’une relation de revendeur
- Purchase
- Gestion des abonnements
- Mises à niveau
- Conversions
- Création d’un utilisateur client et attribution de licence
- Demandes de service client (création de demandes pour le compte du client)
| Rôle | Description |
|---|---|
| Rôles Lecteur : | |
| Lecteurs de répertoire | Peut lire les informations d’annuaire de base. Couramment utilisé pour accorder à l’annuaire l’accès en lecture aux applications et aux invités |
| Peut lire et écrire des informations d’annuaire de base. Pour accorder l’accès aux applications, non destiné aux utilisateurs. | |
| Lecteur global | Peut lire tout ce qu’un administrateur général peut, mais ne peut rien mettre à jour |
| Gestion des utilisateurs et gestion des licences : | |
| Administrateur d’utilisateurs | Peut gérer tous les aspects des utilisateurs et groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités |
| Administrateur de licence | Peut gérer les licences de produit pour les utilisateurs et les groupes |
| Administrateur de support de service | Peut lire les informations d’intégrité du service et gérer les demandes de support |
| Support technique : | |
| Administrateur du support technique | Peut réinitialiser les mots de passe pour les Administrateurs du support technique et les utilisateurs non-administrateurs. |
Partenaires de facturation directe, revendeurs indirects et conseillers
Les rôles suivants sont recommandés pour les revendeurs indirects, les conseillers et les partenaires de facturation directe qui jouent également le rôle des fournisseurs de services de gestion des services web. Ils sont tous classés en tant que fournisseurs de services managés spécialisés qui gèrent complètement l’environnement du client en tant que service informatique externalisé. Cette section est catégorisée des rôles requis par les tâches et les fonctions.
Tâches classiques d’un technicien de niveau 1 dans les services managés
| Rôle | Tâche | Fonction |
|---|---|---|
| Administrateur de support de service | Envoyer des demandes de support pour le compte du client. | Le support technique crée et gère les demandes de support. |
| Lecteur de sécurité | Voir les stratégies de sécurité au sein des services Microsoft 365. | Le support technique collecte la découverte sur le locataire du client pour résoudre les problèmes ou mettre à jour les stratégies du portail de sécurité et conformité, par exemple, les stratégies de protection contre la perte de données. |
| Administrateur Intune | Peut gérer tous les aspects du produit Intune. | Le support technique gère l’inscription des appareils du client et la résolution des problèmes. |
| Administrateur SharePoint | Peut gérer tous les aspects du service SharePoint. | Le support technique gère les autorisations de site SharePoint. |
| Spécialiste du support des communications Teams | Peut gérer le service Microsoft Teams. | Le support technique résout les problèmes de qualité des appels. |
| Administrateur du support technique | Peut réinitialiser les mots de passe pour les non-administrateurs et les administrateurs suivants : lecteur de rapports de l’administrateur du centre d’aide du lecteur du centre de messages du centre d’aide invité lecteur. | Le support technique réinitialise les mots de passe. |
| Administrateur Desktop Analytics | Peut utiliser et gérer des services et outils de gestion de bureau. | Le support technique peut gérer le service Desktop Analytics en consultant l’inventaire des ressources et en lisant les propriétés standard des stratégies d’autorisation. |
| Administrateur d’authentification | Peut voir, définir et réinitialiser les informations de la méthode d’authentification de tous les utilisateurs non-administrateurs. | Le support technique peut voir, définir et réinitialiser les informations de la méthode d’authentification, pour les utilisateurs non-administrateurs (par exemple, MFA et accès conditionnel). |
| Administrateur Exchange | Les utilisateurs disposant de ce rôle disposent d’autorisations globales dans Microsoft Exchange Online lorsque le service est présent. A également la possibilité de créer et de gérer tous les groupes Microsoft 365, de gérer les demandes de support et de surveiller l’intégrité du service ; peut envoyer OBO et gérer des boîtes de réception. | Le support technique gère les boîtes aux lettres partagées, résout les problèmes de quota de boîtes aux lettres, et crée et gère les règles de transport. |
| Administrateur de licence | Peut attribuer, supprimer et mettre à jour des attributions de licence. | Lors de la résolution des problèmes, le support technique évalue et corrige s’il existe un problème de licence avec la demande de support. |
| Administrateur d’utilisateurs | Peut gérer tous les aspects des utilisateurs et des groupes, y compris la réinitialisation des mots de passe pour les administrateurs limités ; peut bloquer la connexion de l’utilisateur. | Le support technique gère tous les aspects des utilisateurs et des groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités et le blocage de l’accès d’un ancien employé client aux services Microsoft 365. |
