Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden
Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum
Dit artikel bevat taken voor workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP).
Microsoft Security Copilot
Security Copilot biedt ondersteuning voor GDAP-toegang tot het zelfstandige platform en bepaalde ingesloten ervaringen.
Microsoft Entra-rollen
Security Copilot heeft zijn eigen niet-Entra-rollen die u moet configureren. De aanbevolen rollen voor het aanvragen van GDAP-toegang zijn beveiligingsoperator of beveiligingslezer, hoewel andere rollen worden ondersteund. De klant moet een extra stap uitvoeren om de aangevraagde GDAP-rol toe te wijzen aan de juiste Security Copilot-rol. Zie Rollen toewijzen voor Security Copilotvoor meer informatie.
GDAP in Security Copilot biedt toegang tot de zelfstandige portal. Voor elke invoegtoepassing zijn extra autorisatievereisten vereist die GDAP mogelijk niet ondersteunen. Zie Security Copilot-invoegtoepassingen die GDAP-ondersteunen voor meer informatie.
Ingesloten ervaringen voegen mogelijkheden van Security Copilot toe aan andere workloads. Als deze workloads GDAP ondersteunen zoals Microsoft Defender XDR, ondersteunen de ingesloten mogelijkheden van Security Copilot GDAP. Purview heeft bijvoorbeeld een ingebedde Security Copilot-ervaring en wordt ook aangegeven als een workload die GDAP ondersteunt. Security Copilot in Purview ondersteunt dus GDAP.
Zie ook Ingesloten ervaringen van Security Copilot voor meer informatie.
Microsoft Entra ID-taken
Alle taken van Microsoft Entra worden ondersteund , behalve de volgende mogelijkheden:
| Gebied | Capaciteiten | Probleem |
|---|---|---|
| Groepsbeheer | Maken van Microsoft 365-groep, beheer van dynamische lidmaatschapsregels | Niet ondersteund |
| Apparaten | Beheer van instellingen voor Enterprise State Roaming | |
| Toepassingen | Toestemming geven voor een bedrijfstoepassing in overeenstemming met aanmelding, Beheer van bedrijfstoepassing 'Gebruikersinstellingen' | |
| Externe identiteiten | Beheer van externe identiteitsfuncties | |
| Controleren | Log Analytics, Diagnostische instellingen, Werkmappen en het tabblad Bewaking op de overzichtspagina van Microsoft Entra | |
| Overzichtspagina | Mijn feed - rollen voor aangemelde gebruiker | Kan onjuiste rolgegevens weergeven; heeft geen invloed op de werkelijke machtigingen |
| Gebruikersinstellingen | Beheerpagina 'Gebruikerskenmerken' | Niet toegankelijk voor bepaalde rollen |
Bekende problemen:
- Partners die via GDAP de Microsoft Entra-rollen Security-lezer of Global-lezer kregen toegewezen, ondervinden een foutmelding 'Geen toegang' wanneer ze proberen toegang te krijgen tot Microsoft Entra-rollen en -beheerders op een klanttenant waarvoor PIM is ingeschakeld. Werkt met de rol van globale beheerder.
- Microsoft Entra Connect Health biedt geen ondersteuning voor GDAP.
Taken in het Exchange-beheercentrum
Voor het Exchange-beheercentrum ondersteunt GDAP de volgende taken.
