Indicazioni sui ruoli GDAP

Ruoli appropriati: agente di amministrazione

Questo articolo fornisce indicazioni su quale ruolo predefinito di Microsoft Entra con privilegi minimi può essere usato per ogni funzionalità granulare di privilegi di amministratore delegato (GDAP). Ad esempio, per inviare richieste di supporto per conto di un cliente è necessario il ruolo di amministratore del supporto del servizio, ovvero il ruolo predefinito Microsoft Entra con privilegi minimi nel tenant del cliente.

Creazione di richieste di supporto

I rivenditori indiretti non possono creare richieste di supporto per Azure. Devono invece collaborare con i provider indiretti.

Per creare una richiesta di supporto per: I partner con fatturazione diretta e i provider indiretti devono avere il ruolo con privilegi minimi seguenti:
Microsoft 365 nella interfaccia di amministrazione di Microsoft 365 Assegnazione di ruolo GDAP a un ruolo con autorizzazioni Microsoft.office365.supportTickets/allEntities/allTasks , ad esempio amministratore del supporto del servizio
Dynamics 365 nell'interfaccia di amministrazione di Power Platform Assegnazione di ruolo GDAP a un ruolo con autorizzazioni Microsoft.office365.supportTickets/allEntities/allTasks , ad esempio amministratore del supporto del servizio
Risorsa di sottoscrizione di Azure nel portale di Azure Prerequisito: per creare richieste per conto dei clienti che usano la sottoscrizione di Azure di un cliente, i partner devono avere una relazione di rivenditore con il cliente, come illustrato in Autorizzazione a livello di area CSP. Per altre informazioni, vedere Passaggi per configurare Il GDAP di Azure.

Qualsiasi assegnazione GDAP a un ruolo di Microsoft Entra, ad esempio lettori di directory,

-E-

Assegnazione di ruolo del controllo degli accessi in base al ruolo di Azure a un ruolo con autorizzazioni Microsoft.Support/supportTickets/write , ad esempio Collaboratore alla richiesta di supporto
ID Microsoft Entra nel portale di Azure Alternativa 1: se un cliente non dispone di Microsoft Entra ID P1 o P2

Prerequisito: per creare richieste per conto dei clienti che usano la sottoscrizione di Azure di un cliente, i partner devono avere una relazione di rivenditore con il cliente per ogni autorizzazione a livello di area CSP. Per altre informazioni, vedere Passaggi per configurare Il GDAP di Azure.

Qualsiasi assegnazione GDAP a un ruolo di Microsoft Entra, ad esempio lettori di directory,

-E-

Assegnazione di ruolo controllo degli accessi in base al ruolo di Azure a un ruolo con autorizzazioni Microsoft.Support/supportTickets/write, ad esempio l'alternativa della richiesta

di supporto 2: se il cliente ha un'assegnazione P1 o P2
Qualsiasi assegnazione GDAP a un ruolo Microsoft Entra con autorizzazioni microsoft.azure.supportTickets/allEntities/allTasks, ad esempio l'amministratore del supporto del servizio

Ruoli GDAP per tipi di partner

Provider indiretti

I ruoli seguenti sono consigliati per i provider indiretti per eseguire transazioni e gestire:

  • Creazione di un nuovo tenant del cliente
  • Configurazione delle relazioni tra rivenditori
  • Acquisto
  • Gestione della sottoscrizione
  • Aggiornamenti
  • Conversioni
  • Creazione e assegnazione di licenze utente del cliente
  • Richieste di assistenza clienti (richieste di creazione per conto del cliente)
Ruolo Descrizione
Ruoli lettore:
Lettori di directory Può leggere le informazioni base della directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest
Writer di directory Può leggere e scrivere informazioni di base sulla directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti.
Lettore globale Può leggere tutto ciò che un amministratore globale può, ma non può aggiornare nulla
Gestione degli utenti e gestione delle licenze:
Amministratore utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati
Amministratore licenze Può gestire le licenze di prodotto per utenti e gruppi
Amministratore del supporto del servizio Può leggere le informazioni sull'integrità dei servizi e gestire le richieste di supporto
Help Desk:
Amministratore help desk Può reimpostare le password per amministratori non amministratori e amministratori help desk

Partner con fatturazione diretta, rivenditori indiretti e consulenti

I ruoli seguenti sono consigliati per rivenditori indiretti, consulenti e partner con fatturazione diretta che svolgono anche il ruolo dei provider di servizi microsoft. Sono tutti classificati come provider di servizi gestiti specializzati (MSP) che gestiscono completamente l'ambiente del cliente come reparto IT esternalizzato. Questa sezione è suddivisa in categorie di ruoli richiesti dalle attività e dalle funzioni.

