相应的角色:管理员代理
本文提供有关哪些最低特权Microsoft Entra 内置角色可用于每个精细委派管理员权限(GDAP)功能的指南。 例如,代表客户提交支持请求需要 服务支持管理员 角色,这是客户租户上最低特权Microsoft Entra 内置角色。
创建支持请求
间接经销商无法为 Azure 创建支持请求。 而是必须与间接提供商合作。
| 若要创建支持请求,请执行: | 直接计费合作伙伴和间接提供商必须具有以下最低特权角色: |
|---|---|
| Microsoft 365 管理中心中Microsoft 365 | GDAP 角色分配给具有 Microsoft.office365.supportTickets/allEntities/allTasks 权限的角色,例如 服务支持管理员 |
| Power Platform 管理中心中的 Dynamics 365 | GDAP 角色分配给具有 Microsoft.office365.supportTickets/allEntities/allTasks 权限的角色,例如 服务支持管理员 |
| Azure 门户中的 Azure 订阅资源 | 先决条件:若要代表客户使用客户的 Azure 订阅创建请求,合作伙伴必须与客户建立经销商关系,如 CSP 区域授权中所述。 有关详细信息,请参阅 设置 Azure GDAP 的步骤。 对 Microsoft Entra 角色的任何 GDAP 分配,例如 目录读取者, -和- Azure 基于角色的访问控制(RBAC)角色分配至具有 Microsoft.Support/supportTickets/write 权限的角色,例如 支持请求参与者 |
| Azure 门户中的 Microsoft Entra ID | 替代项 1:如果客户没有Microsoft Entra ID P1 或 P2 先决条件:若要代表客户使用客户的 Azure 订阅创建请求,合作伙伴必须与每个 CSP 区域授权的客户建立经销商关系。 有关详细信息,请参阅 设置 Azure GDAP 的步骤。 对 Microsoft Entra 角色的任何 GDAP 分配,例如 目录读取者, -和- 将 Azure RBAC 角色分配给具有 Microsoft.Support/supportTickets/write 权限的角色,例如支持请求参与者 替代 2:如果客户Microsoft Entra ID P1 或 P2 任何 GDAP 分配给具有以下Microsoft Entra 角色的角色:microsoft.azure.supportTickets/allEntities/allTasks 权限,例如服务支持管理员 |
按合作伙伴类型划分的 GDAP 角色
间接提供商
建议将以下角色用于间接提供商进行交易和管理:
- 新建客户租户
- 设置经销商关系
- 购买
- 订阅管理
- 升级
- 转换
- 创建客户用户和分配许可证
- 客户服务请求(代表客户创建请求)
| 角色 | 描述 |
|---|---|
| 读取者角色: | |
| 目录读取者 | 可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限 |
| 目录写入者 | 可以读取和写入基本目录信息。 用于授予对应用程序的访问权限,不针对用户。 |
| 全局读取者 | 可以读取全局管理员可以执行的所有操作,但无法更新任何内容 |
| 用户管理和许可证管理: | |
| 用户管理员 | 可以管理用户和组的所有方面,包括重置有限管理员的密码 |
| 许可证管理员 | 可以管理用户和组的产品许可证 |
| 服务支持管理员 | 可以读取服务运行状况信息并管理支持请求 |
| 技术支持: | |
| 技术支持管理员 | 可以为非管理员和技术支持管理员重置密码 |
直接计费合作伙伴、间接经销商和顾问
对于同时扮演 MSP 角色的间接经销商、顾问和直接计费合作伙伴,建议使用以下角色。 它们都归类为专门托管服务提供商(MSP),他们完全将客户的环境作为外包 IT 部门进行管理。 本部分是任务和函数所需的分类角色。
托管服务中一级技术人员的典型任务
| 角色 | 任务 | Function |