| Brontype | Resourcesubtype | Momenteel ondersteund | Probleem |
|---|---|---|---|
| Ontvangerbeheer | Postvakken | Gedeeld postvak maken, Postvak bijwerken, converteren naar gedeeld/gebruikerspostvak, Gedeeld postvak verwijderen, Instellingen voor e-mailstroom beheren, Postvakbeleid beheren, Postvakdelegering beheren, E-mailadressen beheren, Automatische antwoorden beheren, Meer acties beheren, Contactgegevens bewerken, Groepsbeheer | Het postvak van een andere gebruiker openen |
| Middelen | Een resource maken/toevoegen [Apparatuur/ruimte], een resource verwijderen, Instelling voor verbergen in GAL beheren, Instellingen voor reserveringsgedelegeerden beheren, Instellingen voor resourcegedelegeerden beheren | ||
| Contactpersonen | Een contactpersoon maken/toevoegen [e-mailgebruiker/e-mailcontactpersoon], een contactpersoon verwijderen, organisatie-instellingen bewerken | ||
| E-mailverkeer | Berichttracering | Een berichttracering starten, standaard/aangepaste/automatisch opgeslagen/downloadbare query's controleren, regels | Alarm, alarmbeleid |
| Externe domeinen | Een extern domein toevoegen, een extern domein verwijderen, berichtrapportage bewerken, antwoordtypen | ||
| Geaccepteerde domeinen | Geaccepteerde domeinen beheren | ||
| Verbindingen | Een connector toevoegen, Beperkingen beheren, Verzonden e-mailidentiteit, Connector verwijderen | ||
| Rollen | Beheerdersrollen | Rolgroepen toevoegen, rolgroepen verwijderen die geen ingebouwde rolgroepen zijn, rollengroepen bewerken die geen ingebouwde rolgroepen zijn, rolgroep kopiëren | |
| Migratie | Migratie | Migratiebatch toevoegen, Google Workspace-migratie proberen, migratiebatch goedkeuren, details van de migratiebatch weergeven, migratiebatch verwijderen | |
| Microsoft 365-beheercentrum koppeling | Koppeling om naar Microsoft 365-beheer Center te gaan | ||
| Diversen | Feedbackwidget geven, centrale widget ondersteunen | ||
| Bedieningspaneel | Rapporten |
Ondersteunde RBAC-rollen zijn onder andere:
- Exchange-beheerder
- Globale beheerder
- Helpdeskbeheerder
- Wereldwijde lezer
- Beveiligingsbeheer
- Exchange-ontvangerbeheerder
Microsoft 365-beheercentrum
Belangrijk
Service-incidenten en doorlopende ontwikkelwerkzaamheden zijn van invloed op enkele belangrijke functies van het Microsoft 365-beheercentrum. U kunt actieve Microsoft 365-beheercentrum problemen bekijken via de Microsoft-beheerportal.
We zijn verheugd om de release van de Microsoft 365-beheercentrum-ondersteuning voor GDAP aan te kondigen. Met deze preview-versie kunt u zich aanmelden bij het beheercentrum met alle Microsoft Entra-rollen die worden ondersteund door zakelijke klanten behalve Directory Readers.
Deze release heeft beperkte mogelijkheden en helpt u bij het gebruik van de volgende gebieden van het Microsoft 365-beheercentrum:
- Gebruikers (inclusief het toewijzen van licenties)
- Facturering>Licenties
- Health>Service Health
- Support Central>Ondersteuningsticket aanmaken
Notitie
Vanaf 23 september 2024 hebt u geen toegang meer tot het menu Facturering > Aankopen of Facturering > Facturen & Betalingen per Beheerder namens (AOBO) toegang tot pagina's in het Microsoft 365-beheercentrum
Bekende problemen:
- Kan geen rapporten van sitegebruiksproduct exporteren.
- Kan geen toegang krijgen tot geïntegreerde apps in het linkernavigatievenster.
Microsoft Purview-taken
Voor Microsoft Purview ondersteunt GDAP de volgende taken.
