Panduan peran GDAP
Peran yang sesuai: Agen admin
Artikel ini menyediakan panduan tentang peran bawaan Microsoft Entra dengan hak akses paling terbatas yang dapat Anda gunakan untuk setiap kemampuan hak admin terdelegasi yang terperinci (GDAP). Misalnya, untuk mengirimkan permintaan dukungan atas nama pelanggan memerlukan peran administrator dukungan Layanan
Permintaan dukungan
Penjual tidak langsung tidak dapat membuat permintaan dukungan untuk Azure. Sebaliknya, mereka harus bekerja dengan penyedia tidak langsung mereka.
| Untuk membuat permintaan dukungan terkait: | Mitra tagihan langsung dan penyedia tidak langsung harus memiliki peran dengan hak istimewa paling minimal berikut: |
|---|---|
| Microsoft 365 di pusat admin Microsoft 365 | Penetapan peran GDAP ke peran yang memiliki izin Microsoft.office365.supportTickets/allEntities/allTasks, seperti administrator dukungan layanan |
| Dynamics 365 di Pusat Administrasi Power Platform | Penetapan peran GDAP ke peran yang memiliki izin Microsoft.office365.supportTickets/allEntities/allTasks, seperti administrator dukungan Layanan |
| sumber daya langganan Azure di portal Microsoft Azure |
Prasyarat: Untuk membuat permintaan atas nama pelanggan dengan langganan Azure, mitra harus memiliki hubungan penjual-pembeli dengan pelanggan seperti yang dijelaskan dalam otorisasi regional CSP. Untuk informasi selengkapnya, lihat langkah-langkah untuk menyiapkan Azure GDAP.
Penetapan GDAP apa pun ke peran Microsoft Entra, seperti pembaca Direktori , - DAN - "Penugasan peran untuk kontrol akses berbasis peran Azure (RBAC) ke peran dengan izin Microsoft.Support/supportTickets/write, seperti kontributor permintaan dukungan " |
| Microsoft Entra ID di portal Azure |
Alternatif 1: Jika pelanggan tidak memiliki Microsoft Entra ID P1 atau P2 Prasyarat: Untuk membuat permintaan atas nama pelanggan menggunakan langganan Azure pelanggan, mitra harus memiliki hubungan penjual dengan pelanggan sesuai dengan otorisasi regional CSP. Untuk informasi selengkapnya, lihat langkah-langkah untuk menyiapkan Azure GDAP. Setiap penetapan GDAP ke peran Microsoft Entra, seperti pembaca Direktori , - DAN - Penetapan peran Azure RBAC ke peran dengan izin Microsoft.Support/supportTickets/write, seperti Kontributor Permintaan Dukungan Alternatif 2: Jika pelanggan memiliki Microsoft Entra ID P1 atau P2 Penetapan GDAP apa pun ke peran Microsoft Entra yang memiliki: izin microsoft.azure.supportTickets/allEntities/allTasks, seperti Administrator Dukungan Layanan |
Peran GDAP menurut jenis mitra
Peran berikut menurut jenis mitra.
Penyedia tidak langsung
Peran berikut direkomendasikan bagi penyedia tidak langsung untuk bertransaksi dan mengelola:
- Pembuatan tenant pelanggan baru
- Penyiapan hubungan penjual
- Beli
- Manajemen langganan
- Pembaruan
- Konversi
- Pembuatan pengguna pelanggan dan penetapan lisensi
- Permintaan layanan pelanggan (pembuatan permintaan atas nama pelanggan)
| Peran | Deskripsi |
|---|---|
| peran Pembaca |
|
| pembaca Direktori | Dapat membaca informasi direktori dasar. Umumnya digunakan untuk memberikan akses baca direktori ke aplikasi dan tamu |
| penulis direktori | Dapat membaca dan menulis informasi direktori dasar. Untuk memberikan akses ke aplikasi, tidak ditujukan untuk pengguna. |
| pembaca global | Dapat membaca semua yang dapat diakses administrator Global, tetapi tidak dapat memperbarui apa pun |
| Manajemen pengguna dan manajemen lisensi: | |
| Pengguna administrator | Dapat mengelola semua aspek pengguna dan grup, termasuk mengatur ulang kata sandi untuk admin terbatas |
| Administrator Lisensi | Dapat mengelola lisensi produk pada pengguna dan grup |
| administrator dukungan layanan | Dapat membaca informasi kesehatan layanan dan mengelola permintaan dukungan |
| Meja Bantuan: | |
| administrator Help Desk | Dapat mengatur ulang kata sandi untuk non-administrator dan administrator Help Desk |
Mitra penagihan langsung, penjual tidak langsung, dan penasihat
Kami merekomendasikan peran berikut untuk reseller tidak langsung, penasihat, dan mitra tagihan langsung yang juga berperan sebagai MSP. Semuanya dikategorikan sebagai penyedia layanan terkelola khusus (MSP) yang sepenuhnya mengelola lingkungan pelanggan sebagai departemen IT outsourcing. Bagian ini adalah peran terkategori yang diperlukan oleh tugas dan fungsi.