| Administrateur de groupes | Les membres de ce rôle peuvent créer/gérer des groupes, créer/gérer des paramètres de groupes tels que des stratégies de nommage et d’expiration, ainsi qu’afficher des rapports d’activité et d’audit de groupes. | Le support technique ajoute des propriétaires et des membres à des groupes. |
| Lecteur d’annuaire | Les utilisateurs de ce rôle peuvent lire des informations de base relatives aux répertoires. | Le support technique peut lire les informations d’annuaire de base dans le cadre de la résolution des problèmes. |
| Lecteur du Centre de messages | Peut lire les messages et les mises à jour de son organisation dans le Centre de messages Office 365 uniquement. | Le support technique a un accès en lecture au centre de messages pour résoudre les problèmes de support. |
| Administrateur d’imprimantes | Les utilisateurs ayant ce rôle peuvent inscrire des imprimantes et gérer tous les aspects liés aux configurations d’imprimante dans la solution Impression universelle de Microsoft, notamment les paramètres du connecteur d’impression universelle. Ils peuvent consentir à toutes les demandes d’autorisation d’impression déléguée. Les administrateurs d’imprimantes ont également accès aux rapports d’impression. | Le support technique gère les configurations d’imprimante et résout les problèmes d’imprimante. |
| Inviteur d’invités | Les utilisateurs de ce rôle peuvent gérer les invitations des utilisateurs invités Microsoft Entra B2B. | Le support technique peut inviter des utilisateurs invités indépendamment du paramètre Les membres peuvent inviter des invités. |
Rôles de moindre privilège par tâche
Le tableau suivant affiche les tâches au sein de chaque fonctionnalité GDAP, ainsi que le rôle de moindre privilège requis pour effectuer chaque tâche.
| Fonctionnalité GDAP | Tâche | Rôle de moindre privilège |
|---|---|---|
| Support | Envoyer un ticket de support | Administrateur de support de service |
| Utilisateurs | Ajouter un utilisateur à un rôle d’annuaire | Administrateur de rôle privilégié |
| Ajouter un utilisateur à un groupe | Administrateur d’utilisateurs | |
| Affecter une licence | Administrateur de licence | |
| Créer un utilisateur invité | Inviteur d’invités | |
| Réinitialiser l’invitation d’un utilisateur invité | Administrateur d’utilisateurs | |
| Créer un utilisateur | Administrateur d’utilisateurs | |
| Supprimer un utilisateur | Administrateur d’utilisateurs | |
| Invalider les jetons d’actualisation de l’administrateur limité | Administrateur d’utilisateurs | |
| Invalider les jetons d’actualisation du non-administrateur | Administrateur de mots de passe | |
| Invalider les jetons d’actualisation de l’administrateur privilégié | Administrateur d’authentification privilégié | |
| Lire la configuration de base | Rôle d’utilisateur par défaut | |
| Réinitialiser le mot de passe pour l’administrateur limité | Administrateur d’utilisateurs | |
| Réinitialiser le mot de passe pour le non-administrateur | Administrateur de mots de passe | |
| Réinitialiser le mot de passe pour l’administrateur privilégié | Administrateur d’authentification privilégié | |
| Révoquer une licence | Administrateur de licence | |
| Mettre à jour toutes les propriétés, sauf le nom d’utilisateur principal | Administrateur d’utilisateurs | |
| Mettre à jour le nom d’utilisateur principal pour un administrateur limité | Administrateur d’utilisateurs | |
| Mettre à jour le nom d’utilisateur principal pour un administrateur privilégié | Administrateur global | |
| Mettre à jour les paramètres utilisateur | Administrateur global | |
| Mettre à jour les méthodes d’authentification | Administrateur d’authentification | |
| Groupes | Affecter une licence | Administrateur d’utilisateurs |
| Créer un groupe | Administrateur de groupes | |
| Créer, mettre à jour ou supprimer la révision d’accès d’un groupe ou d’une application | Administrateur d’utilisateurs | |
| Gérer l’expiration des groupes | Administrateur d’utilisateurs | |
| Gérer les paramètres de groupe | Administrateur de groupes | |
| Lire toutes les configurations (à l’exception de l’appartenance masquée) | Lecteurs de répertoire | |
| Lire l’appartenance masquée | Membre de groupe | |
| Lire l’appartenance des groupes avec une appartenance masquée | Administrateur du support technique | |
| Révoquer une licence | Administrateur de licence | |
| Mettre à jour l’appartenance à un groupe | Propriétaire de groupe | |
| Mettre à jour les propriétaires de groupe | Propriétaire de groupe | |
| Mettre à jour les propriétés de groupe | Propriétaire de groupe | |
| Supprimer un groupe | Administrateur de groupes | |
| Licences | Affecter une licence | Administrateur de licence |
| Lire toute la configuration | Lecteurs de répertoire | |
| Révoquer une licence | Administrateur de licence |