| Oplossing | Momenteel ondersteund | Probleem |
|---|---|---|
| Audit |
Microsoft 365-controleoplossingen - Eenvoudige/geavanceerde controle instellen - Auditlogboek doorzoeken - PowerShell gebruiken om het auditlogboek te doorzoeken - Auditlogboek exporteren/configureren/weergeven - Auditcontrole in- en uitschakelen - Bewaarbeleid voor auditlogboeken beheren - Veelvoorkomende problemen/gecompromitteerde accounts onderzoeken - Auditlogboek exporteren/configureren/weergeven |
|
| Compliance Manager |
Compliance Manager - Evaluaties bouwen en beheren - Evaluatiesjablonen maken/uitbreiden/wijzigen - Acties voor verbetering toewijzen en voltooien - Gebruikersmachtigingen instellen |
|
| MIP |
Microsoft Purview Informatiebeveiliging Meer informatie over gegevensclassificatie Meer informatie over het voorkomen van gegevensverlies Gegevensclassificatie: - Typen gevoelige informatie maken en beheren - Exacte gegevensovereenkomsten maken en beheren - Monitoren wat er gebeurt met gelabelde inhoud via Activity Explorer Information Protection: - Vertrouwelijkheidslabels en labelbeleid maken en publiceren - Labels definiëren die moeten worden toegepast op bestanden en e-mailberichten - Labels definiëren die moeten worden toegepast op sites en groepen - Labels definiëren die moeten worden toegepast op geschematiseerde gegevensassets - Automatisch een label toepassen op inhoud met behulp van automatisch labelen aan de clientzijde, automatisch labelen aan de serverzijde en geschematiseerde data-assets. - Toegang tot gelabelde inhoud beperken met behulp van versleuteling - Privacy en externe gebruikerstoegang en extern delen en voorwaardelijke toegang configureren voor labels die zijn toegepast op sites en groepen - Labelbeleid instellen om standaard-, verplichte en downgrade-regels op te nemen en deze toepassen op bestanden, e-mailberichten, groepen en sites, en Power BI-inhoud. DLP: - Een DLP-beleid maken, testen en afstemmen - Waarschuwingen en incidentbeheer uitvoeren - Gebeurtenissen weergeven die overeenkomen met DLP-regels in Activiteitenverkenner - DLP-instellingen voor eindpunten configureren |
- Gelabelde inhoud weergeven in Content Explorer - Trainbare classificaties maken en beheren - Labelondersteuning voor groepen en sites |
| Levenscyclusbeheer van Microsoft Purview-gegevens |
Meer informatie over Microsoft Purview-levenscyclusbeheer in Microsoft 365 - Statisch en adaptief bewaarbeleid maken en beheren - Retentielabels maken - Beleid voor retentielabels maken - Adaptieve bereiken maken en beheren |
- Archivering - PST-bestanden importeren |
| Microsoft Purview Records Management |
Microsoft Purview-recordbeheer - Labelen van de inhoud als record - Inhoud labelen als een regelgevingsrecord - Statisch en adaptief retentielabelbeleid maken en beheren - Adaptieve bereiken maken en beheren - Retentielabels migreren en uw retentievereisten beheren met een bestandsplan - Instellingen voor retentie en verwijdering configureren met retentielabels - Inhoud behouden wanneer een gebeurtenis plaatsvindt met retentie op basis van gebeurtenissen |
- Verwijderingsbeheer |
Voor meer informatie over ondersteunde Microsoft Entra-rollen in de Microsoft Purview-portal, zie Machtigingen in de Microsoft Purview-.
Microsoft 365 Lighthouse-taken
Microsoft 365 Lighthouse is een beheerportal waarmee beheerde serviceproviders (MSP's) apparaten, gegevens en gebruikers op schaal kunnen beveiligen en beheren voor kleine en middelgrote zakelijke klanten.
GDAP-rollen verlenen dezelfde klanttoegang in Lighthouse als wanneer deze GDAP-rollen worden gebruikt om afzonderlijk toegang te krijgen tot de beheerportals van klanten. Lighthouse biedt een multitenant-weergave voor gebruikers, apparaten en gegevens op basis van het niveau van gedelegeerde machtigingen van gebruikers. Zie de Lighthouse-documentatie voor een overzicht van alle multitenant-beheerfunctionaliteit van Lighthouse.
MSP's kunnen Lighthouse nu gebruiken om GDAP in te stellen voor elke klanttenant. Lighthouse biedt rolaanbeveling op basis van verschillende MSP-taakfuncties voor een MSP en Lighthouse GDAP-sjablonen stellen partners in staat om eenvoudig instellingen op te slaan en opnieuw toe te passen die de toegang van klanten met minimale bevoegdheden mogelijk maken. Voor meer informatie en om een demo te bekijken, zie de Lighthouse GDAP-installatiewizard.
Voor Microsoft 365 Lighthouse ondersteunt GDAP de volgende taken. Zie Overzicht van machtigingen in Microsoft 365 Lighthouse voor meer informatie over machtigingen die vereist zijn voor toegang tot Microsoft 365 Lighthouse.
