Részletes delegált rendszergazdai jogosultságokkal támogatott számítási feladatok
Megfelelő szerepkörök: A Partnerközpont iránt érdeklődő összes felhasználó
Ez a cikk részletes delegált rendszergazdai jogosultságokkal (GDAP) támogatott számítási feladatokhoz sorolja fel a feladatokat.
Microsoft Security Copilot
A Security Copilot támogatja a GDAP-hozzáférést az önálló platformhoz és bizonyos beágyazott szolgáltatásokhoz.
Microsoft Entra-szerepkörök
A Security Copilot saját, nem Entra szerepkörökből áll, amelyeket konfigurálnia kell. A GDAP-hozzáférés kéréséhez ajánlott szerepkörök a Biztonsági operátor vagy a Biztonsági olvasó, bár más szerepkörök is támogatottak. Az ügyfélnek egy további lépést kell végrehajtania, hogy a kért GDAP-szerepkört a megfelelő biztonsági copilot szerepkörhöz rendelje. További információért lásd: A Security Copilot szerepköreinek hozzárendelése.
A Security Copilot GDAP szolgáltatása hozzáférést biztosít az önálló portálhoz. Minden beépülő modulhoz további engedélyezési követelmények szükségesek, amelyek esetleg nem támogatják a GDAP-t. További információért lásd: GDAP-ot támogató Security Copilot beépülő modulok.
A beágyazott szolgáltatások biztonsági copilot-képességeket adnak a többi számítási feladathoz. Ha ezek a számítási feladatok támogatják a GDAP-t, például a Microsoft Defender XDR-t, a Biztonsági Társpilóta beágyazott képességei támogatják a GDAP-t. A Purview például egy beágyazott Security Copilot élménnyel rendelkezik, és a GDAP-t támogató feladatkörként is szerepel a listán. A Purview-beli Security Copilot tehát támogatja a GDAP-t.
További információ az alábbiakban is található: Security Copilot embedded experiences.
Microsoft Entra ID-feladatok
Minden Microsoft Entra-feladat támogatott , kivéve a következő képességeket:
| Terület | Képességek | Probléma |
|---|---|---|
| Csoportkezelés | Microsoft 365-csoport létrehozása, dinamikus tagsági szabályok felügyelete | Nem támogatott |
| Eszközök | Nagyvállalati állapotú roaming beállításainak felügyelete | |
| Alkalmazások | Hozzájárulás egy vállalati alkalmazáshoz a bejelentkezéssel, a vállalati alkalmazás "Felhasználói beállítások" felügyeletével | |
| Külső identitások | Külső identitásszolgáltatások felügyelete | |
| Figyelés | Naplóelemzés, diagnosztikai beállítások, munkafüzetek és a Microsoft Entra áttekintési oldalán található "Figyelés" lap | |
| Áttekintő oldal | Saját hírcsatorna – szerepkörök a bejelentkezett felhasználó számára | Előfordulhat, hogy helytelen szerepköradatok jelennek meg; nincs hatással a tényleges engedélyekre |
| Felhasználói beállítások | "Felhasználói funkciók" felügyeleti oldal | Nem érhető el bizonyos szerepkörök számára |
Ismert problémák:
- Azok a partnerek, akiknek GDAP-n keresztül a Microsoft Entra szerepkörökben Biztonsági olvasó vagy Globális olvasó szerepköröket biztosítottak, "Nincs hozzáférés" hibaüzenetet tapasztalnak, amikor egy olyan ügyfélbérlőn próbálják elérni a Microsoft Entra szerepköreit és rendszergazdáit, amelyen PIM engedélyezve van. Globális rendszergazdai szerepkörrel működik.
- A Microsoft Entra Connect Health nem támogatja a GDAP-t.
Exchange Felügyeleti központ feladatai
Az Exchange Felügyeleti központ esetében a GDAP a következő feladatokat támogatja.
