Часто задаваемые вопросы о GDAP

соответствующие роли: все пользователи, заинтересованные в Центре партнеров

Детализированные делегированные разрешения администратора (GDAP) предоставляют партнерам доступ к рабочим нагрузкам своих клиентов таким образом, что более детализировано и привязано к времени, что может помочь решить проблемы безопасности клиентов.

С помощью GDAP партнеры могут предоставлять больше услуг клиентам, которые могут чувствовать себя некомфортно из-за высокого уровня доступа со стороны партнера.

GDAP также помогает клиентам, у которых есть нормативные требования, чтобы предоставить только наименее привилегированный доступ к партнерам.

Настройка GDAP

Кто может запросить связь GDAP?

Кто-то с ролью агента администратора в партнерской организации может создать запрос на установление связи GDAP.

Истекает ли срок действия запроса на установление отношений GDAP, если клиент не предпринимает действий?

Да. Срок действия запросов связи GDAP истекает через 90 дней.

Можно ли сделать связь GDAP с клиентом постоянным?

Нет. Постоянные отношения GDAP с клиентами не возможны по соображениям безопасности. Максимальная длительность отношения GDAP составляет два года. Вы можете задать автоматическое продление на включение, чтобы продлить администраторские полномочия на шесть месяцев, до прекращения или пока автоматическое продление не будет установлено на выключено.

Можно ли автоматически продлить или расширить отношения GDAP с клиентом?

Да. Связь GDAP может автоматически продлеваться на шесть месяцев до её завершения или до изменения настройки автоматического продления на "Отключено".

Что делать, когда срок действия отношения GDAP с клиентом истекает?

  • Если срок действия отношения с клиентом в рамках GDAP истекает, запросите его снова.
  • Вы можете использовать аналитику связей GDAP для отслеживания дат истечения срока действия связи GDAP и подготовки к их продлению.

Как клиент может расширить или продлить связь GDAP?

Чтобы расширить или продлить отношения GDAP, партнер или клиент должны установить Auto extend на Enabled. Дополнительные сведения см. в Управление автоматическим расширением GDAP и API.

Можно ли обновить активный GDAP, срок действия которого истекает в ближайшее время, для автоматического продления?

Да. Если GDAP активен, его можно расширить.

Когда начинает действовать автоматическое продление?

Предположим, что GDAP создается на 365 дней с включенным автоматическим продлением. В 365-й день дата окончания фактически обновляется на 180 дней.

Может ли GDAP, созданный с помощью инструмента, разработанного партнёром (PLT), инструмента, разработанного Майкрософт, пользовательского интерфейса Центра партнёров или API Центра партнёров, автоматически продлеваться?

Да. Вы можете автоматически расширить любой активный GDAP.

Требуется ли согласие клиента для автоматического расширения для существующих активных GDAP?

Нет. Согласие клиента не требуется для установки режима автоматического продления на Включено для существующего активного GDAP.

Следует ли перераспределять гранулярные разрешения группам безопасности после автоматического расширения?

Нет. Гранулированные разрешения, назначенные группам безопасности, остаются без изменений.

Может ли связь администратора с ролью глобального администратора быть расширена автоматически?

Нет. Нельзя автоматически продлить административные полномочия при роли глобального администратора.

Почему не удается просмотреть страницу **Истекающие детализированные отношения** в рабочей области "Клиенты"?

Страница «Истекающие гранулярные отношения» доступна только для партнёров с ролью агента администратора. Эта страница помогает фильтровать GDAPs, срок действия которых истекает в разные периоды времени, и помогает обновить автоматическую пролонгацию (включить или отключить) для одного или нескольких GDAPs.

Если срок действия отношений GDAP истекает, будут ли затронуты существующие подписки клиента?

Нет. При истечении срока действия отношения GDAP нет изменений в существующих подписках клиента.

Как клиент может сбросить пароль и устройство для MFA, если они заблокированы в своей учетной записи и не могут принять запрос на установку связи GDAP от партнера?

Дополнительные сведения см. в статье Устранение неполадок многофакторной проверки подлинности Microsoft Entra и Не удается использовать многофакторную проверку подлинности Microsoft Entra для входа в облачные службы после потери телефона или изменения номера телефона.

Какие роли необходимы партнеру для сброса пароля администратора и восстановления доступа к устройству MFA, если администратор клиента заблокирован в своей учетной записи и не может принять запрос на установление связи GDAP от партнера?

Партнер должен запросить роль администратора привилегированной проверки подлинности Microsoft Entra при создании первого GDAP.

  • Эта роль позволяет партнеру сбрасывать пароль и метод проверки подлинности для администратора или пользователя, отличного от администратора. Роль администратора привилегированной проверки подлинности является частью ролей, настроенных средством Майкрософт Led Tool, и планируется стать доступной с GDAP по умолчанию во время создания процесса клиента (запланировано на сентябрь).
  • Партнер может предложить администратору клиента попробовать сбросить пароль.
  • В качестве меры предосторожности партнер должен настроить SSPR (самостоятельный сброс пароля) для своих клиентов. Дополнительные сведения см. в статье Разрешить пользователям сбрасывать свои пароли.

Кто получает уведомление о расторжении отношений GDAP?

  • В организации партнера лица с ролью администратора агента получают уведомление о завершении.
  • В организации клиента пользователи с ролью глобального администратора получают уведомление о завершении.

Можно ли увидеть, когда клиент удаляет GDAP в журналах действий?

Да. Партнеры могут видеть, когда клиент удаляет GDAP в журналах действий Центра партнеров.

Нужно ли создать связь GDAP со всеми клиентами?

