Når du setter opp Granular Delegated Admin Privileges (GDAP)-relasjoner med kundetenanter, må Cloud Factory-partnere be om relevante Azure Entra-roller. Microsoft tilbyr 13 forhåndsdefinerte roller spesielt utformet for partneradministrasjonsscenarier. Det er kritisk å forstå hva hver rolle kan gjøre for å implementere minste-privilegie-tilgang samtidig som du opprettholder operasjonell effektivitet.
Hva er GDAP forhåndsdefinerte roller?
GDAP erstatter det eldre Delegated Admin Privileges (DAP) med en moderne, granulær tillateselsesmodell. I stedet for å gi Global Administrator-tilgang til kundetenanter ber du om spesifikke roller som er på linje med dine operative behov. De 13 forhåndsdefinerte rollene dekker vanlige partnerscenarier: fra brukeradministrasjon til lisensadministrasjon til sikkerhetsdrift.
De 13 GDAP forhåndsdefinerte roller
1. Global Reader
Hva det gjør: Skrivebeskyttet tilgang til alt en Global Administrator kan se, men kan ikke gjøre endringer.
Use case: Revisjon, compliance-rapportering og synlighet i kundekonfigurasjon.
Viktigste tillatelser:
- Les alle kataloginnstillinger, brukere, grupper og roller
- Vis leierinnstillinger og policyer
- Få tilgang til revisjonslogger og rapporter
Best for: Compliance-offiserer, revisorer og skrivebeskyttede overvåkingsroller.
2. Security Reader
Hva det gjør: Vis sikkerhetsinformasjon og risikofrapporter på tvers av Microsoft 365.
Use case: Overvåk sikkerhetsstilling, trusseldeteksjon og hendelsesrapporter.
Viktigste tillatelser:
- Les sikkerhetsvarsler i Microsoft Defender
- Få tilgang til risikodeteksjoner og risikouserrapporter
- Vis Azure AD-sikkerhetskonfigurasjon
Best for: Sikkerhetsorering og trusselvurdering uten reparasjonevne.
3. User Administrator
Hva det gjør: Full administrasjon av brukerkonti og grupper (unntatt passordreset for administratorer).
Use case: Onboarding, offboarding, brukerlivssyklus-administrasjon og gruppeadministrasjon.
Viktigste tillatelser:
- Opprett, oppdater og slett brukere og grupper
- Administrer gruppemedlemskap
- Tilbakestill passord for ikke-administrator-brukere
- Administrer brukerlisenset (med License Administrator)
Best for: HR-tilkoblede operasjoner, medarbeidersyklus-administrasjon.
4. Helpdesk Administrator
Hva det gjør: Begrenset brukeradministrasjon med fokus på passordreset og support.
Use case: Tier-1/Tier-2 supportteam som gir passordstøtte.
Viktigste tillatelser:
- Tilbakestill passord for ikke-administratorer
- Invalidér oppfriskningstoken (tving utlogging)
- Vis begrenset brukerinformasjon
Best for: Support desk-team som håndterer passordreset bare.
5. License Administrator
Hva det gjør: Administrer produktlisenset på brukere og grupper.
Use case: Lisensiering, compliance og kostnadoptimisering.
Viktigste tillatelser:
- Tildel, fjern og endre brukerlisenset
- Administrer gruppebasert lisensiering
- Vis lisensbruken og compliance-rapporter
Best for: IT-aktivadministrasjon, lisensoperasjoner og kostnadsinnsparing.
6. Application Administrator
Hva det gjør: Opprett og administrer alle appregistreringer og enterprise-apper (full kontroll).
Use case: SaaS-integrasjon, egendefinerte applikasjoner og identitetsfødeling.
Viktigste tillatelser:
- Opprett og slett appregistreringer
- Administrer innstillinger for applikasjonsproxy
- Konfigurer enterprise-appintegrasjoner
- Oppdater applikasjonstillatelser og samtykkepolicyer
Best for: Integrasjonsengineers, identitetsarkitekter, appdistribusjonsteam.