| Bron | Momenteel ondersteund |
|---|---|
| Startpagina | Inclusief |
| Tenants | Inbegrepen |
| Gebruikers | inbegrepen |
| Apparaten | is inbegrepen |
| Beveiligingsbeheer | Inbegrepen |
| Basislijnen | Inbegrepen |
| Windows 365 | Inbegrepen |
| Status van service | is inbegrepen |
| Auditlogboeken | inbegrepen |
| Inwerken | Klanten moeten een GDAP- en indirecte resellerrelatie hebben, of een DAP-relatie om onboarding uit te voeren. |
Ondersteunde rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) zijn onder andere:
- Verificatiebeheerder
- Nalevingsbeheerder
- Beheerder voor voorwaardelijke toegang
- Cloudapparaatbeheerder
- Globale beheerder
- Wereldwijde lezer
- Helpdeskbeheerder
- Intune-beheerder
- Wachtwoordbeheerder
- Bevoorrechte verificatiebeheerder
- Beveiligingsbeheer
- Beveiligingsoperator
- Beveiligingslezer
- Serviceondersteuningsbeheerder
- Gebruikersbeheerder
Windows 365-taken
Voor Windows 365 ondersteunt GDAP de volgende taken.
| Bron | Momenteel ondersteund |
|---|---|
| Cloud PC | Lijst met cloud-pc's, Haal Cloud-pc op, Hertoewijzen Cloud-pc, Beëindig respijtperiode, Hertoewijs Cloud-pc op afstand, Bulk hertoewijs Cloud-pc's op afstand, Wijzig grootte Cloud-pc op afstand, Haal resultaten Cloud-pc op afstand op. |
| Afbeelding van cloud-pc-apparaat | Apparaatafbeeldingen weergeven, Apparaatafbeelding ophalen, Apparaatafbeelding maken, Apparaatafbeelding verwijderen, Bronafbeelding ophalen, Apparaatafbeelding opnieuw uploaden |
| On-premises netwerkverbinding voor cloud-pc's | On-premises verbinding weergeven, on-premises verbinding ophalen, on-premises verbinding maken, on-premises verbinding bijwerken, on-premises verbinding verwijderen, statuscontroles uitvoeren, WACHTWOORD van AD-domein bijwerken |
| Inrichtingsbeleid voor Cloud-PC's | Inrichtingsbeleid weergeven, Inrichtingsbeleid ophalen, Inrichtingsbeleid maken, Inrichtingsbeleid bijwerken, Inrichtingsbeleid verwijderen, Inrichtingsbeleid toewijzen |
| Auditgebeurtenis voor cloud-pc's | Controlegebeurtenissen weergeven, Auditgebeurtenis ophalen, Controleactiviteitstypen ophalen |
| Gebruikersinstelling voor cloud-pc's | Gebruikersinstellingen weergeven, Gebruikersinstelling ophalen, Gebruikersinstelling maken, Gebruikersinstelling bijwerken, Gebruikersinstelling verwijderen, Toewijzen |
| Ondersteunde regio voor cloud-pc's | Ondersteunde regio's vermelden |
| Cloud PC-serviceabonnementen | Serviceplannen vermelden |
Ondersteunde Azure RBAC-rollen zijn onder andere:
- Globale beheerder
- Intune-beheerder
- Beveiligingsbeheer
- Beveiligingsoperator
- Beveiligingslezer
- Wereldwijde lezer
- (Bij verificatie) Windows 365-beheerder
Niet-ondersteunde resources voor voorbeeld:
- N.v.t.
Taken in het Teams-beheercentrum
Voor het Teams-beheercentrum ondersteunt GDAP de volgende taken.
