Orientação da função GDAP
Funções apropriadas: Agente de administração
Este artigo fornece orientação sobre qual função interna do Microsoft Entra com privilégios mínimos pode ser usada para cada recurso granular de privilégios de administrador delegado (GDAP). Por exemplo, enviar solicitações de suporte em nome de um cliente requer a função de administrador de suporte de serviço, que é a função interna menos privilegiada do Microsoft Entra no locatário do cliente.
Criação de pedidos de suporte
Os revendedores indiretos não podem criar solicitações de suporte para o Azure. Em vez disso, devem trabalhar com os seus fornecedores indiretos.
| Para criar uma solicitação de suporte para: | Os parceiros de faturação direta e os fornecedores indiretos devem ter o seguinte papel menos privilegiado: |
|---|---|
| Microsoft 365 no centro de administração do Microsoft 365 | Atribuição de função GDAP a uma função que tenha permissões Microsoft.office365.supportTickets/allEntities/allTasks , como Administrador de suporte de serviço |
| Dynamics 365 no Centro de Administração da Power Platform | Atribuição de função GDAP a uma função que tenha permissões Microsoft.office365.supportTickets/allEntities/allTasks , como Administrador de suporte de serviço |
| Recurso de assinatura do Azure no portal do Azure | Pré-requisito: para criar solicitações em nome de clientes usando a assinatura do Azure de um cliente, os parceiros devem ter um relacionamento de revendedor com o cliente, conforme explicado na autorização regional do CSP. Para obter mais informações, consulte Etapas para configurar o Azure GDAP. Qualquer atribuição GDAP a uma função do Microsoft Entra, como leitores de diretório, - E - Atribuição de função RBAC (controle de acesso baseado em função) do Azure a uma função com permissões Microsoft.Support/supportTickets/write , como Colaborador de solicitação de suporte |
| ID do Microsoft Entra no portal do Azure | Alternativa 1: Se um cliente não tiver o Microsoft Entra ID P1 ou P2 Pré-requisito: Para criar solicitações em nome de clientes usando a assinatura do Azure de um cliente, os parceiros devem ter um relacionamento de revendedor com o cliente por autorização regional CSP. Para obter mais informações, consulte Etapas para configurar o Azure GDAP. Qualquer atribuição GDAP a uma função do Microsoft Entra, como leitores de diretório, - E - Atribuição de função RBAC do Azure a uma função com permissões Microsoft.Support/supportTickets/write, como Contribuidor de solicitação de suporte Alternativa 2: Se o cliente tiver o ID P1 ou P2 do Microsoft Entra Qualquer atribuição GDAP a uma função Microsoft Entra que tenha: permissões microsoft.azure.supportTickets/allEntities/allTasks, como Administrador de suporte de serviço |
Funções GDAP por tipos de parceiros
Fornecedores indiretos
As seguintes funções são recomendadas para provedores indiretos transacionarem e gerenciarem:
- Criação de novos locatários de clientes
- Configuração do relacionamento com o revendedor
- Comprar o
- Gestão de subscrições
- Atualizações
- Conversões
- Criação de usuário do cliente e atribuição de licença
- Solicitações de atendimento ao cliente (criação de solicitações em nome do cliente)
| Função | Descrição |
|---|---|
| Funções do leitor: | |
| Leitores de diretórios | É capaz de ler informações básicas do diretório. Comumente usado para conceder acesso de leitura de diretório a aplicativos e convidados |
| Escritores de diretórios | É capaz de ler e escrever informações básicas de diretório. Para conceder acesso a aplicações, não se destina a utilizadores. |
| Leitor global | Pode ler tudo o que um administrador global pode, mas não pode atualizar nada |
| Gestão de utilizadores e gestão de licenças: | |
| Administrador de usuários | Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados |
| Administrador de licenças | Pode gerenciar licenças de produtos em usuários e grupos |
| Administrador de suporte de serviço | Pode ler informações de integridade do serviço e gerenciar solicitações de suporte |
| Balcão de Ajuda: | |
| Administrador de Help Desk | Pode redefinir senhas para não-administradores e administradores de Help Desk |
Parceiros de faturação direta, revendedores indiretos e consultores
As funções a seguir são recomendadas para revendedores indiretos, consultores e parceiros de faturamento direto que também desempenham o papel de MSPs. Todos eles são categorizados como provedores de serviços gerenciados especializados (MSPs) que gerenciam completamente o ambiente do cliente como departamento de TI terceirizado. Esta seção é categorizada funções exigidas por tarefas e funções.