| Erőforrás típusa | Erőforrás altípusa | Jelenleg támogatott | Probléma |
|---|---|---|---|
| Címzettek kezelése | Postaládák | Megosztott postaláda létrehozása, Postaláda frissítése, Konvertálás megosztott/felhasználói postaládává, Megosztott postaláda törlése, Levelezési beállítások kezelése, Postaláda-házirendek kezelése, Postaláda-delegálás kezelése, E-mail-címek kezelése, Automatikus válaszok kezelése, További műveletek kezelése, Kapcsolattartási adatok szerkesztése, Csoportok kezelése | Másik felhasználó postaládájának megnyitása |
| Források | Erőforrás (berendezés/helyiség) létrehozása/hozzáadása, Erőforrás törlése, GAL-ból való elrejtés beállításainak kezelése, Foglalási képviselők beállításainak kezelése, Erőforrás-képviselők beállításainak kezelése | ||
| Kapcsolattartók | Névjegy létrehozása/hozzáadása [Mail User/Mail Contact], Névjegy törlése, Szervezeti beállítások szerkesztése | ||
| Levelezési folyamat | Üzenet nyomkövetése | Üzenetkövetés indítása, Alapértelmezett/egyéni/automatikusan mentett/letölthető lekérdezések ellenőrzése, Szabályok | Riasztások, riasztási irányelvek |
| Távoli tartományok | Távoli tartomány hozzáadása, Távoli tartomány törlése, Üzenetjelentés szerkesztése, Választípusok | ||
| Elfogadott tartományok | Elfogadott tartományok kezelése | ||
| Összekötők | Összekötő hozzáadása, Korlátozások kezelése, Elküldött e-mail-identitás, Összekötő törlése | ||
| Szerepkörök | Adminisztrátori szerepkörök | Szerepkörcsoport hozzáadása, nem beépített szerepkörcsoportok törlése, nem beépített szerepkörcsoportok szerkesztése, nem beépített szerepkörcsoportok másolása | |
| Migrálás | Migrálás | Migrálási köteg hozzáadása, a Google-munkaterület áttelepítésének kipróbálása, a migrálási köteg jóváhagyása, a migrálási köteg részleteinek megtekintése, a migrálási köteg törlése | |
| Microsoft 365 Felügyeleti központ hivatkozás | Hivatkozás a Microsoft 365 Felügyeleti központhoz való ugráshoz | ||
| Egyéb | Visszajelzési widget, támogatási központi widget | ||
| Irányítópult | Jelentések |
A támogatott RBAC-szerepkörök a következők:
- Exchange-rendszergazda
- Globális rendszergazda
- Ügyfélszolgálati rendszergazda
- Globális olvasó
- Biztonsági rendszergazda
- Exchange-címzett rendszergazda
Microsoft 365 felügyeleti központ
Fontos
A szolgáltatási incidensek és a folyamatos fejlesztési munka a Microsoft 365 Felügyeleti központ néhány fő funkcióját érinti. Az aktív Microsoft 365 Felügyeleti központ problémákat a Microsoft Felügyeleti portálon tekintheti meg.
Örömmel jelentjük be a GDAP Microsoft 365 Felügyeleti központ támogatásának kiadását. Ezzel az előzetes kiadással bejelentkezhet a felügyeleti központba a vállalati ügyfelek által támogatott összes Microsoft Entra-szerepkörrel, kivéve Címtárolvasók.
Ez a kiadás korlátozott képességekkel rendelkezik, és segít a Microsoft 365 Felügyeleti központ alábbi területeinek használatában:
- Felhasználók (beleértve a licencek hozzárendelését)
- Számlázás>Licenszek
- Health>Service Health
- Támogatási központi>támogatási jegy létrehozása
Feljegyzés
2024. szeptember 23-tól már nem érhető el a Számlázás > Vásárlások menü vagy a Számlázás > Számlák & Kifizetések rendszergazdai nevében (AOBO) hozzáférése a Microsoft 365 Felügyeleti központ lapjaihoz
Ismert problémák:
- A webhelyhasználati termékjelentések nem exportálhatók.
- Az integrált alkalmazások nem érhetők el a bal oldali navigációs sávon.
Microsoft Purview-feladatok
A Microsoft Purview esetében a GDAP a következő feladatokat támogatja.
| Megoldás | Jelenleg támogatott | Probléma |
|---|---|---|
| Könyvvizsgálat |
Microsoft 365 naplózási megoldások – Alapszintű/speciális naplózás beállítása – Keresési napló – A PowerShell használata az auditnaplóban való kereséshez - Auditnapló exportálása/konfigurálása/megtekintése – Naplózás be- és kikapcsolása – Audit naplómegőrzési szabályzatok kezelése – Gyakori problémák/feltört fiókok vizsgálata - Auditnapló exportálása/konfigurálása/megtekintése |
|
| Megfelelőségi Menedzser |
Compliance Manager - Értékelések készítése és kezelése – Értékelési sablonok létrehozása/kiterjesztése/módosítása – Fejlesztési műveletek hozzárendelése és befejezése – Felhasználói engedélyek beállítása |
|
| MIP |