Attività tipiche di un tecnico di livello 1 nei servizi gestiti

Ruolo Attività Funzione
Amministratore del supporto per il servizio Inviare richieste di supporto per conto del cliente. Help Desk crea e gestisce le richieste di supporto.
Ruolo con autorizzazioni di lettura per la sicurezza Visualizzare i criteri correlati alla sicurezza nei servizi di Microsoft 365. Help Desk raccoglie l'individuazione nel tenant del cliente per risolvere i problemi o aggiornare i criteri del portale di sicurezza e conformità, ad esempio i criteri di prevenzione della perdita dei dati.
Amministratore di Intune Può gestire tutti gli aspetti del prodotto Intune. Help Desk gestisce la registrazione e la risoluzione dei problemi dei dispositivi dei clienti.
Amministratore di SharePoint Può gestire tutti gli aspetti del servizio SharePoint. Help Desk gestisce le autorizzazioni del sito di SharePoint.
Specialista del supporto delle comunicazioni di Teams Può gestire il servizio Microsoft Teams. L'help desk risolve i problemi di qualità delle chiamate.
Amministratore help desk Può reimpostare le password per gli amministratori non amministratori e gli amministratori seguenti: Lettore di report dell'amministratore dell'help desk dell'help desk dell'help desk dell'amministratore del Centro messaggi Con autorizzazioni di lettura password. Help Desk reimposta le password.
Amministratore di Desktop Analytics Può accedere e gestire strumenti e servizi di gestione desktop. L'help desk può gestire il servizio Desktop Analytics visualizzando l'inventario degli asset e leggendo le proprietà standard dei criteri di autorizzazione.
Amministratore dell'autenticazione Può accedere per visualizzare, configurare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore. Help Desk può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente non amministratore, ad esempio MFA e accesso condizionale.
Amministratore di Exchange Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft Exchange Online quando il servizio è presente. Ha anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire le richieste di supporto e monitorare l'integrità dei servizi; può inviare OBO e gestire le caselle di posta in arrivo. Help Desk gestisce le cassette postali condivise, consente di risolvere i problemi di quota delle cassette postali e di creare e gestire le regole di trasporto.
Amministratore delle licenze Può assegnare, rimuovere e aggiornare le assegnazioni di licenze. Durante la risoluzione dei problemi, l'help desk valuta e corregge se si verifica un problema di licenza con la richiesta di supporto.
Amministratore utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati; può bloccare l'accesso dell'utente. Help Desk gestisce tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati e il blocco dell'accesso di un ex dipendente del cliente ai servizi di Microsoft 365.
Amministratore gruppi I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi. Help Desk aggiunge proprietari ai gruppi e aggiunge membri ai gruppi.
Ruolo con autorizzazioni di lettura nella directory Gli utenti con questo ruolo possono leggere le informazioni di base della directory. Help Desk può leggere le informazioni di base sulla directory come parte della risoluzione dei problemi.
Amministratore che legge il Centro messaggi Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365. Help Desk legge il Centro messaggi per risolvere i problemi di supporto.
Amministrazione stampante Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni di Universal Print Connector. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori della stampante hanno anche accesso ai report di stampa. Help Desk gestisce le configurazioni della stampante e risolve i problemi relativi alla stampante.
Mittente dell'invito guest Gli utenti in questo ruolo possono gestire gli inviti degli utenti guest di Microsoft Entra B2B. Help Desk può invitare utenti guest indipendenti dall'impostazione Membri può invitare utenti guest .

Ruolo con privilegi minimi per attività

Nella tabella seguente vengono visualizzate le attività all'interno di ogni funzionalità GDAP, insieme al ruolo con privilegi minimi necessari per eseguire ogni attività.

