Nejčastější dotazy k migraci GDAP pro zákazníky
Příslušné role: Všichni uživatelé, kteří se zajímají o Partnerské centrum
Podrobná delegovaná oprávnění správce (GDAP) poskytují partnerům přístup k úlohám zákazníků způsobem, který je podrobnější a časově omezené, což může pomoct řešit problémy se zabezpečením zákazníků.
S GDAP můžou partneři poskytovat zákazníkům více služeb, kteří se mohou cítit nepříjemně s vysokou úrovní přístupu k partnerům.
GDAP také pomáhá zákazníkům, kteří mají zákonné požadavky, poskytnout partnerům nejméně privilegovaný přístup.
Co jsou oprávnění delegovaná správa (DAP)?
Delegovaná oprávnění pro správu (DAP) umožňují partnerovi spravovat služby nebo předplatné zákazníka svým jménem.
Další informace najdete v tématu Delegovaná oprávnění pro správu.
Kdy nám náš poskytovatel CSP udělil oprávnění DAP pro tenanta svých zákazníků?
- Když CSP nastaví nový vztah zákazníka, vytvoří se delegovaná oprávnění správce (DAP).
- Když partner požádá o vztah prodejce, existuje možnost vytvořit DAP odesláním pozvánky zákazníkovi. Zákazník musí žádost přijmout.
Může zákazník odvolat přístup DAP ke svému tenantovi?
Ano, buď strana, CSP nebo Zákazník, může zrušit přístup DAP.
Proč Microsoft vyřazuje delegovaná oprávnění správce (DAP)?
DAP je náchylný k útokům na zabezpečení kvůli dlouhověkosti a vysokému privilegovanému přístupu.
Další informace najdete v tématu NOBELOVIUM zaměřené na delegovaná oprávnění pro správu za účelem usnadnění širších útoků.
Co je GDAP?
Členitá delegovaná oprávnění pro správu (GDAP) je funkce zabezpečení, která partnerům poskytuje přístup s nejnižšími oprávněními po nulová důvěra (Zero Trust) protokolu kybernetické bezpečnosti. Umožňují partnerům konfigurovat odstupňovaný a časově omezený přístup k úlohám zákazníků v produkčních prostředích a prostředích sandboxu. Tento přístup s nejnižšími oprávněními musí být výslovně udělen partnerům jejich zákazníky.
Další informace najdete v tématu Předdefinované role Microsoft Entra.
Jak GDAP funguje?
GDAP využívá funkci Microsoft Entra s názvem Zásady přístupu mezi tenanty (někdy označované jako přehled přístupu mezi tenanty XTAP), které odpovídají modelům zabezpečení partnerů CSP a zákazníků s modelem microsoft Identity Model. Když se vytvoří žádost o vztah GDAP od partnera CSP k zákazníkovi, obsahuje jednu nebo více předdefinovaných rolí Microsoft Entra a časově vázaného přístupu měřených ve dnech (1 až 730). Když zákazník přijme žádost o zásadu XTAP, zapíše se do tenanta zákazníka, souhlasí s omezenými rolemi a daným časovým rozsahem požadovaným partnerem CSP.
Partner CSP může požadovat více relací GDAP, z nichž každý má své vlastní omezené role a dané časové období, a tím větší flexibilitu než předchozí relace DAP.
Co je nástroj pro hromadnou migraci GDAP?
Nástroj pro hromadnou migraci GDAP poskytuje partnerům CSP prostředek pro přesun aktivního přístupu DAP k GDAP a odebrání starších oprávnění DAP. Aktivní DAP je definován jako jakýkoli vztah CSP / Customer DAP, který je aktuálně vytvořen. Partneři CSP nemůžou požádat o úroveň přístupu vyšší, než jaká byla založena u DAP.
Další informace najdete v tématu Nejčastější dotazy k GDAP.
Bude spuštění nástroje hromadné migrace GDAP způsobit přidání nového instančního objektu jako podnikovou aplikaci v tenantovi zákazníka?
Ano, nástroj pro hromadnou migraci GDAP používá funkční daP k autorizaci vytvoření nového vztahu GDAP. Při prvním přijetí relace GDAP existují dva instanční objekty Microsoftu, které se v tenantovi zákazníka přehrávají.
Jaké jsou dva instanční objekty Microsoft Entra GDAP vytvořené v tenantovi zákazníka?
| Název | ID aplikace |
|---|---|
| Delegovaná správa zákazníka partnera | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Offline procesor delegovaného správce delegovaného zákazníka partnera | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
V tomto kontextu "první strana" znamená, že Microsoft implicitně poskytuje souhlas při volání rozhraní API a OAuth 2.0 Access Token ověřuje se při každém volání rozhraní API, aby se vynucovala role nebo oprávnění pro volající identitu pro spravované relace GDAP.
Instanční objekt 283* se vyžaduje v době přijetí vztahu GDAP. Instanční objekt 283* nastaví zásadu "poskytovatele služeb" XTAP a připraví oprávnění k povolení vypršení platnosti a správy rolí. Zásady XTAP pro poskytovatele služeb můžou nastavit nebo upravit pouze GDAP SP.
Identita a34* se vyžaduje pro celý životní cyklus relace GDAP a v okamžiku ukončení poslední relace GDAP se automaticky odebere. Primárním oprávněním a funkcí identity A34* je správa zásad XTAP a přiřazení přístupu. Správce zákazníka by se neměl pokoušet identitu a34* odebrat ručně. Identita a34* implementuje funkce pro důvěryhodné vypršení platnosti a správu rolí. Doporučeným způsobem, jak zákazník zobrazit nebo odebrat existující relace GDAP, je prostřednictvím portálu admin.microsoft.com .