Microsoft Purview információvédelem Tudnivalók az adatbesorolásról Tudnivalók az adatveszteség-megelőzésről Adatbesorolás: – Bizalmas információtípusok létrehozása és kezelése - Pontos adategyezés létrehozása és kezelése – A címkézett tartalom használatának figyelése az Activity Explorer használatával Information Protection: – Bizalmassági címkék és címkeszabályzatok létrehozása és közzététele – Fájlokra és e-mailekre alkalmazni kívánt címkék meghatározása – Webhelyekre és csoportokra alkalmazni kívánt címkék definiálása – A sémaalapú adategységekre alkalmazni kívánt címkék meghatározása – Címke automatikus alkalmazása a tartalomra ügyféloldali automatikus címkézéssel, kiszolgálóoldali automatikus címkézéssel és sémaalapú adategységekkel – A címkézett tartalomhoz való hozzáférés korlátozása titkosítással – A webhelyekre és csoportokra alkalmazott címkék adatvédelmi és külső felhasználói hozzáférésének, külső megosztásának és feltételes hozzáférésének konfigurálása – Állítsa be a címkeszabályzatot úgy, hogy tartalmazza az alapértelmezett, kötelező, visszalépési vezérlőket, és alkalmazza őket fájlokra és e-mailekre, csoportokra és webhelyekre és Power BI-tartalmakra DLP: – DLP-szabályzat létrehozása, tesztelése és finomhangolása - Riasztások és incidenskezelés végrehajtása - A DLP-szabály egyező eseményeinek megtekintése a tevékenység-felderítőben – Végpont DLP-beállításainak konfigurálása |
– Címkézett tartalom megtekintése a Tartalomkezelőben – Betanítható osztályozók létrehozása és kezelése – Csoportok és webhelyek címkéinek támogatása |
| Microsoft Purview Adatélettartam-kezelés |
A Microsoft 365 Microsoft Purview adatélettartam-kezelés ismertetése – Statikus és adaptív adatmegőrzési szabályzatok létrehozása és kezelése – Adatmegőrzési címkék létrehozása – Adatmegőrzési címke szabályzatának létrehozása – Adaptív hatókörök létrehozása és kezelése |
-Archiválás – PST-fájlok importálása |
| Microsoft Purview Rekordkezelés |
Microsoft Purview Rekordok kezelése - Tartalom címkézése rekordként - Tartalom címkézése szabályozási rekordként – Statikus és adaptív adatmegőrzési címkeszabályzatok létrehozása és kezelése – Adaptív hatókörök létrehozása és kezelése – Adatmegőrzési címkék migrálása és a megőrzési követelmények kezelése fájlcsomaggal – Adatmegőrzési és törlési beállítások konfigurálása adatmegőrzési címkékkel – Tartalom megőrzése eseményalapú adatmegőrzéssel rendelkező esemény esetén |
- Diszpozíciókezelés |
A Microsoft Purview portál engedélyeivel kapcsolatban további információt a támogatott Microsoft Entra-szerepkörökről a Microsoft Purview oldalon talál.
Microsoft 365 Lighthouse feladatok
A Microsoft 365 Lighthouse egy felügyeleti portál, amely segít a felügyelt szolgáltatóknak az eszközök, adatok és felhasználók nagy méretű védelmében és kezelésében a kis- és középvállalati ügyfelek számára.
A GDAP-szerepkörök ugyanazt az ügyfélhozzáférést biztosítják a Lighthouse-ban, mint amikor ezek a GDAP-szerepkörök egyenként férnek hozzá az ügyfelek felügyeleti portáljaihoz. A Lighthouse több-bérlős nézetet biztosít a felhasználók, eszközök és adatok között a felhasználók delegált engedélyei alapján. A Lighthouse több-bérlős felügyeleti funkcióinak áttekintéséhez tekintse meg a Lighthouse dokumentációját.
Az MSP-k mostantól a Lighthouse használatával állíthatják be a GDAP-t bármely ügyfélbérlőhöz. A Lighthouse különböző MSP-feladatfüggvényeken alapuló szerepkör-javaslatokat biztosít az MSP-hez, a Lighthouse GDAP-sablonok pedig lehetővé teszik a partnerek számára a legkevésbé kiemelt ügyfélhozzáférést lehetővé tevő beállítások egyszerű mentését és újbóli alkalmazását. További információkért és egy bemutató megtekintéséhez tekintse meg a Lighthouse GDAP telepítővarázslóját.
A Microsoft 365 Lighthouse esetében a GDAP a következő feladatokat támogatja. A Microsoft 365 Lighthouse eléréséhez szükséges engedélyekkel kapcsolatos további információkért tekintse meg a Microsoft 365 Lighthouse engedélyeinek áttekintését.
| Erőforrás | Jelenleg támogatott |
|---|---|
| Kezdőlap | Tartalmazza |
| Bérlők | Benne foglaltatik |
| Felhasználók | Tartalmazza |
| Eszközök | Benne foglalt |
| Fenyegetések kezelése | Tartalmazza |
| Alapvonalak | Tartalmazva |
| Windows 365 | Tartalmazza |
| Szolgáltatás állapota | Benne foglalt |
| Ellenőrzési naplók | Tartalmazva |
| Beillesztés | Az ügyfeleknek GDAP- és közvetett viszonteladói kapcsolatokkal, vagy DAP-kapcsolatokkal kell rendelkezniük a bevezetéshez. |
A támogatott Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök a következők:
- Hitelesítési rendszergazda
- Megfelelőségi rendszergazda
- Feltételes hozzáférésű rendszergazda
- Felhőeszköz-rendszergazda
- Globális rendszergazda
- Globális olvasó
- Ügyfélszolgálati rendszergazda
- Intune-rendszergazda
- Jelszóadminisztrátor
- Kiemelt hitelesítési rendszergazda
- Biztonsági rendszergazda
- Biztonsági operátor
- Biztonsági olvasó
- Szolgáltatástámogatási rendszergazda
- Felhasználói rendszergazda
Windows 365-feladatok
Windows 365 esetén a GDAP a következő feladatokat támogatja.
