Condividi tramite

Transizione guidata di Microsoft da DAP a GDAP

  • Articolo

Ruoli appropriati: tutti gli utenti interessati al Centro per i partner

Microsoft assiste i partner Jumpstart che non hanno avviato la transizione dai protocolli di accesso delegato (DAP) ai protocolli di accesso delegato granulari (GDAP). Questa assistenza consente ai partner di ridurre i rischi di sicurezza spostandosi verso gli account che usano procedure consigliate per la sicurezza, tra cui l'uso di contratti di sicurezza con diritti minimi e limitati a tempo.

Funzionamento della transizione guidata da Microsoft

  1. Microsoft crea automaticamente una relazione GDAP con otto ruoli predefiniti.
  2. I ruoli vengono assegnati automaticamente ai gruppi di sicurezza Cloud Solution Provider (CSP) predefiniti.
  3. Dopo 30 giorni, DAP viene rimosso.

Programmazione

Microsoft ha iniziato la transizione da DAP a GDAP il 22 maggio 2023. C'è un periodo di black-out nel mese di giugno. La transizione riprenderà dopo luglio.

Chi è qualificato per la transizione guidata da Microsoft?

Questa tabella mostra un riepilogo generale:

DAP abilitato Relazione GDAP esistente Relazione GDAP nello stato "Approvazione in sospeso" Relazione GDAP terminata/scaduta Idoneità per la transizione guidata da Microsoft
No N/D N/D
No No No
No No†
No No†
No No No No†
No No No No

Se è stata creata una relazione GDAP, Microsoft non creerà una relazione GDAP come parte della transizione guidata da Microsoft. La relazione DAP verrà invece rimossa a luglio 2023.

È possibile qualificarsi per far parte della transizione guidata da Microsoft in uno degli scenari seguenti:

  • È stata creata una relazione GDAP e la relazione si trova in uno stato di approvazione in sospeso. Questa relazione verrà ripulita dopo tre mesi.
  • † È possibile qualificarsi se è stata creata una relazione GDAP, ma la relazione GDAP è scaduta. La qualificazione dipende dalla durata della scadenza della relazione:
    • Se la relazione è scaduta meno di 365 giorni fa, non viene creata una nuova relazione GDAP.
    • Se la relazione è scaduta più di 365 giorni fa, la relazione viene rimossa.

Ci sarà un'interruzione per i clienti dopo la transizione guidata da Microsoft?

I partner e la loro attività sono unici. Dopo aver creato la relazione GDAP tramite lo strumento di transizione guidato da Microsoft, GDAP ha la precedenza su DAP.

Microsoft consiglia ai partner di testare e creare nuove relazioni con i ruoli necessari mancanti nello strumento di transizione guidato da Microsoft. Creare una relazione GDAP con i ruoli in base ai casi d'uso e ai requisiti aziendali per garantire una transizione uniforme da DAP a GDAP.

Quali ruoli di Microsoft Entra assegna quando viene creata una relazione GDAP usando lo strumento di transizione guidato da Microsoft?

  • Lettori directory: può leggere le informazioni di base sulla directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest.
  • Writer di directory: può leggere e scrivere informazioni di base sulla directory. Comunemente usato per concedere l'accesso alle applicazioni. Questo ruolo non è destinato agli utenti.
  • Lettore globale: può leggere tutto ciò che un Amministrazione istrator globale può, ma non aggiornare nulla.
  • Amministratore licenze: può gestire le licenze di prodotto per utenti e gruppi.
  • Amministratore del supporto del servizio: può leggere le informazioni sull'integrità dei servizi e gestire i ticket di supporto.
  • Amministratore utenti: può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati.
  • Amministratore ruolo con privilegi: può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management (PIM).
  • Amministratore del supporto tecnico: può reimpostare le password per amministratori non amministratori e amministratori del supporto tecnico.
  • Amministratore dell'autenticazione con privilegi: può accedere, visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).

Quali ruoli di Microsoft Entra vengono assegnati automaticamente ai gruppi di sicurezza CSP predefiniti nell'ambito della transizione guidata da Microsoft?

gruppo di sicurezza degli agenti Amministrazione:

  • Lettori directory: può leggere le informazioni di base sulla directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest.
  • Writer di directory: può leggere e scrivere informazioni di base sulla directory; per concedere l'accesso alle applicazioni, non destinate agli utenti.
  • Lettore globale: può leggere tutto ciò che un Amministrazione istrator globale può, ma non aggiornare nulla.
  • Amministratore licenze: può gestire le licenze di prodotto per utenti e gruppi.
  • Amministratore utenti: può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati.
  • Amministratore ruolo con privilegi: può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management (PIM).
  • Amministratore dell'autenticazione con privilegi: può accedere, visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).
  • Amministratore del supporto del servizio: può leggere le informazioni sull'integrità dei servizi e gestire i ticket di supporto.
  • Amministratore supporto tecnico: può reimpostare le password per amministratori non amministratori e amministratori del supporto tecnico.