| Bron | Momenteel ondersteund |
|---|---|
| Gebruikers | Beleid toewijzen, spraakinstellingen, uitgaande oproepen, instellingen voor het ophalen van groepsgesprekken, instellingen voor oproepdelegering, telefoonnummers, instellingen voor vergaderen |
| Teams | Teams-beleid, Updatebeleid |
| Apparaten | IP-telefoons, Teams-ruimten, samenwerkingsbalken, Teams-schermen, Teams-paneel s |
| Locaties | Rapportagelabels, adressen voor noodgevallen, netwerktopologie, netwerken en locaties |
| Vergaderingen | Conferentiebruggen, conferentiebeleid, vergaderinstellingen, beleid voor live-evenementen, instellingen voor live-evenementen |
| Beleid voor berichten | Beleid voor berichten |
| Spraak | Noodbeleid, Belplannen, Spraakrouteringsplannen, Oproepwachtrijen, Automatische receptionisten, Oproepparkbeleid, Oproepbeleid, Nummerweergavebeleid, Telefoonnummers, Directe routering |
| Analyses en rapporten | Gebruiksrapporten |
| Instellingen voor de hele organisatie | Externe toegang, Gasttoegang, Teams-instellingen, Teams-upgrade, Feestdagen, Resourceaccounts |
| Planning | Netwerkplanner |
| Teams PowerShell-module | Alle PowerShell-cmdlets uit de Teams PowerShell-module (beschikbaar via de Teams PowerShell-module - versie 3.2.0 Preview) |
Ondersteunde RBAC-rollen zijn onder andere:
- Teams-beheerder
- Globale beheerder
- Teams-communicatiebeheerder
- Ondersteuningstechnicus voor Teams-communicatie
- Ondersteuningsspecialist voor Teams-communicatie
- Teams-apparaatbeheerder
- Wereldwijde lezer
Niet-ondersteunde resources voor GDAP-toegang zijn onder andere:
- Teams beheren
- Teamsjablonen
- Teams-apps
- Beleidspakketten
- Teams-adviseur
- Dashboard Gesprekskwaliteit
- Operator Connect
Microsoft Defender XDR
Microsoft Defender XDR is een geïntegreerde bedrijfsverdedigingssuite die bescherming biedt voor en na inbreuken. Het coördineert systeemeigen detectie, preventie, onderzoek en reactie op eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.
De Microsoft Defender-portal is ook de thuisbasis van andere producten in de Microsoft 365-beveiligingsstack, zoals Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365.
Documentatie over alle mogelijkheden en beveiligingsproducten is beschikbaar in de Microsoft Defender-portal:
Microsoft Defender voor Eindpunt:
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Endpoint P1 mogelijkheden
- Microsoft Defender voor Bedrijven
Microsoft Defender voor Office 365:
- Exchange Online Protection (EOP)
- Microsoft Defender voor Office 365 abonnement 1
- Microsoft Defender voor Office 365 abonnement 2
App-beheer:
Hieronder vindt u mogelijkheden die beschikbaar zijn voor tenants die toegang hebben tot de Microsoft Defender-portal met behulp van een GDAP-token.
| Brontype | Momenteel ondersteund |
|---|---|
| Microsoft Defender XDR-functies | Alle Microsoft Defender XDR-functies (zoals vermeld in de eerder gekoppelde documentatie): Incidenten, Geavanceerde opsporing, Actiecentrum, Bedreigingsanalyse, Verbinding van de volgende beveiligingsworkloads in Microsoft Defender XDR: Microsoft Defender voor Eindpunt, Microsoft Defender voor Identiteit, Microsoft Defender voor Cloud Apps |
| Microsoft Defender voor Eindpunt functies | Alle functies van Microsoft Defender voor Endpoint die worden vermeld in de eerder gekoppelde documentatie, bekijk de details per P1- of SMB-SKU in de tabel. |
| Microsoft Defender for Office 365 | Alle functies van Microsoft Defender voor Office 365 die worden vermeld in de eerder gekoppelde documentatie. Zie de details van elke licentie in deze tabel: Office 365 Security, inclusief Microsoft Defender voor Office 365 en Exchange Online Protection |
| App governance | Verificatie werkt voor GDAP-token (App+User-token), autorisatiebeleid werkt volgens de gebruikersrollen zoals voorheen |
Ondersteunde Microsoft Entra-rollen in het Microsoft Defender-portaal:
Documentatie over ondersteunde rollen in de Microsoft Defender-portal
Notitie
Niet alle rollen zijn van toepassing op alle beveiligingsproducten. Raadpleeg de productdocumentatie voor informatie over welke rollen worden ondersteund in een specifiek product.