| Erőforrás | Jelenleg támogatott |
|---|---|
| Felhőbeli PC | Felhő PC-k listázása, felhő PC lekérése, felhő PC újraprofizálása, türelmi időszak vége, felhő PC távoli műveletének újraprofizálása, felhő PC-k távoli műveletének tömeges újraprofizálása, Cloud PC-k távoli műveletének átméretezése, felhő PC távoli műveletek eredményeinek lekérése |
| Felhőbeli PC-eszköz lemezképe | Eszközrendszerképek listázása, Eszköz lemezképének lekérése, Eszközlemezkép létrehozása, Eszközlemezkép törlése, Forráslemezkép lekérése, Eszközkép ismételt betöltése |
| Helyszíni felhőalapú számítógép hálózati kapcsolata | Helyszíni kapcsolat listázása, Helyszíni kapcsolat lekérése, Helyszíni kapcsolat létrehozása, Helyszíni kapcsolat frissítése, Helyszíni kapcsolat törlése, Állapotellenőrzések futtatása, AD-tartomány jelszavának frissítése |
| Felhőbeli számítógépek üzembe helyezési szabályzata | Kiépítési szabályzatok listázása, Kiépítési szabályzat lekérése, Kiépítési szabályzat létrehozása, Kiépítési szabályzat frissítése, Kiépítési szabályzat törlése, Kiépítési szabályzat hozzárendelése |
| Felhőbeli számítógép naplózási eseménye | Naplózási események listázása, Naplózási esemény lekérése, Naplózási tevékenységtípusok lekérése |
| Felhőalapú számítógép felhasználói beállítása | Felhasználói beállítások listázása, Felhasználói beállítás lekérése, Felhasználói beállítás létrehozása, Felhasználói beállítás frissítése, Felhasználói beállítás törlése, Hozzárendelés |
| A felhőalapú számítógép által támogatott régió | Támogatott régiók listázása |
| Felhőbeli PC-szolgáltatási csomagok | Szolgáltatáscsomagok listázása |
A támogatott Azure RBAC-szerepkörök a következők:
- Globális rendszergazda
- Intune-rendszergazda
- Biztonsági rendszergazda
- Biztonsági operátor
- Biztonsági olvasó
- Globális olvasó
- (Ellenőrzés alatt) Windows 365-rendszergazda
Nem támogatott erőforrások előzetes verzióhoz:
- n/a
Teams admin központ feladatai
A Teams felügyeleti központ esetében a GDAP a következő feladatokat támogatja.
| Erőforrás | Jelenleg támogatott |
|---|---|
| Felhasználók | Szabályzatok hozzárendelése, Hangbeállítások, Kimenő hívás, Csoportos hívásfelvételi beállítások, Hívásdelegálási beállítások, Telefonszámok, Konferenciabeállítások |
| Teams | Teams-szabályzatok, Szabályzatok frissítése |
| Eszközök | IP-telefonok, Teams szobák, együttműködési eszközök, Teams-kijelzők, Teams-panelek |
| Helyek | Jelentési címkék, segélyhívási címek, hálózati topológia, hálózatok és helyek |
| Értekezletek | Konferenciahídok, Értekezletszabályzatok, Értekezlet beállításai, Élő események szabályzatai, Élő események beállításai |
| Üzenetkezelési szabályzatok | Üzenetkezelési szabályzatok |
| Hang | Segélyhívási szabályzatok, Hívási tervek, Hangútválasztási tervek, Hívássorok, Automata kezelők, Hívásparkolási szabályzatok, Hívásszabályzatok, Hívóazonosító-szabályzatok, Telefonszámok, Közvetlen útválasztás |
| Elemzések és jelentések | Használati jelentések |
| Szervezeti szintű beállítások | Külső hozzáférés, Vendéghozzáférés, Teams-beállítások, Teams-frissítés, Ünnepek, Erőforrásfiókok |
| Tervezés | Hálózattervező |
| Teams PowerShell-modul | A Teams PowerShell modul összes PowerShell-parancsmagja (elérhető a Teams PowerShell modulból – 3.2.0 előzetes verzió) |
A támogatott RBAC-szerepkörök a következők:
- Teams-rendszergazda
- Globális rendszergazda
- Teams Kommunikációs rendszergazda
- Teams Communications támogatási mérnök
- Teams Communications támogatási szakember
- Teams eszközadminisztrátor
- Globális olvasó
A GDAP-hozzáféréshez nem támogatott erőforrások a következők:
- Csoportok kezelése
- Csoportsablonok
- Teams alkalmazások
- Szabályzatcsomagok
- Teams-tanácsadó
- Hívásminőségi irányítópult
- Operátor csatlakoztatása
Microsoft Defender XDR
A Microsoft Defender XDR egy egységes, incidens előtti és utáni vállalati védelmi csomag. Natív módon koordinálja a végpontok, identitások, e-mailek és alkalmazások észlelését, megelőzését, vizsgálatát és válaszát, hogy integrált védelmet nyújtson a kifinomult támadások ellen.
