Condividi tramite


Domande frequenti sulla migrazione GDAP per i clienti

Ruoli appropriati: tutti gli utenti interessati al Centro per i partner

Le autorizzazioni di amministratore delegate (GDAP) granulari consentono ai partner di accedere ai carichi di lavoro dei clienti in modo più granulare e associato al tempo, che può aiutare a risolvere i problemi di sicurezza dei clienti.

Con GDAP, i partner possono fornire più servizi ai clienti che potrebbero risultare scomodi con elevati livelli di accesso ai partner.

GDAP consente anche ai clienti che hanno requisiti normativi di fornire l'accesso con privilegi minimi ai partner.

Che cos'è i privilegi di amministrazione delegata (DAP)?

I privilegi di amministrazione delegata consentono a un partner di gestire il servizio o la sottoscrizione di un cliente per loro conto.

Per altre informazioni, vedere Privilegi di amministrazione delegata.

Quando il provider di servizi di configurazione ha concesso le autorizzazioni DAP al tenant dei clienti?

  • Quando il provider di servizi di configurazione configura una nuova relazione con il cliente, viene stabilito un privilegio amministratore delegato (DAP).
  • Quando un partner richiede una relazione rivenditore, è possibile stabilire DAP inviando l'invito al cliente. Il cliente deve accettare la richiesta.

Un cliente può revocare l'accesso DAP al tenant?

Sì, entrambe le parti, il provider di servizi di configurazione o il cliente, possono annullare l'accesso DAP.

Perché Microsoft ritira i privilegi amministrativi delegati (DAP)?

DAP è vulnerabile agli attacchi alla sicurezza a causa della sua longevità e dell'accesso con privilegi elevati.

Per altre informazioni, vedere NOBELIUM destinato ai privilegi amministrativi delegati per facilitare attacchi più ampi.

Che cos'è GDAP?

Il privilegio amministrativo delegato granulare (GDAP) è una funzionalità di sicurezza che fornisce ai partner l'accesso con privilegi minimi seguendo il protocollo di cybersecurity Zero Trust. I partner possono configurare l'accesso granulare e limitato nel tempo ai carichi di lavoro dei clienti in ambienti di produzione e sandbox. Questo accesso con privilegi minimi deve essere concesso in modo esplicito ai partner dai clienti.

Per altre informazioni, vedere Ruoli predefiniti di Microsoft Entra.

Come funziona GDAP?

GDAP usa una funzionalità di Microsoft Entra denominata Cross-Tenant Access Policy (talvolta definita panoramica dell'accesso cross-tenant XTAP), allineando i modelli di sicurezza dei partner CSP e dei clienti al modello di identità Microsoft. Quando viene effettuata una richiesta di una relazione GDAP, dal partner CSP al cliente, contiene uno o più ruoli predefiniti di Microsoft Entra e l'accesso limitato a tempo misurato in giorni (da 1 a 730). Quando il cliente accetta la richiesta di un criterio XTAP viene scritto nel tenant del cliente, acconsentendo ai ruoli limitati e a un determinato intervallo di tempo richiesto dal partner CSP.

Il partner CSP può richiedere più relazioni GDAP, ognuna con ruoli limitati e un determinato intervallo di tempo, aggiungendo maggiore flessibilità rispetto alla relazione DAP precedente.

Che cos'è lo strumento di migrazione in blocco GDAP?

Lo strumento di migrazione in blocco GDAP fornisce ai partner CSP un mezzo per spostare l'accesso DAP attivo a GDAP e rimuovere le autorizzazioni DAP legacy. Active DAP è definito come qualsiasi relazione DAP CSP/Customer attualmente stabilita. I partner CSP non possono richiedere un livello di accesso maggiore di quello stabilito con DAP.

Per altre informazioni, vedi Domande frequenti su GDAP.

Se si esegue lo strumento di migrazione in blocco GDAP, verrà aggiunta una nuova entità servizio come applicazione aziendale nel tenant del cliente?

Sì, lo strumento di migrazione in blocco GDAP usa un DAP funzionante per autorizzare la creazione di una nuova relazione GDAP. La prima volta che viene accettata una relazione GDAP, nel tenant del cliente sono presenti due entità servizio proprietarie Microsoft.

Quali sono le due entità servizio GDAP di Microsoft Entra create nel tenant del cliente?

Nome ID applicazione
Amministrazione delegata dal cliente partner 2832473f-ec63-45fb-976f-5d45a7d4bb91
Processore offline dell'amministratore delegato del cliente partner a3475900-ccec-4a69-98f5-a65cd5dc5306

In questo contesto, "first-party" significa che il consenso viene fornito in modo implicito da Microsoft in fase di chiamata API e viene OAuth 2.0 Access Token convalidato in ogni chiamata API per applicare il ruolo o le autorizzazioni per l'identità chiamante alle relazioni GDAP gestite.

L'entità servizio 283* è necessaria al momento dell'accettazione di una relazione GDAP. L'entità servizio 283* configura i criteri "provider di servizi" XTAP e prepara le autorizzazioni per consentire la scadenza e la gestione dei ruoli. Solo il GDAP SP può impostare o modificare i criteri XTAP per i provider di servizi.

L'identità a34* è necessaria per l'intero ciclo di vita della relazione GDAP e verrà rimossa automaticamente al termine dell'ultima relazione GDAP. L'autorizzazione e la funzione primaria dell'identità a34* consiste nel gestire i criteri XTAP e le assegnazioni di accesso. Un amministratore del cliente non deve tentare di rimuovere manualmente l'identità a34*. L'identità a34* implementa funzioni per la scadenza attendibile e la gestione dei ruoli. Il metodo consigliato per un cliente per visualizzare o rimuovere le relazioni GDAP esistenti è tramite il portale di admin.microsoft.com .