Tugas teknisi tingkat-1 dalam layanan terkelola
| Peran | Tugas | Fungsi |
|---|---|---|
| Administrator dukungan layanan | Kirimkan permintaan dukungan atas nama pelanggan. | Help Desk membuat dan mengelola permintaan dukungan. |
| Pembaca kartu keamanan | Lihat kebijakan terkait keamanan di seluruh layanan Microsoft 365. | Help Desk mengumpulkan penemuan pada penyewa pelanggan untuk memecahkan masalah atau memperbarui kebijakan portal keamanan dan kepatuhan, seperti kebijakan pencegahan kehilangan data. |
| Pengelola Intune | Dapat mengelola semua aspek produk Intune. | Help Desk menangani pendaftaran dan pemecahan masalah perangkat pelanggan. |
| Administrator SharePoint | Bisa mengelola semua aspek layanan SharePoint. | Staf Dukungan mengelola izin situs SharePoint. |
| Spesialis dukungan komunikasi Teams | Dapat mengelola layanan Microsoft Teams. | Help Desk memecahkan masalah kualitas panggilan. |
| Administrator Meja Bantuan | Dapat mengatur ulang kata sandi untuk non-administrator dan admin ini: Pembaca Direktori, Pengundang Tamu, Administrator Help Desk, Pembaca Pusat Pesan, Administrator Kata Sandi, Pembaca Laporan. | Help Desk mengatur ulang kata sandi. |
| Administrator Desktop Analitik | Dapat mengakses dan mengelola alat dan layanan manajemen desktop. | Help Desk dapat mengelola layanan analitik desktop dengan melihat inventarisasi aset dan membaca properti standar kebijakan otorisasi. |
| Administrator autentikasi | Memiliki akses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk setiap pengguna non-admin. | Staf Dukungan dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk setiap pengguna non-admin (misalnya, MFA dan akses bersyarah). |
| Administrator Exchange | Pengguna dengan peran ini memiliki izin global dalam Microsoft Exchange Online saat layanan ada. Juga memiliki kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola permintaan dukungan, dan memantau kesehatan layanan; dapat mengirim OBO dan mengelola kotak masuk. | Help Desk mengelola kotak surat bersama, membantu menyelesaikan masalah kuota kotak surat, dan membuat dan mengelola aturan transportasi. |
| Administrator lisensi | Dapat menetapkan, menghapus, dan memperbarui penetapan lisensi. | Selama pemecahan masalah, Help Desk menilai dan menangani jika ada masalah lisensi pada permintaan dukungan. |
| Administrator pengguna | Dapat mengelola semua aspek pengguna dan grup, termasuk mengatur ulang kata sandi untuk administrator terbatas; dapat memblokir pengguna agar tidak bisa masuk. | Help Desk mengelola semua aspek pengguna dan grup, termasuk mengatur ulang kata sandi untuk admin terbatas dan memblokir akses mantan karyawan pelanggan ke layanan Microsoft 365. |
| Administrator grup | Anggota peran ini dapat membuat/mengelola grup, membuat/mengelola pengaturan grup seperti kebijakan penamaan dan kedaluwarsa, serta melihat aktivitas grup dan laporan audit. | Help Desk menambahkan pemilik ke grup dan menambahkan anggota ke grup. |
| Pembaca direktori | Pengguna dalam peran ini dapat membaca informasi direktori dasar. | Staf Dukungan dapat membaca informasi direktori dasar sebagai bagian dari pemecahan masalah. |
| Pembaca pusat pesan | Hanya dapat membaca pesan dan pembaruan untuk organisasi mereka di Pusat Pesan Office 365. | Help Desk membaca Pusat Pesan untuk memecahkan masalah dukungan. |
