Руководство по роли GDAP

Соответствующие роли: агент по администрированию

В этой статье приводятся рекомендации по использованию встроенной роли Microsoft Entra для каждой детализированной делегированной прав администратора (GDAP). Например, для отправки запросов на поддержку от имени клиента требуется роль администратора службы поддержки, которая является встроенной ролью Microsoft Entra в клиенте клиента с минимальными привилегиями.

Создание запросов на поддержку

Непрямые торговые посредники не могут создавать запросы на поддержку для Azure. Вместо этого они должны работать с их косвенными поставщиками.

Чтобы создать запрос на поддержку для: Партнеры с прямым выставлением счетов и косвенные поставщики должны иметь следующую роль с минимальными привилегиями:
Microsoft 365 в Центр администрирования Microsoft 365 Назначение роли GDAP роли с разрешениями Microsoft.Office365.supportTickets/allEntities/allTasks , например администратором службы поддержки
Dynamics 365 в Центре администрирования Power Platform Назначение роли GDAP роли с разрешениями Microsoft.Office365.supportTickets/allEntities/allTasks , например администратором службы поддержки
Ресурс подписки Azure в портал Azure Необходимые условия. Чтобы создавать запросы от имени клиентов, использующих подписку Azure клиента, партнеры должны иметь отношения торгового посредника с клиентом, как описано в региональной авторизации CSP. Дополнительные сведения см. в разделе "Действия по настройке Azure GDAP".

Любое назначение GDAP роли Microsoft Entra, например средства чтения каталогов,

-И-

Назначение роли на основе ролей Azure (RBAC) для роли с разрешениями Microsoft.Support/supportTickets/write , например участник запроса на поддержку
Идентификатор Microsoft Entra в портал Azure Альтернатива 1. Если у клиента нет необходимых компонентов Microsoft Entra ID P1 или P2

: чтобы создавать запросы от имени клиентов, использующих подписку Azure клиента, партнеры должны иметь отношения торгового посредника с клиентом на региональную авторизацию CSP.
Дополнительные сведения см. в разделе "Действия по настройке Azure GDAP".

Любое назначение GDAP роли Microsoft Entra, например средства чтения каталогов,

-И-

Назначение роли Azure RBAC для роли с разрешениями Microsoft.Support/supportTickets/write, например участник запроса

на поддержку 2: если у клиента есть идентификатор Microsoft Entra ID P1 или P2 Any GDAP для роли Microsoft Entra, которая имеет: microsoft.azure.supportTickets/allEntities/allTasks разрешения, например
администратор службы поддержки

Роли GDAP по типам партнеров

непрямые поставщики;

Для непрямых поставщиков рекомендуется выполнять транзакции и управлять ими:

  • Создание нового клиента
  • Настройка отношений торгового посредника
  • Покупка
  • Управление подпиской
  • Обновления
  • Преобразования
  • Создание и назначение лицензий пользователей клиента
  • Запросы на обслуживание клиентов (запросы от имени клиента)
Роль Description
Роли читателя:
Читатели каталогов Может считывать сведения базового каталога. Часто используется для предоставления доступа к доступу на чтение каталога приложениям и гостям
Записи каталогов Может считывать и записывать базовые сведения о каталоге. Предназначено для предоставления доступа приложениям, а не пользователям.
Глобальный читатель Может прочитать все, что может глобальный администратор, но не может обновить ничего
Управление пользователями и управление лицензиями:
Администратор пользователей Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов
Администратор лицензий Может управлять лицензиями на продукты для пользователей и групп
Администратор службы поддержки Может считывать сведения о работоспособности службы и управлять запросами на поддержку
Служба технической поддержки:
Администратор службы технической поддержки Может сбрасывать пароли для неадминистраторов и администраторов службы технической поддержки

Партнеры с прямым выставлением счетов, косвенные торговые посредники и консультанты

Для непрямых торговых посредников, консультантов и партнеров с прямым выставлением счетов рекомендуется использовать следующие роли, которые также играют роль MSPs. Все они классифицируются как специализированные управляемые поставщики услуг (MSPs), которые полностью управляют средой клиента как аутсорсинг ИТ-отдела. Этот раздел классифицируется по категориям ролей, необходимых задачам и функциям.

