Transizione guidata di Microsoft da DAP a GDAP
Ruoli appropriati: tutti gli utenti interessati al Centro per i partner
Microsoft assiste i partner Jumpstart che non hanno avviato la transizione dai protocolli di accesso delegato (DAP) ai protocolli di accesso delegato granulari (GDAP). Questa assistenza consente ai partner di ridurre i rischi di sicurezza spostandosi verso gli account che usano procedure consigliate per la sicurezza, tra cui l'uso di contratti di sicurezza con diritti minimi e limitati a tempo.
Funzionamento della transizione guidata da Microsoft
- Microsoft crea automaticamente una relazione GDAP con otto ruoli predefiniti.
- I ruoli vengono assegnati automaticamente ai gruppi di sicurezza Cloud Solution Provider (CSP) predefiniti.
- Dopo 30 giorni, DAP viene rimosso.
Programmazione
Microsoft ha iniziato la transizione da DAP a GDAP il 22 maggio 2023. C'è un periodo di black-out nel mese di giugno. La transizione riprenderà dopo luglio.
Chi è qualificato per la transizione guidata da Microsoft?
Questa tabella mostra un riepilogo generale:
DAP abilitato | Relazione GDAP esistente | Relazione GDAP nello stato "Approvazione in sospeso" | Relazione GDAP terminata/scaduta | Idoneità per la transizione guidata da Microsoft |
---|---|---|---|---|
Sì | No | N/D | N/D | Sì |
Sì | Sì | No | No | No |
Sì | Sì | Sì | No | No† |
Sì | Sì | No | Sì | No† |
No | Sì | No | No | No† |
No | No | No | Sì | No |
Se è stata creata una relazione GDAP, Microsoft non creerà una relazione GDAP come parte della transizione guidata da Microsoft. La relazione DAP verrà invece rimossa a luglio 2023.
È possibile qualificarsi per far parte della transizione guidata da Microsoft in uno degli scenari seguenti:
- È stata creata una relazione GDAP e la relazione si trova in uno stato di approvazione in sospeso. Questa relazione verrà ripulita dopo tre mesi.
- † È possibile qualificarsi se è stata creata una relazione GDAP, ma la relazione GDAP è scaduta. La qualificazione dipende dalla durata della scadenza della relazione:
- Se la relazione è scaduta meno di 365 giorni fa, non viene creata una nuova relazione GDAP.
- Se la relazione è scaduta più di 365 giorni fa, la relazione viene rimossa.
Ci sarà un'interruzione per i clienti dopo la transizione guidata da Microsoft?
I partner e la loro attività sono unici. Dopo aver creato la relazione GDAP tramite lo strumento di transizione guidato da Microsoft, GDAP ha la precedenza su DAP.
Microsoft consiglia ai partner di testare e creare nuove relazioni con i ruoli necessari mancanti nello strumento di transizione guidato da Microsoft. Creare una relazione GDAP con i ruoli in base ai casi d'uso e ai requisiti aziendali per garantire una transizione uniforme da DAP a GDAP.
Quali ruoli di Microsoft Entra assegna quando viene creata una relazione GDAP usando lo strumento di transizione guidato da Microsoft?
- Lettori directory: può leggere le informazioni di base sulla directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest.
- Writer di directory: può leggere e scrivere informazioni di base sulla directory. Comunemente usato per concedere l'accesso alle applicazioni. Questo ruolo non è destinato agli utenti.
- Lettore globale: può leggere tutto ciò che un amministratore globale può, ma non aggiornare nulla.
- Amministratore licenze: può gestire le licenze di prodotto per utenti e gruppi.
- Amministratore del supporto del servizio: può leggere le informazioni sull'integrità dei servizi e gestire i ticket di supporto.
- Amministratore utenti: può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati.
- Amministratore ruolo con privilegi: può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management (PIM).
- Amministratore del supporto tecnico: può reimpostare le password per amministratori non amministratori e amministratori del supporto tecnico.
- Amministratore dell'autenticazione con privilegi: può accedere, visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).
Quali ruoli di Microsoft Entra vengono assegnati automaticamente ai gruppi di sicurezza CSP predefiniti nell'ambito della transizione guidata da Microsoft?
Gruppo di sicurezza degli agenti di amministrazione:
- Lettori directory: può leggere le informazioni di base sulla directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest.
- Writer di directory: può leggere e scrivere informazioni di base sulla directory; per concedere l'accesso alle applicazioni, non destinate agli utenti.
- Lettore globale: può leggere tutto ciò che un amministratore globale può, ma non aggiornare nulla.
- Amministratore licenze: può gestire le licenze di prodotto per utenti e gruppi.