MDE-functies in de Microsoft Defender-portal per SKU
| Eindpuntmogelijkheden per SKU | Microsoft Defender voor Bedrijven | Microsoft Defender voor Endpoint Plan 1 | Microsoft Defender voor Endpoint Plan 2 |
|---|---|---|---|
| Gecentraliseerd beheer | X | X | X |
| Vereenvoudigde clientconfiguratie | X | ||
| Bedreigings- en beveiligingsmanagement | X | X | |
| Aanvalsoppervlak verminderen | X | X | X |
| Beveiliging van de volgende generatie | X | X | X |
| Eindpuntdetectie en -respons | X | X | |
| Geautomatiseerd onderzoek en antwoord | X | X | |
| Opsporing van bedreigingen en gegevensretentie van zes maanden | X | ||
| Bedreigingsanalyse | X | X | |
| Platformoverschrijdende ondersteuning voor Windows, MacOS, iOS en Android | X | X | X |
| Microsoft bedreigingsexperts | X | ||
| Partner-APIs | X | X | X |
| Microsoft 365 Lighthouse voor het weergeven van beveiligingsincidenten voor klanten | X |
Power BI-taken
Voor de Power BI-workload ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | - Alle menu-items onder 'Beheerportal' behalve 'Azure-verbindingen' |
Ondersteunde Microsoft Entra-rollen binnen de scope:
- Fabricbeheerder
- Globale beheerder
Power BI-eigenschappen vallen buiten het bereik:
- Niet alle taken van niet-beheerders zijn gegarandeerd werkend.
- 'Azure-verbindingen' onder de beheerportal
SharePoint-taken
Voor SharePoint ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Startpagina | Kaarten worden weergegeven, maar gegevens worden mogelijk niet weergegeven |
| Sitesbeheer - Actieve sites | Sites maken: Teamsite, Communicatiesite, Site-eigenaar toewijzen/wijzigen, Vertrouwelijkheidslabel toewijzen aan site (indien geconfigureerd in Microsoft Entra-id) tijdens het maken van de site, Vertrouwelijkheidslabel van site wijzigen, Privacy-instellingen toewijzen aan site (indien niet vooraf gedefinieerd met een vertrouwelijkheidslabel), Leden toevoegen/verwijderen aan een site, Instellingen voor extern delen van site bewerken, Sitenaam bewerken, Site-URL bewerken, Siteactiviteit weergeven, opslaglimiet bewerken, een site verwijderen, ingebouwde weergaven van sites wijzigen, lijst met sites exporteren naar CSV-bestand, aangepaste weergaven van sites opslaan, site koppelen aan een hub, site registreren als hub |
| Sitesbeheer - Actieve sites | Andere sites maken: Documentcentrum, Ondernemingswiki, Publicatieportal, Inhoudscentrum |
| Sitesbeheer - Verwijderde sites | Site herstellen, site permanent verwijderen (met uitzondering van teamsites die zijn verbonden met Een Microsoft 365-groep) |
| Beleid - Delen | Beleid voor extern delen instellen voor SharePoint en OneDrive, "Meer instellingen voor extern delen", beleid instellen voor koppelingen naar bestanden en mappen, Overige instellingen voor delen wijzigen |
| Toegangsbeheer | Niet-beheerd apparaatbeleid instellen/wijzigen, tijdlijnbeleid voor inactieve sessies instellen/wijzigen, netwerklocatiebeleid instellen/wijzigen (gescheiden van Microsoft Entra IP-beleid, moderne verificatiebeleid instellen/wijzigen, OneDrive-toegang instellen/wijzigen |
| Instellingen | SharePoint - Startpagina, SharePoint - Meldingen, SharePoint - Pagina's, SharePoint - Site maken, SharePoint - Opslaglimieten voor sites, OneDrive - Meldingen, OneDrive - Retentie, OneDrive - Opslaglimiet, OneDrive - Synchronisatie |
| Powershell | Als u een klanttenant wilt verbinden als GDAP-beheerder, gebruikt u een tenantautorisatie-eindpunt (met de tenant-id van de klant) in de parameter AuthenticanUrl in plaats van het standaardgemeenschappelijke eindpunt.Bijvoorbeeld: Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize. |
Rollen binnen de scope zijn onder andere:
- SharePoint-beheerder
- Globale beheerder
- Wereldwijde lezer
Eigenschappen buiten het bereik van het SharePoint-beheercentrum zijn onder andere:
- Alle klassieke beheerfuncties/functionaliteit/sjablonen vallen buiten het bereik en werken niet gegarandeerd correct
- Opmerking: voor alle ondersteunde GDAP-rollen in het SharePoint-beheercentrum kunnen partners geen bestanden en machtigingen bewerken voor bestanden en mappen op de SharePoint-site van de klant. Het was een beveiligingsrisico voor klanten en wordt nu aangepakt.