Gruppo di sicurezza agenti helpdesk:

  • Amministratore del supporto del servizio: può leggere le informazioni sull'integrità dei servizi e gestire i ticket di supporto.
  • Amministratore del supporto tecnico: può reimpostare le password per amministratori non amministratori e amministratori del supporto tecnico.

Quanto tempo è la nuova relazione GDAP?

La relazione GDAP creata durante la transizione guidata da Microsoft è per un anno.

I clienti sapranno quando Microsoft crea la nuova relazione GDAP come parte della transizione da DAP a GDAP o rimuove DAP?

No. Tutti i messaggi di posta elettronica che normalmente passano ai clienti come parte della transizione GDAP vengono eliminati.

Come si saprà quando Microsoft crea una nuova relazione come parte della transizione DAP alla GDAP?

I partner non ricevono notifiche quando viene creata la nuova relazione GDAP durante la transizione guidata da Microsoft. Questi tipi di notifiche sono stati eliminati durante la transizione, perché l'invio di un messaggio di posta elettronica per ogni modifica potrebbe creare un volume enorme di messaggi di posta elettronica. È possibile controllare i log di controllo per verificare quando viene creata la nuova relazione GDAP.

Rifiutare esplicitamente la transizione guidata da Microsoft

Per rifiutare esplicitamente questa transizione, è possibile creare una relazione GDAP o rimuovere le relazioni DAP esistenti.

Quando verrà rimossa la relazione DAP?

Trenta giorni dopo la creazione della relazione GDAP, Microsoft rimuoverà la relazione DAP. Se è già stata creata una relazione GDAP, Microsoft rimuove la rispettiva relazione DAP nel luglio 2023.

Accedere al portale di Azure dopo la transizione guidata da Microsoft

Se l'utente partner fa parte del gruppo di sicurezza dell'agente Amministrazione o fa parte di un gruppo di sicurezza come Azure Manager annidato all'interno del gruppo di sicurezza dell'agente di Amministrazione (procedura consigliata da Microsoft), l'utente partner è in grado di accedere portale di Azure usando il ruolo con autorizzazioni di lettura directory con privilegi minimi. Il ruolo Lettore directory è uno dei ruoli predefiniti per la relazione GDAP creata dallo strumento di transizione guidato da Microsoft. Questo ruolo viene assegnato automaticamente al gruppo di sicurezza Amministrazione Agent come parte della transizione da DAP a GDAP.

Scenario DAP abilitato Relazione GDAP esistente Ruolo agente Amministrazione assegnato dall'utente Utente aggiunto al gruppo di sicurezza con appartenenza Amministrazione Agent Ruolo lettore directory assegnato automaticamente al gruppo di sicurezza dell'agente di Amministrazione L'utente può accedere alla sottoscrizione di Azure
1 No
2 No No
3 No

Per gli scenari 1 e 2, in cui il ruolo dell'agente di amministrazione assegnato dall'utente è "No", l'appartenenza dell'utente partner viene modificata nel ruolo agente Amministrazione una volta che fanno parte del gruppo di sicurezza dell'agente Amministrazione (SG). Questo comportamento non è un'appartenenza diretta, ma derivata dall'appartenenza a Amministrazione Agent SG o a un gruppo di sicurezza annidato nella Amministrazione Agent SG.

Dopo la transizione guidata da Microsoft, in che modo i nuovi utenti partner ottengono l'accesso a portale di Azure?

Per le procedure consigliate di Azure, vedere Carichi di lavoro supportati da privilegi di amministratore delegati granulari (GDAP ). È anche possibile riconfigurare i gruppi di sicurezza dell'utente partner esistente per seguire il flusso consigliato:

Diagram showing the relationship between partner and customer using GDAP.

Vedere la nuova relazione GDAP

Quando viene creata una nuova relazione GDAP con lo strumento di transizione guidato da Microsoft, si troverà una relazione con il nome MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). Il numero garantisce che la relazione sia univoca sia nel tenant che nel tenant del cliente. Esempio di nome della relazione GDAP: "MLT_12abcd34_56cdef78_90abcd12".

Vedere la nuova relazione GDAP nel portale del Centro per i partner

Nel portale del Centro per i partner aprire l'area di lavoro Cliente e selezionare la sezione Amministrazione relazione e selezionare il cliente.

Screenshot of the Admin Relationships screen in Partner Center. The list shows admin relationships with the customer that are currently active, expired, or terminated, including a single entry, MLT_abc123_def456.

Da qui è possibile trovare i ruoli di Microsoft Entra e individuare i ruoli di Microsoft Entra assegnati ai gruppi di sicurezza Amministrazione Agents e Helpdesk Agents.

Screenshot of a sample Admin Relationship that has the name MLT_abc123_def456. The list shows admin relationships with the customer that are currently active, expired, or terminated.

