A Microsoft által vezetett váltás a DAP-ról a GDAP-re
Megfelelő szerepkörök: A Partnerközpont iránt érdeklődő összes felhasználó
A Microsoft segítséget nyújt azoknak a jumpstart-partnereknek, akik még nem kezdtek átállni a delegált hozzáférési protokollokról (DAP) a részletes delegált hozzáférési protokollokra (GDAP). Ez a segítség segít a partnereknek csökkenteni a biztonsági kockázatokat azáltal, hogy olyan fiókok felé haladnak, amelyek biztonsági ajánlott eljárásokat alkalmaznak, beleértve az időkorlátos, minimális jogosultsági szintű biztonsági szerződések használatát.
A Microsoft által vezetett áttűnés működése
- A Microsoft automatikusan létrehoz egy GDAP-kapcsolatot nyolc alapértelmezett szerepkörrel.
- A szerepkörök automatikusan előre definiált Felhőszolgáltató (CSP) biztonsági csoportokhoz vannak hozzárendelve.
- 30 nap elteltével a DAP el lesz távolítva.
Ütemezés
A Microsoft 2023. május 22-én kezdte meg a DAP és a GDAP közötti váltást. Júniusban elsötétülési időszak van. Az átmenet július után folytatódik.
Ki jogosult a Microsoft által vezetett áttűnésre?
Ez a táblázat egy magas szintű összefoglalást tartalmaz:
| DAP engedélyezve | GDAP-kapcsolat létezik | GDAP-kapcsolat "Jóváhagyás függőben" állapotban | GDAP-kapcsolat megszakadt/lejárt | Microsoft által vezetett áttűnési jogosultság |
|---|---|---|---|---|
| Igen | Nem | N.A. | N.A. | Igen |
| Igen | Igen | Nem | Nem | Nem |
| Igen | Igen | Igen | Nem | Nem† |
| Igen | Igen | Nem | Igen | Nem† |
| Nem | Igen | Nem | Nem | Nem† |
| Nem | Nem | Nem | Igen | Nem |
Ha GDAP-kapcsolatot hozott létre, akkor a Microsoft nem hoz létre GDAP-kapcsolatot a Microsoft által vezetett átmenet részeként. Ehelyett a DAP-kapcsolat 2023 júliusában megszűnik.
Az alábbi forgatókönyvek bármelyikében részt vehet a Microsoft által vezetett átmenetben:
- Létrehozott egy GDAP-kapcsolatot, és a kapcsolat függőben lévő jóváhagyási állapotban van. Ez a kapcsolat három hónap után törlődik.
- † Akkor lehet jogosult, ha GDAP-kapcsolatot hozott létre, de a GDAP-kapcsolat lejárt. A minősítés attól függ, hogy mennyi ideig járt le a kapcsolat:
- Ha a kapcsolat kevesebb mint 365 nappal ezelőtt lejárt, akkor a rendszer nem hoz létre új GDAP-kapcsolatot.
- Ha a kapcsolat több mint 365 nappal ezelőtt lejárt, akkor a kapcsolat el lesz távolítva.
A Microsoft által vezetett átállás után fennakadások lépnek fel az ügyfelek számára?
A partnerek és üzletük egyediek. Miután létrejött a GDAP-kapcsolat a Microsoft által vezetett áttűnési eszközzel, a GDAP elsőbbséget élvez a DAP-sel szemben.
A Microsoft azt javasolja, hogy a partnerek teszteljék és hozzanak létre új kapcsolatokat a Microsoft által vezetett áttűnési eszközben hiányzó szükséges szerepkörökkel. A DAP-ról a GDAP-ra való zökkenőmentes áttérés érdekében hozzon létre GDAP-kapcsolatot a szerepkörökkel a használati esetek és az üzleti követelmények alapján.
Milyen Microsoft Entra-szerepköröket rendel hozzá a Microsoft, amikor GDAP-kapcsolatot hoz létre a Microsoft által vezetett áttűnési eszközzel?
- Könyvtárolvasók: Elolvashatja az alapszintű címtáradatokat. Gyakran használják a címtár olvasási hozzáférésének biztosítására az alkalmazásokhoz és a vendégekhez.
- Címtárírók: Alapvető címtárinformációkat olvashat és írhat. Gyakran használják az alkalmazásokhoz való hozzáférés biztosítására. Ez a szerepkör nem felhasználók számára készült.
- Globális olvasó: Mindent elolvashat, amit egy globális rendszergazda tud, de semmit nem frissíthet.