|---|---|---|
| 服务支持管理员 | 代表客户提交支持请求。 | 技术支持创建和管理支持请求。 |
| 安全读取者 | 跨 Microsoft 365 服务查看与安全相关的策略。 | 技术支持收集有关客户租户的发现,以排查或更新安全和合规性门户策略,例如数据丢失防护策略。 |
| Intune 管理员 | 可以管理 Intune 产品的所有方面。 | 技术支持处理客户设备注册和故障排除。 |
| SharePoint 管理员 | 可以管理 SharePoint 服务的所有方面。 | 技术支持管理 SharePoint 站点权限。 |
| Teams 通信支持专员 | 可以管理 Microsoft Teams 服务。 | 技术支持排查呼叫质量问题。 |
| 技术支持管理员 | 可以为非管理员和这些管理员重置密码:目录读取者来宾邀请者技术支持管理员消息中心读取者密码管理员报告读取者。 | 技术支持重置密码。 |
| 桌面分析管理员 | 可访问和管理桌面管理工具和服务。 | 技术支持可以通过查看资产清单和读取授权策略的标准属性来管理桌面分析服务。 |
| 身份验证管理员 | 可以访问并查看、设置和重置任何非管理员用户的身份验证方法信息。 | 技术支持可以访问并查看、设置和重置任何非管理员用户的身份验证方法信息(例如 MFA 和条件访问)。 |
| Exchange 管理员 | 当服务存在时,具有此角色的用户在 exchange Online Microsoft具有全局权限。 还可以创建和管理所有Microsoft 365 组、管理支持请求和监视服务运行状况;可以发送 OBO 并管理收件箱。 | 技术支持管理共享邮箱,帮助解决邮箱配额问题,并创建和管理传输规则。 |
| 许可证管理员 | 可以分配、删除和更新许可证作业。 | 在故障排除期间,技术支持会评估并修正支持请求是否存在许可问题。 |
| 用户管理员 | 可以管理用户和组的所有方面,包括重置受限管理员的密码;可以阻止用户登录。 | 技术支持管理用户和组的各个方面,包括重置受限管理员的密码,并阻止前客户员工访问 Microsoft 365 服务。 |
| 组管理员 | 此角色的成员可以创建/管理组、创建/管理组设置(如命名和过期策略)以及查看组活动和审核报告。 | 技术支持将所有者添加到组,并将成员添加到组。 |
| 目录读取者 | 充当此角色的用户可以读取基本的目录信息。 | 技术支持可以在故障排除过程中读取基本目录信息。 |
| 消息中心读取者 | 只能在 Office 365 消息中心查看其组织的消息和更新。 | 技术支持可查看消息中心以排查支持问题。 |
| 打印机管理 | 具有此角色的用户可以在 Microsoft 通用打印解决方案中注册打印机并管理所有打印机配置的各方面,其中包括“通用打印连接器”设置。 他们可以同意所有委托的打印权限请求。 打印机管理员还有权访问打印报告。 | 技术支持可管理打印机配置并排查打印机问题。 |
| 来宾邀请者 | 此角色中的用户可以管理Microsoft Entra B2B 来宾用户邀请。 | 技术支持可以邀请与“成员可邀请来宾”设置无关的来宾用户。 |
按任务分配的最低特权角色
下表显示了每个 GDAP 功能中的任务,以及执行每个任务所需的最低特权角色。
| GDAP 功能 | 任务 | 最低特权角色 |
|---|---|---|
| 支持 | 提交支持票证 | 服务支持管理员 |
| 用户 | 将用户添加到目录角色 | 特权角色管理员 |
| 将用户添加到组 | 用户管理员 | |
| 分配许可证 | 许可证管理员 | |
| 创建来宾用户 | 来宾邀请者 | |
| 重置来宾用户邀请 | 用户管理员 | |
| 创建用户 | 用户管理员 | |
| 删除用户 | 用户管理员 | |
| 使受限管理员的刷新令牌失效 | 用户管理员 | |
| 使非管理员的刷新令牌失效 | 密码管理员 | |
| 使特权管理员的刷新令牌失效 | 特权身份验证管理员 | |
| 读取基本配置 | 默认用户角色 | |
| 重置受限管理员的密码 | 用户管理员 | |
| 重置非管理员的的密码 | 密码管理员 | |