Dynamics 365- en Power Platform-taken
Voor Power-platform- en Dynamics 365 Customer Engagement-toepassingen (Verkoop, Service) ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | - Alle menu-items in het Power Platform-beheercentrum |
Ondersteunde Microsoft Entra-rollen in scope zijn onder andere:
- Power Platform-beheerder
- Globale beheerder
- Helpdeskbeheerder (voor Help en ondersteuning)
- Servicedeskbeheerder (voor Hulp en Ondersteuning)
Eigenschappen buiten het bereik:
- https://make.powerapps.com biedt geen ondersteuning voor GDAP.
Dynamics 365 Business Central-taken
Voor Dynamics 365 Business Central ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | Alle taken* |
* Voor sommige taken zijn machtigingen vereist die zijn toegewezen aan de beheerder in de Dynamics 365 Business Central-omgeving. Raadpleeg de beschikbare documentatie.
Ondersteunde Microsoft Entra-rollen binnen de scope zijn onder andere:
- Dynamics 365-beheerder
- Globale beheerder
- Helpdeskbeheerder
Eigenschappen buiten het bereik:
- Geen
Dynamics Lifecycle Services-taken
Voor Dynamics Lifecycle Services ondersteunt GDAP de volgende taken.
| Brontype | Momenteel ondersteund |
|---|---|
| Beheerderstaken | Alle taken |
Ondersteunde Microsoft Entra-rollen binnen deze scope zijn onder andere:
- Dynamics 365-beheerder
- Globale beheerder
Eigenschappen buiten het bereik:
- Geen
Intune (Endpoint Manager) rollen
Ondersteunde Microsoft Entra-rollen binnen scope:
- Intune-beheerder
- Globale beheerder
- Wereldwijde lezer
- Rapportenlezer
- Beveiligingslezer
- Nalevingsbeheerder
- Beveiligingsbeheer
Raadpleeg de Intune RBAC-documentatie om het toegangsniveau voor de bovenstaande rollen te controleren.
Ondersteuning voor Intune omvat geen gebruik van GDAP bij het inschrijven van servers voor Microsoft Tunnel of voor het configureren of installeren van een van de connectors voor Intune. Voorbeelden van Intune-connectors zijn, maar zijn niet beperkt tot de Intune-connector voor Active Directory, Mobile Threat Defense-connector en de Microsoft Defender voor Eindpunt-connector.
Bekend probleem: Partners die toegang hebben tot beleid in Office-apps krijgen de melding: 'Kan geen gegevens ophalen voor 'OfficeSettingsContainer'. Gebruik guid om dit probleem aan Microsoft te melden.'
Azure Portal
Microsoft Entra-rollen binnen het bereik:
- Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar
Richtlijnen voor GDAP-rollen:
- Partner en klant moeten een resellerrelatie hebben
- De partner moet een beveiligingsgroep (bijvoorbeeld Azure-managers) maken voor het beheren van Azure en deze nesten onder Admin Agents voor partitionering per klanttoegang, zoals aanbevolen als best practice.
- Wanneer partner een Azure-abonnement koopt voor de klant, wordt het Azure-abonnement ingericht en wordt de groep Beheerdersagenten toegewezen aan Azure RBAC als eigenaar van het Azure-abonnement
- Omdat de beveiligingsgroep van Azure Managers lid is van de groep Beheerdersagenten, worden gebruikers die lid zijn van Azure Managers de eigenaar van het Azure-abonnement RBAC
- Als u toegang wilt krijgen tot het Azure-abonnement als eigenaar voor de klant, moet elke Microsoft Entra-rol, zoals Directory Readers (minst bevoorrechte rol) worden toegewezen aan de Beveiligingsgroep van Azure Managers
Alternatieve Azure GDAP-richtlijnen (zonder beheerdersagent te gebruiken)
Vereisten:
- Partner en klant hebben een resellerrelatie .
- Partner maakt een beveiligingsgroep voor het beheren van Azure en nestelt deze onder de HelpDeskAgents-groep voor klantentoegangsverdeling, zoals aanbevolen als best practice.
- Partner koopt een Azure-abonnement voor de klant. Het Azure-abonnement is ingericht en de partner heeft de groep Beheerdersagenten Azure RBAC- als eigenaar op het Azure-abonnement, maar er wordt geen RBAC-roltoewijzing gemaakt voor Helpdeskagenten.