- Licencadminisztrátor: Kezelheti a felhasználók és csoportok terméklicenceit.
- Szolgáltatástámogatási rendszergazda: Elolvashatja a szolgáltatásállapot-információkat, és kezelheti a támogatási jegyeket.
- Felhasználói rendszergazda: Kezelheti a felhasználók és csoportok minden aspektusát, beleértve a korlátozott rendszergazdák jelszavainak alaphelyzetbe állítását is.
- Kiemelt szerepkör-rendszergazda: Kezelheti a szerepkör-hozzárendeléseket a Microsoft Entra-azonosítóban és a Privileged Identity Management (PIM) minden aspektusában.
- Ügyfélszolgálati rendszergazda: Alaphelyzetbe állíthatja a nemminisztrátorok és segélyszolgálati rendszergazdák jelszavát.
- Emelt szintű hitelesítés rendszergazdája: Bármely felhasználó (rendszergazda vagy nem rendszergazda) hitelesítési módszerének adatait elérheti, megtekintheti, beállíthatja és alaphelyzetbe állíthatja.
Mely Microsoft Entra-szerepkörök lesznek automatikusan hozzárendelve az előre definiált CSP biztonsági csoportokhoz a Microsoft által vezetett átmenet részeként?
Rendszergazdai ügynökök biztonsági csoportja:
- Könyvtárolvasók: Elolvashatja az alapszintű címtáradatokat. Gyakran használják a címtár olvasási hozzáférésének biztosítására az alkalmazásokhoz és a vendégekhez.
- Címtárírók: Képes alapszintű címtárinformációk olvasására és írására; az alkalmazásokhoz való hozzáférés biztosításához, nem felhasználók számára.
- Globális olvasó: Mindent elolvashat, amit egy globális rendszergazda tud, de semmit nem frissíthet.
- Licencadminisztrátor: Kezelheti a felhasználók és csoportok terméklicenceit.
- Felhasználói rendszergazda: Kezelheti a felhasználók és csoportok minden aspektusát, beleértve a korlátozott rendszergazdák jelszavainak alaphelyzetbe állítását is.
- Kiemelt szerepkör-rendszergazda: Kezelheti a szerepkör-hozzárendeléseket a Microsoft Entra-azonosítóban és a Privileged Identity Management (PIM) minden aspektusában.
- Emelt szintű hitelesítés rendszergazdája: Bármely felhasználó (rendszergazda vagy nem rendszergazda) hitelesítési módszerének adatait elérheti, megtekintheti, beállíthatja és alaphelyzetbe állíthatja.
- Szolgáltatástámogatási rendszergazda: Elolvashatja a szolgáltatásállapot-információkat, és kezelheti a támogatási jegyeket.
- Ügyfélszolgálati rendszergazda: Visszaállíthatja a jelszavakat a nemminisztrátorok és a segélyszolgálati rendszergazdák számára.
Ügyfélszolgálati ügynökök biztonsági csoportja:
- Szolgáltatástámogatási rendszergazda: Elolvashatja a szolgáltatásállapot-információkat, és kezelheti a támogatási jegyeket.
- Ügyfélszolgálati rendszergazda: Alaphelyzetbe állíthatja a nemminisztrátorok és segélyszolgálati rendszergazdák jelszavát.
Mennyi ideig tart az új GDAP-kapcsolat?
A Microsoft által vezetett átmenet során létrehozott GDAP-kapcsolat egy évre szól.
Tudni fogják az ügyfelek, hogy a Microsoft mikor hozza létre az új GDAP-kapcsolatot a DAP és a GDAP közötti átmenet részeként, vagy mikor távolítja el a DAP-t?
Szám Minden olyan e-mail el lesz tiltva, amely a GDAP-váltás részeként általában az ügyfelekhez kerül.
Honnan tudhatom, hogy a Microsoft mikor hoz létre új kapcsolatot a DAP és a GDAP közötti átmenet részeként?
A partnerek nem kapnak értesítést, ha az új GDAP-kapcsolat a Microsoft által vezetett átmenet során jön létre. Az áttűnés során letiltottuk az ilyen típusú értesítéseket, mivel az egyes módosításokhoz küldött e-mailek hatalmas mennyiségű e-mailt hozhatnak létre. A naplókban ellenőrizheti, hogy mikor jön létre az új GDAP-kapcsolat.