A Microsoft Defender portál a Microsoft 365 biztonsági verem egyéb termékeinek, például a Végponthoz készült Microsoft Defender és a Office 365-höz készült Microsoft Defender is otthont ad.
Az összes képesség és biztonsági termék dokumentációja elérhető a Microsoft Defender portálon:
Végponthoz készült Microsoft Defender:
- Microsoft Defender for Endpoint
- Végponthoz készült Microsoft Defender P1 képességei
- Microsoft Defender Vállalati verzió
Office 365-höz készült Microsoft Defender:
- Exchange Online Védelmi szolgáltatás (EOP)
- Microsoft Defender az Office 365-höz – 1. csomag
- Microsoft Defender for Office 365 - 2. csomag
Alkalmazásszabályozás:
Az alábbiakban a Microsoft Defender portált GDAP-jogkivonattal elérő bérlők számára elérhető képességek találhatók.
| Erőforrás típusa | Jelenleg támogatott |
|---|---|
| A Microsoft Defender XDR funkciói | A Microsoft Defender XDR összes funkciója (a korábban hivatkozott dokumentációban felsoroltak szerint): Incidensek, Speciális vadászat, Akcióközpont, Threat Analytics, A következő biztonsági számítási feladatok csatlakoztatása a Microsoft Defender XDR-hez: Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps |
| Microsoft Defender végponti funkciók | A Microsoft Defender for Endpoint összes olyan funkciója, amely a korábban csatolt dokumentációban szerepel, részletesen megtalálható a P1/SMB SKU számonként a tábla-ben. |
| Microsoft Defender for Office 365 | Az Office 365-höz készült Microsoft Defender összes funkciója szerepel a korábban csatolt dokumentációban. Az egyes licencek részleteinek megtekintése ebben a táblázatban: Office 365 Security, beleértve Office 365-höz készült Microsoft Defender és Exchange Online Védelmi szolgáltatás |
| Alkalmazásirányítás | A hitelesítés a GDAP-jogkivonat (App+Felhasználói jogkivonat) esetében működik, az engedélyezési szabályzatok a felhasználói szerepköröknek megfelelően működnek, mint korábban |
Támogatott Microsoft Entra-szerepkörök a Microsoft Defender portálon:
A Microsoft Defender portálon támogatott szerepkörök dokumentációja
Feljegyzés
Nem minden szerepkör alkalmazható az összes biztonsági termékre. Az adott termékben támogatott szerepkörökről a termék dokumentációjában tájékozódhat.
MDE-funkciók a Microsoft Defender portálon termékváltozatonként
| Végponti képességek termékváltozatonként | Microsoft Defender for Business | Microsoft Defender végponthoz 1. csomag | Microsoft Defender Végpontvédelem 2. terv |
|---|---|---|---|
| Központi felügyelet | X | X | X |
| Egyszerűsített ügyfélkonfiguráció | X | ||
| Veszélyforrás- és sebezhetőségkezelés | X | X | |
| Támadási felület csökkentése | X | X | X |
| Következő generációs védelem | X | X | X |
| Végpontészlelés és -válasz | X | X | |
| Automatizált vizsgálat és válasz | X | X | |
| Fenyegetések felkutatása és hat hónapos adatmegőrzés | X | ||
| Fenyegetéselemzés | X | X | |
| Platformfüggetlen támogatás Windows, MacOS, iOS és Android rendszerhez | X | X | X |
| A Microsoft fenyegetésszakértői | X | ||
| Partner API-k | X | X | X |
| Microsoft 365 Lighthouse a biztonsági incidensek ügyfelek közötti megtekintéséhez | X |
Power BI-feladatok
A Power BI számítási feladatai esetében a GDAP a következő feladatokat támogatja.
| Erőforrás típusa | Jelenleg támogatott |
|---|---|
| Rendszergazdai feladatok | – A "Felügyeleti portál" alatt található összes menüelem az "Azure-kapcsolatok" kivételével |
Támogatott Microsoft Entra-szerepkörök a hatókörben:
- Hálózati Szövet Adminisztrátor
- Globális rendszergazda
A Power BI-tulajdonságok hatókörön kívül vannak:
- Nem minden nemminisztrátori tevékenység garantáltan működik
- "Azure-kapcsolatok" a Felügyeleti portálon
SharePoint-feladatok
SharePoint esetén a GDAP a következő feladatokat támogatja.
