Nejčastější dotazy k migraci GDAP pro zákazníky

příslušné role: Všichni uživatelé, kteří se zajímají o Partnerské centrum

Podrobná delegovaná oprávnění správce (GDAP) poskytují partnerům přístup k úlohám zákazníků způsobem, který je podrobnější a časově omezené, což může pomoct řešit problémy se zabezpečením zákazníků.

S GDAP můžou partneři poskytovat zákazníkům více služeb, kteří se mohou cítit nepříjemně s vysokou úrovní přístupu k partnerům.

GDAP také pomáhá zákazníkům, kteří mají zákonné požadavky, poskytnout partnerům nejméně privilegovaný přístup.

Delegovaná oprávnění správce (DAP)

Co je DAP?

Delegovaná oprávnění správce umožňují partnerovi spravovat služby nebo předplatné zákazníka svým jménem. Další informace najdete v tématu Oprávnění delegovaná správa.

Kdy nám náš poskytovatel CSP udělil oprávnění DAP pro tenanta svých zákazníků?

• Když CSP nastaví nový vztah zákazníka, vytvoří se delegovaná oprávnění správce (DAP).
• Když partner požádá o vztah prodejce, existuje možnost vytvořit DAP odesláním pozvánky zákazníkovi. Zákazník musí žádost přijmout.

Může zákazník odvolat přístup DAP ke svému tenantovi?

Ano. V obou stranách může poskytovatel CSP nebo Zákazník zrušit přístup DAP.

Proč Microsoft vyřazuje delegovaná oprávnění správce (DAP)?

DAP je náchylný k útokům na zabezpečení kvůli dlouhověkosti a vysokému privilegovanému přístupu. Další informace najdete v tématu NOBELIUM, který cílí na delegovaná oprávnění správce, aby se usnadnily širší útoky.

Podrobná delegovaná oprávnění pro správu (GDAP)

Co je GDAP?

Členitá delegovaná oprávnění pro správu (GDAP) je funkce zabezpečení, která partnerům poskytuje přístup s nejnižšími oprávněními po protokolu kyberbezpečnosti nulové důvěry (Zero Trust). Umožňuje partnerům nakonfigurovat podrobný a časový přístup k úlohám svých zákazníků v produkčním a sandboxových prostředích. Tento přístup s nejnižšími oprávněními musí být výslovně udělen partnerům jejich zákazníky. Další informace naleznete v tématu předdefinované role Microsoft Entra.

Jak GDAP funguje?

GDAP používá funkci Microsoft Entra s názvem Zásady přístupu mezi tenanty (někdy označované jako XTAP přehled přístupu mezi tenanty), které odpovídají modelům zabezpečení CSP a zákazníkům s modelem microsoft Identity Model. Když se od partnera CSP k zákazníkovi vytvoří žádost o vztah GDAP, obsahuje jednu nebo více předdefinovaných rolí Microsoft Entra a časově vázaného přístupu měřených ve dnech (1 až 730). Když zákazník přijme žádost o zásadu XTAP, zapíše se do tenanta zákazníka, souhlasí s omezenými rolemi a daným časovým rozsahem požadovaným partnerem CSP. Partner CSP může požadovat více relací GDAP, z nichž každý má své vlastní omezené role a dané časové období, a tím větší flexibilitu než předchozí relace DAP.

Co je nástroj pro hromadnou migraci GDAP?

Nástroj pro hromadnou migraci GDAP poskytuje partnerům CSP prostředek pro přesun aktivního přístupu DAP k GDAP a odebrání starších oprávnění DAP. Aktivní DAP je definován jako jakýkoli vztah CSP / Customer DAP, který je aktuálně vytvořen. Partneři CSP nemůžou požádat o úroveň přístupu vyšší, než jaká byla založena u DAP. Další informace najdete v tématu GDAP nejčastější dotazy.

Bude spuštění nástroje hromadné migrace GDAP způsobit přidání nového instančního objektu jako podnikovou aplikaci v tenantovi zákazníka?

Ano. Nástroj hromadné migrace GDAP používá funkční daP k autorizaci vytvoření nového vztahu GDAP. Při prvním přijetí relace GDAP existují dva instanční objekty Microsoftu, které se v tenantovi zákazníka přehrávají. Další informace najdete v následujících nejčastějších dotazech Co jsou dva instanční objekty Microsoft Entra GDAP vytvořené v tenantovi zákazníka?

Jaké jsou dva instanční objekty Microsoft Entra GDAP vytvořené v tenantovi zákazníka?

Jméno	ID aplikace
Delegovaná správa zákazníka partnera	2832473f-ec63-45fb-976f-5d45a7d4bb91
Offline procesor delegovaného správce delegovaného zákazníka partnera	a3475900-ccec-4a69-98f5-a65cd5dc5306

V tomto kontextu "první strana" znamená, že Microsoft implicitně poskytuje souhlas při volání rozhraní API a OAuth 2.0 Access Token se ověřuje při každém volání rozhraní API, aby se vynucovala role nebo oprávnění pro volající identitu pro spravované relace GDAP. Instanční objekt 283* se vyžaduje v době přijetí relace GDAP. 283* Instanční objekt nastaví zásadu poskytovatele služeb XTAP a připraví oprávnění k povolení vypršení platnosti a správy rolí. Zásady XTAP pro poskytovatele služeb můžou nastavit nebo upravit pouze GDAP SP. Identita a34* se vyžaduje pro celý životní cyklus relace GDAP a automaticky se odebere při ukončení poslední relace GDAP. Primární oprávnění a funkce identity a34* identity slouží ke správě zásad XTAP a přiřazení přístupu. Správce zákazníka by se neměl pokoušet ručně odebrat * identitu. Identita a34* implementuje funkce pro důvěryhodné vypršení platnosti a správu rolí. Doporučeným způsobem, jak zákazník zobrazit nebo odebrat existující relace GDAP, je prostřednictvím portálu admin.microsoft.com.

