Share via


Door Microsoft geleide overgang van DAP naar GDAP

Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum

Microsoft helpt Jumpstart-partners die niet zijn begonnen met de overgang van gedelegeerde toegangsprotocollen (DAP) naar gedetailleerde gedelegeerde toegangsprotocollen (GDAP). Met deze hulp kunnen partners beveiligingsrisico's verminderen door over te stappen op accounts die gebruikmaken van aanbevolen beveiligingsprocedures, waaronder het gebruik van tijdsbeperkingen en beveiligingscontracten voor minimale rechten.

Hoe de door Microsoft geleide overgang werkt

  1. Microsoft maakt automatisch een GDAP-relatie met acht standaardrollen.
  2. Rollen worden automatisch toegewezen aan vooraf gedefinieerde CSP-beveiligingsgroepen (Cloud Solution Provider).
  3. Na 30 dagen wordt DAP verwijderd.

Schema

Microsoft is op 22 mei 2023 begonnen met de overgang van DAP naar GDAP. Er is een black-outperiode in juni. De overgang wordt na juli hervat.

Wie komt in aanmerking voor een door Microsoft geleide overgang?

In deze tabel ziet u een samenvatting op hoog niveau:

DAP ingeschakeld GDAP-relatie bestaat GDAP-relatie met de status Goedkeuring in behandeling GDAP-relatie beëindigd/verlopen Geschiktheid voor door Microsoft geleide overgang
Ja Nee N.v.t. N.v.t. Ja
Ja Ja No Nee No
Ja Ja Ja Nr. Nee†
Ja Ja No Ja Nee†
Nr. Ja No Nr. Nee†
Nee Nee No Ja Nr.

Als u een GDAP-relatie hebt gemaakt, maakt Microsoft geen GDAP-relatie als onderdeel van de door Microsoft geleide overgang. In plaats daarvan wordt de DAP-relatie in juli 2023 verwijderd.

In een van de volgende scenario's kunt u in aanmerking komen om deel uit te maken van de door Microsoft geleide overgang:

  • U hebt een GDAP-relatie gemaakt en de relatie heeft de status Goedkeuring in behandeling. Deze relatie wordt na drie maanden opgeschoond.
  • † U kunt in aanmerking komen als u een GDAP-relatie hebt gemaakt, maar de GDAP-relatie is verlopen. Kwalificatie is afhankelijk van hoe lang de relatie is verlopen:
    • Als de relatie minder dan 365 dagen geleden is verlopen, wordt er geen nieuwe GDAP-relatie gemaakt.
    • Als de relatie meer dan 365 dagen geleden is verlopen, wordt de relatie verwijderd.

Is er sprake van een onderbreking van klanten na de door Microsoft geleide overgang?

Partners en hun bedrijf zijn uniek. Zodra de GDAP-relatie is gemaakt via het door Microsoft geleide overgangsprogramma, heeft GDAP voorrang op DAP.

Microsoft raadt partners aan nieuwe relaties te testen en te maken met de vereiste rollen die ontbreken in het door Microsoft geleide overgangsprogramma. Maak GDAP-relatie met rollen op basis van uw use cases en bedrijfsvereisten om een soepele overgang van DAP naar GDAP te garanderen.

Welke Microsoft Entra-rollen wijst Microsoft toe wanneer er een GDAP-relatie wordt gemaakt met behulp van het door Microsoft geleide overgangsprogramma?

  • Adreslijstlezers: Kan basismapgegevens lezen. Veel gebruikt voor het verlenen van leestoegang tot toepassingen en gasten in directory's.
  • Adreslijstschrijvers: kan basismapgegevens lezen en schrijven. Vaak gebruikt voor het verlenen van toegang tot toepassingen. Deze rol is niet bedoeld voor gebruikers.
  • Globale lezer: kan alles lezen wat een globale beheerder kan, maar niets bijwerken.
  • Licentiebeheerder: kan productlicenties beheren voor gebruikers en groepen.
  • Serviceondersteuningsbeheerder: kan informatie over de servicestatus lezen en ondersteuningstickets beheren.
  • Gebruikersbeheerder: kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders.
  • Beheerder van bevoorrechte rol: kan roltoewijzingen beheren in Microsoft Entra ID en alle aspecten van Privileged Identity Management (PIM).
  • Helpdeskbeheerder: kan wachtwoorden voor niet-beheerders en helpdeskbeheerders opnieuw instellen.
  • Bevoegde verificatiebeheerder: kan informatie over de verificatiemethode openen, weergeven, instellen en opnieuw instellen voor elke gebruiker (beheerder of niet-beheerder).