Нет. GDAP — это необязательная возможность для партнеров, которые хотят более детально и в определенные сроки управлять услугами своих клиентов. Вы можете выбрать, с какими клиентами вы хотите создать связь GDAP.

Если у меня несколько клиентов, нужно ли иметь несколько групп безопасности для этих клиентов?

Ответ зависит от того, как вы хотите управлять клиентами.

  • Если вы хотите, чтобы пользователи-партнеры могли управлять всеми клиентами, вы можете поместить всех пользователей-партнеров в одну группу безопасности и что одна группа может управлять всеми вашими клиентами.
  • Если вы предпочитаете, чтобы различные партнерские пользователи управляли разными клиентами, назначьте этих партнерских пользователей в отдельные группы безопасности для изоляции клиентов.

Могут ли косвенные реселлеры создавать запросы на установление отношений GDAP в Центре партнеров?

Да. Косвенные реселлеры (а также косвенные поставщики и партнеры с прямым выставлением счетов) могут создавать запросы на установление отношений GDAP в Центре партнеров.

Почему пользователь-партнер с GDAP не может получить доступ к рабочему процессу как AOBO (администратор от имени)?

В рамках настройки GDAP убедитесь, что выбраны группы безопасности, созданные в клиенте партнера с пользователями-партнерами. Кроме того, убедитесь, что нужные роли Microsoft Entra назначаются группе безопасности. См. Assign Microsoft Entra roles.

Какой рекомендованный следующий шаг, если политика условного доступа, установленная клиентом, блокирует весь внешний доступ, включая доступ администратора CSP от имени к арендатору клиента?

Теперь клиенты могут исключить поставщики СЛУЖБ из политики условного доступа, чтобы партнеры могли перейти в GDAP без блокировки.

  • Включение пользователей. Этот список пользователей обычно включает всех пользователей, на которых организация нацелена в используемой организацией политике условного доступа.
  • При создании политики условного доступа доступны следующие параметры:
  • Выбор пользователей и групп
  • Гостевые или внешние пользователи (предварительная версия)
  • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
  • Пользователи поставщика услуг, например поставщик облачных решений (CSP).
  • Можно указать одного или нескольких тенантов для выбранных типов пользователей или указать всех тенантов.
  • доступ к внешним партнерам . Политики условного доступа, предназначенные для внешних пользователей, могут препятствовать доступу к поставщику услуг, например детализированные делегированные права администратора. Дополнительные сведения см. в разделе Введение в детализированные делегированные права администратора (GDAP). Для политик, предназначенных для целевых клиентов поставщика услуг, используйте пользователь поставщика услуг внешний тип пользователя, доступный в параметрах выбора гостевых или внешних пользователей. Скриншот политики CA, предназначенных для гостевых и внешних типов пользователей из определённых организаций Microsoft Entra.
  • исключить пользователей. Если организации включают и исключают пользователя или группу, пользователь или группа исключены из политики, так как действие исключения переопределяет действие включения в политику.
  • При создании политики условного доступа доступны следующие параметры для исключения.
  • Гостевые или внешние пользователи
  • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Существует несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов.
  • Пользователи поставщика услуг, например поставщик облачных решений (CSP)
  • Один или несколько арендаторов можно задать для выбранных типов пользователей или указать всех арендаторов. Снимок экрана политики удостоверяющего центра. Дополнительные сведения см. в следующем разделе:
  • API Graph Интерфейс. Бета-API с новыми сведениями о типе внешнего пользователя
  • Политика условного доступа
  • условный доступ для внешних пользователей

Требуется ли иметь взаимоотношения в рамках GDAP для создания заявок в службу поддержки, если у меня уже есть поддержка уровня Premier для партнеров?

Да. Независимо от плана поддержки, наименее привилегированная роль для пользователей-партнёров для возможности создавать билеты в службу поддержки для своего клиента — администратор службы поддержки.

Может ли GDAP в состоянии **Ожидание утверждения** быть прекращён партнёром?

Нет. В настоящее время партнер не может прекратить GDAP в состоянии в ожидании утверждения. Срок действия истекает через 90 дней, если клиент не принимает никаких действий.

После завершения отношения GDAP можно повторно использовать то же имя связи GDAP для создания новой связи?

Только через 365 дней (очистка) после завершения или истечения срока действия связи GDAP можно повторно использовать то же имя, чтобы создать новую связь GDAP.

Может ли партнер в одном регионе управлять своими клиентами в разных регионах?

Да. Партнер может управлять своими клиентами в разных регионах без создания новых арендных мест для каждого региона клиента. Это применимо только к роли управления клиентами, предоставляемой GDAP (отношения администратора). Роль и возможности транзакции по-прежнему ограничены авторизованной территорией.

Может ли поставщик услуг быть частью мультитенантной организации, что такое Error-Action 103?

Нет. Поставщик услуг не может быть частью мультитенантной организации, они взаимоисключающие.

Что делать, если отображается сообщение об ошибке "Не удается получить сведения об учетной записи" при переходе на Microsoft Security Copilot со страницы управления службами Центра партнеров?

  1. Убедитесь, что GDAP настроен правильно, включая предоставление разрешений для групп безопасности.
  2. Убедитесь, что разрешения группы безопасности правильны.
  3. Обратитесь к Security Copilot: Часто задаваемые вопросы за помощью.

Может ли CSP и клиент с отношениями GDAP сформировать многопользовательскую организацию?

Возможности мультитенантной организации не поддерживаются между CSP и клиентом, имеющими связь GDAP. Возможности GDAP позволяют пользователю партнера CSP администрировать службы Майкрософт для другой организации. Возможности мультитенантной организации предназначены для использования между клиентами, принадлежащими одной организации.