Související obsah

• úvod GDAP
• nejčastější dotazy k GDAP
• přechodu GDAP

příslušné role: Všichni uživatelé, kteří se zajímají o Partnerské centrum

Podrobná delegovaná oprávnění správce (GDAP) poskytují partnerům přístup k úlohám zákazníků způsobem, který je podrobnější a časově omezené, což může pomoct řešit problémy se zabezpečením zákazníků.

S GDAP můžou partneři poskytovat zákazníkům více služeb, kteří se mohou cítit nepříjemně s vysokou úrovní přístupu k partnerům.

GDAP také pomáhá zákazníkům, kteří mají zákonné požadavky, poskytnout partnerům nejméně privilegovaný přístup.

Delegovaná oprávnění správce umožňují partnerovi spravovat služby nebo předplatné zákazníka svým jménem. Další informace najdete v tématu Oprávnění delegovaná správa.

• Když CSP nastaví nový vztah zákazníka, vytvoří se delegovaná oprávnění správce (DAP).
• Když partner požádá o vztah prodejce, existuje možnost vytvořit DAP odesláním pozvánky zákazníkovi. Zákazník musí žádost přijmout.

Ano. V obou stranách může poskytovatel CSP nebo Zákazník zrušit přístup DAP.

DAP je náchylný k útokům na zabezpečení kvůli dlouhověkosti a vysokému privilegovanému přístupu. Další informace najdete v tématu NOBELIUM, který cílí na delegovaná oprávnění správce, aby se usnadnily širší útoky.

Členitá delegovaná oprávnění pro správu (GDAP) je funkce zabezpečení, která partnerům poskytuje přístup s nejnižšími oprávněními po protokolu kyberbezpečnosti nulové důvěry (Zero Trust). Umožňuje partnerům nakonfigurovat podrobný a časový přístup k úlohám svých zákazníků v produkčním a sandboxových prostředích. Tento přístup s nejnižšími oprávněními musí být výslovně udělen partnerům jejich zákazníky. Další informace naleznete v tématu předdefinované role Microsoft Entra.

GDAP používá funkci Microsoft Entra s názvem Zásady přístupu mezi tenanty (někdy označované jako XTAP přehled přístupu mezi tenanty), které odpovídají modelům zabezpečení CSP a zákazníkům s modelem microsoft Identity Model. Když se od partnera CSP k zákazníkovi vytvoří žádost o vztah GDAP, obsahuje jednu nebo více předdefinovaných rolí Microsoft Entra a časově vázaného přístupu měřených ve dnech (1 až 730). Když zákazník přijme žádost o zásadu XTAP, zapíše se do tenanta zákazníka, souhlasí s omezenými rolemi a daným časovým rozsahem požadovaným partnerem CSP. Partner CSP může požadovat více relací GDAP, z nichž každý má své vlastní omezené role a dané časové období, a tím větší flexibilitu než předchozí relace DAP.

Nástroj pro hromadnou migraci GDAP poskytuje partnerům CSP prostředek pro přesun aktivního přístupu DAP k GDAP a odebrání starších oprávnění DAP. Aktivní DAP je definován jako jakýkoli vztah CSP / Customer DAP, který je aktuálně vytvořen. Partneři CSP nemůžou požádat o úroveň přístupu vyšší, než jaká byla založena u DAP. Další informace najdete v tématu GDAP nejčastější dotazy.

Ano. Nástroj hromadné migrace GDAP používá funkční daP k autorizaci vytvoření nového vztahu GDAP. Při prvním přijetí relace GDAP existují dva instanční objekty Microsoftu, které se v tenantovi zákazníka přehrávají. Další informace najdete v následujících nejčastějších dotazech Co jsou dva instanční objekty Microsoft Entra GDAP vytvořené v tenantovi zákazníka?

Jméno	ID aplikace
Delegovaná správa zákazníka partnera	2832473f-ec63-45fb-976f-5d45a7d4bb91
Offline procesor delegovaného správce delegovaného zákazníka partnera	a3475900-ccec-4a69-98f5-a65cd5dc5306

V tomto kontextu "první strana" znamená, že Microsoft implicitně poskytuje souhlas při volání rozhraní API a OAuth 2.0 Access Token se ověřuje při každém volání rozhraní API, aby se vynucovala role nebo oprávnění pro volající identitu pro spravované relace GDAP. Instanční objekt 283* se vyžaduje v době přijetí relace GDAP. 283* Instanční objekt nastaví zásadu poskytovatele služeb XTAP a připraví oprávnění k povolení vypršení platnosti a správy rolí. Zásady XTAP pro poskytovatele služeb můžou nastavit nebo upravit pouze GDAP SP. Identita a34* se vyžaduje pro celý životní cyklus relace GDAP a automaticky se odebere při ukončení poslední relace GDAP. Primární oprávnění a funkce identity a34* identity slouží ke správě zásad XTAP a přiřazení přístupu. Správce zákazníka by se neměl pokoušet ručně odebrat * identitu. Identita a34* implementuje funkce pro důvěryhodné vypršení platnosti a správu rolí. Doporučeným způsobem, jak zákazník zobrazit nebo odebrat existující relace GDAP, je prostřednictvím portálu admin.microsoft.com.

Související obsah

• úvod GDAP
• nejčastější dotazy k GDAP
• přechodu GDAP