Welke Microsoft Entra-rollen worden automatisch toegewezen aan welke vooraf gedefinieerde CSP-beveiligingsgroepen als onderdeel van de door Microsoft geleide overgang?

Beveiligingsgroep voor beheerdersagenten:

  • Adreslijstlezers: Kan basismapgegevens lezen. Veel gebruikt voor het verlenen van leestoegang tot toepassingen en gasten in directory's.
  • Adreslijstschrijvers: kan basismapgegevens lezen en schrijven; voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers.
  • Globale lezer: kan alles lezen wat een globale beheerder kan, maar niets bijwerken.
  • Licentiebeheerder: kan productlicenties beheren voor gebruikers en groepen.
  • Gebruikersbeheerder: kan alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders.
  • Beheerder van bevoorrechte rol: kan roltoewijzingen beheren in Microsoft Entra ID en alle aspecten van Privileged Identity Management (PIM).
  • Bevoegde verificatiebeheerder: kan informatie over de verificatiemethode openen, weergeven, instellen en opnieuw instellen voor elke gebruiker (beheerder of niet-beheerder).
  • Serviceondersteuningsbeheerder: kan informatie over de servicestatus lezen en ondersteuningstickets beheren.
  • Helpdeskbeheerder: Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders.

Helpdeskagentbeveiligingsgroep:

  • Serviceondersteuningsbeheerder: kan informatie over de servicestatus lezen en ondersteuningstickets beheren.
  • Helpdeskbeheerder: kan wachtwoorden voor niet-beheerders en helpdeskbeheerders opnieuw instellen.

Hoe lang is de nieuwe GDAP-relatie?

De GDAP-relatie die tijdens de door Microsoft geleide overgang is gemaakt, is één jaar.

Weten klanten wanneer Microsoft de nieuwe GDAP-relatie maakt als onderdeel van de OVERGANG van DAP naar GDAP of DAP verwijdert?

Nee Alle e-mailberichten die normaal gesproken naar klanten gaan als onderdeel van de GDAP-overgang, worden onderdrukt.

Hoe weet ik wanneer Microsoft een nieuwe relatie maakt als onderdeel van de overgang van DAP naar GDAP?

Partners ontvangen geen meldingen wanneer de nieuwe GDAP-relatie wordt gemaakt tijdens de door Microsoft geleide overgang. We hebben deze typen meldingen tijdens de overgang onderdrukt, omdat het verzenden van een e-mailbericht voor elke wijziging een groot aantal e-mail kan maken. U kunt de auditlogboeken controleren om te zien wanneer de nieuwe GDAP-relatie wordt gemaakt.

Afmelden voor de door Microsoft geleide overgang

Als u zich wilt afmelden voor deze overgang, kunt u een GDAP-relatie maken of uw bestaande DAP-relaties verwijderen.

Wanneer wordt de DAP-relatie verwijderd?

Dertig dagen nadat de GDAP-relatie is gemaakt, wordt de DAP-relatie door Microsoft verwijderd. Als u al een GDAP-relatie hebt gemaakt, verwijdert Microsoft de respectieve DAP-relatie in juli 2023.

Toegang tot Azure Portal na de door Microsoft geleide overgang

Als de partnergebruiker deel uitmaakt van de beveiligingsgroep van de beheerderagent of als de gebruiker deel uitmaakt van een beveiligingsgroep zoals Azure Manager die is genest binnen de beveiligingsgroep van de beheerderagent (aanbevolen procedure van Microsoft), kan de partnergebruiker toegang krijgen tot Azure Portal met de rol Directory Reader met minimale bevoegdheden. De rol Maplezer is een van de standaardrollen voor de GDAP-relatie die door microsoft wordt gemaakt. Deze rol wordt automatisch toegewezen aan de beveiligingsgroep Admin Agent als onderdeel van de door Microsoft geleide overgang van DAP naar GDAP.

