고객을 위한 GDAP 마이그레이션 FAQ
적절한 역할: 파트너 센터에 관심이 있는 모든 사용자
GDAP(세분화된 위임 관리자 권한)는 파트너에게 고객 보안 문제를 해결하는 데 도움이 될 수 있는 보다 세분화되고 시간 제한적인 방식으로 고객의 워크로드에 액세스할 수 있도록 합니다.
GDAP를 사용하면 파트너는 높은 수준의 파트너 액세스에 불편할 수 있는 고객에게 더 많은 서비스를 제공할 수 있습니다.
또한 GDAP는 규정 요구 사항이 있는 고객이 파트너에게 최소 권한 액세스를 제공하는 데 도움이 됩니다.
DAP(위임된 관리 권한)란?
DAP(위임된 관리 권한)를 사용하면 파트너가 고객의 서비스 또는 구독을 대신 관리할 수 있습니다.
자세한 내용은 위임된 관리 권한을 참조 하세요.
CSP에서 고객의 테넌트에 DAP 권한을 부여한 시기는 언제인가요?
- CSP가 새 고객 관계를 설정하면 DAP(위임된 관리자 권한)가 설정됩니다.
- 파트너가 재판매인 관계를 요청하는 경우 고객에게 초대를 보내 DAP를 설정하는 옵션이 있습니다. 고객은 요청을 수락해야 합니다.
고객이 테넌트에 대한 DAP 액세스를 취소할 수 있나요?
예, CSP 또는 고객 당사자는 DAP 액세스를 취소할 수 있습니다.
Microsoft가 DAP(위임된 관리 권한)를 사용 중지하는 이유는 무엇인가요?
DAP는 장수 및 높은 권한 있는 액세스로 인해 보안 공격에 취약합니다.
자세한 내용은 광범위한 공격을 용이하게 하기 위해 위임된 관리 권한을 대상으로 하는 NOBELIUM을 참조 하세요.
GDAP란?
GDAP(세분화된 위임 관리 권한)는 제로 트러스트 사이버 보안 프로토콜에 따라 파트너에게 최소 권한 액세스 권한을 제공하는 보안 기능입니다. 이를 통해 파트너는 프로덕션 환경과 샌드박스 환경에서 고객 워크로드에 대한 세분화된 시간 제한 액세스를 구성할 수 있습니다. 이 최소 권한 액세스는 고객이 파트너에게 명시적으로 부여해야 합니다.
자세한 내용은 Microsoft Entra 기본 제공 역할을 참조 하세요.
GDAP는 어떻게 작동하나요?
GDAP는 테넌트 간 액세스 정책(XTAP 테넌트 간 액세스 개요라고도 함)이라는 Microsoft Entra 기능을 활용하여 CSP 파트너 및 고객 보안 모델을 Microsoft ID 모델에 맞춥니다. GDAP 관계에 대한 요청이 수행되면 CSP 파트너에서 고객에 대한 요청은 일 단위로 측정된 하나 이상의 Microsoft Entra 기본 제공 역할 및 시간 제한 액세스(1~730)를 포함합니다. 고객이 요청을 수락하면 XTAP 정책이 고객의 테넌트에 기록되고, 제한된 역할에 동의하고 CSP 파트너가 요청한 시간 범위가 지정됩니다.
CSP 파트너는 여러 GDAP 관계를 요청할 수 있으며, 각 관계는 고유한 제한된 역할과 지정된 시간 범위를 사용하여 이전 DAP 관계보다 더 많은 유연성을 더할 수 있습니다.
GDAP 대량 마이그레이션 도구란?
GDAP 대량 마이그레이션 도구는 CSP 파트너에게 활성 DAP 액세스를 GDAP로 이동하고 레거시 DAP 권한을 제거하는 수단을 제공합니다. 활성 DAP는 현재 설정된 CSP/고객 DAP 관계로 정의됩니다. CSP 파트너는 DAP로 설정된 것보다 큰 액세스 수준을 요청할 수 없습니다.
자세한 내용은 GDAP 질문과 대답을 참조 하세요.
GDAP 대량 마이그레이션 도구를 실행하면 새 서비스 주체가 고객의 테넌트에서 엔터프라이즈 애플리케이션으로 추가되나요?
예, GDAP 대량 마이그레이션 도구는 작동하는 DAP를 사용하여 새 GDAP 관계 설정 권한을 부여합니다. GDAP 관계가 처음 수락되면 고객 테넌트에 두 개의 Microsoft 자사 서비스 주체가 있습니다.
고객의 테넌트에서 만든 두 개의 Microsoft Entra GDAP 서비스 주체는 무엇인가요?
| 이름 | 애플리케이션 UI |
|---|---|
| 파트너 고객 위임 관리 | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| 파트너 고객 위임 관리자 오프라인 프로세서 | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
이 컨텍스트에서 "자사"는 동의가 API 호출 시간에 Microsoft에서 암시적으로 제공되고 OAuth 2.0 Access Token 각 API 호출에서 유효성을 검사하여 호출 ID에 대한 역할 또는 권한을 관리되는 GDAP 관계에 적용한다는 것을 의미합니다.
283* 서비스 주체는 GDAP 관계를 수락할 때 필요합니다. 283* 서비스 주체는 XTAP "서비스 공급자" 정책을 설정하고 만료 및 역할 관리를 허용하는 권한을 준비합니다. GDAP SP만 서비스 공급자에 대한 XTAP 정책을 설정하거나 수정할 수 있습니다.
a34* ID는 GDAP 관계의 전체 수명 주기에 필요하며 마지막 GDAP 관계가 종료될 때 자동으로 제거됩니다. a34* ID의 기본 권한 및 기능은 XTAP 정책 및 액세스 할당을 관리하는 것입니다. 고객 관리자는 a34* ID를 수동으로 제거하려고 시도해서는 안 됩니다. a34* ID는 신뢰할 수 있는 만료 및 역할 관리를 위한 함수를 구현합니다. 고객이 기존 GDAP 관계를 보거나 제거하는 데 권장되는 방법은 admin.microsoft.com 포털을 통해 수행하는 것입니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기