Типичные задачи технического специалиста уровня 1 в управляемых службах

Роль Задача Function
администратор службы поддержки; Отправьте запросы на поддержку от имени клиента. Служба технической поддержки создает запросы на поддержку и управляет ими.
Читатель сведений о безопасности Просмотр политик, связанных с безопасностью, в службах Microsoft 365. Служба технической поддержки собирает обнаружение в клиенте клиента для устранения неполадок или обновления политик портала безопасности и соответствия требованиям, таких как политики защиты от потери данных.
Администратор Intune Может контролировать все аспекты продукта Intune. Служба технической поддержки обрабатывает регистрацию и устранение неполадок с клиентскими устройствами.
Администратор SharePoint Может контролировать все аспекты службы SharePoint. Служба технической поддержки управляет разрешениями сайта SharePoint.
Специалист по поддержке коммуникаций Teams Может управлять службой Microsoft Teams. Служба технической поддержки устраняет проблемы с качеством звонков.
Администратор службы технической поддержки Может сбрасывать пароли для неадминистраторов и этих администраторов: читатели службы технической поддержки гостевых читателей службы уведомлений центра сообщений для чтения паролей. Служба технической поддержки сбрасывает пароли.
Администратор аналитики компьютеров Может получить доступ к средствам и службам управления настольными компьютерами и управлять ими. Служба технической поддержки может управлять службой аналитики компьютеров, просматривая инвентаризацию активов и считывая стандартные свойства политик авторизации.
Администратор проверки подлинности Может просматривать, задавать и сбрасывать способ проверки подлинности для любого пользователя, не являющегося администратором. Служба технической поддержки может получить доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя, не администрирования (например, MFA и условного доступа).
Администратор Exchange Пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online при наличии службы. Также имеет возможность создавать и управлять всеми группами Microsoft 365, управлять запросами на поддержку и отслеживать работоспособность служб; может отправлять OBO и управлять почтовыми ящиками. Служба технической поддержки управляет общими почтовыми ящиками, помогает решить проблемы с квотой почтовых ящиков и создает правила транспорта и управляет ими.
Администратор лицензий Может назначать, удалять и обновлять назначения лицензий. Во время устранения неполадок служба технической поддержки оценивает и исправляет проблему лицензирования с запросом на поддержку.
Администратор пользователей Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов; может заблокировать вход пользователя. Служба технической поддержки управляет всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов и блокировку доступа бывшего сотрудника клиента к службам Microsoft 365.
Администратор групп Члены этой роли могут создавать группы и управлять ими, создавать и администрировать параметры групп, например политики именования и истечения срока действия, а также просматривать действия групп и отчеты об аудите. Служба технической поддержки добавляет владельцев в группы и добавляет участников в группы.
Читатель каталога Пользователи с этой ролью могут считывать основные сведения о каталогах. Служба технической поддержки может читать основные сведения о каталоге в рамках устранения неполадок.
Читатель Центра сообщений Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365. Служба технической поддержки считывает Центр сообщений для устранения неполадок в поддержке.
Администрирование принтера Пользователи с этой ролью могут зарегистрировать принтеры и управлять всеми аспектами всех конфигураций принтера в решении Универсальной печати Майкрософт, включая параметры универсального соединителя печати. Они могут предоставлять согласие на все запросы делегирования разрешений на печать. Администраторы принтеров также имеют доступ к отчетам о печати. Служба технической поддержки будет управлять конфигурациями принтера и устранять проблемы с принтером.
Приглашающий гостей Пользователи этой роли могут управлять приглашениями гостевых пользователей Microsoft Entra B2B. Служба технической поддержки может приглашать гостевых пользователей независимо от участников, которые могут приглашать гостей .

Наименее привилегированная роль по задачам

В следующей таблице отображаются задачи в каждой возможности GDAP, а также наименее привилегированная роль, необходимая для выполнения каждой задачи.