Selezionare la freccia giù nella colonna Dettagli per visualizzare i ruoli di Microsoft Entra.

Screenshot of the customer's view of the Admin Relationship screen, with the Security Groups details visible.

Dove i clienti troveranno la nuova relazione GDAP creata tramite la transizione guidata da Microsoft nel portale di Microsoft Amministrazione Center (MAC) ?

I clienti possono trovare la relazione GDAP guidata da Microsoft nella sezione Relazione tra partner nella scheda Impostazioni.

Screenshot of the Microsoft 365 admin center. In the Settings tab, the Granular delegated administrative privileges (GDAP) show one partner relationship, with the name MLT_abc123_def456.

Log di controllo nel tenant del cliente

Lo screenshot seguente mostra l'aspetto dei log di controllo nel tenant del cliente dopo la creazione della relazione GDAP tramite la transizione guidata da Microsoft:

Screenshot of what the Audit logs in the customer tenant look like after the GDAP relationship is created through Microsoft-led transition:

Come vengono esaminati i log di controllo nel portale del Centro per i partner per la relazione GDAP creata da MS Led?

Lo screenshot seguente mostra l'aspetto dei log di controllo nel portale del Centro per i partner dopo la creazione della relazione GDAP tramite la transizione guidata da Microsoft:

Screenshot of the Customer Azure portal, with the fictitious customer: Trey Research selected. Audit logs show the date, service area, Category, Activity, Status, Target, and Initiated by.

Quali sono le entità servizio GDAP di Microsoft Entra create nel tenant del cliente?

Nome ID applicazione
Amministrazione delegata dal cliente partner 2832473f-ec63-45fb-976f-5d45a7d4bb91
Processore offline dell'amministratore delegato del cliente partner a3475900-ccec-4a69-98f5-a65cd5dc5306
Migrazione Amministrazione delegata del Centro per i partner b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f

In questo contesto, "first-party" significa che il consenso viene fornito implicitamente da Microsoft al momento della chiamata API e il token di accesso OAuth 2.0 viene convalidato in ogni chiamata API per applicare il ruolo o le autorizzazioni per l'identità chiamante alle relazioni GDAP gestite.

L'entità servizio 283* configura i criteri "provider di servizi" XTAP e prepara le autorizzazioni per consentire la scadenza e la gestione dei ruoli. Solo il GDAP SP può impostare o modificare i criteri XTAP per i provider di servizi.

L'identità a34* è necessaria per l'intero ciclo di vita della relazione GDAP e viene rimossa automaticamente al termine dell'ultima relazione GDAP. L'autorizzazione e la funzione primaria dell'identità a34* consiste nel gestire i criteri XTAP e le assegnazioni di accesso. Un amministratore del cliente non deve tentare di rimuovere manualmente l'identità a34*. L'identità a34* implementa funzioni per la scadenza attendibile e la gestione dei ruoli. Il metodo consigliato per un cliente per visualizzare o rimuovere le relazioni GDAP esistenti è tramite il portale di admin.microsoft.com.

L'entità servizio b39* è necessaria per l'approvazione di una relazione GDAP di cui viene eseguita la migrazione come parte della transizione guidata da Microsoft. L'entità servizio b39* ha l'autorizzazione per configurare i criteri "provider di servizi" XTAP e aggiungere entità servizio nei tenant del cliente solo per la migrazione delle relazioni GDAP. Solo il GDAP SP può impostare o modificare i criteri XTAP per i provider di servizi.

Criteri di accesso condizionale

Microsoft crea una nuova relazione GDAP, anche se sono presenti criteri di accesso condizionale. La relazione GDAP viene creata in uno stato Attivo .

La nuova relazione GDAP non ignora i criteri di accesso condizionale esistenti configurati da un cliente. I criteri di accesso condizionale continuano e il partner continua a avere un'esperienza simile a quella di una relazione DAP.

In alcuni casi, anche se viene creata la relazione GDAP, i ruoli di Microsoft Entra non vengono aggiunti ai gruppi di sicurezza dallo strumento di transizione guidato da Microsoft. In genere, i ruoli di Microsoft Entra non vengono aggiunti ai gruppi di sicurezza a causa di determinati criteri di accesso condizionale impostati dal cliente. In questi casi, collaborare con il cliente per completare la configurazione. Informazioni su come i clienti possono escludere i provider di servizi di configurazione dai criteri di accesso condizionale.

Ruolo lettore globale aggiunto al GDAP per la transizione a led Microsoft

Il ruolo "Lettore globale" è stato aggiunto a MS Led creato GDAP nel mese di maggio dopo aver ricevuto feedback dai partner nel giugno 2023. A partire da luglio 2023, tutti i GDAP creati da MS hanno il ruolo lettore globale, rendendolo in totale nove ruoli di Microsoft Entra.

Passaggi successivi