在 Microsoft 365 Lighthouse 中设置 GDAP

  • 项目

(GDAP) 细化委派管理员权限是客户租户完全加入 Lighthouse 的先决条件。 可以通过Microsoft 365 Lighthouse为 GDAP 设置所有客户。 通过为你管理的客户租户设置 GDAP,有助于确保客户安全,同时确保合作伙伴组织中的用户具有完成其工作所需的权限。

若要逐步了解如何在合作伙伴组织中设置 GDAP,请完成安全Microsoft 365 Lighthouse交互式指南

如果在 GDAP 设置过程中遇到任何问题并需要指导,请参阅排查Microsoft 365 Lighthouse中的错误消息和问题:GDAP 设置和管理

开始之前

  • 必须在Microsoft Entra ID和/或合作伙伴中心拥有特定角色,如委派的访问角色要求表中所述。

  • 在 Lighthouse 中管理的客户需要在合作伙伴中心设置经销商关系或现有 GDAP 关系。

设置 GDAP

  1. Lighthouse 的左侧导航窗格中,选择“ 主页”。

  2. “设置 GDAP 卡,选择”设置 GDAP”。

  3. 在“ 委派访问 ”页上,选择“ GDAP 模板 ”选项卡,然后选择“ 创建模板”。

  4. “创建模板 ”窗格中,输入模板的名称和可选说明。

  5. “支持角色”下,Lighthouse 包括五个默认支持角色:客户经理、服务台代理、专家、升级工程师和管理员。 对于要使用的每个支持角色,请执行以下操作:

    1. 选择 “编辑” 以打开 “编辑支持角色 ”窗格。

    2. 根据需要更新支持角色名称和说明,以便与合作伙伴组织中的支持角色保持一致。

    3. 在“条目角色”下,根据角色的作业职能选择支持角色所需的Microsoft Entra角色。 可以选择以下选项:

      • 使用Microsoft建议的Microsoft Entra角色。
      • 将筛选器设置为“全部”,然后选择首选Microsoft Entra角色。

      若要了解详细信息,请参阅Microsoft Entra内置角色

    4. 选择“保存”

  6. 对于要使用的每个支持角色,请选择支持角色旁边的 “添加或创建安全组 ”图标,打开 “选择或创建安全组 ”窗格。 如果不想使用特定的支持角色,请不要为其分配任何安全组。

    注意

    每个 GDAP 模板要求向支持角色分配至少一个安全组。

  7. 执行下列操作之一:

    • 若要使用现有安全组,请选择“ 使用现有安全组”,从列表中选择一个或多个安全组,然后选择“ 保存”。

    • 若要创建新的安全组,请选择“ 创建新安全组”,然后执行以下操作:

      1. 输入新安全组的名称和可选说明。

      2. 如果适用,请选择 “为此安全组创建实时 (JIT) 访问策略”,然后定义用户资格过期、JIT 访问持续时间和 JIT 审批者安全组。

        注意

        若要为新的安全组创建实时 (JIT) 访问策略,必须具有Microsoft Entra ID P2 许可证。 如果无法选中用于创建 JIT 访问策略的复选框,请验证是否具有Microsoft Entra ID P2 许可证。

      3. 将用户添加到安全组,然后选择“ 保存”。

        注意

        属于 JIT 代理安全组的用户不会自动获得Microsoft Entra ID中 GDAP 角色的访问权限。 这些用户必须先从 “我的访问”门户请求访问权限 ,并且 JIT 审批者安全组的成员必须查看 JIT 访问请求。

      4. 如果为安全组创建了 JIT 访问策略,则可以在Microsoft Entra 管理中心的标识治理仪表板上查看创建的策略。

        有关 JIT 代理如何请求访问权限的详细信息,请参阅 在权利管理中请求访问访问包

        有关审批者如何批准请求的详细信息,请参阅批准或拒绝Privileged Identity Management中Microsoft Entra角色的请求

  8. 定义完支持角色和安全组后,请在“创建模板”窗格中选择“保存”以保存 GDAP 模板。

    新模板现在显示在“委派访问”页的“GDAP 模板”选项卡上的模板列表中。

  9. 按照步骤 3 到步骤 8 根据需要创建更多 GDAP 模板。

  10. 在“委派访问”页的“GDAP 模板”选项卡上,选择列表中的模板旁边的三个点 (更多操作) ,然后选择“分配模板”。

  11. 在“ 将此模板分配给租户 ”窗格中,选择要将模板分配到的一个或多个客户租户,然后选择“ 下一步”。

    注意

    每个客户租户一次只能与一个 GDAP 模板相关联。 如果要将新模板分配给客户,则会保存现有的 GDAP 关系,并且仅基于新模板创建新关系。

  12. 查看分配详细信息,然后选择“ 分配”。

    应用 GDAP 模板分配可能需要一两分钟。 若要刷新 GDAP 模板 选项卡上的数据,请选择“ 刷新”。

  13. 按照步骤 10 到 12 根据需要向租户分配其他模板。

获得客户批准以管理其产品

作为 GDAP 设置过程的一部分,将为每个与合作伙伴组织没有现有 GDAP 关系的客户生成 GDAP 关系请求链接。 在管理产品之前,需要将链接发送给客户租户中的管理员,以便他们可以选择链接来批准 GDAP 关系。

  1. “委派的访问 ”页上,选择“ 关系 ”选项卡。

  2. 展开需要其审批的客户租户。

  3. 选择显示 “挂起 ”状态的 GDAP 关系以打开关系详细信息窗格。

  4. 选择“ 在电子邮件中打开 ”或“ 将电子邮件复制到剪贴板”,根据需要 (编辑文本,但不要编辑他们需要选择的链接 URL 来向你授予管理权限) ,然后将 GDAP 关系请求电子邮件发送给客户租户中的管理员。

客户租户中的管理员选择链接以批准 GDAP 关系后,将应用 GDAP 模板设置。 关系批准后,更改可能需要长达一小时才会显示在 Lighthouse 中。

GDAP 关系在合作伙伴中心可见,安全组在Microsoft Entra ID中可见。

编辑 GDAP 设置

完成 GDAP 设置后,可以随时更新或更改角色、安全组或模板。

  1. Lighthouse 的左侧导航窗格中,选择 “权限>委派的访问权限”。

  2. “GDAP 模板 ”选项卡上,对 GDAP 模板或其关联的配置进行任何必要的更改,然后保存所做的更改。

  3. 将更新后的 GDAP 模板分配给相应的客户租户,以便这些租户具有模板中的更新配置。

相关内容

Microsoft 365 Lighthouse (文章) 中的权限概述
Microsoft 365 Lighthouse (文章中的“委派访问”页面概述)
排查Microsoft 365 Lighthouse (文章) 中的错误消息和问题
配置Microsoft 365 Lighthouse门户安全性 (文章)
GDAP) (文章) (精细委派管理员权限简介
Microsoft Entra内置角色 (文章)
了解Microsoft Entra ID (文章) 中的组和访问权限
什么是Microsoft Entra权利管理? (文章)