Возможность GDAP Задача Роль с наименьшими привилегиями
Поддержка Отправка запроса в службу поддержки Администратор службы поддержки
Пользователи Добавление пользователя в роль каталога Администратор привилегированных ролей
Добавление пользователя в группу Администратор пользователей
Назначение лицензии Администратор лицензий
Создание гостевого пользователя Приглашенный гость
Сброс приглашения гостевого пользователя Администратор пользователей
Создать пользователя Администратор пользователей
Удаление пользователя Администратор пользователей
Недопустимые маркеры обновления ограниченного администратора Администратор пользователей
Недопустимое обновление маркеров nonadmin Администратор паролей
Недопустимые маркеры обновления привилегированного администратора Администратор привилегированной проверки подлинности
Чтение базовой конфигурации Роль пользователя по умолчанию
Сброс пароля для ограниченного администратора Администратор пользователей
Сброс пароля для nonadmin Администратор паролей
Сброс пароля для привилегированного администратора Администратор привилегированной проверки подлинности
Отмена лицензии Администратор лицензий
Обновление всех свойств, кроме имени участника-пользователя Администратор пользователей
Обновление имени субъекта-пользователя для ограниченного администратора Администратор пользователей
Обновление имени субъекта-пользователя для привилегированного администратора Глобальный администратор
Обновление параметров пользователя Глобальный администратор
Обновление методов проверки подлинности Администратор проверки подлинности
Группы Назначение лицензии Администратор пользователей
Создать группу Администратор групп
Создание, обновление или удаление проверки доступа группы или приложения Администратор пользователей
Управление сроком действия группы Администратор пользователей
Управление параметрами группы Администратор групп
Чтение всех конфигураций (за исключением скрытых членств) Читатели каталогов
Чтение скрытых членств Член группы
Чтение данных о членстве в группах со скрытым членством Администратор службы технической поддержки
Отмена лицензии Администратор лицензий
Обновление членства в группе Владелец группы
Обновление владельцев группы Владелец группы
Обновление свойств группы Владелец группы
Удалить группу Администратор групп
Лицензии Назначение лицензии Администратор лицензий
Чтение всех конфигураций Читатели каталогов
Отмена лицензии Администратор лицензий

Роли по сложности

Роль Простая Средняя Complex
администратор приложения; x
Разработчик приложения x
Автор полезных данных атаки x
Администратор имитации атак x
Администратор проверки подлинности x
Локальный администратор устройства, присоединенный к Microsoft Entra x
Администратор Azure DevOps x
Администратор Защиты информации Azure x
Администратор выставления счетов x
Администратор облачных приложений x x
Администратор облачных устройств x
Администратор соответствия x
Администратор условного доступа x
Администратор аналитики компьютеров x
Читатели каталогов x x x
Учетные записи синхронизации каталогов x
Администратор доменных имен x
Администратор Dynamics 365 x x
Администратор Exchange x x
Администратор получателя Exchange x
Администратор внешнего поставщика удостоверений x
Глобальный читатель x x x
Администратор групп x
Приглашенный гость x
Администратор службы технической поддержки x x x
Администратор гибридной идентификации x
Администратор аналитики x
Администратор Intune x x
Администратор лицензий x x x
Читатель конфиденциальности Центра сообщений x
Читатель Центра сообщений x
Администратор сети x
Администратор Приложение Office x
Администратор паролей x
Администратор Power BI x x
Администратор Power Platform x x
Администратор принтера x
Технический специалист по принтерам x
Администратор привилегированной проверки подлинности x
Администратор привилегированных ролей x
Средство чтения отчетов x x
Администратор поиска x
Редактор поиска x
Администратор безопасности x x
Средство чтения безопасности x x
Администратор службы поддержки x x x
Администратор SharePoint x x
администратор Skype для бизнеса x
Администратор Teams x x
Администратор коммуникаций Teams x
Инженер службы поддержки коммуникаций Teams x
Специалист по поддержке коммуникаций Teams x
Администратор устройств Teams x
Администратор пользователей x x x
Администратор Windows 365 x x