Funzionalità GDAP Attività Ruolo con privilegi minimi
Supporto Inviare un ticket di supporto Amministratore del supporto del servizio
Utenti Aggiungere utenti al ruolo della directory Amministratore ruolo con privilegi
Aggiungere utenti al gruppo Amministratore utenti
Assegnare una licenza Amministratore licenze
Creare utente guest Mittente dell'invito guest
Reimpostare l'invito dell'utente guest Amministratore utenti
Creare un utente Amministratore utenti
Eliminare un utente Amministratore utenti
Invalidare i token di aggiornamento dell'amministratore limitato Amministratore utenti
Invalidare i token di aggiornamento di nonadmin Amministratore password
Invalidare i token di aggiornamento dell'amministratore con privilegi Amministratore dell'autenticazione con privilegi
Leggere configurazione di base Ruolo utente predefinito
Reimpostare la password per un amministratore limitato Amministratore utenti
Reimpostare la password per nonadmin Amministratore password
Reimpostare la password per l'amministratore con privilegi Amministratore dell'autenticazione con privilegi
Revocare la licenza Amministratore licenze
Aggiornare tutte le proprietà ad eccezione del nome dell'entità utente Amministratore utenti
Aggiornare il nome dell'entità utente per un amministratore limitato Amministratore utenti
Aggiornare il nome dell'entità utente per l'amministratore con privilegi Amministratore globale
Aggiornare le impostazioni dell'utente Amministratore globale
Aggiornare i metodi di autenticazione Amministratore dell'autenticazione
Gruppi Assegnare una licenza Amministratore utenti
Crea gruppo Amministratore dei gruppi
Creare, aggiornare o eliminare la verifica di accesso di un gruppo o di un'app Amministratore utenti
Gestire la scadenza dei gruppi Amministratore utenti
Gestire le impostazioni dei gruppi Amministratore dei gruppi
Leggere tutta la configurazione (eccetto l'appartenenza nascosta) Lettori di directory
Leggere le appartenenze nascoste Membro di un gruppo
Leggere l'appartenenza dei gruppi con appartenenza nascosta Amministratore help desk
Revocare la licenza Amministratore licenze
Aggiornare l'appartenenza al gruppo Proprietario del gruppo
Aggiornare i proprietari dei gruppi Proprietario del gruppo
Aggiornare proprietà del gruppo Proprietario del gruppo
Eliminare un gruppo Amministratore dei gruppi
Licenze Assegnare una licenza Amministratore licenze
Leggere tutta la configurazione Lettori di directory
Revocare la licenza Amministratore licenze

Ruoli per complessità

Ruolo Semplice Medio Complex
Amministratore dell'applicazione x
Sviluppatore di applicazioni x
Autore del payload di attacco x
Amministratore simulazione attacchi x
Amministratore dell'autenticazione x
Amministratore locale del dispositivo Aggiunto a Microsoft Entra x
Amministratore di Azure DevOps x
Amministratore di Azure Information Protection x
Amministratore fatturazione x
Amministratore di applicazioni cloud x x
Amministratore di dispositivi cloud x
Amministratore della conformità x
Amministratore dell'accesso condizionale x
Amministratore di Desktop Analytics x
Lettori di directory x x x
Account di sincronizzazione della directory x
Amministratore dei nomi di dominio x
Amministratore di Dynamics 365 x x
Amministratore di Exchange x x
Amministratore destinatario di Exchange x
Amministratore del provider di identità esterno x
Lettore globale x x x
Amministratore dei gruppi x
Mittente dell'invito guest x
Amministratore del supporto tecnico x x x
Amministratore di identificazione ibrida x
Amministratore di Insights x
Amministratore di Intune x x
Amministratore licenze x x x
Lettore privacy centro messaggi x
Lettore centro messaggi x
Amministratore di rete x
amministratore di app Office s x
Amministratore password x
Amministratore di Power BI x x
Amministratore di Power Platform x x
Amministratore stampante x
Tecnico della stampante x
Amministratore dell'autenticazione con privilegi x
Amministratore ruolo con privilegi x
Lettore di report x x
Amministratore della ricerca x
Editor di ricerca x
Amministratore della sicurezza x x
Lettore di sicurezza x x
Amministratore del supporto del servizio x x x
Amministratore di SharePoint x x
Amministratore di Skype for Business x
Amministratore di Teams x x
Amministratore delle comunicazioni di Teams x
Tecnico del supporto per le comunicazioni di Teams x
Specialista del supporto delle comunicazioni di Teams x
Amministratore dei dispositivi di Teams x
Amministratore utenti x x x
Amministratore di Windows 365 x x