| Erőforrás típusa | Jelenleg támogatott |
|---|---|
| Kezdőlap | A kártyák megjeleníthetők, de az adatok lehet, hogy nem. |
| Helyek kezelése – Aktív webhelyek | Webhelyek létrehozása: Csoportwebhely, kommunikációs webhely, Webhely tulajdonosának hozzárendelése/módosítása, Bizalmassági címke hozzárendelése a webhelyhez (ha a Microsoft Entra ID-ban van konfigurálva) a webhely létrehozása során, A webhely bizalmassági címkéjének módosítása, Adatvédelmi beállítások hozzárendelése a webhelyhez (ha nem előre van definiálva bizalmassági címkével), Tagok hozzáadása/eltávolítása a webhelyhez, Webhely külső megosztási beállításainak szerkesztése, Webhelynév szerkesztése, Webhely URL-címének szerkesztése, Webhelytevékenység megtekintése, Tárterület-korlát szerkesztése, Webhely törlése, Helyek beépített nézeteinek módosítása, Webhelylista exportálása CSV-fájlba, Webhelyek egyéni nézeteinek mentése, Webhely társítása központtal, Hely regisztrálása központként |
| Helyek kezelése – Aktív webhelyek | Egyéb webhelyek létrehozása: Dokumentumközpont, Vállalati wiki, Közzétételi portál, Tartalomközpont |
| Helyek kezelése – Törölt webhelyek | Webhely visszaállítása, webhely végleges törlése (kivéve a Microsoft 365 csoporthoz csatlakoztatott csapatwebhelyeit) |
| Szabályzatok – Megosztás | Külső megosztási házirendek beállítása a SharePointhoz és a OneDrive-hoz, "További külső megosztási beállítások" módosítása, Házirendek beállítása fájl- és mappahivatkozásokhoz, Megosztás egyéb beállításainak módosítása |
| Hozzáférés-vezérlés | Nem felügyelt eszközházirend beállítása/módosítása, tétlen munkamenetek idővonal-szabályzatának beállítása/módosítása, hálózati helyszabályzat beállítása/módosítása (a Microsoft Entra IP-házirendtől eltérő, modern hitelesítési szabályzat beállítása/módosítása, OneDrive-hozzáférés beállítása/módosítása |
| Beállítások | SharePoint – Kezdőlap, SharePoint – Értesítések, SharePoint – Lapok, SharePoint – Webhely létrehozása, SharePoint – Webhely tárterületkorlátai, OneDrive – Értesítések, OneDrive – Adatmegőrzés, OneDrive – Tárterületkorlát, OneDrive – Szinkronizálás |
| PowerShell | Ha GDAP-rendszergazdaként szeretne csatlakoztatni egy ügyfél-bérlőt, használjon egy bérlő-engedélyezési végpontot (az ügyfél bérlőazonosítójával) a AuthenticanUrl paraméterben az alapértelmezett gyakori végpont helyett.Például: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize. |
A hatókörben szereplő szerepkörök a következők:
- SharePoint-rendszergazda
- Globális rendszergazda
- Globális olvasó
A SharePoint Felügyeleti központ hatókörön kívüli tulajdonságai közé tartoznak a következők:
- Az összes klasszikus rendszergazdai funkció/funkció/sablon hatókörön kívül esik, és nem garantált, hogy megfelelően működik
- Megjegyzés: A SharePoint Felügyeleti központ által támogatott GDAP-szerepkörök esetén a partnerek nem szerkeszthetik a fájlokat és engedélyeket az ügyfél SharePoint-webhelyén található fájlokra és mappákra vonatkozóan. Ez biztonsági kockázatot jelentett az ügyfelek számára, és most már foglalkoznak vele.
Dynamics 365- és Power Platform-feladatok
A Power platform és a Dynamics 365 ügyfélkapcsolati alkalmazásai (Sales, Service) esetében a GDAP az alábbi feladatokat támogatja.
| Erőforrás típusa | Jelenleg támogatott |
|---|---|
| Rendszergazdai feladatok | – A Power Platform Felügyeleti központ összes menüeleme |
A hatókörben támogatott Microsoft Entra-szerepkörök a következők:
- A Power Platform rendszergazdája
- Globális rendszergazda
- Ügyfélszolgálati rendszergazda (súgó + támogatás)
- Szolgáltatástámogatási rendszergazda (segítségért és támogatásért)
Hatókörön kívüli tulajdonságok:
- https://make.powerapps.com nem támogatja a GDAP-t.
