DAP에서 GDAP로 Microsoft 주도 전환

  • 아티클

적절한 역할: 파트너 센터에 관심이 있는 모든 사용자

Microsoft는 DAP(위임된 액세스 프로토콜)에서 GDAP(세분화된 위임된 액세스 프로토콜)로의 전환을 시작하지 않은 Jumpstart 파트너를 지원하고 있습니다. 이 지원을 통해 파트너는 시간이 제한된 최소 권한 보안 계약을 사용하는 등 보안 모범 사례를 사용하는 계정으로 이동하여 보안 위험을 줄일 수 있습니다.

Microsoft 주도 전환 작동 방식

  1. Microsoft는 8개의 기본 역할로 GDAP 관계를 자동으로 만듭니다.
  2. 역할은 미리 정의된 CSP(클라우드 솔루션 공급자) 보안 그룹에 자동으로 할당됩니다.
  3. 30일 후에 DAP가 제거됩니다.

예약

Microsoft는 2023년 5월 22일에 DAP를 GDAP로 전환하기 시작했습니다. 6월에는 정전 기간이 있습니다. 전환은 7월 이후에 재개됩니다.

누가 Microsoft 주도 전환을 받을 자격이 있나요?

이 표에는 대략적인 요약이 표시됩니다.

DAP 사용 GDAP 관계 존재 "승인 보류 중" 상태의 GDAP 관계 GDAP 관계 종료/만료됨 Microsoft 주도 전환 자격
해당 없음 해당 없음
없음 없음 없음
아니요 아니요†
없음 아니요†
없음 아니요 아니요†
아니요 없음 없음 아니요

GDAP 관계를 만든 경우 Microsoft는 Microsoft 주도 전환의 일부로 GDAP 관계를 만들지 않습니다. 대신 DAP 관계는 2023년 7월에 제거됩니다.

다음 시나리오에서 Microsoft 주도 전환의 일부가 될 수 있습니다.

  • GDAP 관계를 만들었으며 관계는 승인 보류 중 상태입니다. 이 관계는 3 개월 후에 클린 됩니다.
  • † GDAP 관계를 만들었지만 GDAP 관계가 만료된 경우 자격이 있을 수 있습니다. 자격은 관계가 만료된 기간에 따라 달라집니다.
    • 관계가 365일 전에 만료된 경우 새 GDAP 관계가 만들어지지 않습니다.
    • 365일 전에 관계가 만료되면 관계가 제거됩니다.

Microsoft 주도 전환 후 고객에게 중단이 있나요?

파트너와 해당 비즈니스는 고유합니다. Microsoft 주도 전환 도구를 통해 GDAP 관계가 만들어지면 GDAP가 DAP보다 우선합니다.

Microsoft는 파트너가 Microsoft 주도 전환 도구에서 누락된 필수 역할을 사용하여 새 관계를 테스트하고 만드는 것이 좋습니다. DAP에서 GDAP로 원활하게 전환할 수 있도록 사용 사례 및 비즈니스 요구 사항에 따라 역할과 GDAP 관계를 만듭니다.

Microsoft 주도 전환 도구를 사용하여 GDAP 관계를 만들 때 Microsoft에서 할당하는 Microsoft Entra 역할은 무엇인가요?

  • 디렉터리 읽기 권한자: 기본 디렉터리 정보를 읽을 수 있습니다. 일반적으로 애플리케이션과 게스트에 대한 디렉터리 읽기 액세스 권한을 부여하는 데 사용됩니다.
  • 디렉터리 작성기: 기본 디렉터리 정보를 읽고 쓸 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여하는 데 일반적으로 사용됩니다. 이 역할은 사용자를 위한 것이 아닙니다.
  • 전역 읽기 권한자: Global 관리istrator가 할 수 있는 모든 것을 읽을 수 있지만 업데이트할 수는 없습니다.
  • 라이선스 관리자: 사용자 및 그룹에 대한 제품 라이선스를 관리할 수 있습니다.
  • 서비스 지원 관리자: 서비스 상태 정보를 읽고 지원 티켓을 관리할 수 있습니다.
  • 사용자 관리자: 제한된 관리자에 대한 암호 재설정을 포함하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다.
  • 권한 있는 역할 관리자: Microsoft Entra ID 및 PIM(Privileged Identity Management)의 모든 측면에서 역할 할당을 관리할 수 있습니다.
  • 기술 지원팀 관리자: 관리자가 아닌 관리자 및 기술 지원팀 관리자의 암호를 재설정할 수 있습니다.
  • 권한 있는 인증 관리자: 모든 사용자(관리자 또는 비어드민)에 대한 인증 방법 정보에 액세스, 보기, 설정 및 재설정할 수 있습니다.