Stappen voor partnerbeheerders:
De partnerbeheerder in het abonnement voert de volgende scripts uit met behulp van PowerShell om helpdesk-FPO te maken in het Azure-abonnement.
Maak verbinding met de partnertenant om de
object IDHelpDeskAgents-groep op te halen.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of HelpDeskAgents group Get-AzADGroup -DisplayName HelpDeskAgentsZorg ervoor dat uw klant over volgende beschikt:
- De rol van eigenaar of beheerder van gebruikerstoegang
- Machtigingen voor het maken van roltoewijzingen op abonnementsniveau
Stappen van de klant:
Om het proces te voltooien, moet uw klant de volgende stappen uitvoeren met behulp van PowerShell of Azure CLI.
Als u PowerShell gebruikt, moet de klant de
Az.Resources-module bijwerken.Update-Module Az.ResourcesMaak verbinding met de tenant waarin het CSP-abonnement bestaat.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Maak verbinding met het abonnement.
Notitie
Deze verbinding is alleen van toepassing als de gebruiker machtigingen voor roltoewijzing heeft voor meerdere abonnementen in de tenant.
Set-AzContext -SubscriptionID <"CSP Subscription ID">az account set --subscription <CSP Subscription ID>Maak de roltoewijzing.
New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
Visual Studio
Microsoft Entra-rollen binnen het onderwerp:
- Elke Microsoft Entra-rol, zoals Directory Readers (rol met minimale bevoegdheden) voor toegang tot het Azure-abonnement als eigenaar
GDAP-rolrichtlijnen voor partners:
- Voorwaarden:
- Partner en klant moeten een resellerrelatie hebben
- Partner moet Een Azure-abonnement aanschaffen voor de klant
- De partner moet een beveiligingsgroep maken (bijvoorbeeld Visual Studio-managers) voor het aanschaffen en beheren van Visual Studio-abonnementen en deze nesten onder Beheerdersagents voor partitionering per klant, zoals aanbevolen best practice.
- De rol GDAP voor het aanschaffen en beheren van Visual Studio is hetzelfde als Azure GDAP.
- Visual Studio Managers Security Group moet een Microsoft Entra-rol, zoals Directory Readers (minst bevoegde rol) toegewezen krijgen voor toegang tot het Azure-abonnement als eigenaar
- Gebruikers die deel uitmaken van de Visual Studio-managers Beveiligingsgroep kunnen het Visual Studio-abonnement op de Marketplace aanschaffen (vanwege onderliggende leden van de beheerdersagents hebben gebruikers toegang tot een Azure-abonnement).
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het aantal Visual Studio-abonnementen wijzigen
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers kunnen het Visual Studio-abonnement annuleren (door het aantal te wijzigen in nul)
- Gebruikers die deel uitmaken van de beveiligingsgroep Visual Studio-managers, kunnen abonnee toevoegen om Visual Studio-abonnementen te beheren (bijvoorbeeld door de directory van de klant bladeren en roltoewijzing van Visual Studio toevoegen als abonnee)
Visual Studio-eigenschappen vallen buiten de scope.
- Geen
Waarom zie ik geen DAP AOBO-koppelingen op de pagina GDAP-servicebeheer?
In de volgende tabel ziet u waarom u mogelijk geen DAP AOBO-koppelingen ziet op de pagina GDAP-servicebeheer.
| DAP AOBO-koppelingen | Reden waarom deze ontbreekt op de pagina GDAP-servicebeheer |
|---|---|
| Microsoft 365 Planner https://portal.office.com/ |
Een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Zwaaien https://portal.office.com/ |
Een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Windows 10 https://portal.office.com/ |
Een duplicaat van de Microsoft 365 AOBO-koppeling die al bestaat. |
| Cloud App Security https://portal.cloudappsecurity.com/ |
Microsoft Defender voor Cloud Apps is niet langer beschikbaar. Deze portal wordt samengevoegd in Microsoft Defender XDR-, die GDAP ondersteunt. |
| Azure IoT Central https://apps.azureiotcentral.com/ |
Momenteel niet ondersteund. Valt buiten de reikwijdte van GDAP. |
| Windows Defender Advanced Threat Protection https://securitycenter.windows.com |
Windows Defender Advanced Threat Protection wordt buiten gebruik gesteld. Partners wordt aangeraden over te stappen op Microsoft Defender XDR, die GDAP ondersteunt. |