Dynamics 365 Business Central-feladatok
A Dynamics 365 Business Central esetében a GDAP a következő feladatokat támogatja.
| Erőforrás típusa | Jelenleg támogatott |
|---|---|
| Rendszergazdai feladatok | Minden tevékenység* |
* Egyes feladatokhoz rendszergazdai felhasználóhoz rendelt engedélyekre van szükség a Dynamics 365 Business Central-környezetben. Tekintse meg a rendelkezésre álló dokumentációt.
A hatókörben támogatott Microsoft Entra-szerepkörök a következők:
- Dynamics 365-rendszergazda
- Globális rendszergazda
- Ügyfélszolgálati rendszergazda
Hatókörön kívüli tulajdonságok:
- Egyik sem
Dynamics Lifecycle Services-feladatok
A Dynamics Lifecycle Services esetében a GDAP a következő feladatokat támogatja.
| Erőforrás típusa | Jelenleg támogatott |
|---|---|
| Rendszergazdai feladatok | Minden tevékenység |
A hatókörben támogatott Microsoft Entra-szerepkörök a következők:
- Dynamics 365-rendszergazda
- Globális rendszergazda
Hatókörön kívüli tulajdonságok:
- Egyik sem
Intune (Endpoint Manager) szerepkörök
Támogatott Microsoft Entra-szerepkörök a hatókörben:
- Intune-rendszergazda
- Globális rendszergazda
- Globális olvasó
- Jelentésolvasó
- Biztonsági olvasó
- Megfelelőségi rendszergazda
- Biztonsági rendszergazda
A fenti szerepkörök hozzáférési szintjének ellenőrzéséhez tekintse meg az Intune RBAC dokumentációját.
Az Intune támogatása nem tartalmazza a GDAP használatát a Microsoft Tunnel kiszolgálóinak regisztrálásakor, illetve az Intune-beli összekötők konfigurálásához vagy telepítéséhez. Az Intune-összekötők közé tartoznak például az Active Directoryhoz készült Intune-összekötők, a Mobile Threat Defense-összekötők és a Végponthoz készült Microsoft Defender-összekötők.
Ismert probléma: A házirendeket az Office-alkalmazásokban elérő partnerek számára a következő jelenik meg: "Nem sikerült adatokat lekérni az 'OfficeSettingsContainer'." A guid használatával jelentse ezt a problémát a Microsoftnak."
Azure Portal
Microsoft Entra szerepkörök a hatókörben:
- Bármely Microsoft Entra-szerepkör, például Directory Readers (legkevésbé privilegizált szerepkör) az Azure-előfizetés tulajdonosként való eléréséhez
GDAP-szerepkörökre vonatkozó útmutató:
- A partnernek és az ügyfélnek viszonteladói kapcsolatokkal kell rendelkeznie
- A partnernek létre kell hoznia egy biztonsági csoportot (pl. Azure-menedzser) az Azure kezeléséhez, és az ügyfelenkénti hozzáférés particionálására ajánlott eljárás szerint az Admin Agensek alá kell ágyaznia.
- Amikor a partner Azure-csomagot vásárol az ügyfél számára, az Azure-előfizetés ki van építve, és a felügyeleti ügynökök csoport az Azure RBAC-hez tulajdonosként van hozzárendelve az Azure-előfizetésben.
- Mivel az Azure Manager biztonsági csoport tagja a Rendszergazdai ügynökök csoportnak, az Azure Manager tagjai az Azure-előfizetés RBAC-tulajdonosává válnak
- Ahhoz, hogy az Azure-előfizetést tulajdonosként elérhesse az ügyfél számára, minden Microsoft Entra-szerepkört, például a címtárolvasót (a legkevésbé kiemelt szerepkört) hozzá kell rendelni az Azure Manager biztonsági csoportjához
Alternatív Azure GDAP-útmutató (rendszergazdai ügynök használata nélkül)
Előfeltételek:
- A partner és az ügyfél viszonteladói kapcsolatban áll.
- A partner létrehozott egy biztonsági csoportot az Azure kezelésére, és az ügyfél-hozzáférés szétválasztása szerint a HelpDeskAgents csoport alá ágyazta, mivel ez az ajánlott legjobb gyakorlat.
- A partner egy Azure-csomagot vásárol az ügyfél számára. Az Azure-előfizetés provisionálva van, és a partner hozzárendelte az Adminisztrátor ügynökök csoportot Azure RBACtulajdonosként az Azure-előfizetéshez, de az Ügyfélszolgálati ügynökök számára nem készült RBAC-szerepkör-hozzárendelés.
Partnerszintű rendszergazdai lépések:
Az előfizetés partneradminisztrátora az alábbi szkripteket futtatja a PowerShell használatával, hogy helpdesk FPO-t hozzon létre az Azure-előfizetésben.