Microsoft 주도 전환의 일부로 미리 정의된 CSP 보안 그룹에 자동으로 할당되는 Microsoft Entra 역할은 무엇입니까?

관리 에이전트 보안 그룹:

  • 디렉터리 읽기 권한자: 기본 디렉터리 정보를 읽을 수 있습니다. 일반적으로 애플리케이션과 게스트에 대한 디렉터리 읽기 액세스 권한을 부여하는 데 사용됩니다.
  • 디렉터리 작성기: 사용자가 아닌 애플리케이션에 대한 액세스 권한을 부여하기 위해 기본 디렉터리 정보를 읽고 쓸 수 있습니다.
  • 전역 읽기 권한자: Global 관리istrator가 할 수 있는 모든 것을 읽을 수 있지만 업데이트할 수는 없습니다.
  • 라이선스 관리자: 사용자 및 그룹에 대한 제품 라이선스를 관리할 수 있습니다.
  • 사용자 관리자: 제한된 관리자에 대한 암호 재설정을 포함하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다.
  • 권한 있는 역할 관리자: Microsoft Entra ID 및 PIM(Privileged Identity Management)의 모든 측면에서 역할 할당을 관리할 수 있습니다.
  • 권한 있는 인증 관리자: 모든 사용자(관리자 또는 비어드민)에 대한 인증 방법 정보에 액세스, 보기, 설정 및 재설정할 수 있습니다.
  • 서비스 지원 관리자: 서비스 상태 정보를 읽고 지원 티켓을 관리할 수 있습니다.
  • 기술 지원팀 관리자: 비지정자 및 기술 지원팀 관리자의 암호를 재설정할 수 있습니다.

기술 지원팀 에이전트 보안 그룹:

  • 서비스 지원 관리자: 서비스 상태 정보를 읽고 지원 티켓을 관리할 수 있습니다.
  • 기술 지원팀 관리자: 관리자가 아닌 관리자 및 기술 지원팀 관리자의 암호를 재설정할 수 있습니다.

새 GDAP 관계는 얼마나 걸리나요?

Microsoft 주도 전환 중에 생성된 GDAP 관계는 1년 동안입니다.

고객은 Microsoft가 DAP에서 GDAP로의 전환의 일부로 새 GDAP 관계를 만들거나 DAP를 제거할 때 알 수 있나요?

아니요. GDAP 전환의 일부로 일반적으로 고객에게 전달되는 모든 전자 메일은 표시되지 않습니다.

Microsoft가 DAP에서 GDAP로의 전환의 일부로 새 관계를 만들 때 어떻게 알 수 있나요?

파트너는 Microsoft 주도 전환 중에 새 GDAP 관계를 만들 때 알림을 받지 않습니다. 각 변경 내용에 대한 전자 메일을 보내면 엄청난 양의 전자 메일이 생성될 수 있으므로 전환 중에 이러한 유형의 알림을 표시하지 않았습니다. 감사 로그를 검사 새 GDAP 관계가 만들어지는 시기를 확인할 수 있습니다.

Microsoft 주도 전환 옵트아웃

이 전환을 옵트아웃하려면 GDAP 관계를 만들거나 기존 DAP 관계를 제거할 수 있습니다.

DAP 관계는 언제 제거되나요?

GDAP 관계를 만든 지 30일 후에 Microsoft는 DAP 관계를 제거합니다. GDAP 관계를 이미 만든 경우 Microsoft는 2023년 7월에 해당 DAP 관계를 제거합니다.