Tarefas típicas de um técnico de nível 1 em serviços gerenciados
| Função | Tarefa | Função |
|---|---|---|
| Administrador de suporte de serviço | Enviar solicitações de suporte em nome do cliente. | O Help Desk cria e gerencia solicitações de suporte. |
| Leitor de segurança | Veja as políticas relacionadas à segurança nos serviços do Microsoft 365. | O Help Desk coleta a descoberta no locatário do cliente para solucionar problemas ou atualizar políticas de portal de segurança e conformidade, como políticas de prevenção de perda de dados. |
| Administrador do Intune | Pode gerir todos os aspetos do produto Intune. | O Help Desk lida com o registro de dispositivos do cliente e a solução de problemas. |
| Administrador do SharePoint | Pode gerenciar todos os aspetos do serviço do SharePoint. | O Help Desk gerencia as permissões do site do SharePoint. |
| Especialista em suporte de comunicação de equipas | Pode gerenciar o serviço Microsoft Teams. | O Help Desk soluciona problemas de qualidade de chamadas. |
| Administrador de Help Desk | Pode redefinir senhas para não-administradores e estes administradores: Leitores de diretório Convidado Inviter Administrador do Help Desk Leitor do Centro de Mensagens Leitor de senha Leitor de relatórios do administrador de senhas. | O Help Desk redefine senhas. |
| Administrador de análise de desktop | Pode acessar e gerenciar ferramentas e serviços de gerenciamento de desktop. | O Help Desk pode gerenciar o serviço de análise de área de trabalho exibindo o inventário de ativos e lendo as propriedades padrão das políticas de autorização. |
| Administrador de autenticação | Tem acesso para visualizar, definir e redefinir informações de método de autenticação para qualquer usuário não administrador. | O Help Desk pode acessar para exibir, definir e redefinir informações de método de autenticação para qualquer usuário não administrador (por exemplo, MFA e acesso condicional). |
| Administrador do Exchange | Os usuários com essa função têm permissões globais no Microsoft Exchange Online quando o serviço está presente. Também tem a capacidade de criar e gerenciar todos os grupos do Microsoft 365, gerenciar solicitações de suporte e monitorar a integridade do serviço; pode enviar OBO e gerenciar caixas de entrada. | O Help Desk gerencia caixas de correio compartilhadas, ajuda a resolver problemas de cota de caixa de correio e cria e gerencia regras de transporte. |
| Administrador de licenças | Pode atribuir, remover e atualizar atribuições de licença. | Durante a solução de problemas, o Help Desk avalia e corrige se houver um problema de licenciamento com a solicitação de suporte. |
| Administrador de usuários | Pode gerenciar todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados; pode bloquear o início de sessão do utilizador. | O Help Desk gerencia todos os aspetos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados e o bloqueio do acesso de um ex-funcionário do cliente aos serviços do Microsoft 365. |
| Administrador de grupos | Os membros dessa função podem criar/gerenciar grupos, criar/gerenciar configurações de grupos, como políticas de nomenclatura e expiração, e exibir relatórios de atividade e auditoria de grupos. | O Help Desk adiciona proprietários a grupos e adiciona membros a grupos. |
| Leitor de diretórios | Os usuários nessa função podem ler informações básicas de diretório. | O Help Desk pode ler informações básicas de diretório como parte da solução de problemas. |
| Leitor do centro de mensagens | Pode ler mensagens e atualizações para a sua organização apenas no Centro de Mensagens do Office 365. | O Help Desk lê o Centro de Mensagens para solucionar problemas de suporte. |
| Administração da impressora | Os usuários com essa função podem registrar impressoras e gerenciar todos os aspetos de todas as configurações de impressora na solução Microsoft Universal Print, incluindo as configurações do Universal Print Connector. Eles podem consentir com todas as solicitações de permissão de impressão delegadas. Os administradores de impressoras também têm acesso a relatórios de impressão. | O Help Desk gerenciaria as configurações da impressora e solucionaria problemas da impressora. |
| Autor de convites | Os usuários nessa função podem gerenciar convites de usuários convidados do Microsoft Entra B2B. | O Help Desk pode convidar usuários convidados independentemente da configuração Membros podem convidar convidados . |
Função menos privilegiada por tarefa
A tabela a seguir exibe tarefas dentro de cada recurso GDAP, juntamente com a função menos privilegiada necessária para executar cada tarefa.
| Capacidade GDAP | Task | Papel menos privilegiado |
|---|---|---|
| Suporte | Enviar ticket de suporte | Administrador de suporte de serviço |
| Utilizadores | Adicionar usuário à função de diretório | Administrador de função privilegiada |
| Adicionar usuário ao grupo | Administrador de usuários | |
| Atribuir licença | Administrador de licenças | |
| Criar usuário convidado | Convidado convidado | |
| Redefinir convite de usuário convidado | Administrador de usuários | |
| Criar utilizador | Administrador de usuários | |
| Eliminar utilizador | Administrador de usuários | |
| Invalidar tokens de atualização de administrador limitado | Administrador de usuários | |
| Invalidar tokens de atualização de não administradores | Administrador de senha | |
| Invalidar tokens de atualização de administrador privilegiado | Administrador de autenticação privilegiada | |
| Ler configuração básica | Função de usuário padrão | |
| Redefinir senha para administrador limitado | Administrador de usuários | |
| Redefinir senha para não administrador | Administrador de senha | |
| Redefinir senha para administrador privilegiado | Administrador de autenticação privilegiada | |
| Revogar licença | Administrador de licenças | |
| Atualizar todas as propriedades, exceto o nome principal do usuário | Administrador de usuários | |
| Atualizar nome principal do usuário para administrador limitado | Administrador de usuários | |
| Atualizar nome principal do usuário para administrador privilegiado | Administrador global | |
| Atualizar configurações do usuário | Administrador global | |
| Atualizar métodos de autenticação | Administrador de autenticação | |
| Grupos | Atribuir licença | Administrador de usuários |
| Criar grupo | Administrador de grupos | |
| Criar, atualizar ou excluir revisão de acesso de um grupo ou aplicativo | Administrador de usuários | |
| Gerenciar a expiração do grupo | Administrador de usuários | |
| Gerir definições do grupo | Administrador de grupos | |
| Ler todas as configurações (exceto associação oculta) | Leitores de diretórios | |
| Ler associação oculta | Membro do grupo | |
| Ler a associação de grupos com associação oculta | Administrador de Help Desk | |
| Revogar licença | Administrador de licenças | |
| Atualizar a associação ao grupo | Proprietário do grupo | |
| Atualizar proprietários de grupos | Proprietário do grupo | |
| Atualizar propriedades do grupo | Proprietário do grupo | |
| Eliminar grupo | Administrador de grupos | |
| Licenças | Atribuir licença | Administrador de licenças |
| Ler todas as configurações | Leitores de diretórios | |
| Revogar licença | Administrador de licenças |