- Amministratore utenti: può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati.
- Amministratore ruolo con privilegi: può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management (PIM).
- Amministratore dell'autenticazione con privilegi: può accedere, visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).
- Amministratore del supporto del servizio: può leggere le informazioni sull'integrità dei servizi e gestire i ticket di supporto.
- Amministratore supporto tecnico: può reimpostare le password per amministratori non amministratori e amministratori del supporto tecnico.
Gruppo di sicurezza agenti helpdesk:
- Amministratore del supporto del servizio: può leggere le informazioni sull'integrità dei servizi e gestire i ticket di supporto.
- Amministratore del supporto tecnico: può reimpostare le password per amministratori non amministratori e amministratori del supporto tecnico.
Quanto tempo è la nuova relazione GDAP?
La relazione GDAP creata durante la transizione guidata da Microsoft è per un anno.
I clienti sapranno quando Microsoft crea la nuova relazione GDAP come parte della transizione da DAP a GDAP o rimuove DAP?
No. Tutti i messaggi di posta elettronica che normalmente passano ai clienti come parte della transizione GDAP vengono eliminati.
Come si saprà quando Microsoft crea una nuova relazione come parte della transizione DAP alla GDAP?
I partner non ricevono notifiche quando viene creata la nuova relazione GDAP durante la transizione guidata da Microsoft. Questi tipi di notifiche sono stati eliminati durante la transizione, perché l'invio di un messaggio di posta elettronica per ogni modifica potrebbe creare un volume enorme di messaggi di posta elettronica. È possibile controllare i log di controllo per verificare quando viene creata la nuova relazione GDAP.
Rifiutare esplicitamente la transizione guidata da Microsoft
Per rifiutare esplicitamente questa transizione, è possibile creare una relazione GDAP o rimuovere le relazioni DAP esistenti.
Quando verrà rimossa la relazione DAP?
Trenta giorni dopo la creazione della relazione GDAP, Microsoft rimuoverà la relazione DAP. Se è già stata creata una relazione GDAP, Microsoft rimuove la rispettiva relazione DAP nel luglio 2023.
Accedere al portale di Azure dopo la transizione guidata da Microsoft
Se l'utente partner fa parte del gruppo di sicurezza dell'agente di amministrazione o l'utente fa parte di un gruppo di sicurezza come Azure Manager annidato all'interno del gruppo di sicurezza dell'agente di amministrazione (procedura consigliata da Microsoft), l'utente partner è in grado di accedere portale di Azure usando il ruolo con autorizzazioni di lettura directory con privilegi minimi. Il ruolo Lettore directory è uno dei ruoli predefiniti per la relazione GDAP creata dallo strumento di transizione guidato da Microsoft. Questo ruolo viene assegnato automaticamente al gruppo di sicurezza dell'agente di amministrazione come parte della transizione da DAP a GDAP.
Scenario | DAP abilitato | Relazione GDAP esistente | Ruolo agente amministratore assegnato dall'utente | Utente aggiunto al gruppo di sicurezza con l'appartenenza all'agente di amministrazione | Ruolo lettore directory assegnato automaticamente al gruppo di sicurezza dell'agente di amministrazione | L'utente può accedere alla sottoscrizione di Azure |
---|---|---|---|---|---|---|
1 | Sì | Sì | No | Sì | Sì | Sì |
2 | No | Sì | No | Sì | Sì | Sì |
3 | No | Sì | Sì | Sì | Sì | Sì |
Per gli scenari 1 e 2, in cui il ruolo dell'agente di amministrazione assegnato dall'utente è "No", l'appartenenza dell'utente partner cambia al ruolo agente amministratore quando fa parte del gruppo di sicurezza dell'agente di amministrazione (SG). Questo comportamento non è un'appartenenza diretta, ma derivata dall'essere parte di Admin Agent SG o di un gruppo di sicurezza annidato in Admin Agent SG.
Dopo la transizione guidata da Microsoft, in che modo i nuovi utenti partner ottengono l'accesso a portale di Azure?
Per le procedure consigliate di Azure, vedere Carichi di lavoro supportati da privilegi di amministratore delegati granulari (GDAP ). È anche possibile riconfigurare i gruppi di sicurezza dell'utente partner esistente per seguire il flusso consigliato:
Vedere la nuova relazione GDAP
Quando viene creata una nuova relazione GDAP con lo strumento di transizione guidato da Microsoft, si troverà una relazione con il nome MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number)
. Il numero garantisce che la relazione sia univoca sia nel tenant che nel tenant del cliente. Esempio di nome della relazione GDAP: "MLT_12abcd34_56cdef78_90abcd12
".