GDAP API

Доступны ли API для создания связи GDAP с клиентами?

Дополнительные сведения об API и GDAP см. в документации разработчиков Центра партнеров.

Можно ли использовать api GDAP бета-версии для рабочей среды?

Да. Мы рекомендуем партнерам использовать бета-версии API GDAP, для рабочей среды, а затем перейти на API версии 1, когда они становятся доступными. Хотя есть предупреждение "Использование этих API в рабочих приложениях не поддерживается", это универсальное руководство предназначено для всех бета-API в Graph и не применимо к бета-API GDAP Graph.

Можно ли одновременно создать несколько связей GDAP с разными клиентами?

Да. Связи GDAP можно создавать с помощью API, что позволяет партнерам масштабировать этот процесс. Но создание нескольких связей GDAP недоступно в Центре партнеров. Сведения об API и GDAP см. в документации по разработке Центра партнеров .

Можно ли назначить несколько групп безопасности в связи GDAP с помощью одного вызова API?

API работает для одной группы безопасности одновременно, но вы можете сопоставить несколько групп безопасности с несколькими ролями в Центре партнеров.

Как запросить несколько разрешений ресурсов для приложения?

Выполните отдельные вызовы для каждого ресурса. При выполнении одного запроса POST передайте только один ресурс и соответствующие области. Например, чтобы запросить разрешения для обоих https://graph.microsoft.com/Directory.AccessAsUser.All и https://graph.microsoft.com/Organization.Read.All, сделайте два разных запроса, по одному для каждого.

Как найти идентификатор ресурса для данного ресурса?

Используйте указанную ссылку для поиска имени ресурса: Проверка собственных приложений Майкрософт в отчетах о входе — Active Directory. Например, чтобы найти идентификатор ресурса 00000003-0000-0000-c000-0000000000000 для graph.microsoft.com: снимок экрана манифеста для примера приложения с выделенным идентификатором ресурса.

Что делать, если отображается сообщение об ошибке "Request_UnsupportedQuery" с сообщением "Неподдерживаемое или недопустимое предложение фильтра запросов, указанное для свойства AppId" ресурса "ServicePrincipal"?

Эта ошибка обычно возникает, когда неправильный идентификатор используется в фильтре запросов. Чтобы устранить эту проблему, убедитесь, что вы используете свойство enterpriseApplicationId с правильным идентификатором ресурса , а не именем ресурса.

  • неверный запрос For enterpriseApplicationId, не используйте имя ресурса, например graph.microsoft.com. снимок экрана неправильного запроса, где enterpriseApplicationId использует graph.microsoft.com.
  • Правильный запрос Вместо этого для enterpriseApplicationIdиспользуйте идентификатор ресурса, например 0000003-0000-0000-c000-0000000000000000. снимок экрана с правильным запросом, где enterpriseApplicationId использует GUID.

Как добавить новые области действия в ресурс API приложения, который уже согласован в арендаторе клиента?

Например, ранее в ресурсе graph.microsoft.com было дано согласие только для области применения "profile". Теперь необходимо также добавить профиль и user.read. Чтобы добавить новые области в ранее согласованному приложению, выполните приведенные выше действия.

  1. Используйте метод DELETE, чтобы отозвать существующее согласие приложения от клиента.
  2. Используйте метод POST для создания нового согласия приложения с дополнительными областями.

Заметка

Если приложению требуются разрешения для нескольких ресурсов, выполните метод POST отдельно для каждого ресурса.

Как указать несколько областей для одного ресурса (enterpriseApplicationId)?

Объедините необходимые области с запятой и пробелом. Например, область действия: "profile, User.Read"

Что делать, если я получаю ошибку "400 Недопустимый запрос" с сообщением "Неподдерживаемый токен". Не удалось инициализировать контекст авторизации"?

  1. Убедитесь, что свойства displayName и ApplicationId в тексте запроса точны и соответствуют приложению, которое вы пытаетесь предоставить клиенту.
  2. Убедитесь, что вы используете то же приложение для создания токена доступа, для которого вы пытаетесь получить согласие в арендатора клиента. Например: если идентификатор приложения равен "12341234-1234-1234-12341234", утверждение "appId" в маркере доступа также должно быть "12341234-1234-1234-12341234".
  3. Убедитесь, что выполняется одно из следующих условий:
  • У вас есть активные делегированные права администратора (DAP), а пользователь также является членом группы безопасности агентов администрирования в клиенте партнера.
  • У вас есть активное отношение с клиентским тенантом, включающее Привилегии детализированного делегированного администратора (GDAP) по крайней мере с одной из следующих трех ролей GDAP, и вы завершили назначение доступа:
    • Роль администратора приложений или администратора облачных приложений.
    • Пользователь партнера является членом группы безопасности, указанной в назначении доступа.

Роли

Какие роли GDAP необходимы для доступа к подписке Azure?

  • Чтобы управлять Azure с секционированием доступа для каждого клиента (рекомендуется), создайте группу безопасности (например, Azure Менеджеры) и вложите её в агенты администрирования.
  • Чтобы получить доступ к подписке Azure в качестве владельца клиента, вы можете назначить любую встроенную роль Microsoft Entra (например, Directory readers, наименьшая привилегированная роль) группе безопасности Azure Managers. Инструкции по настройке Azure GDAP см. в разделе Workloads, поддерживаемые подробными делегированными правами администратора (GDAP).

Есть ли рекомендации по наименее привилегированным ролям, которые можно назначить пользователям для определенных задач?

