Geeignete Rollen: Alle Benutzer, die an Partner Center interessiert sind
Präzise delegierte Administratorberechtigungen (GDAP) ermöglichen Partnern zugriff auf die Arbeitslasten ihrer Kunden, die präziser und zeitgebundener sind, was dazu beitragen kann, Sicherheitsbedenken der Kunden zu beheben.
Mit GDAP können Partner Kunden mehr Dienstleistungen anbieten, die möglicherweise mit einem hohen Maß an Partnerzugriff unangenehm sind.
GDAP hilft Kunden, die gesetzlich vorgeschriebene Anforderungen haben, den Zugriff auf Partner mit geringsten Rechten zu ermöglichen.
Delegierte Administratorrechte (DAP)
Was ist DAP?
Delegierte Administratorrechte ermöglichen es einem Partner, den Dienst oder das Abonnement eines Kunden in seinem Auftrag zu verwalten. Weitere Informationen finden Sie unter Delegierte Administratorrechte.
Wann hat unser CSP DEN DAP-Berechtigungen für den Mandanten ihrer Kunden erteilt?
- Wenn der CSP eine neue Kundenbeziehung einrichte, wird ein delegiertes Administratorrecht (DAP) eingerichtet.
- Wenn ein Partner eine Händlerbeziehunganfordert, besteht die Möglichkeit, DAP durch Senden der Einladung an den Kunden einzurichten. Der Kunde muss die Anfrage annehmen.
Kann ein Kunde den DAP-Zugriff auf seinen Mandanten widerrufen?
Ja. Beide Parteien, der CSP oder der Kunde können den DAP-Zugriff abbrechen.
Warum werden delegierte Administratorrechte (Delegierte Administratorrechte, DAP) von Microsoft eingestellt?
DAP ist anfällig für Sicherheitsangriffe aufgrund seiner Langlebigkeit und des hohen privilegierten Zugriffs. Weitere Informationen finden Sie unter NOBELIUM für delegierte Administratorrechte, um umfassendere Angriffezu erleichtern.
Granulare delegierte Administratorrechte (GDAP)
Was ist GDAP?
Granular delegierte Administratorrechte (GDAP) ist ein Sicherheitsfeature, das Partnern den geringsten Privilegierten Zugriff nach dem Zero Trust-Cybersicherheitsprotokoll bietet. Damit können Partner präzisen und zeitgebundenen Zugriff auf die Arbeitslasten ihrer Kunden in Produktions- und Sandkastenumgebungen konfigurieren. Dieser Zugriff mit den geringsten Rechten muss partnern von ihren Kunden explizit gewährt werden. Weitere Informationen finden Sie unter integrierten Microsoft Entra-Rollen.
Wie funktioniert GDAP?
GDAP verwendet ein Microsoft Entra-Feature namens Cross-Tenant Access Policy (manchmal als XTAP Cross-Tenant Access Overviewbezeichnet), wobei CSP-Partner- und Kundensicherheitsmodelle mit dem Microsoft Identity Model ausgerichtet werden. Wenn eine Anforderung für eine GDAP-Beziehung vom CSP-Partner an ihren Kunden gesendet wird, enthält sie eine oder mehrere integrierte Microsoft Entra-Rollen und einen zeitgebundenen Zugriff in Tagen (1 bis 730). Wenn der Kunde die Anforderung akzeptiert, wird eine XTAP-Richtlinie in den Mandanten des Kunden geschrieben, wobei er den eingeschränkten Rollen zustimmt und die vom CSP-Partner angeforderte Zeitspanne gewährt wird. Der CSP-Partner kann mehrere GDAP-Beziehungen anfordern, wobei jede mit ihren eigenen eingeschränkten Rollen und einer bestimmten Zeitspanne mehr Flexibilität als die vorherige DAP-Beziehung bietet.
Was ist das GDAP-Massenmigrationstool?
Das GDAP-Massenmigrationstool bietet den CSP-Partnern eine Möglichkeit, aktiven DAP-Zugriff auf GDAP zu verschieben und ältere DAP-Berechtigungen zu entfernen. Aktive DAP wird als eine beliebige CSP/Customer DAP-Beziehung definiert, die derzeit eingerichtet ist. Die CSP-Partner können keinen Zugriff anfordern, der größer ist als das, was mit DAP eingerichtet wurde. Weitere Informationen finden Sie häufig gestellten FragenGDAP.
Wird das GDAP-Massenmigrationstool ausführen, wird ein neuer Dienstprinzipal als Unternehmensanwendung im Mandanten des Kunden hinzugefügt?
Ja. Das GDAP-Massenmigrationstool verwendet ein funktionierendes DAP, um die Einrichtung einer neuen GDAP-Beziehung zu autorisieren. Wenn eine GDAP-Beziehung zum ersten Mal akzeptiert wird, gibt es zwei Microsoft-Dienstprinzipale, die im Kundenmandanten ins Spiel kommen. Weitere Informationen finden Sie in den folgenden häufig gestellten Fragen Was sind die beiden Microsoft Entra GDAP-Dienstprinzipale, die im Mandanten des Kunden erstellt werden?
Was sind die beiden Microsoft Entra GDAP-Dienstprinzipale, die im Mandanten des Kunden erstellt werden?
| Name | Anwendungs-ID |
|---|---|
| Delegierte Verwaltung des Partnerkunden | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Partner-Delegierter Administrator-Offlineprozessor | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
In diesem Zusammenhang bedeutet "Erstanbieter", dass die Zustimmung implizit von Microsoft zur API-Aufrufzeit bereitgestellt wird und die OAuth 2.0 Access Token für jeden API-Aufruf überprüft wird, um Rollen oder Berechtigungen für die aufrufende Identität für verwaltete GDAP-Beziehungen zu erzwingen.
Der 283* Dienstprinzipal ist zum Zeitpunkt der Annahme einer GDAP-Beziehung erforderlich. Der 283* Dienstprinzipal richtet die XTAP-Richtlinie "Dienstanbieter" ein und bereitet Berechtigungen für die Ablauf- und Rollenverwaltung vor. Nur der GDAP-SP kann die XTAP-Richtlinien für Dienstanbieter festlegen oder ändern.
Die a34* -Identität ist für den gesamten Lebenszyklus der GDAP-Beziehung erforderlich und wird automatisch entfernt, wenn die letzte GDAP-Beziehung endet. Die a34* die primäre Berechtigung und Funktion der Identität besteht darin, XTAP-Richtlinien und Zugriffszuweisungen zu verwalten. Ein Kundenadministrator sollte nicht versuchen, die a34* Identität manuell zu entfernen. Die a34* Identity implementiert Funktionen für die vertrauenswürdige Ablauf- und Rollenverwaltung. Die empfohlene Methode, mit der ein Kunde vorhandene GDAP-Beziehungen anzeigen oder entfernen kann, ist das admin.microsoft.com Portal.