Scenario DAP ingeschakeld GDAP-relatie bestaat Door de gebruiker toegewezen beheerdersagentrol Gebruiker toegevoegd aan beveiligingsgroep met lidmaatschap van beheerderagent De rol directorylezer die automatisch is toegewezen aan de beveiligingsgroep van de beheerderagent Gebruiker heeft toegang tot het Azure-abonnement
1 Ja Ja No Ja Ja Ja
2 Nr. Ja No Ja Ja Ja
3 Nr. Ja Ja Ja Ja Ja

Voor scenario's 1 en 2, waarbij de door de gebruiker toegewezen beheerdersagentrol 'Nee' is, wordt de gebruikerslidmaatschap van de partner gewijzigd in de rol Beheerderagent zodra ze deel uitmaken van de SG (Admin Agent Security Group). Dit gedrag is geen direct lidmaatschap, maar wordt afgeleid door deel te uitmaken van de beheeragent-SG of een beveiligingsgroep die is genest onder de beheeragent-SG.

Hoe krijgen nieuwe partnergebruikers na de door Microsoft geleide overgang toegang tot Azure Portal?

Zie Workloads die worden ondersteund door gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) voor best practices van Azure. U kunt ook de beveiligingsgroepen van uw bestaande partnergebruiker opnieuw configureren om de aanbevolen stroom te volgen:

Diagram van de relatie tussen partner en klant met behulp van GDAP.

Bekijk de nieuwe GDAP-relatie

Wanneer er een nieuwe GDAP-relatie wordt gemaakt met het door Microsoft geleide overgangsprogramma, vindt u een relatie met de naam MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). Het getal zorgt ervoor dat de relatie uniek is in zowel uw tenant als de tenant van de klant. Voorbeeld van de GDAP-relatienaam: 'MLT_12abcd34_56cdef78_90abcd12'.

Bekijk de nieuwe GDAP-relatie in partnercentrumportal

Open in de Partnercentrum-portal de werkruimte Klant en selecteer de sectie Beheerrelatie en selecteer de klant.

Schermopname van het scherm Beheerrelaties in partnercentrum. De lijst bevat beheerdersrelaties met de klant die momenteel actief, verlopen of beëindigd zijn, inclusief één vermelding, MLT_abc123_def456.

Hier vindt u de Microsoft Entra-rollen en vindt u welke Microsoft Entra-rollen zijn toegewezen aan de beveiligingsgroepen Beheerders en Helpdeskagenten .

Schermopname van een voorbeeldbeheerderrelatie met de naam MLT_abc123_def456. De lijst bevat beheerdersrelaties met de klant die momenteel actief, verlopen of beëindigd zijn.

Selecteer de pijl-omlaag in de kolom Details om de Microsoft Entra-rollen te zien.

Schermopname van de weergave van de klant van het scherm Beheerrelatie, met de details van beveiligingsgroepen zichtbaar.

Waar vinden klanten de nieuwe GDAP-relatie die is gemaakt via de door Microsoft geleide overgang in de Mac-portal (Microsoft Admin Center) ?

Klanten kunnen de door Microsoft geleide GDAP-relatie vinden in de sectie Partnerrelatie op het tabblad Instellingen .

Schermopname van het Microsoft 365-beheercentrum. Op het tabblad Instellingen toont de gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) één partnerrelatie, met de naam MLT_abc123_def456.

Auditlogboeken in de tenant van de klant

In de volgende schermopname ziet u hoe de auditlogboeken in de tenant van de klant eruitzien nadat de GDAP-relatie is gemaakt via de door Microsoft geleide overgang:

Schermopname van hoe de auditlogboeken in de tenant van de klant eruitzien nadat de GDAP-relatie is gemaakt via de door Microsoft geleide overgang:

Hoe zien auditlogboeken eruit in partnercentrumportal voor door MS Led gemaakte GDAP-relatie?