Да. Сведения о том, как ограничить разрешения администратора пользователя путем назначения наименее привилегированных ролей в Microsoft Entra, см. в разделе Наименее привилегированные роли по задачам в Microsoft Entra.

Какую наименее привилегированную роль я могу назначить арендатору клиента и при этом сохранять возможность создавать запросы в службу поддержки для клиента?

Рекомендуем назначить роль администратор службы поддержки. Дополнительные сведения см. в статье Наименее привилегированные роли по задачам в Microsoft Entra.

Какие Microsoft Entra роли были доступны в пользовательском интерфейсе Центра партнеров в июле 2024 г.?

  • Чтобы уменьшить разрыв между ролями Microsoft Entra, доступными в API Центра партнеров и пользовательском интерфейсе, список из девяти ролей доступен в пользовательском интерфейсе Центра партнеров в июле 2024 года.
  • В разделе "Совместная работа"
    • Администратор Microsoft Edge
    • Администратор виртуальных посещений
    • Администратор Viva Goals
    • Администратор Viva Pulse
    • Администратор Yammer
  • Под удостоверением:
    • Администратор управления разрешениями
    • Администратор рабочих процессов жизненного цикла
  • В разделе "Другое"
    • Администратор фирменной символики организации
    • Утверждающий организационные сообщения

Какие Microsoft Entra роли были доступны в пользовательском интерфейсе Центра партнеров в декабре 2024 года?

  • Чтобы уменьшить разрыв между ролями Microsoft Entra, доступными в API Центра партнеров и пользовательском интерфейсе, список 17 ролей были доступны в пользовательском интерфейсе Центра партнеров в декабре 2024 года.
  • В разделе "Совместная работа"
    • Аналитик данных
    • Администратор миграции Microsoft 365
    • Автор организационных сообщений
    • SharePoint Внедренный администратор
    • Администратор телефонии Teams
    • Диспетчер успешности взаимодействия с пользователем
  • На устройствах:
    • администратор гарантии оборудования Майкрософт
    • специалист по гарантии оборудования Майкрософт
  • Под удостоверением:
    • Администратор назначения атрибутов
    • Средство чтения назначений атрибутов
    • Администратор определения атрибутов
    • Средство чтения определений атрибутов
    • Администратор журнала атрибутов
    • Читатель журналов атрибутов
    • Администратор расширения проверки подлинности
    • Глобальный администратор безопасного доступа
    • Создатель клиента

Можно ли открыть запросы в службу поддержки для клиента в рамках отношений GDAP, из которых исключены все роли Microsoft Entra?

Нет. Наименее привилегированной ролью для пользователей партнеров, позволяющей создавать билеты в службу поддержки для своих клиентов, является администратор поддержки служб. Таким образом, чтобы иметь возможность создавать запросы в службу поддержки для клиента, пользователь-партнер должен находиться в группе безопасности и должен быть назначен этому клиенту с этой ролью.

Где можно найти сведения обо всех ролях и рабочих нагрузках, включенных в GDAP?

Сведения обо всех ролях см. в разделе встроенные роли Microsoft Entra. Сведения о рабочих нагрузках см. в разделе Рабочие нагрузки, поддерживаемые детализированными делегированными правами администратора (GDAP).

Какая роль GDAP предоставляет доступ к Центру Microsoft 365 Admin?

Многие роли используются для центра администрирования Microsoft 365. Для получения дополнительных сведений см. раздел Общие роли администраторов центра управления Microsoft 365.

Можно ли создавать пользовательские группы безопасности для GDAP?

Да. Создайте группу безопасности, назначьте утвержденные роли и затем добавьте пользователей арендатора-партнера в эту группу безопасности.

Какие роли GDAP предоставляют доступ только для чтения к подпискам клиента и поэтому не позволяют пользователю управлять ими?

Доступ только для чтения к подпискам клиента предоставляется ролями глобального читателя, читателя каталога и поддержки партнера уровня 2.

Какую роль следует назначить моим агентам-партнерам (в настоящее время агенты администрирования), если они хотели бы управлять клиентом, но не изменять подписки клиента?

Мы рекомендуем удалить партнерских агентов из роли Admin agent и добавить их только в группу безопасности GDAP. Таким образом, они могут администрировать службы (например, управлять службами и регистрировать запросы на обслуживание), но они не могут приобретать и управлять подписками (изменять их количество, отменять, планировать изменения и т. д.).

Что произойдет, если клиент предоставляет роли GDAP партнеру, а затем удаляет роли или разрывает связь GDAP?

Группы безопасности, назначенные для связи, теряют доступ к клиенту. Такая же ситуация происходит, если клиент разрывает отношения с DAP.

Может ли партнер продолжать транзакцию для клиента после удаления всех отношений GDAP с клиентом?

Да. Удаление отношений GDAP с клиентом не прекращает партнёрские реселлерские отношения с клиентом. Партнеры по-прежнему могут приобретать продукты для клиента и управлять Azure бюджетом и другими связанными действиями.

Могут ли некоторые роли в рамках отношений GDAP с моим клиентом иметь более длительный срок истечения, чем другие?

Нет. Все роли в отношениях GDAP имеют один и тот же срок действия: длительность, выбранная при создании этих отношений.

Требуется ли GDAP для выполнения заказов для новых и существующих клиентов в Центре партнеров?

Нет. Для выполнения заказов для новых и существующих клиентов не требуется GDAP. Вы можете продолжать использовать тот же процесс для выполнения заказов клиентов в Центре партнеров.

Нужно ли назначить одну роль агента партнера всем клиентам или назначить роль агента партнера одному клиенту?