Csatlakozzon a partner bérlőhöz a HelpDeskAgents csoport
object IDlekéréséhez.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgentsGyőződjön meg arról, hogy az ügyfele rendelkezik a következőkkel:
- Tulajdonos vagy Felhasználói hozzáférés adminisztrátora szerepkör
- Engedélyek az előfizetés szintjén történő szerepkör-hozzárendelések létrehozásához
Ügyfél lépései:
A folyamat elvégzéséhez az ügyfélnek a következő lépéseket kell végrehajtania a PowerShell vagy az Azure CLI használatával.
PowerShell használata esetén az ügyfélnek frissítenie kell a
Az.Resourcesmodult.Update-Module Az.ResourcesCsatlakozzon ahhoz a bérlőhöz, amelyben a CSP-előfizetés létezik.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Csatlakozzon az előfizetéshez.
Megjegyzés
Ez a kapcsolat csak akkor alkalmazható, ha a felhasználónak van engedélye a szerepkörök hozzárendelésére a bérlő több előfizetéséhez.
Set-AzContext -SubscriptionID <"CSP Subscription ID">az account set --subscription <CSP Subscription ID>Hozza létre a szerepkör-hozzárendelést.
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
Microsoft Entra szerepkörök a hatókörben:
- Bármely Microsoft Entra-szerepkör, mint például Címtár olvasók (a legkevésbé jogosult szerepkör) az Azure-előfizetéshez való tulajdonosi hozzáféréshez.
GDAP-szerepkörökkel kapcsolatos útmutató partnereknek:
- Előfeltételek:
- A partnernek és az ügyfélnek viszonteladói kapcsolatokkal kell rendelkeznie
- A partnernek azure-előfizetést kell vásárolnia az ügyfél számára
- A partnernek létre kell hoznia egy biztonsági csoportot (például Visual Studio-kezelőket) a Visual Studio-előfizetések megvásárlásához és kezeléséhez, és az ajánlott eljárásnak megfelelően a felügyeleti ügynökök alá kell ágyaznia az ügyfél-hozzáférés particionálásához.
- A Visual Studio megvásárlásához és kezeléséhez használt GDAP-szerepkör ugyanaz, mint az Azure GDAP.
- A Visual Studio-kezelők biztonsági csoportját minden Microsoft Entra-szerepkörhöz hozzá kell rendelni, például a címtárolvasókhoz (a legkevésbé kiemelt szerepkörhöz) az Azure-előfizetés tulajdonosként való eléréséhez
- A Visual Studio kezelőinek biztonsági csoport felhasználói vásárolhatnakVisual Studio-előfizetést a Marketplace-https://marketplace.visualstudio.com (mivel a rendszergazdai ügynökök beágyazott tagjai hozzáférnek az Azure-előfizetéshez)
- A Visual Studio-kezelők biztonsági csoportjának tagjai módosíthatják a Visual Studio-előfizetések mennyiségét
- A Visual Studio-kezelők biztonsági csoportjának tagjai lemondhatják a Visual Studio-előfizetést (a mennyiség nullára való módosításával)
- A Visual Studio-kezelők biztonsági csoportjának tagjai előfizetőt adhatnak hozzá a Visual Studio-előfizetések kezeléséhez (például az ügyfélkönyvtár tallózása és a Visual Studio szerepkör-hozzárendelésének hozzáadása előfizetőként)
Visual Studio-tulajdonságok hatókörön kívül:
- Egyik sem
Miért nem látok néhány DAP AOBO-hivatkozást a GDAP szolgáltatásfelügyeleti oldalán?
Az alábbi táblázat azt mutatja be, hogy miért nem jelennek meg a DAP AOBO-hivatkozások a GDAP szolgáltatásfelügyeleti oldalán.
| DAP AOBO-hivatkozások | Annak oka, hogy miért hiányzik a GDAP szolgáltatásfelügyeleti oldalán |
|---|---|
| Microsoft 365 Planner https://portal.office.com/ |
A már létező Microsoft 365 AOBO-hivatkozás másolata. |
| Inog https://portal.office.com/ |
A Microsoft 365 AOBO-hivatkozás másolata, amely már létezik. |
| Windows 10 https://portal.office.com/ |
Egy már létező Microsoft 365 AOBO-hivatkozás másolata. |
|
Felhőappbiztonság https://portal.cloudappsecurity.com/ |
Microsoft Defender for Cloud Apps megszűnik. Ez a portál beolvad a Microsoft Defender XDRmegoldásba, amely támogatja a GDAP-t. |
| Azure IoT Central https://apps.azureiotcentral.com/ |
Ez jelenleg nem támogatott. Nincs hatóköre a GDAP-nak. |
| Windows Defender Fejlett Fenyegetésvédelem https://securitycenter.windows.com |
A Windows Defender Advanced Threat Protection ki van állítva. A partnereknek javasoljuk, hogy lépjenek a GDAP-t támogató Microsoft Defender XDR-be. |