Vedere la nuova relazione GDAP nel portale del Centro per i partner
Nel portale del Centro per i partner aprire l'area di lavoro Cliente e selezionare la sezione Relazione di amministratore e selezionare il cliente.
Da qui è possibile trovare i ruoli di Microsoft Entra e individuare i ruoli di Microsoft Entra assegnati ai gruppi di sicurezza Agenti di amministrazione e Agenti helpdesk.
Selezionare la freccia giù nella colonna Dettagli per visualizzare i ruoli di Microsoft Entra.
Dove i clienti troveranno la nuova relazione GDAP creata tramite la transizione guidata da Microsoft nel portale di Microsoft Admin Center (MAC) ?
I clienti possono trovare la relazione GDAP guidata da Microsoft nella sezione Relazione partner nella scheda Impostazioni .
Log di controllo nel tenant del cliente
Lo screenshot seguente mostra l'aspetto dei log di controllo nel tenant del cliente dopo la creazione della relazione GDAP tramite la transizione guidata da Microsoft:
Come vengono esaminati i log di controllo nel portale del Centro per i partner per la relazione GDAP creata da MS Led?
Lo screenshot seguente mostra l'aspetto dei log di controllo nel portale del Centro per i partner dopo la creazione della relazione GDAP tramite la transizione guidata da Microsoft:
Quali sono le entità servizio GDAP di Microsoft Entra create nel tenant del cliente?
Nome | ID applicazione |
---|---|
Amministrazione delegata dal cliente partner | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
Processore offline dell'amministratore delegato del cliente partner | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
Migrazione dell'amministratore delegato del Centro per i partner | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
In questo contesto, "first-party" significa che il consenso viene fornito implicitamente da Microsoft al momento della chiamata API e il token di accesso OAuth 2.0 viene convalidato in ogni chiamata API per applicare il ruolo o le autorizzazioni per l'identità chiamante alle relazioni GDAP gestite.
L'entità servizio 283* configura i criteri "provider di servizi" XTAP e prepara le autorizzazioni per consentire la scadenza e la gestione dei ruoli. Solo il GDAP SP può impostare o modificare i criteri XTAP per i provider di servizi.
L'identità a34* è necessaria per l'intero ciclo di vita della relazione GDAP e viene rimossa automaticamente al termine dell'ultima relazione GDAP. L'autorizzazione e la funzione primaria dell'identità a34* consiste nel gestire i criteri XTAP e le assegnazioni di accesso. Un amministratore del cliente non deve tentare di rimuovere manualmente l'identità a34*. L'identità a34* implementa funzioni per la scadenza attendibile e la gestione dei ruoli. Il metodo consigliato per un cliente per visualizzare o rimuovere le relazioni GDAP esistenti è tramite il portale di admin.microsoft.com.
L'entità servizio b39* è necessaria per l'approvazione di una relazione GDAP di cui viene eseguita la migrazione come parte della transizione guidata da Microsoft. L'entità servizio b39* ha l'autorizzazione per configurare i criteri "provider di servizi" XTAP e aggiungere entità servizio nei tenant del cliente solo per la migrazione delle relazioni GDAP. Solo il GDAP SP può impostare o modificare i criteri XTAP per i provider di servizi.
Criteri di accesso condizionale
Microsoft crea una nuova relazione GDAP, anche se sono presenti criteri di accesso condizionale. La relazione GDAP viene creata in uno stato Attivo .
La nuova relazione GDAP non ignora i criteri di accesso condizionale esistenti configurati da un cliente. I criteri di accesso condizionale continuano e il partner continua a avere un'esperienza simile a quella di una relazione DAP.
In alcuni casi, anche se viene creata la relazione GDAP, i ruoli di Microsoft Entra non vengono aggiunti ai gruppi di sicurezza dallo strumento di transizione guidato da Microsoft. In genere, i ruoli di Microsoft Entra non vengono aggiunti ai gruppi di sicurezza a causa di determinati criteri di accesso condizionale impostati dal cliente. In questi casi, collaborare con il cliente per completare la configurazione. Informazioni su come i clienti possono escludere i provider di servizi di configurazione dai criteri di accesso condizionale.
Ruolo lettore globale aggiunto al GDAP per la transizione a led Microsoft
Il ruolo "Lettore globale" è stato aggiunto a MS Led creato GDAP nel mese di maggio dopo aver ricevuto feedback dai partner nel giugno 2023. A partire da luglio 2023, tutti i GDAP creati da MS hanno il ruolo lettore globale, rendendolo in totale nove ruoli di Microsoft Entra.