Отношения GDAP специфичны для каждого клиента. Вы можете иметь несколько связей для каждого клиента. Каждая связь GDAP может иметь разные роли и использовать разные группы Microsoft Entra в клиенте CSP. В Центре партнеров назначение ролей работает на уровне отношений между клиентами и GDAP. Если требуется назначение ролей для нескольких клиентов, вы можете автоматизировать это с помощью API.

Может ли пользователь-партнер иметь роли GDAP и гостевую учетную запись?

Нет. Гостевые учетные записи не работают с GDAP. Клиенты должны удалить все гостевые учетные записи, чтобы получить GDAP для работы.

Почему администраторы GDAP + пользователи B2B не могут добавлять методы проверки подлинности в aka.ms/mysecurityinfo?

Гостевые администраторы GDAP не могут управлять собственными сведениями о безопасности на My Security-Info. Вместо этого они нуждаются в помощи администратора клиента, где они являются гостем, для регистрации, обновления или удаления информации по безопасности. Организации могут настроить политики доступа между клиентами для доверия MFA из доверенного клиента CSP. В противном случае гостевые администраторы GDAP ограничены только методами, которые регистрируются администратором клиентов, что является службой коротких сообщений (SMS) или голосовой связью. Для получения дополнительной информации см. политики межарендаторского доступа.

Какие роли могут использовать партнер для автоматического расширения?

Выравнивайте основополагающий принцип "Никому не доверяй": используйте минимально необходимый доступ.

DAP и GDAP

Заменяет ли GDAP DAP?

Да. В период перехода DAP и GDAP будут сосуществовать с разрешениями GDAP, которые имеют приоритет над разрешениями DAP для рабочих нагрузок Microsoft 365, Dynamics 365 и Azure.

Можно ли продолжать использовать DAP или перенести всех клиентов в GDAP?

DAP и GDAP сосуществуют во время переходного периода. Однако в конечном итоге GDAP заменяет DAP, чтобы обеспечить более безопасное решение для наших партнеров и клиентов. Рекомендуется как можно скорее перенести клиентов в GDAP, чтобы обеспечить непрерывность.

Хотя DAP и GDAP сосуществуют, существуют ли какие-либо изменения в том, как создается связь DAP?

В существующем процессе отношений DAP изменения не предусмотрены, пока DAP и GDAP сосуществуют.

Какие роли Microsoft Entra будут предоставлены по умолчанию для GDAP при создании клиента?

DAP в настоящее время предоставляется при создании нового клиента. 25 сентября 2023 г. Майкрософт больше не предоставляет DAP для создания нового клиента и вместо этого предоставляет GDAP по умолчанию с определенными ролями. Роли по умолчанию зависят от типа партнера, как показано в следующей таблице:

Microsoft Entra роли, предоставленные для GDAP по умолчанию Партнеры с возможностью выставления прямых счетов Косвенные поставщики Косвенные торговые посредники Партнеры по домену поставщики панелей управления (CPV) Советник Отказ от использования GDAP по умолчанию (без DAP)
1. средства чтения каталогов. Может читать основные сведения о каталоге. Часто используется для предоставления доступа к доступу на чтение каталога приложениям и гостям. x x x x x
2. директория записи. Может читать и записывать основные сведения о каталоге. Предоставление доступа к приложениям, не предназначенное для пользователей. x x x x x
3. Администратор лицензий . Может управлять лицензиями на продукты для пользователей и групп. x x x x x
4. Администратор службы поддержки . Может читать сведения о работоспособности службы и управлять запросами в службу поддержки. x x x x x
5. Администратор пользователей. Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов. x x x x x
6. администратор привилегированных ролей. Может управлять назначениями ролей в Microsoft Entra и всеми аспектами управление привилегированными пользователями. x x x x x
7. администратор службы технической поддержки. Может сбрасывать пароли для неадминистраторов и администраторов службы технической поддержки. x x x x x
8. администратор привилегированной проверки подлинности. Может получить доступ для просмотра, настройки и сброса сведений о методе проверки подлинности для любого пользователя (администратора или неадминистратора). x x x x x
9. Администратор облачных приложений. Может создавать и управлять всеми аспектами регистрации приложений и корпоративных приложений, за исключением App Proxy. x x x x
10. администратор приложений. Может создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями. x x x x
11. Global Reader. Может читать все, что доступно глобальному администратору, но не может ничего обновлять. x x x x x
12. администратор внешнего поставщика удостоверений. Может управлять федерацией между организациями Microsoft Entra и внешними поставщиками удостоверений. x
13. администратор доменных имен. Может управлять доменными именами в облаке и локальной среде. x

Как GDAP работает с управление привилегированными пользователями в Microsoft Entra?

Партнеры могут внедрить управление привилегированными пользователями (PIM) в группе безопасности GDAP в клиенте партнера, чтобы повысить доступ у нескольких высокопривилегированных пользователей по принципу "just in time", предоставляя им роли с высоким уровнем привилегий, такие как администратор паролей, с автоматическим снятием доступа. До января 2023г. требуется, чтобы каждая группа привилегированного доступа (прежнее имя функции PIM для групп ) должна находиться в группе с возможностью назначения ролей. Это ограничение теперь снято. Учитывая это изменение, можно включить более 500 групп для каждого арендатора в PIM, но только до 500 групп могут быть назначаемыми ролям. Сводка:

  • Партнеры могут использовать как группы, которым можно назначить роли , так и группы, которым нельзя назначить роли в PIM. Этот параметр эффективно удаляет ограничение на 500 групп/арендатора в PIM.
  • С последними обновлениями существует два способа подключать группу к PIM (с точки зрения UX): из меню PIM или из меню Группы. Независимо от выбранного способа, чистый результат совпадает.
    • Возможность настройки групп с назначаемыми ролями/без назначения ролей через меню PIM уже доступна.
    • Возможность включения групп с назначаемыми ролями и без назначаемых ролей через меню «Группы» уже доступна.
  • Дополнительные сведения см. в разделе управление привилегированными пользователями (PIM) для групп (предварительная версия) — Microsoft Entra.