Microsoft 주도 전환 후 Azure Portal에 액세스

파트너 사용자가 관리 에이전트 보안 그룹의 일부이거나 사용자가 관리 에이전트 보안 그룹(Microsoft 권장 모범 사례) 내에 중첩된 Azure Manager와 같은 보안 그룹의 일부인 경우 파트너 사용자는 최소 권한 디렉터리 읽기 권한자 역할을 사용하여 Azure Portal에 액세스할 수 있습니다. 디렉터리 읽기 권한자 역할은 Microsoft 주도 전환 도구에서 만드는 GDAP 관계의 기본 역할 중 하나입니다. 이 역할은 DAP에서 GDAP로 Microsoft 주도 전환의 일환으로 관리 에이전트 보안 그룹에 자동으로 할당됩니다.

시나리오 DAP 사용 GDAP 관계 존재 사용자 할당 관리 에이전트 역할 관리 에이전트 멤버 자격을 사용하여 보안 그룹에 추가된 사용자 관리 에이전트 보안 그룹에 자동으로 할당된 디렉터리 읽기 권한자 역할 사용자가 Azure 구독에 액세스할 수 있습니다.
1 없음
2 없음
3

사용자 할당 관리 에이전트 역할이 "아니요"인 시나리오 1 및 2의 경우 파트너 사용자 멤버 자격은 관리 에이전트 보안 그룹(SG)일부가 되면 관리 에이전트 역할로 변경됩니다. 이 동작은 직접 멤버 자격은 아니지만 관리 에이전트 SG 또는 관리 에이전트 SG 아래에 중첩된 보안 그룹의 일부로 파생됩니다.

Microsoft 주도 전환 후 새 파트너 사용자는 어떻게 Azure Portal에 액세스할 수 있나요?

Azure 모범 사례에 대한 GDAP(세분화된 위임된 관리자 권한)에서 지원하는 워크로드를 참조하세요. 기존 파트너 사용자의 보안 그룹을 다시 구성하여 권장 흐름을 따를 수도 있습니다.

Diagram showing the relationship between partner and customer using GDAP.

새 GDAP 관계 보기

Microsoft 주도 전환 도구를 사용하여 새 GDAP 관계를 만들면 이름과 MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number)의 관계를 찾을 수 있습니다. 이 숫자는 테넌트와 고객 테넌트 모두에서 관계가 고유하도록 합니다. GDAP 관계 이름 예: "MLT_12abcd34_56cdef78_90abcd12".

파트너 센터 포털에서 새 GDAP 관계 보기

파트너 센터 포털에서 고객 작업 영역을 열고 관리 관계 섹션을 선택하고 고객을 선택합니다.

Screenshot of the Admin Relationships screen in Partner Center. The list shows admin relationships with the customer that are currently active, expired, or terminated, including a single entry, MLT_abc123_def456.

여기에서 Microsoft Entra 역할을 찾고 관리 에이전트 및 기술 지원팀 에이전트 보안 그룹에 할당된 Microsoft Entra 역할을 찾을 수 있습니다.

Screenshot of a sample Admin Relationship that has the name MLT_abc123_def456. The list shows admin relationships with the customer that are currently active, expired, or terminated.

세부 정보 열에서 아래쪽 화살표를 선택하여 Microsoft Entra 역할을 확인합니다.

Screenshot of the customer's view of the Admin Relationship screen, with the Security Groups details visible.

고객은 MAC(Microsoft 관리 Center) 포털에서 Microsoft 주도 전환을 통해 만들어진 새 GDAP 관계를 어디서 찾을 수 있나요?

고객은 설정 탭의 파트너 관계 섹션에서 Microsoft 주도 GDAP 관계를 찾을 수 있습니다.

Screenshot of the Microsoft 365 admin center. In the Settings tab, the Granular delegated administrative privileges (GDAP) show one partner relationship, with the name MLT_abc123_def456.

고객 테넌트에서 감사 로그

다음 스크린샷은 Microsoft 주도 전환을 통해 GDAP 관계를 만든 후 고객 테넌트에서 감사 로그가 어떻게 표시되는지 보여 줍니다.