A Microsoft által vezetett áttűnés letiltása
Ha le szeretné tiltani ezt az átmenetet, létrehozhat egy GDAP-kapcsolatot, vagy eltávolíthatja a meglévő DAP-kapcsolatokat.
Mikor távolítja el a DAP-kapcsolatot?
A GDAP-kapcsolat létrehozása után harminc nappal a Microsoft eltávolítja a DAP-kapcsolatot. Ha már létrehozott egy GDAP-kapcsolatot, a Microsoft 2023 júliusában eltávolítja a megfelelő DAP-kapcsolatot.
Hozzáférés az Azure Portalhoz a Microsoft által vezetett áttűnés után
Ha a partnerfelhasználó a rendszergazdai ügynök biztonsági csoportjának része, vagy a felhasználó olyan biztonsági csoport tagja, mint például az Azure Manager, amely a Felügyeleti ügynök biztonsági csoportjába van beágyazva (a Microsoft ajánlott eljárása), akkor a partnerfelhasználó a legkevésbé jogosultságú címtárolvasó szerepkörrel férhet hozzá az Azure Portalhoz. A Címtárolvasó szerepkör a Microsoft által vezetett áttűnési eszköz által létrehozott GDAP-kapcsolat egyik alapértelmezett szerepköre. Ezt a szerepkört a Microsoft által vezetett DAP-ról GDAP-re való áttérés részeként automatikusan hozzárendeli a rendszergazdai ügynök biztonsági csoportjához.
| Eset | DAP engedélyezve | GDAP-kapcsolat létezik | Felhasználó által hozzárendelt rendszergazdai ügynök szerepkör | Rendszergazdai ügynök tagsággal rendelkező biztonsági csoporthoz hozzáadott felhasználó | Automatikusan hozzárendelt címtárolvasó szerepkör a rendszergazdai ügynök biztonsági csoportjához | A felhasználó hozzáférhet az Azure-előfizetéshez |
|---|---|---|---|---|---|---|
| 0 | Igen | Igen | Nem | Igen | Igen | Igen |
| 2 | Nem | Igen | Nem | Igen | Igen | Igen |
| 3 | Nem | Igen | Igen | Igen | Igen | Igen |
Az 1. és a 2. forgatókönyv esetében, ahol a felhasználó által hozzárendelt rendszergazdai ügynök szerepkör "Nem" értékű, a partner felhasználói tagsága rendszergazdai ügynök szerepkörre változik, ha a rendszergazdai ügynök biztonsági csoport (SG) tagja. Ez a viselkedés nem közvetlen tagság, hanem a rendszergazdai ügynök SG-jének vagy a felügyeleti ügynök SG alá ágyazott biztonsági csoportnak a része.
A Microsoft által vezetett váltás után hogyan férhetnek hozzá az új partnerfelhasználók az Azure Portalhoz?
Az Azure ajánlott eljárásaihoz tekintse meg a részletes delegált rendszergazdai jogosultságokkal (GDAP) támogatott számítási feladatokat. A meglévő partnerfelhasználó biztonsági csoportjait is újrakonfigurálhatja az ajánlott folyamat követéséhez:
Az új GDAP-kapcsolat megtekintése
Amikor új GDAP-kapcsolatot hoz létre a Microsoft által vezetett áttűnési eszközzel, a névvel MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number)egy kapcsolatot talál. A szám biztosítja, hogy a kapcsolat egyedi legyen mind a bérlőben, mind az ügyfélbérlében. Példa GDAP-kapcsolat neve: "MLT_12abcd34_56cdef78_90abcd12".
Az új GDAP-kapcsolat megtekintése a Partnerközpont portálján
A Partnerközpont portálon nyissa meg az Ügyfél munkaterületet, és válassza a Rendszergazdai kapcsolat szakaszt, és válassza ki az ügyfelet.
Innen megtalálhatja a Microsoft Entra szerepköröket, és megtalálhatja, hogy mely Microsoft Entra-szerepkörök vannak hozzárendelve a rendszergazdai ügynökökhöz és a segélyszolgálati ügynökök biztonsági csoportjaihoz.
A Részletek oszlopban található lefelé mutató nyílra kattintva megtekintheti a Microsoft Entra szerepköröket.
Hol találják meg az ügyfelek a Microsoft által vezetett áttűnéssel létrehozott új GDAP-kapcsolatot a Microsoft Felügyeleti központ (MAC) portálon?
Az ügyfelek a Microsoft által vezetett GDAP-kapcsolatot a Beállítások lap Partnerkapcsolatok szakaszában találják meg.
