Häufig gestellte Fragen zur GDAP-Migration für Kunden
Geeignete Rollen: Alle Benutzer , die an Partner Center interessiert sind
Präzise delegierte Administratorberechtigungen (GDAP) ermöglichen Partnern zugriff auf die Arbeitslasten ihrer Kunden, die präziser und zeitgebundener sind, was dazu beitragen kann, Sicherheitsbedenken der Kunden zu beheben.
Mit GDAP können Partner Kunden mehr Dienstleistungen anbieten, die möglicherweise mit einem hohen Maß an Partnerzugriff unangenehm sind.
GDAP hilft Kunden, die gesetzlich vorgeschriebene Anforderungen haben, den Zugriff auf Partner mit geringsten Rechten zu ermöglichen.
Was sind delegierte Administratorrechte (DAP)?
Delegierte Administratorrechte (Delegierte Administratorrechte, DAP) ermöglichen es einem Partner, den Dienst oder das Abonnement eines Kunden in seinem Auftrag zu verwalten.
Weitere Informationen finden Sie unter Delegierte Administratorrechte.
Wann hat unser CSP DEN DAP-Berechtigungen für den Mandanten ihrer Kunden erteilt?
- Wenn der CSP eine neue Kundenbeziehung einrichte, wird ein delegiertes Administratorrecht (DAP) eingerichtet.
- Wenn ein Partner eine Händlerbeziehung anfordert, gibt es eine Möglichkeit, DAP einzurichten, indem er die Einladung an den Kunden sendet. Der Kunde muss die Anfrage annehmen.
Kann ein Kunde den DAP-Zugriff auf seinen Mandanten widerrufen?
Ja, jeder Partei, der CSP oder der Kunde, kann den DAP-Zugriff abbrechen.
Warum werden delegierte Administratorrechte (Delegierte Administratorrechte, DAP) von Microsoft eingestellt?
DAP ist anfällig für Sicherheitsangriffe aufgrund seiner Langlebigkeit und des hohen privilegierten Zugriffs.
Weitere Informationen finden Sie unter NOBELIUM für delegierte Administratorrechte, um breitere Angriffe zu erleichtern.
Was ist GDAP?
Granular delegierte Administratorrechte (GDAP) ist ein Sicherheitsfeature, das Partnern den geringsten Privilegierten Zugriff nach dem Zero Trust-Cybersicherheitsprotokoll bietet. Mit GDAP können Partner differenzierten und zeitgebundenen Zugriff auf die Workloads ihrer Kunden in Produktions- und Sandboxumgebungen konfigurieren. Dieser Zugriff mit den geringsten Rechten muss partnern von ihren Kunden explizit gewährt werden.
Weitere Informationen finden Sie in integrierten Microsoft Entra-Rollen.
Wie funktioniert GDAP?
GDAP verwendet ein Microsoft Entra-Feature namens Cross-Tenant Access Policy (manchmal als XTAP Cross-Tenant Access Overview bezeichnet), wobei CSP-Partner- und Kundensicherheitsmodelle mit dem Microsoft Identity Model ausgerichtet werden. Wenn eine Anforderung für eine GDAP-Beziehung erfolgt, enthält sie vom CSP-Partner zu ihrem Kunden eine oder mehrere integrierte Microsoft Entra-Rollen und zeitgebundenen Zugriff in Tagen (1 bis 730). Wenn der Kunde die Anforderung akzeptiert, wird eine XTAP-Richtlinie in den Mandanten des Kunden geschrieben, wobei er den eingeschränkten Rollen zustimmt und die vom CSP-Partner angeforderte Zeitspanne gewährt wird.
Der CSP-Partner kann mehrere GDAP-Beziehungen anfordern, wobei jede mit ihren eigenen eingeschränkten Rollen und einer bestimmten Zeitspanne mehr Flexibilität als die vorherige DAP-Beziehung bietet.
Was ist das GDAP-Massenmigrationstool?
Das GDAP-Massenmigrationstool bietet den CSP-Partnern eine Möglichkeit, aktiven DAP-Zugriff auf GDAP zu verschieben und ältere DAP-Berechtigungen zu entfernen. Aktive DAP wird als eine beliebige CSP/Customer DAP-Beziehung definiert, die derzeit eingerichtet ist. Die CSP-Partner können keinen Zugriff anfordern, der größer ist als das, was mit DAP eingerichtet wurde.
Weitere Informationen finden Sie im GDAP häufig gestellte Fragen.
Wird das GDAP-Massenmigrationstool ausführen, wird ein neuer Dienstprinzipal als Unternehmensanwendung im Mandanten des Kunden hinzugefügt?
Ja, Das GDAP-Massenmigrationstool verwendet ein funktionierendes DAP, um die Einrichtung einer neuen GDAP-Beziehung zu autorisieren. Wenn eine GDAP-Beziehung zum ersten Mal akzeptiert wird, gibt es zwei Microsoft-Dienstprinzipale, die im Kundenmandanten ins Spiel kommen.
Was sind die beiden Microsoft Entra GDAP-Dienstprinzipale, die im Mandanten des Kunden erstellt werden?
Name | Anwendungs-ID |
---|---|
Delegierte Verwaltung des Partnerkunden | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
Partner-Delegierter Administrator-Offlineprozessor | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
In diesem Zusammenhang bedeutet "First-Party", dass die Zustimmung implizit von Microsoft zur API-Aufrufzeit bereitgestellt wird und die OAuth 2.0 Access Token
bei jedem API-Aufruf überprüft wird, um Rollen oder Berechtigungen für die aufrufende Identität für verwaltete GDAP-Beziehungen zu erzwingen.
Der Dienstprinzipal 283* ist zum Zeitpunkt der Annahme einer GDAP-Beziehung erforderlich. Der Dienstprinzipal 283* richtet die XTAP-Richtlinie "Dienstanbieter" ein und bereitet Berechtigungen für die Ablauf- und Rollenverwaltung vor. Nur der GDAP-SP kann die XTAP-Richtlinien für Dienstanbieter festlegen oder ändern.
Die a34*-Identität ist für den gesamten Lebenszyklus der GDAP-Beziehung erforderlich und wird automatisch entfernt, wenn die letzte GDAP-Beziehung endet. Die primäre Berechtigung und Funktion der a34*-Identität besteht darin, XTAP-Richtlinien und Zugriffszuweisungen zu verwalten. Ein Kundenadministrator sollte nicht versuchen, die a34*-Identität manuell zu entfernen. Die a34*-Identität implementiert Funktionen für die vertrauenswürdige Ablauf- und Rollenverwaltung. Die empfohlene Methode für einen Kunden zum Anzeigen oder Entfernen vorhandener GDAP-Beziehungen erfolgt über das admin.microsoft.com-Portal .