Как DAP и GDAP сосуществуют, если клиент покупает Microsoft Azure и Microsoft 365 или Dynamics 365?

GDAP общедоступен со поддержкой всех коммерческих облачных служб Майкрософт (Microsoft 365, Dynamics 365, Microsoft Azure и Microsoft Power Platform рабочих нагрузок). Дополнительные сведения о том, как могут сосуществовать DAP и GDAP и как GDAP имеет приоритет, выполните в этом разделе поиск вопроса: «Как разрешения GDAP имеют приоритет над разрешениями DAP, а DAP и GDAP сосуществуют?».

У меня есть большая клиентская база (например, 10 000 учетных записей клиентов). Как перейти с DAP на GDAP?

Это действие можно выполнить с помощью API.

Влияют ли на прибыль накопленных кредитов (PEC) моего партнера изменения при переходе с DAP на GDAP? Существует ли какое-либо влияние на ссылку администратора партнера (PAL)?

Нет. Ваши доходы PEC не затрагиваются при переходе на GDAP. Изменений в PAL при переходе не происходит, что гарантирует вам продолжение заработка PEC.

Затрагивается ли PEC при удалении DAP/GDAP?

  • Если клиент партнера имеет только DAP и DAP удаляется, PEC не теряется.
  • Если клиент партнера имеет DAP, и они переходят в GDAP для Microsoft 365 и Azure одновременно, а DAP удаляется, PEC не теряется.
  • Если у клиента партнера есть DAP, и они переходят в GDAP для Microsoft 365, но оставляют Azure без изменений (не переходят в GDAP) и DAP удаляется, PEC не теряется, но доступ к подписке Azure пропадает.
  • Если роль RBAC удалена, PEC теряется, но удаление GDAP не удаляет RBAC.

Как разрешения GDAP имеют приоритет над разрешениями DAP в то время как DAP и GDAP сосуществуют?

Если пользователь входит в группу безопасности GDAP и группу агентов администрирования DAP, и клиент имеет отношения DAP и GDAP, доступ GDAP имеет приоритет на уровне партнера, клиента и рабочей нагрузки.

Например, если пользователь-партнёр выполняет вход для рабочей нагрузки, а для роли "Глобальный администратор" настроен DAP и для роли "Глобальный читатель" настроен GDAP, пользователь-партнёр получает разрешения только для роли "Глобальный читатель".

Если существует три клиента с назначениями ролей GDAP только группе безопасности GDAP (а не агентам администратора):

схема, показывающая связь между различными пользователями в качестве членов групп безопасности агента администрирования* и GDAP.

Клиент Отношения с партнером
Клиент один DAP (без GDAP)
Клиент два DAP + GDAP оба
Клиент три GDAP (без DAP)

В следующей таблице описывается, что происходит при входе пользователя в арендатора другого клиента.

Пример пользователя Пример клиента-арендатора Поведение Комментарии
Пользователь один Клиент один ЦАП (assuming "DAP" stands for "Data Access Point" - Цифровая точка доступа) В этом примере используется DAP как есть.
Пользователь один Клиент два DAP Нет назначения роли GDAP в группу администраторов, что приводит к функционированию DAP.
Пользователь один Клиент три Нет доступа Нет DAP связи, поэтому группа Администраторов не имеет доступа к третьему клиенту.
Пользователь два Клиент один DAP В этом примере используется DAP в неизменном виде.
Пользователь два Клиент два ГДАП GDAP имеет приоритет над DAP, поскольку роль GDAP назначена пользователю два через группу безопасности GDAP, даже если пользователь является частью группы агента администрирования.
Пользователь два Клиент три ГДАП В этом примере используется только клиент GDAP.
Пользователь три Клиент один Нет доступа Нет назначения роли GDAP клиенту номер один.
Пользователь три Клиент два ГДАП Пользователь три не входит в группу администраторов, что приводит к поведению только GDAP.
Пользователь три Клиент три ГДАП Поведение, доступное только для GDAP

Повлияет ли отключение DAP или переход на GDAP на мои преимущества старых компетенций или полученные мною статусы партнера решений?

DAP и GDAP не являются допустимыми типами ассоциаций для назначений партнеров решений. Отключение или переход с DAP на GDAP не влияет на получение статусов партнёра по решениям. Кроме того, обновление устаревших преимуществ компетенций или преимуществ партнеров решений не затрагивается. Чтобы просмотреть другие типы ассоциаций партнеров, подходящие для присвоения статуса Партнера по Решениям, см. назначения Партнера по Решениям в Центре Партнеров.

Как GDAP работает с Azure Lighthouse? Влияют ли GDAP и Azure Lighthouse друг на друга?

Взаимоотношения между Azure Lighthouse и DAP/GDAP можно рассматривать как независимые параллельные пути к ресурсам Azure. Отключение одного не должно повлиять на другое.

  • В сценарии Azure Lighthouse пользователи из клиента партнера никогда не входят в клиент заказчика и не имеют разрешений Microsoft Entra в клиенте заказчика. Azure RBAC назначения ролей также хранятся в арендаторе партнера.
  • В сценарии GDAP пользователи из арендатора партнера входят в тенант клиента. Назначение роли Azure RBAC группе агентов администрирования также находится в клиенте клиента. Вы можете заблокировать канал GDAP (пользователи больше не смогут войти), при этом канал Azure Lighthouse останется без изменений. Напротив, можно разорвать связь с Lighthouse (проекцией), не влияя на GDAP. Дополнительные сведения см. в документации Azure Lighthouse.