Naplók naplózása az ügyfélbérlében
Az alábbi képernyőképen látható, hogyan néznek ki az auditnaplók az ügyfélbérlében a GDAP-kapcsolat Microsoft által vezetett áttűnéssel történő létrehozása után:
Hogyan jelennek meg a naplók az MS Led által létrehozott GDAP-kapcsolat partnerközponti portálján?
Az alábbi képernyőképen látható, hogy a Partnerközpont portáljának naplózási naplói hogyan néznek ki a GDAP-kapcsolat Microsoft által vezetett áttűnéssel történő létrehozása után:
Mik az ügyfél bérlőjében létrehozott Microsoft Entra GDAP szolgáltatásnevek?
| Név | Pályázat azonosítója |
|---|---|
| Partnerügyfél delegált felügyelete | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Partner ügyfél által delegált rendszergazda offline processzor | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
| Partnerközpont delegált rendszergazdai migrálása | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
Ebben az összefüggésben a "belső fél" azt jelenti, hogy a Microsoft implicit módon adja meg a hozzájárulást API-híváskor, és az OAuth 2.0 hozzáférési jogkivonat minden API-híváson érvényesítve lesz a hívó identitás szerepkörének vagy engedélyeinek a felügyelt GDAP-kapcsolatokhoz való kényszerítése érdekében.
A 283* szolgáltatásnév beállítja az XTAP "szolgáltatói" szabályzatát, és előkészíti az engedélyeket a lejárat és a szerepkör-kezelés engedélyezéséhez. Csak a GDAP SP állíthatja be vagy módosíthatja a szolgáltatók XTAP-szabályzatát.
Az a34* identitás a GDAP-kapcsolat teljes életciklusához szükséges, és az utolsó GDAP-kapcsolat végén automatikusan törlődik. Az a34* identitás elsődleges engedélye és funkciója az XTAP-szabályzatok és a hozzáférési hozzárendelések kezelése. Az ügyfél rendszergazdája nem kísérelje meg manuálisan eltávolítani az a34* identitást. Az a34* identitás megbízható lejárati és szerepkör-kezelési funkciókat valósít meg. A meglévő GDAP-kapcsolatok megtekintésére vagy eltávolítására ajánlott módszer az ügyfél számára a admin.microsoft.com portálon keresztül érhető el.
A B39* szolgáltatásnév szükséges egy, a Microsoft által vezetett átmenet részeként migrált GDAP-kapcsolat jóváhagyásához. A b39* szolgáltatásnév rendelkezik engedéllyel az XTAP "szolgáltatói" szabályzat beállításához, és csak a GDAP-kapcsolatok áttelepítéséhez adhat hozzá szolgáltatásneveket az ügyfélbérlelőkben. Csak a GDAP SP állíthatja be vagy módosíthatja a szolgáltatók XTAP-szabályzatát.
Feltételes hozzáférési szabályzatok
A Microsoft akkor is létrehoz egy új GDAP-kapcsolatot, ha feltételes hozzáférési szabályzattal rendelkezik. A GDAP-kapcsolat aktív állapotban jön létre.
Az új GDAP-kapcsolat nem kerüli meg az ügyfél által beállított meglévő feltételes hozzáférési szabályzatot. A feltételes hozzáférési szabályzat folytatódik, és a partner továbbra is hasonló tapasztalattal rendelkezik, mint egy DAP-kapcsolat.
Bizonyos esetekben, bár a GDAP-kapcsolat létrejött, a Microsoft által vezetett áttűnési eszköz nem ad hozzá Microsoft Entra-szerepköröket a biztonsági csoportokhoz. A Microsoft Entra szerepkörök általában nem lesznek hozzáadva a biztonsági csoportokhoz az ügyfél által beállított bizonyos feltételes hozzáférési szabályzatok miatt. Ilyen esetekben az ügyféllel együttműködve végezze el a telepítést. Megtudhatja, hogyan zárhatják ki az ügyfelek a CSP-ket a feltételes hozzáférési szabályzatból.
Globális olvasó szerepkör hozzáadva a Microsoft Led Transition GDAP-hoz
A "Global Reader" szerepkört az MS Led májusban hozta létre, miután 2023 júniusában visszajelzést kapott a partnerektől. 2023 júliusától kezdve minden MS Led által létrehozott GDAP globális olvasói szerepkört kap, így összesen kilenc Microsoft Entra-szerepkör van.