7. Cloud Application Administrator
Hva det gjør: Administrer sky-apper og appregistreringer (ekskluderer App Proxy).
Use case: SaaS-distribusjon og sky-applikasjonsstyring uten lokale proxy.
Viktigste tillatelser:
- Opprett og administrer appregistreringer
- Konfigurer sky enterprise-apper
- Administrer delegerte og applikasjonstillatelser
- Kan ikke administrere applikasjonsproxy
Best for: Sky-først-miljøer hvor lokale appproxy ikke er nødvendig.
8. Directory Readers
Hva det gjør: Les grunnleggende kataloginformasjon for applikasjoner og gjester.
Use case: Service principals og applikasjoner som trenger katalogsynlighet.
Viktigste tillatelser:
- Les bruker-, gruppe- og organisasjonsenhetsinformasjon
- Vis grunnleggende katalogegenskaper
- Beregnet for applikasjoner, ikke menneskebrukere
Best for: Tjenestekontotillatelser, appintegrasjoner som krever kataloglesning.
9. Directory Writers
Hva det gjør: Les og skriv grunnleggende kataloginformasjon for applikasjoner.
Use case: Automatisert appfremstilling og katalogsynkroniseringsverktøy.
Viktigste tillatelser:
- Les og skriv bruker-, gruppe- og organisasjonsegenskaper
- Beregnet for applikasjoner og tjenestekonnekter
- Støtter appfremstillingsarbeidsflyten
Best for: Azure AD Connect, appfremstillingsagenter og synkroniseringsverktøy.
10. Privileged Role Administrator
Hva det gjør: Administrer rolletildelinger og Privileged Identity Management (PIM).
Use case: Administrativ tilgangskontroll og just-in-time-privilegieøkning.
Viktigste tillatelser:
- Tildel roller til brukere og grupper
- Administrer PIM-innstillinger og godkjennelser
- Aktiver privilegiert tilgang
- Vis og administrer rolletillatelser
Best for: Identitetsstyring, administrativ tilgangskontroll, compliance-rammer.
11. Privileged Authentication Administrator
Hva det gjør: Vis og tilbakestill godkjenningsmetoder for enhver bruker (admin eller ikke-admin).
Use case: MFA-feilsøking, passordreset for alle brukere inkludert administratorer.
Viktigste tillatelser:
- Vis og tilbakestill godkjenningsmetodeinformasjon
- Tving utlogging ved å invalidere oppfriskningstoken
- Tilbakestill passord for alle brukere (inkludert andre administratorer)
- Administrer MFA-innstillinger
Best for: Godkjenningssupportteam, helpdesk som krever bred passordresetmyndighet.
12. Domain Name Administrator
Hva det gjør: Administrer domenenenavn i både sky og lokale kataloger.
Use case: Domeneverifikasjon, DNS-styring og multi-leier domeneoperasjoner.
Viktigste tillatelser:
- Legg til og fjern domener
- Administrer domenepåstander og verifikasjon
- Konfigurer domenefederasjonsinnstillinger
Best for: IT-drift som administrerer flere kundedomener, Azure AD Connect-miljøer.
13. Service Support Administrator
Hva det gjør: Les tjenestestatus og administrer supportbilletter.
Use case: Overvåk leierhelsetatus og administrer Microsoft-supportforespørsler.
Viktigste tillatelser:
- Vis Azure og Microsoft 365 servicestatus
- Opprett og administrer supportbilletter
- Vis servicehendelser og veiledninger
Best for: Operasjonsteam som håndterer supportkoordinering og tjenestestatus-overvåking.
Kartlegging av roller til vanlige partnerscenarier
Scenario 1: Onboarding av nyansatt
Roller nødvendig: User Administrator, License Administrator
Hvorfor: Opprett brukere, administrer gruppemedlemskap, tildel lisenset—alt som kreves for medarbeideretablering.