Как GDAP работает с Microsoft 365 Lighthouse?

Управляемые поставщики услуг (MSPs), зарегистрированные в программе поставщик облачных решений (CSP), как косвенные торговые посредники или партнеры с прямым биллингом, теперь могут использовать Microsoft 365 Lighthouse для настройки GDAP для любого клиента. Поскольку существует несколько способов, которыми партнеры управляют переходом в GDAP, этот мастер позволяет партнерам Lighthouse принимать рекомендации по ролям, которые соответствуют их бизнес-потребностям. Он также позволяет им внедрять меры безопасности, такие как доступ по требованию (JIT). MSPs также может создавать шаблоны GDAP с помощью Lighthouse, чтобы легко сохранять и повторно применять параметры, которые обеспечивают доступ клиентов с минимальными привилегиями. Дополнительные сведения и просмотр демонстрации см. в мастере установки Lighthouse GDAP. MSP могут настроить GDAP для любого пользователя в Lighthouse. Для доступа к данным рабочей нагрузки клиента в Lighthouse требуется связь GDAP или DAP. Если GDAP и DAP совместно работают в клиенте, разрешения GDAP имеют приоритет для технических специалистов MSP в группах безопасности с поддержкой GDAP. Дополнительные сведения о требованиях для Microsoft 365 Lighthouse см. в разделе Requirements для Microsoft 365 Lighthouse.

Как лучше всего перейти к GDAP и удалить DAP без потери доступа к подпискам Azure, если у меня есть клиенты с Azure?

Правильная последовательность для этого сценария:

  1. Создайте связь GDAP для как Microsoft 365, так и Azure.
  2. Назначьте роли Microsoft Entra группам безопасности для both Microsoft 365 и Azure.
  3. Настройте GDAP, чтобы иметь приоритет над DAP.
  4. Удалите DAP.

Важный

Если вы не выполните эти действия, существующие агенты администрирования, управляющие Azure, могут потерять доступ к Azure подпискам для клиента.

Следующая последовательность может привести к потере доступа к подпискам Azure:

  1. Удалите DAP. Вы не обязательно теряете доступ к подписке Azure путем удаления DAP. Но в настоящее время вы не можете просмотреть директорию клиента, чтобы выполнить какие-либо назначения ролей Azure RBAC (например, назначить нового пользователя клиента в роли участника RBAC для подписки).
  2. Создайте связь GDAP для both Microsoft 365 и Azure вместе. Вы можете потерять доступ к подписке Azure на этом шаге после настройки GDAP.
  3. Назначение ролей Microsoft Entra группам безопасности для как Microsoft 365, так и Azure

После завершения установки GDAP вы вновь получите доступ к подпискам Azure.

У меня есть клиенты с подписками Azure без DAP. Если переместить их в GDAP для Microsoft 365, я потеряю доступ к подпискам Azure?

Если у вас есть подписки Azure без DAP, которыми вы управляете как владелец, при добавлении для клиента GDAP для Microsoft 365, вы можете утратить доступ к этим подпискам Azure. Чтобы избежать потери доступа, перемещайте клиента в Azure GDAP одновременно с перемещением в Microsoft 365 GDAP.

Важный

Если эти действия не выполняются, существующие агенты администрирования, управляющие Azure, могут потерять доступ к Azure подпискам для клиента.

Можно ли использовать одну ссылку на связь с несколькими клиентами?

Нет. Отношения, как только они приняты, не могут быть повторно использованы.

Если у меня есть отношения реселлера с клиентами без DAP и у которых нет отношений GDAP, могу ли я получить доступ к их подписке Azure?

Если у вас есть отношения торгового посредника с клиентом, вам по-прежнему необходимо установить связь GDAP для управления их подписками Azure.

  1. Создайте группу безопасности (например, диспетчеры Azure) в Microsoft Entra.
  2. Создайте связь GDAP с ролью читателя каталогов.
  3. Сделайте группу безопасности членом группы Admin Agent. После выполнения этих действий вы можете управлять подпиской Azure клиента с помощью AOBO. Вы не можете управлять подпиской с помощью ИНТЕРФЕЙСА командной строки или PowerShell.

Можно ли создать план Azure для клиентов, не имеющих DAP и не связанных с GDAP?

Да. Вы можете создать план Azure, даже если нет DAP или GDAP с существующим реселлером. Но для управления этой подпиской вам потребуется DAP или GDAP.

Почему раздел "Сведения о компании" на странице "Учетная запись" в разделе "Клиенты" больше не отображаются при удалении DAP?

При переходе от DAP к GDAP партнеры должны убедиться, что выполнены следующие условия, чтобы просмотреть информацию о компании:

Почему мое имя пользователя заменяется на "user_somenumber" в portal.azure.com, когда существует отношение GDAP?

Когда поставщик служб CSP входит на портал Azure клиента (portal.azure.com) с использованием учетных данных CSP и существует связь GDAP, CSP замечает, что их имя пользователя — это "user_", за которым следует некоторое число. Он не отображает фактическое имя пользователя, как в DAP. Это задумано.

Снимок экрана имени пользователя с отображением замены.

Каковы сроки остановки DAP и предоставления GDAP по умолчанию при создании нового клиента?