Screenshot of what the Audit logs in the customer tenant look like after the GDAP relationship is created through Microsoft-led transition:

MS Led에서 만든 GDAP 관계에 대한 파트너 센터 포털에서 감사 로그를 어떻게 표시합니까?

다음 스크린샷은 Microsoft 주도 전환을 통해 GDAP 관계를 만든 후 파트너 센터 포털의 감사 로그를 보여 줍니다.

Screenshot of the Customer Azure portal, with the fictitious customer: Trey Research selected. Audit logs show the date, service area, Category, Activity, Status, Target, and Initiated by.

고객의 테넌트에서 만든 Microsoft Entra GDAP 서비스 주체는 무엇인가요?

이름 애플리케이션 ID
파트너 고객 위임 관리 2832473f-ec63-45fb-976f-5d45a7d4bb91
파트너 고객 위임 관리자 오프라인 프로세서 a3475900-ccec-4a69-98f5-a65cd5dc5306
파트너 센터 위임 관리 마이그레이션 b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f

이 컨텍스트에서 "자사"는 동의가 API 호출 시간에 Microsoft에서 암시적으로 제공되고 OAuth 2.0 액세스 토큰이 각 API 호출에서 유효성을 검사하여 호출 ID에 대한 역할 또는 권한을 관리되는 GDAP 관계에 적용한다는 것을 의미합니다.

283* 서비스 주체는 XTAP "서비스 공급자" 정책을 설정하고 만료 및 역할 관리를 허용하는 권한을 준비합니다. GDAP SP만 서비스 공급자에 대한 XTAP 정책을 설정하거나 수정할 수 있습니다.

a34* ID는 GDAP 관계의 전체 수명 주기에 필요하며 마지막 GDAP 관계가 종료될 때 자동으로 제거됩니다. a34* ID의 기본 권한 및 기능은 XTAP 정책 및 액세스 할당을 관리하는 것입니다. 고객 관리자는 a34* ID를 수동으로 제거하려고 시도해서는 안 됩니다. a34* ID는 신뢰할 수 있는 만료 및 역할 관리를 위한 함수를 구현합니다. 고객이 기존 GDAP 관계를 보거나 제거하는 데 권장되는 방법은 admin.microsoft.com 포털을 통해 수행하는 것입니다.

b39* 서비스 주체는 Microsoft 주도 전환의 일부로 마이그레이션되는 GDAP 관계의 승인에 필요합니다. b39* 서비스 주체는 XTAP "서비스 공급자" 정책을 설정하고 GDAP 관계를 마이그레이션하기 위한 서비스 주체를 고객 테넌트에 추가할 수 있는 권한이 있습니다. GDAP SP만 서비스 공급자에 대한 XTAP 정책을 설정하거나 수정할 수 있습니다.

조건부 액세스 정책

Microsoft는 조건부 액세스 정책이 있는 경우에도 새 GDAP 관계를 만듭니다. GDAP 관계는 활성 상태로 만들어집니다.

새 GDAP 관계는 고객이 설정한 기존 조건부 액세스 정책을 우회하지 않습니다. 조건부 액세스 정책은 계속되며 파트너는 DAP 관계와 유사한 환경을 계속 유지합니다.

경우에 따라 GDAP 관계가 만들어지더라도 Microsoft가 주도하는 전환 도구를 통해 Microsoft Entra 역할이 보안 그룹에 추가되지 않습니다. 일반적으로 Microsoft Entra 역할은 고객이 설정한 특정 조건부 액세스 정책으로 인해 보안 그룹에 추가되지 않습니다. 이러한 경우 고객과 협력하여 설정을 완료합니다. 고객이 조건부 액세스 정책에서 CSP를 제외하는 방법을 알아보세요.

Microsoft Led Transition GDAP에 추가된 전역 읽기 권한자 역할

"글로벌 리더" 역할은 2023년 6월 파트너로부터 피드백을 받은 후 5월에 GDAP를 만든 MS Led에 추가되었습니다. 2023년 7월부터 생성된 모든 MS Led GDAP에는 전역 읽기 권한자 역할이 있으므로 총 9개의 Microsoft Entra 역할이 있습니다.

다음 단계