FAQ sur la migration DE GDAP pour les clients
Rôles appropriés : tous les utilisateurs intéressés dans l’Espace partenaires
Les autorisations d’administration déléguées granulaires (GDAP) permettent aux partenaires d’accéder aux charges de travail de leurs clients d’une manière plus précise et limitée dans le temps, ce qui peut aider à résoudre les problèmes de sécurité des clients.
Avec GDAP, les partenaires peuvent fournir davantage de services aux clients qui peuvent être mal à l’aise avec des niveaux élevés d’accès aux partenaires.
GDAP aide également les clients qui ont des exigences réglementaires à fournir un accès au moins privilégié aux partenaires.
Qu’est-ce que les privilèges d’administration délégués (DAP) ?
Les privilèges d’administration délégués (DAP) permettent à un partenaire de gérer le service ou l’abonnement d’un client en son nom.
Pour plus d’informations, consultez Privilèges d’administration délégués.
Quand notre fournisseur de solutions Cloud a-t-il accordé des autorisations DAP au locataire de ses clients ?
- Lorsque le fournisseur de solutions Cloud configure une nouvelle relation client, un privilège d’administrateur délégué (DAP) est établi.
- Lorsqu’un partenaire demande une relation de revendeur, il existe une option permettant d’établir le DAP en envoyant l’invitation au client. Le client doit accepter la demande.
Un client peut-il révoquer l’accès DAP à son locataire ?
Oui, le fournisseur de solutions Cloud ou le client peut annuler l’accès DAP.
Pourquoi Microsoft met-il hors service des privilèges d’administration délégués (DAP) ?
DAP est susceptible d’attaquer la sécurité en raison de sa longévité et de son accès privilégié élevé.
Pour plus d’informations, consultez NOBELIUM ciblant les privilèges d’administration délégués pour faciliter les attaques plus larges.
Qu’est-ce que GDAP ?
Le privilège d’administration délégué granulaire (GDAP) est une fonctionnalité de sécurité qui fournit aux partenaires un accès avec privilèges minimum après le protocole de cybersécurité Confiance Zéro. Ainsi, les partenaires peuvent configurer un accès granulaire et limité dans le temps aux charges de travail de leurs clients dans des environnements de production et de bac à sable (sandbox). Cet accès au moins privilégié doit être explicitement accordé aux partenaires par leurs clients.
Pour plus d’informations, consultez les rôles intégrés Microsoft Entra.
Comment fonctionne LE GDAP ?
GDAP utilise une fonctionnalité Microsoft Entra nommée stratégie d’accès interlocataire (parfois appelée vue d’ensemble de l’accès interlocataire XTAP), alignant les modèles de sécurité client et partenaire CSP avec le modèle d’identité Microsoft. Lorsqu’une demande de relation GDAP est effectuée, du partenaire CSP à son client, elle contient un ou plusieurs rôles intégrés Microsoft Entra et un accès lié au temps mesurés en jours (1 à 730). Lorsque le client accepte la demande d’une stratégie XTAP est écrite dans le locataire du client, en consentant aux rôles limités et en fonction de l’intervalle de temps sollicité par le partenaire CSP.
Le partenaire CSP peut demander plusieurs relations GDAP, chacune avec ses propres rôles limités et un intervalle de temps donné, en ajoutant plus de flexibilité que la relation DAP précédente.
Qu’est-ce que l’outil de migration en bloc GDAP ?
L’outil de migration en bloc GDAP fournit aux partenaires CSP un moyen de déplacer l’accès DAP actif vers GDAP et de supprimer les autorisations DAP héritées. Le DAP actif est défini comme une relation CSP/Customer DAP actuellement établie. Les partenaires CSP ne peuvent pas demander un niveau d’accès supérieur à ce qui a été établi avec DAP.
Pour plus d’informations, consultez les questions fréquentes sur GDAP.
L’exécution de l’outil de migration en bloc GDAP entraîne-t-elle l’ajout d’un nouveau principal de service en tant qu’application d’entreprise dans le locataire du client ?
Oui, l’outil de migration en bloc GDAP utilise un DAP fonctionnel pour autoriser l’établissement d’une nouvelle relation GDAP. La première fois qu’une relation GDAP est acceptée, il existe deux principaux de service tiers Microsoft qui entrent en jeu dans le locataire client.
Quels sont les deux principaux de service Microsoft Entra GDAP créés dans le locataire du client ?
| Nom | ID de l’application |
|---|---|
| Administration déléguée du client partenaire | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Processeur hors connexion de l’administrateur délégué du client partenaire | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
Dans ce contexte, « first-party » signifie que le consentement est implicitement fourni par Microsoft au moment de l’appel de l’API et qu’il OAuth 2.0 Access Token est validé sur chaque appel d’API pour appliquer le rôle ou les autorisations pour l’identité d’appel aux relations GDAP gérées.
Le principal de service 283* est requis au moment de l’acceptation d’une relation GDAP. Le principal de service 283* configure la stratégie « fournisseur de services » XTAP et prépare les autorisations pour autoriser l’expiration et la gestion des rôles. Seul le fournisseur de services GDAP peut définir ou modifier les stratégies XTAP pour les fournisseurs de services.
L’identité a34* est requise pour l’ensemble du cycle de vie de la relation GDAP et sera automatiquement supprimée au moment où la dernière relation GDAP se termine. L’autorisation principale et la fonction de l’identité a34* consiste à gérer les stratégies et les affectations d’accès XTAP. Un administrateur client ne doit pas tenter de supprimer manuellement l’identité a34*. L’identité a34* implémente des fonctions pour l’expiration approuvée et la gestion des rôles. La méthode recommandée pour qu’un client affiche ou supprime des relations GDAP existantes via le portail admin.microsoft.com .
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour