Preguntas más frecuentes sobre la migración de GDAP para clientes
Roles adecuados: todos los usuarios interesados en el Centro de partners
Los permisos de administrador delegados granulares (GDAP) proporcionan a los asociados acceso a las cargas de trabajo de sus clientes de una manera más granular y limitada a tiempo, lo que puede ayudar a abordar los problemas de seguridad de los clientes.
Con el GDAP, los partners pueden proporcionar más servicios a los clientes que podrían resultar incómodos con altos niveles de acceso de asociados.
GDAP también ayuda a los clientes que tienen requisitos normativos a proporcionar acceso con privilegios mínimos a los asociados.
¿Qué son los privilegios de administración delegada (DAP)?
Los privilegios de administración delegada (DAP) permiten a un asociado administrar el servicio o la suscripción de un cliente en su nombre.
Para obtener más información, consulte Privilegios de administración delegada.
¿Cuándo se concedieron permisos DE DAP a su inquilino de clientes?
- Cuando el CSP configura una nueva relación de cliente, se establece un privilegio de administrador delegado (DAP).
- Cuando un asociado solicita una relación de revendedor, hay una opción para establecer DAP mediante el envío de la invitación al cliente. El cliente tiene que aceptar la solicitud.
¿Un cliente puede revocar el acceso DAP a su inquilino?
Sí, cualquiera de las partes, el CSP o el cliente, puede cancelar el acceso DAP.
¿Por qué Microsoft retira privilegios administrativos delegados (DAP)?
DAP es susceptible a los ataques de seguridad debido a su longevidad y acceso con privilegios elevados.
Para obtener más información, vea NOBELIUM dirigido a privilegios administrativos delegados para facilitar ataques más amplios.
¿Qué es el GDAP?
El privilegio administrativo delegado pormenorizados (GDAP) es una característica de seguridad que proporciona a los asociados acceso con privilegios mínimos siguiendo el protocolo de ciberseguridad Confianza cero. Permite a los asociados configurar el acceso granular y con límite de tiempo para las cargas de trabajo de sus clientes en entornos de producción y espacio aislado. Este acceso con privilegios mínimos debe concederse explícitamente a los asociados por sus clientes.
Para obtener más información, consulte Roles integrados de Microsoft Entra.
¿Cómo funciona GDAP?
GDAP utiliza una característica de Microsoft Entra denominada Directiva de acceso entre inquilinos (a veces denominada información general sobre el acceso entre inquilinos de XTAP), alineando los modelos de seguridad de clientes y asociados de CSP con el modelo de identidad de Microsoft. Cuando se realiza una solicitud de una relación de GDAP, desde el asociado de CSP a su cliente, contiene uno o varios roles integrados de Microsoft Entra y el acceso limitado al tiempo medido en días (de 1 a 730). Cuando el cliente acepta la solicitud, se escribe una directiva XTAP en el inquilino del cliente, lo que da su consentimiento a los roles limitados y un intervalo de tiempo determinado solicitado por el asociado de CSP.
El asociado de CSP puede solicitar varias relaciones de GDAP, cada una con sus propios roles limitados y un intervalo de tiempo determinado, agregando más flexibilidad que la relación DAP anterior.
¿Qué es la herramienta de migración masiva de GDAP?
La herramienta de migración masiva de GDAP proporciona a los asociados de CSP un medio para mover el acceso de DAP activo a GDAP y quitar permisos de DAP heredados. DAP activo se define como cualquier relación DE CSP o DAP de cliente establecida actualmente. Los asociados de CSP no pueden solicitar un nivel de acceso mayor que lo que se estableció con DAP.
Para más información, consulte preguntas más frecuentes sobre el GDAP.
¿La ejecución de la herramienta de migración masiva de GDAP hará que se agregue una nueva entidad de servicio como una aplicación empresarial en el inquilino del cliente?
Sí, la herramienta de migración masiva de GDAP usa un DAP funcional para autorizar el establecimiento de una nueva relación de GDAP. La primera vez que se acepta una relación de GDAP, hay dos entidades de servicio de Microsoft de primera entidad que entran en juego en el inquilino del cliente.
¿Cuáles son las dos entidades de servicio de GDAP de Microsoft Entra que se crean en el inquilino del cliente?
| Nombre | Identificador de aplicación |
|---|---|
| Administración delegada del cliente asociado | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Procesador sin conexión del administrador delegado del cliente asociado | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
En este contexto, "first-party" significa que Microsoft proporciona implícitamente el consentimiento en el momento de la llamada a la OAuth 2.0 Access Token API y se valida en cada llamada API para aplicar el rol o los permisos para la identidad de llamada a las relaciones de GDAP administradas.
La entidad de servicio 283* es necesaria en el momento de la aceptación de una relación de GDAP. La entidad de servicio 283* configura la directiva "proveedor de servicios" de XTAP y prepara los permisos para permitir la expiración y la administración de roles. Solo el SP de GDAP puede establecer o modificar las directivas XTAP para los proveedores de servicios.
La identidad a34* es necesaria para todo el ciclo de vida de la relación de GDAP y se quitará automáticamente en el momento en que finaliza la última relación de GDAP. El permiso principal y la función de la identidad de a34* es administrar las directivas XTAP y las asignaciones de acceso. Un administrador del cliente no debe intentar quitar manualmente la identidad a34*. La identidad a34* implementa funciones para la expiración de confianza y la administración de roles. El método recomendado para que un cliente vea o quite las relaciones de GDAP existentes es a través del portal de admin.microsoft.com .
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de