获得精细管理员权限以管理客户的服务

  • 项目

相应的角色:管理员代理

合作伙伴可以请求精细委派的管理员权限(GDAP),以便更精细且具有时间限制地访问其客户的工作负载。 更精细的控制解决了客户的安全问题。

先决条件

必须先执行以下步骤,然后才能获得精细管理员权限。

  • 以管理员代理身份登录到 合作伙伴中心 ,然后登录到合作伙伴 生产 帐户。

  • 创建新客户

    注意

    不再需要购买Microsoft Entra ID P2 许可证。

请求与客户的精细管理员关系

  1. 登录到合作伙伴中心并选择“客户”

  2. 选择客户,然后选择“管理员关系”,然后选择“请求新关系”。 对于没有经销商关系的现有客户,请选择左侧导航栏中的“管理”,然后选择“请求管理员关系”

    显示合作伙伴中心中客户管理员关系页的屏幕截图。

  3. 在“创建管理员关系请求”中,在“管理关系名称”中输入一个名称,并在“持续时间”中输入持续时间(以天为单位)。

    • “管理员关系名称”必须是唯一的,并将向 Microsoft 365 管理中心的客户显示。
    • 持续时间(以天 为单位)是粒度管理关系自动过期的持续时间。

  4. 选择“ 选择Microsoft Entra 角色,这将打开一个侧面板,其中包含细化Microsoft Entra 角色的列表。

    描述管理员关系请求表单的屏幕截图。

  5. 选择要包含在关系中的Microsoft Entra 角色,然后选择“ 保存”。

    • 请参阅 GDAP 按任务列出的最低特权角色,了解每种能力的建议最低特权角色。
    • 选择的所有Microsoft Entra 角色将显示在 “请求Microsoft Entra 角色 ”部分中。
    • 可以根据需要重复步骤 4 和 5 来添加或删除角色。

  6. 默认情况下,自动扩展设置为 “否 ”。 选择单选按钮“是,将管理员关系设置为不过期并延长 6 个月。

  7. 若要确认,请选择完成请求

    要发送给客户的权限请求电子邮件将显示在“ 请求 ”框中。 您可以编辑请求电子邮件的文本,但不要在“单击”下 更改链接以查看并接受 ,因为 URL 已个性化,可将客户直接链接到你的帐户。

    显示管理员关系请求的屏幕截图。

  8. 选择“完成” 。

  9. 将电子邮件发送到客户。

当客户接受你的请求时,它将显示在“管理”页上的“粒度管理”列表中。 批准后,你和客户都会收到确认电子邮件通知。

描述精细管理页面的屏幕截图。

注意

合作伙伴必须显式 授予管理员关系中安全组 的精细权限才能管理客户。

注意

无法更新管理员关系以在创建后添加Microsoft Entra 角色,并根据需要创建新的管理员关系。