Konfigurera GDAP i Microsoft 365 Lighthouse
Detaljerade delegerade administrativa privilegier (GDAP) är en förutsättning för att kundklientorganisationer ska kunna registreras helt i Lighthouse. Du kan konfigurera alla dina kunder med GDAP via Microsoft 365 Lighthouse. Genom att konfigurera GDAP för de kundklientorganisationer som du hanterar hjälper du till att skydda dina kunder samtidigt som du ser till att användare i din partnerorganisation har de behörigheter som krävs för att utföra sitt arbete.
Om du vill gå igenom hur du konfigurerar GDAP i din partnerorganisation kan du slutföra den interaktiva guiden Skydda Microsoft 365 Lighthouse.
Om du stöter på problem under GDAP-konfigurationen och behöver hjälp kan du läsa Felsöka felmeddelanden och problem i Microsoft 365 Lighthouse: GDAP-konfiguration och hantering.
Innan du börjar
Du måste ha specifika roller i Microsoft Entra ID och/eller Partnercenter, enligt beskrivningen i tabellen Krav för delegerad åtkomstroll.
De kunder som du hanterar i Lighthouse måste konfigureras i Partnercenter med antingen en återförsäljarrelation eller en befintlig GDAP-relation.
Konfigurera GDAP
I det vänstra navigeringsfönstret i Lighthouse väljer du Start.
På kortet Konfigurera GDAP väljer du Konfigurera GDAP.
På sidan Delegerad åtkomst väljer du fliken GDAP-mallar och sedan Skapa en mall.
I fönstret Skapa en mall anger du ett namn för mallen och en valfri beskrivning.
Under Supportroller innehåller Lighthouse fem standardsupportroller: Kontoansvarig, Service Desk Agent, Specialist, Eskaleringstekniker och Administratör. Gör följande för varje supportroll som du vill använda:
Välj Redigera för att öppna fönstret Redigera supportroll .
Uppdatera supportrollens namn och beskrivning efter behov så att de överensstämmer med supportrollerna i din partnerorganisation.
Under Entra-roller väljer du de Microsoft Entra roller som supportrollen kräver baserat på rollens jobbfunktion. Följande alternativ är tillgängliga:
- Använd de Microsoft Entra roller som Microsoft rekommenderar.
- Ange filtret till Alla och välj önskade Microsoft Entra roller.
Mer information finns i Microsoft Entra inbyggda roller.
Välj Spara.
För varje supportroll som du vill använda väljer du ikonen Lägg till eller skapa en säkerhetsgrupp bredvid supportrollen för att öppna fönstret Välj eller skapa en säkerhetsgrupp . Om du inte vill använda en viss supportroll ska du inte tilldela några säkerhetsgrupper till den.
Obs!
Varje GDAP-mall kräver att du tilldelar minst en säkerhetsgrupp till en supportroll.
Gör något av följande:
Om du vill använda en befintlig säkerhetsgrupp väljer du Använd en befintlig säkerhetsgrupp, väljer en eller flera säkerhetsgrupper i listan och väljer sedan Spara.
Om du vill skapa en ny säkerhetsgrupp väljer du Skapa en ny säkerhetsgrupp och gör sedan följande:
Ange ett namn och en valfri beskrivning för den nya säkerhetsgruppen.
Om det är tillämpligt väljer du Skapa en JIT-åtkomstprincip (just-in-time) för den här säkerhetsgruppen och definierar sedan förfallodatum för användarbehörighet, JIT-åtkomstvaraktighet och SÄKERHETSgrupp för JIT-godkännare.
Obs!
Om du vill skapa en jit-åtkomstprincip (just-in-time) för en ny säkerhetsgrupp måste du ha en Microsoft Entra ID P2-licens. Om du inte kan markera kryssrutan för att skapa en JIT-åtkomstprincip kontrollerar du att du har en Microsoft Entra ID P2-licens.
Lägg till användare i säkerhetsgruppen och välj sedan Spara.
Obs!
Användare som ingår i en JIT-agentsäkerhetsgrupp får inte automatiskt åtkomst till GDAP-roller i Microsoft Entra ID. Dessa användare måste först begära åtkomst från My Access-portalen och en medlem i säkerhetsgruppen för JIT-godkännaren måste granska JIT-åtkomstbegäran.
