Veelgestelde vragen over GDAP-migratie voor klanten
Juiste rollen: Alle gebruikers die geïnteresseerd zijn in partnercentrum
Gedetailleerde gedelegeerde beheerdersmachtigingen (GDAP) geven partners toegang tot de workloads van hun klanten op een manier die nauwkeuriger en tijdsgebonden is, wat kan helpen bij het oplossen van problemen met de klantbeveiliging.
Met GDAP kunnen partners meer services bieden aan klanten die zich mogelijk ongemakkelijk voelen bij hoge mate van partnertoegang.
GDAP helpt klanten die wettelijke vereisten hebben ook minimale toegang tot partners te bieden.
Wat zijn gedelegeerde beheerbevoegdheden (DAP)?
Met gedelegeerde beheerbevoegdheden (DAP) kan een partner namens hen de service of het abonnement van een klant beheren.
Zie Gedelegeerde beheerbevoegdheden voor meer informatie.
Wanneer heeft onze CSP DAP-machtigingen verleend aan de tenant van hun klanten?
- Wanneer de CSP een nieuwe klantrelatie instelt, wordt een gedelegeerde beheerdersbevoegdheden (DAP) tot stand gebracht.
- Wanneer een partner een resellerrelatie aanvraagt, is er een optie om DAP tot stand te brengen door de uitnodiging naar de klant te verzenden. De klant moet de aanvraag accepteren.
Kan een klant DAP-toegang tot hun tenant intrekken?
Ja, een partij, de CSP of de klant, kan DAP-toegang annuleren.
Waarom krijgt Microsoft gedelegeerde beheerdersbevoegdheden (DAP) buiten gebruik gesteld?
DAP is vatbaar voor beveiligingsaanvallen vanwege de levensduur en toegang met hoge bevoegdheden.
Zie NOBELIUM gericht op gedelegeerde beheerdersbevoegdheden om bredere aanvallen te vergemakkelijken voor meer informatie.
Wat is GDAP?
Gedetailleerde gedelegeerde beheerbevoegdheden (GDAP) is een beveiligingsfunctie die partners met minimale bevoegdheden toegang biedt volgens het Zero Trust-cyberbeveiligingsprotocol. Hiermee kunnen partners de gedetailleerde en tijdgebonden toegang tot de workloads van hun klanten configureren in productie- en sandboxomgevingen. Deze minst bevoegde toegang moet expliciet worden verleend aan partners door hun klanten.
Zie ingebouwde Microsoft Entra-rollen voor meer informatie.
Hoe werkt GDAP?
GDAP maakt gebruik van een Microsoft Entra-functie met de naam Cross-Tenant Access Policy (ook wel XTAP-toegangsoverzicht voor meerdere tenants genoemd), waarbij CSP-partner- en klantbeveiligingsmodellen worden uitgelijnd met het Microsoft Identity Model. Wanneer een aanvraag voor een GDAP-relatie wordt gedaan, bevat deze van de CSP-partner aan de klant een of meer ingebouwde Rollen en tijdgebonden toegang van Microsoft Entra, gemeten in dagen (1 tot 730). Wanneer de klant de aanvraag accepteert, wordt een XTAP-beleid naar de tenant van de klant geschreven, waarbij toestemming wordt gegeven voor de beperkte rollen en de opgegeven tijdsduur die door de CSP-partner wordt aangevraagd.
De CSP-partner kan meerdere GDAP-relaties aanvragen, elk met hun eigen beperkte rollen en een bepaalde periode, en meer flexibiliteit toevoegen dan de vorige DAP-relatie.
Wat is het GDAP-hulpprogramma voor bulkmigratie?
Het hulpprogramma voor bulkmigratie van GDAP biedt de CSP-partners een middel voor het verplaatsen van actieve DAP-toegang tot GDAP en het verwijderen van verouderde DAP-machtigingen. Actieve DAP wordt gedefinieerd als een CSP-/klant-DAP-relatie die momenteel tot stand is gebracht. De CSP-partners kunnen geen toegangsniveau aanvragen dat groter is dan wat is vastgesteld met DAP.
Zie veelgestelde vragen over GDAP voor meer informatie.
Wordt met het hulpprogramma voor bulkmigratie van GDAP een nieuwe service-principal toegevoegd als een bedrijfstoepassing in de tenant van de klant?
Ja, het GDAP-hulpprogramma voor bulkmigratie maakt gebruik van een werkende DAP om de oprichting van een nieuwe GDAP-relatie te autoriseren. De eerste keer dat een GDAP-relatie wordt geaccepteerd, zijn er twee microsoft-service-principals die in de tenant van de klant worden gebruikt.
Wat zijn de twee Microsoft Entra GDAP-service-principals die zijn gemaakt in de tenant van de klant?
| Naam | Toepassings-id |
|---|---|
| Gedelegeerd beheer partner | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Gedelegeerde beheerder van partnerbeheerder offlineprocessor | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
In deze context betekent 'eerste partij' dat toestemming impliciet wordt verstrekt door Microsoft tijdens api-aanroep en dat de OAuth 2.0 Access Token toestemming wordt gevalideerd voor elke API-aanroep om rol of machtigingen af te dwingen voor de aanroepende identiteit voor beheerde GDAP-relaties.
De service-principal van 283* is vereist op het moment van acceptatie van een GDAP-relatie. De service-principal van 283* stelt het XTAP-beleid voor de serviceprovider in en bereidt machtigingen voor het toestaan van verloop- en rolbeheer. Alleen de GDAP SP kan het XTAP-beleid voor serviceproviders instellen of wijzigen.
De a34*-identiteit is vereist voor de volledige levenscyclus van de GDAP-relatie en wordt automatisch verwijderd op het moment dat de laatste GDAP-relatie afloopt. De primaire machtiging en functie van de a34*-identiteit is het beheren van XTAP-beleid en toegangstoewijzingen. Een klantbeheerder mag niet proberen de a34*-identiteit handmatig te verwijderen. De a34*-identiteit implementeert functies voor vertrouwd verloop- en rolbeheer. De aanbevolen methode voor een klant om bestaande GDAP-relaties te bekijken of te verwijderen, is via de admin.microsoft.com-portal .