| Administrasi printer | Pengguna dengan peran ini dapat mendaftarkan printer dan mengelola semua aspek semua konfigurasi printer dalam solusi Microsoft Universal Print, termasuk pengaturan Universal Print Connector. Mereka dapat menyetujui semua permintaan izin cetak yang didelegasikan. Administrator printer juga memiliki akses untuk mencetak laporan. | Help Desk akan mengelola konfigurasi printer dan memecahkan masalah printer. |
| Pengundang tamu | Pengguna dalam peran ini dapat mengelola undangan pengguna tamu Microsoft Entra B2B. | Help Desk dapat mengundang pengguna tamu terlepas dari pengaturan Anggota dapat mengundang tamu. |
Peran dengan hak istimewa paling sedikit berdasarkan tugas
Tabel berikut menampilkan tugas dalam setiap kemampuan GDAP, bersama dengan peran dengan hak akses minimal yang diperlukan untuk melakukan setiap tugas.
| Kemampuan GDAP | Tugas | Peran dengan hak istimewa terkecil |
|---|---|---|
| Dukungan | Kirim tiket dukungan | Administrator dukungan layanan |
| Pengguna |
Menambahkan pengguna ke peran direktori | administrator peran istimewa |
| Menambahkan pengguna ke grup | Pengguna administrator | |
| Menetapkan lisensi | Lisensi administrator | |
| Membuat pengguna tamu | Pengundang Tamu | |
| Mereset undangan pengguna tamu | administrator Pengguna |
|
| Membuat pengguna | Administrator pengguna | |
| Menghapus pengguna | Pengguna administrator | |
| Membatalkan token refresh admin terbatas | administrator Pengguna | |
| Membatalkan token refresh yang bukan admin | Kata Sandi administrator | |
| Menyatakan tidak sah token penyegaran untuk admin dengan hak istimewa | administrator autentikasi istimewa | |
| Baca konfigurasi dasar | peran pengguna default | |
| Mereset kata sandi untuk admin terbatas | administrator pengguna | |
| Mengatur ulang kata sandi untuk nonadmin | Kata Sandi administrator | |
| Mereset kata sandi untuk admin dengan hak istimewa | administrator autentikasi istimewa | |
| Mencabut lisensi | Administrator Lisensi | |
| Memperbarui semua properti kecuali nama prinsipal pengguna | Administrator Pengguna | |
| Memperbarui nama prinsipal pengguna untuk admin terbatas | administrator Pengguna | |
| Memperbarui nama pengguna utama untuk administrator dengan hak istimewa | Administrator Global | |
| Memperbarui pengaturan pengguna | administrator global | |
| Memperbarui metode autentikasi | Administrator Autentikasi | |
| Grup | Menetapkan lisensi | Administrator pengguna |
| Membuat grup | administrator Grup | |
| Membuat, memperbarui, atau menghapus tinjauan akses grup atau aplikasi | administrator Pengguna | |
| Pengelolaan kedaluwarsa grup | administrator Pengguna | |
| Mengelola pengaturan grup | administrator Grup | |
| Membaca semua konfigurasi (kecuali keanggotaan tersembunyi) | pembaca Direktori | |
| Melihat keanggotaan tersembunyi | Anggota grup | |
| Membaca keanggotaan dari grup dengan keanggotaan yang tersembunyi | administrator Help Desk | |
| Mencabut lisensi | administrator Lisensi | |
| Memperbarui keanggotaan grup | pemilik Grup | |
| Memperbarui pemilik grup | Pemilik grup |
|
| Memperbarui properti grup | pemilik Grup | |
| Hapus grup | Administrator Grup | |
| Lisensi | Menetapkan lisensi | Administrator Lisensi |
| Baca semua konfigurasi | pembaca Direktori | |
| Mencabut lisensi | Administrator lisensi |