Om du har skapat en JIT-åtkomstprincip för säkerhetsgruppen kan du granska den skapade principen på instrumentpanelen för identitetsstyrning i Microsoft Entra administrationscenter.
Mer information om hur JIT-agenter kan begära åtkomst finns i Begära åtkomst till ett åtkomstpaket i berättigandehantering.
Mer information om hur godkännare kan godkänna begäranden finns i Godkänna eller neka begäranden för Microsoft Entra roller i Privileged Identity Management.
När du är klar med att definiera supportroller och säkerhetsgrupper väljer du Spara i fönstret Skapa en mall för att spara GDAP-mallen.
Den nya mallen visas nu i listan över mallar på fliken GDAP-mallar på sidan Delegerad åtkomst .
Följ steg 3 till och med 8 för att skapa fler GDAP-mallar efter behov.
På fliken GDAP-mallar på sidan Delegerad åtkomst väljer du de tre punkterna (fler åtgärder) bredvid en mall i listan och väljer sedan Tilldela mall.
I fönstret Tilldela den här mallen till klientorganisationer väljer du en eller flera kundklientorganisationer som du vill tilldela mallen till och väljer sedan Nästa.
Obs!
Varje kundklientorganisation kan bara associeras med en GDAP-mall i taget. Om du vill tilldela en ny mall till en kund sparas de befintliga GDAP-relationerna och endast nya relationer som baseras på den nya mallen skapas.
Granska tilldelningsinformationen och välj sedan Tilldela.
Det kan ta en minut eller två för GDAP-malltilldelningarna att tillämpas. Om du vill uppdatera data på fliken GDAP-mallar väljer du Uppdatera.
Följ steg 10 till och med 12 för att tilldela ytterligare mallar till klienter efter behov.
Få kundens godkännande för att administrera sina produkter
Som en del av GDAP-konfigurationsprocessen genereras en länk för GDAP-relationsbegäran för varje kund som inte har en befintlig GDAP-relation med din partnerorganisation. Innan du kan administrera produkter för dem måste du skicka länken till en administratör i kundklientorganisationen så att de kan välja länken för att godkänna GDAP-relationen.
På sidan Delegerad åtkomst väljer du fliken Relationer .
Expandera den kundklientorganisation vars godkännande du behöver.
Välj den GDAP-relation som visar statusen Väntar för att öppna fönstret med relationsinformation.
Välj antingen Öppna i e-post eller Kopiera e-post till Urklipp, redigera texten om det behövs (men redigera inte den länk-URL som de behöver välja för att ge dig administratörsbehörighet) och skicka sedan gdap-relationsbegäran till en administratör i kundens klientorganisation.
När administratören i kundklientorganisationen väljer länken för att godkänna GDAP-relationen tillämpas GDAP-mallinställningarna. Det kan ta upp till en timme efter att relationen har godkänts för att ändringarna ska visas i Lighthouse.
GDAP-relationer visas i Partnercenter och säkerhetsgrupperna visas i Microsoft Entra ID.
Redigera GDAP-inställningar
När du har slutfört GDAP-installationen kan du uppdatera eller ändra roller, säkerhetsgrupper eller mallar när som helst.
I det vänstra navigeringsfönstret i Lighthouse väljer du Behörigheter>Delegerad åtkomst.
På fliken GDAP-mallar gör du nödvändiga ändringar i GDAP-mallarna eller deras associerade konfigurationer och sparar sedan ändringarna.
Tilldela de uppdaterade GDAP-mallarna till lämpliga kundklientorganisationer så att dessa klienter har uppdaterade konfigurationer från mallarna.
Relaterat innehåll
Översikt över behörigheter i Microsoft 365 Lighthouse (artikel)
Översikt över sidan Delegerad åtkomst i Microsoft 365 Lighthouse (artikel)
Felsöka felmeddelanden och problem i Microsoft 365 Lighthouse (artikel)
Konfigurera Microsoft 365 Lighthouse portalsäkerhet (artikel)
Introduktion till detaljerade delegerade administratörsprivilegier (GDAP) – Partnercenter (artikel)
Microsoft Entra inbyggda roller (artikel)
Läs mer om grupper och åtkomsträttigheter i Microsoft Entra ID (artikel)
Vad är Microsoft Entra berättigandehantering? (artikel)