infosystem.dk ● Mylius Erichsens Vej 11 ● 7000 Fredericia ● Danmark
+45 20 45 99 15
admin@infosystem.dk

Sådan anmoder du om GDAP-rettigheder fra din CSP

Denne guide er relevant for dig, der er indirect reseller af Microsoft 365-løsninger. 

Hvad er GDAP?    

GDAP (Granular Delegated Admin Priviliges) er Microsofts nye administrationsform.

GDAP erstatter den gamle administrationsform, DAP (Delegated Administration Priviliges), og alle, der tidligere har brugt DAP, skal nu bruge GDAP.

Med GDAP er det nemmere for Microsofts kunder at: 

  • Administrere, hvilke data en forhandler/leverandør har behov for og adgang til 
  • Sikre, at rettighederne er korrekte og opdaterede. 

Hvornår har du brug for GDAP-rettigheder? 

Da der kun fandtes DAP, havde du altid rettigheder til alle funktioner på en kunde. Med GDAP skal du bede slutkunden om adgang til hver enkelt rettighed. 

 

Sådan anmoder du om GDAP-rettigheder 

Hvis du, når du er logget ind, ikke har nogen rettigheder til en kunde, vil du se følgende under “Service management” i CSP’en. 

Det er også muligt, at du har GDAP-rettigheder til nogle ting, men mangler andre menupunkter. 

1. When missing DAP and GDAP

For at anmode kunden om én eller flere GDAP-rettigheder skal du gå til “Admin relationships” under kunden i CSP’en. 

Tryk på “Request for new relationship”.

1.A. New GDAP when already have GDAP or DAP

 

På næste side definerer du, hvad der skal indgå i jeres relationship, og hvor lang tid det skal vare: 

1. “Admin relationship name” er synligt for kunden, og du kan kalde det, hvad du vil, så længe det er unikt på CSP’en. (Når vi genererer det fra et system, vælger vi fx Admin Invitation XXXX)

2. “Duration days” kan du sætte til alt mellem 1 og 730 dage. Det definerer, hvor længe jeres relationship er aktivt. Når jeres relationship udløber, mister du rettigheden igen. 

3. “Select Azure AD roles”: Her vælger du, hvilke rettigheder der skal indgå i jeres relationship. Kunden skal acceptere alle rettigheder i et relationship. 

4. “Select Azure AD roles” fortsat: I dette eksempel er der valgt “Global administrator”-rettigheder, som giver adgang til alt. Afhængigt af hvad der skal gøres på kunden, kan du vælge én eller flere rettigheder.

Bemærk: Rollen “Guest Inviter” har en kendt bug ved Microsoft, hvor den kan ødelægge nogle af de andre rettigheder, så vælg helst ikke den rolle. 

5. “Save” 
6. “Finalize request” 

2. Create new GDAP invitation - green arrows

 

Microsoft genererer nu et link, som du skal dele med kunden (tenanten). 

De autofylder også en tekst, du kan sende med linket. Er du allerede i dialog med kunden, behøver du ikke teksten. Det er kun linket, I har brug for. 

Linket har dette format: 

https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/73bfe515-3772-4b76-807a-6aa6567f7865-10229313-5e0e-473b-954b-21da54652899 

3. Send invitation to Tenant

Kunden skal nu åbne linket og logge ind med sin admin bruger – eller en anden bruger med global admin. 

Bemærk, at kunden kan blive præsenteret for en fejl, hvis kunden åbner linket og er logget ind med en anden bruger. 

Sker det, skal kunden logge af eller bruge en anden browser/inkognito mode. 

Er brugeren ikke admin bruger eller udstyret med de rette rettigheder, vil kunden også opleve en fejl. 

4. As tenant, follow link, login as admin, approve - Zitcom

Når kunden har accepteret, fremgår det nye relationship i kundens oversigt (Det kan være nødvendigt med et ekstra tryk på f5-knappen her)

Der kan være flere GDAP-relationer mellem hver tenant og partneren/reselleren, og de kan have forskellige udløbsdatoer og roller. 

Under “other partner types” kan du se gamle DAP relationships. I dette eksempel står der ‘none’, da DAP-relationen er fjernet. 

Fra denne side kan kunden også fjerne GDAP- og DAP-relationer. 

10. As Tenant, Gdap active and DAP None - Zitcom

Når kunden har accepteret relationen, skal du tildele den en security group, før den bliver aktiv. 

Dette gør du fra CSP’en. 

Du vælger den nye relation fra “Admin relationships” under kunden. Står der ikke “Active” under status, har kunden ikke accepteret relationen endnu. 

5. As CSP when Admin Relationship is Active

Vælg “Add security group”, og vælg alle security groups, der skal have adgang til relationen. 

6. Add SecurityGroup to Admin relationship, to allow access for users of the selected group

Vælg derefter, hvilke roller de valgte security groups skal have. Du kan vælge én til flere af rollerne. 

7. Select which Gdap Roles the SecurityGroup is allowed to access

Når du har tildelt security groups til relationen, kan du se dem på “Admin relationships”-siden. Skal du bruge flere rettigheder, eller er relationen udløbet/slettet, skal du oprette en ny GDAP-relation. 

8. Gdap active

Du bør nu have rettigheder til at tilgå tenant’en. Bemærk dog, at der kan gå nogle minutter, før det slår igennem hos Microsoft. 

9. Impersonation of tenant

Skriv et svar