Тип клиента Дата доступности Поведение API партнёрского центра (POST /v1/customers)
включитьGDAPПоУмолчанию: истина		 Поведение API Центра партнеров (POST /v1/customers)
enableGDAPByDefault: false		 Поведение API Центра партнеров (POST /v1/customers)
Нет изменений в запросе или полезной нагрузке.		 Поведение пользовательского интерфейса Центра партнеров
Песочница 25 сентября 2023 г. (только API) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Да. GDAP по умолчанию = Нет GDAP по умолчанию = Да
Производство 10 октября 2023 г. (API +UI) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Да. GDAP по умолчанию = Нет Возможность подключения/отключения: GDAP по умолчанию
Продакшн 27 ноября 2023 г. (развертывание общедоступной версии завершено 2 декабря) DAP = Нет. GDAP по умолчанию = Да DAP = Нет. GDAP по умолчанию = Нет DAP = Нет. GDAP по умолчанию = Да Доступно участие/отказ: GDAP по умолчанию

Партнеры должны явно предоставлять подробные разрешения группам безопасности, в GDAP по умолчанию.
По состоянию на 10 октября 2023 года DAP больше недоступен в реселлерских отношениях. Обновленная ссылка на запрос установки отношений с реселлером доступна в пользовательском интерфейсе Центра партнеров, а URL-адрес свойства "/v1/customers/relationship requests" возвращает URL-адрес приглашения, который будет отправлен администратору клиента.

Следует ли партнеру предоставлять детализированные разрешения группам безопасности в GDAP по умолчанию?

Да, партнеры должны явно предоставлять подробные разрешения группам безопасности в GDAP по умолчанию для управления клиентом.

Какие действия может выполнять партнер с отношением торгового посредника, но без DAP и GDAP в Центре партнеров?

Партнеры с отношениями торгового посредника только без DAP или GDAP могут создавать клиентов, размещать заказы и управлять ими, скачивать ключи программного обеспечения, управлять Azure RI. Они не могут просматривать сведения о компании клиента, не могут просматривать пользователей или назначать лицензии пользователям, не могут регистрировать билеты от имени клиентов и не могут получать доступ к конкретным центрам администрирования продукта (например, Центр администрирования Teams).

Какое действие должен выполнить партнер, переходя от DAP к GDAP в отношении согласия?

Для того чтобы партнер или CPV получили доступ к клиентскому арендатору и управляли им, основной объект службы приложения должен получить согласие в клиентском арендаторе. Если DAP активен, они должны добавить служебный принципал приложения в группу безопасности агентов администрирования в арендаторе партнера. Партнер должен с помощью GDAP убедиться, что в тенанте клиента было дано согласие на его приложение. Если приложение использует делегированные разрешения (Приложение + Пользователь) и существует активный GDAP с любой из трех ролей (Администратор облачных приложений, Администратор приложений), можно использовать API согласия . Если приложение использует разрешения только приложения, партнер или клиент с любой из трех ролей (администратор облачных приложений, администратор приложений) должны получить согласие вручную с помощью URL-адреса согласия администратора на уровне клиента.

Какое действие должен выполнить партнер в случае ошибки 715-123220, когда анонимные подключения не разрешены для этой службы?

Если появится следующая ошибка:

Мы не можем проверить ваш запрос «Создать новую связь GDAP» на данный момент. Анонимные подключения для этой службы не разрешены. Если вы считаете, что вы получили это сообщение в ошибке, повторите запрос. Выберите, чтобы узнать о действиях, которые можно предпринять. Если проблема сохранится, обратитесь в службу поддержки и укажите код сообщения 715-123220 и идентификатор транзакции: GUID.

Измените способ подключения к Майкрософт, чтобы служба проверки подлинности выполнялась правильно. Это помогает убедиться, что ваша учетная запись не скомпрометирована и соответствует нормативным требованиям, которым Майкрософт должны соответствовать.

Действия, которые можно сделать:

  • Снимите кэш браузера.
  • Отключите защиту отслеживания в браузере или добавьте наш сайт в список исключений или безопасных данных.
  • Отключите любую программу или службу виртуальной частной сети (VPN), которую вы можете использовать.
  • Подключитесь непосредственно с локального устройства, а не через виртуальную машину.

Если после выполнения предыдущих действий вы по-прежнему не можете подключиться, мы рекомендуем проконсультироваться с ИТ-службой технической поддержки, чтобы проверить параметры, чтобы узнать, может ли они определить причину проблемы. Иногда проблема связана с параметрами сети вашей компании. ИТ-администратору потребуется решить проблему, например, добавив наш сайт в список разрешенных или внеся другие изменения в настройки сети.

Какие действия GDAP разрешены для партнера, который отключен, ограничен, приостановлен и отключен?

  • Ограничено (прямой биллинг): невозможно создать новые отношения GDAP (административные отношения). Существующие GDAPs и их назначения ролей МОГУТ быть обновлены.
  • Создание нового GDAP невозможно (приостановлено прямой счет/косвенный поставщик/косвенный торговый посредник). Существующие GDAPs и их назначения ролей не подлежат обновлению.
  • Ограниченный (прямой счет) + активный (косвенный торговый посредник): для ограниченного прямого счета: новый GDAP (административные отношения) не может быть создан. Существующие GDAP и их назначения ролей могут быть обновлены. Для активного косвенного торгового посредника: может быть создан новый GDAP, существующие GDAP и их назначения ролей могут быть обновлены. При отключении невозможно создать новый GDAP, а существующие GDAP и их назначения ролей не могут быть обновлены.

Предложения

Включено ли управление подписками Azure в данное обновление GDAP?

Да. Текущий выпуск GDAP поддерживает все продукты: Microsoft 365, Dynamics 365, Microsoft Power Platform и Microsoft Azure.