Scenario 2: Support Desk-drift
Roller nødvendig: Helpdesk Administrator, Privileged Authentication Administrator (hvis administrator passordreset kreves)
Hvorfor: Håndter passordreset og grunnleggende brukeroppslag uten full brukeradministrasjonskapasitet.
Scenario 3: Appintegrasjon (SaaS)
Roller nødvendig: Cloud Application Administrator, Directory Readers
Hvorfor: Registrer apper, konfigurer integrasjoner og tillat apper å lese katalog for etablering.
Scenario 4: Sikkerhet og compliance
Roller nødvendig: Global Reader, Security Reader, Privileged Role Administrator
Hvorfor: Overvåk sikkerhetsstilling, vis alle konfigurasjoner og administrer administrativ tilgang uten å gjøre endringer.
Scenario 5: Multi-leier-drift
Roller nødvendig: Global Reader, License Administrator, Domain Name Administrator, Service Support Administrator
Hvorfor: Administrer lisenset på tvers av kunder, håndter domener og overvåk tjenestestatus.
Hvorfor granulære roller betyr noe for GDAP
Skiftet fra DAP til GDAP er grunnleggende: i stedet for å gi bred Global Administrator-tilgang ber du bare om det du trenger. Denne tilnærmingen:
- Reduserer risiko: Begrenset tillatelse betyr mindre potensiell skade fra kompromitterte konti
- Forbedrer revisjonsloggene: Spesifikke roller gjør det lettere å spore hvem som gjorde hva
- Muliggjør kundetillit: Lejere føler seg tryggere med minste-privilegie-tilgang
- Forenkler delegasjon: Hvert teammedlem får nøyaktig det de trenger
Best practices for å be om GDAP-roller
1. Start med minimale tillatelser
Be om det minste settet av roller som kreves for brukssituasjonen. Du kan alltid legge til mer senere, men over-etablering skaper sikkerhetsgjeldet.
2. Separer oppgaver
Tildel ulike roller til ulike mennesker:
- Brukeradministrasjon til HR-tilkoblede ansatte
- Sikkerhetsorering til sikkerhetsteam
- Support til helpdesk
- Lisensadministrasjon til innkjøp/IT-drift
3. Dokumenter forespørslene
For hver kunde dokumenterer du hvorfor du ber om hver rolle. Dette hjelper under revisjon og når nye teammedlemmer onboardes.
4. Overvåk og gjennomgå
Regelmessig revisjon av hvem som har hvilke roller og bekreft at de fortsatt aktivt bruker dem. Fjern roller som ikke lenger er nødvendige.
5. Bruk PIM for forhøyede roller
For svært følsomme roller som Privileged Role Administrator vurderer du å bruke Privileged Identity Management (PIM) til å kreve godkjenning for aktivering i stedet for stående tildelinger.
TL;DR
- GDAP tilbyr 13 forhåndsdefinerte roller skapt for partneradministrasjonsscenarier
- Global Reader = skrivebeskyttet tilgang til alt
- User/License/Domain Administrators = operative ledelsesroller
- Application/Cloud Application Administrators = integrasjon og SaaS-styring
- Security/Privileged Role/Helpdesk Administrators = support- og sikkerhetsdrift
- Directory Readers/Writers = tjenestekonto- og applikasjonstillatelser
- Be om roller ved å bruke minste-privilegie-prinsippet: Be bare om det du trenger
- Separer oppgaver: Ulike teammedlemmer håndterer ulike funksjoner
- Vanlig gjennomgang: Revisjon av tillatelser hver kvartal og fjern ubrukte roller
- Bruk PIM: Vurder just-in-time-økning for svært følsomme roller
Neste trinn: Gjennomgå Cloud Factorys GDAP-forespørselsarbeidsflyt og kartlegg teamfunksjonene dine til de relevante forhåndsdefinerte rollene. Start med minimale tillatelser og utvid etter behov.