| 重置特权管理员的密码 | 特权身份验证管理员 | |
| 撤销许可证 | 许可证管理员 | |
| 更新除用户主体名称之外的所有属性 | 用户管理员 | |
| 更新受限管理员的用户主体名称 | 用户管理员 | |
| 更新特权管理员的用户主体名称 | 全局管理员 | |
| 更新用户设置 | 全局管理员 | |
| 更新身份验证方法 | 身份验证管理员 | |
| 组 | 分配许可证 | 用户管理员 |
| 创建组 | 组管理员 | |
| 创建、更新或删除组或应用的访问评审 | 用户管理员 | |
| 管理组到期时间 | 用户管理员 | |
| 管理组设置 | 组管理员 | |
| 读取所有配置(隐藏成员身份除外) | 目录读取者 | |
| 读取隐藏成员身份 | 组成员 | |
| 读取具有隐藏成员身份的组的成员身份 | 技术支持管理员 | |
| 撤销许可证 | 许可证管理员 | |
| 更新组成员身份 | 组所有者 | |
| 更新组所有者 | 组所有者 | |
| 更新组属性 | 组所有者 | |
| 删除组 | 组管理员 | |
| 许可证 | 分配许可证 | 许可证管理员 |
| 读取所有配置 | 目录读取者 | |
| 撤销许可证 | 许可证管理员 |
按复杂性划分的角色
| 角色 | 简单 | 中 | Complex |
|---|---|---|---|
| 应用程序管理员 | x | ||
| 应用程序开发人员 | x | ||
| 攻击有效负载作者 | x | ||
| 攻击模拟管理员 | x | ||
| 身份验证管理员 | x | ||
| Microsoft已加入 Entra 的设备本地管理员 | x | ||
| Azure DevOps 管理员 | x | ||
| Azure 信息保护管理员 | x | ||
| 帐务管理员 | x | ||
| 云应用程序管理员 | x | x | |
| 云设备管理员 | x | ||
| 法规管理员 | x | ||
| 条件访问管理员 | x | ||
| 桌面分析管理员 | x | ||
| 目录读取者 | x | x | x |
| 目录同步帐户 | x | ||
| 域名管理员 | x | ||
| Dynamics 365 管理员 | x | x | |
| Exchange 管理员 | x | x | |
| Exchange 收件人管理员 | x | ||
| 外部标识提供者管理员 | x | ||
| 全局读取者 | x | x | x |
| 组管理员 | x | ||
| 来宾邀请者 | x | ||
| 支持管理员 | x | x | x |
| 混合标识管理员 | x | ||
| 见解管理员 | x | ||
| Intune 管理员 | x | x | |
| 许可证管理员 | x | x | x |
| 消息中心隐私读取者 | x | ||
| 消息中心读取者 | x | ||
| 网络管理员 | x | ||
| Office 应用管理员 | x | ||
| 密码管理员 | x | ||
| Power BI 管理员 | x | x | |
| Power Platform 管理员 | x | x | |
| 打印机管理员 | x | ||
| 打印机技术人员 | x | ||
| 特权身份验证管理员 | x | ||
| 特权角色管理员 | x | ||
| 报表读取者 | x | x | |
| 搜索管理员 | x | ||
| 搜索编辑器 | x | ||
| 安全管理员 | x | x | |
| 安全读取器 | x | x | |
| 服务支持管理员 | x | x | x |
| SharePoint 管理员 | x | x | |
| 适用于企业的管理员Skype | x | ||
| Teams 管理员 | x | x | |
| Teams 通信管理员 | x | ||
| Teams 通信支持工程师 | x | ||
| Teams 通信支持专家 | x | ||
| Teams 设备管理员 | x | ||
| 用户管理员 | x | x | x |
| Windows 365 管理员 | x | x |