In de volgende schermopname ziet u hoe de auditlogboeken in de Partnercentrum-portal eruitzien nadat de GDAP-relatie is gemaakt via de door Microsoft geleide overgang:

Schermopname van de Azure-portal van de klant, met de fictieve klant: Trey Research geselecteerd. Auditlogboeken tonen de datum, servicegebied, categorie, activiteit, status, doel en geïnitieerd door.

Wat zijn de Microsoft Entra GDAP-service-principals die zijn gemaakt in de tenant van de klant?

Naam Toepassings-id
Gedelegeerd beheer partner 2832473f-ec63-45fb-976f-5d45a7d4bb91
Gedelegeerde beheerder van partnerbeheerder offlineprocessor a3475900-ccec-4a69-98f5-a65cd5dc5306
Gedelegeerde beheerder migreren in partnercentrum b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f

In deze context betekent 'first-party' dat toestemming impliciet wordt verstrekt door Microsoft tijdens api-aanroep en dat het OAuth 2.0-toegangstoken wordt gevalideerd voor elke API-aanroep om rol of machtigingen voor de aanroepende identiteit af te dwingen voor beheerde GDAP-relaties.

De service-principal van 283* stelt het XTAP-beleid voor de serviceprovider in en bereidt machtigingen voor het toestaan van verloop- en rolbeheer. Alleen de GDAP SP kan het XTAP-beleid voor serviceproviders instellen of wijzigen.

De a34*-identiteit is vereist voor de volledige levenscyclus van de GDAP-relatie en wordt automatisch verwijderd op het moment dat de laatste GDAP-relatie afloopt. De primaire machtiging en functie van de a34*-identiteit is het beheren van XTAP-beleid en toegangstoewijzingen. Een klantbeheerder mag niet proberen de a34*-identiteit handmatig te verwijderen. De a34*-identiteit implementeert functies voor vertrouwd verloop- en rolbeheer. De aanbevolen methode voor een klant om bestaande GDAP-relaties te bekijken of te verwijderen, is via de admin.microsoft.com-portal.

De b39*-service-principal is vereist voor de goedkeuring van een GDAP-relatie die wordt gemigreerd als onderdeel van de door Microsoft geleide overgang. De b39* service-principal is gemachtigd om het XTAP-beleid voor serviceproviders in te stellen en service-principals toe te voegen aan de tenants van de klant voor het migreren van GDAP-relaties. Alleen de GDAP SP kan het XTAP-beleid voor serviceproviders instellen of wijzigen.

Beleid voor voorwaardelijke toegang

Microsoft maakt een nieuwe GDAP-relatie, zelfs als u een beleid voor voorwaardelijke toegang hebt. De GDAP-relatie wordt gemaakt in een actieve status.

Met de nieuwe GDAP-relatie wordt het bestaande beleid voor voorwaardelijke toegang dat een klant heeft ingesteld, niet overgeslagen. Het beleid voor voorwaardelijke toegang wordt voortgezet en de partner blijft een vergelijkbare ervaring hebben als een DAP-relatie.

In sommige gevallen, hoewel de GDAP-relatie wordt gemaakt, worden de Microsoft Entra-rollen niet toegevoegd aan beveiligingsgroepen door het door Microsoft geleide overgangsprogramma. Normaal gesproken worden de Microsoft Entra-rollen niet toegevoegd aan beveiligingsgroepen vanwege bepaalde beleidsregels voor voorwaardelijke toegang die de klant heeft ingesteld. In dergelijke gevallen werkt u samen met de klant om de installatie te voltooien. Bekijk hoe klanten CSP's kunnen uitsluiten van beleid voor voorwaardelijke toegang.

Rol van globale lezer toegevoegd aan Microsoft Led Transition GDAP

De rol 'Global Reader' is in mei toegevoegd aan MS Led die GDAP heeft gemaakt na het ontvangen van feedback van partners in juni 2023. Vanaf juli 2023 hebben alle door MS Led gemaakte GDAPs de rol Globale lezer, waardoor het totaal negen Microsoft Entra-rollen bevat.