Co to jest administracja delegowana?

Zarządzanie uprawnieniami dla partnerów zewnętrznych jest kluczowym elementem stanu zabezpieczeń. Dodaliśmy możliwości w środowisku portalu administratora w Microsoft Entra ID, części Microsoft Entra, dzięki czemu administrator może zobaczyć relacje dzierżawy Microsoft Entra z dostawcami usług w chmurze Microsoft (CSP), którzy mogą zarządzać dzierżawą. Ten model uprawnień nosi nazwę administracji delegowanej. W tym artykule przedstawia się administratorowi Microsoft Entra związek między starym modelem uprawnień delegowanych administratora (DAP) a nowym modelem uprawnień delegowanych administratora szczegółowego (GDAP).

Relacje administracji delegowanej

Relacje administracji delegowanej umożliwiają technikom w CSP firmy Microsoft administrowanie usługi firmy Microsoft, takimi jak Microsoft 365, Dynamics 365 i Azure w imieniu organizacji. Ci technicy zarządzają tymi usługami za pomocą tych samych ról i uprawnień co administratorzy twojej organizacji. Role te są przypisywane do grup zabezpieczeń w dzierżawie Microsoft Entra dostawcy usług w chmurze, dlatego technicy CSP nie potrzebują kont użytkownika w Twojej dzierżawie, aby zarządzać usługami dla Ciebie.

Istnieją dwa typy relacji administracji delegowanej, które są widoczne w środowisku witryny Azure Portal. Nowszy typ relacji administracyjnej z delegowanymi uprawnieniami jest znany jako Granularne Uprawnienia do Delegowania Admina. Starszy typ relacji jest nazywany uprawnieniem administratora delegowanego. Jeśli zalogujesz się do witryny Azure Portal, zobaczysz oba typy relacji, a następnie wybierz pozycję Administracja delegowana.

Granularne uprawnienia administratora delegowanego

Kiedy partner CSP Microsoft tworzy wniosek o utworzenie relacji GDAP dla Twojej dzierżawy, to Administrator Globalny musi go zatwierdzić. Żądanie relacji GDAP określa:

• Podmiot partnerski CSP
• Role, które partner musi delegować do swoich techników
• Data wygaśnięcia

Jeśli masz relacje GDAP w dzierżawie, na stronie Administracji Delegowanej w centrum administracyjnym Microsoft Entra widzisz baner powiadomień. Wybierz baner powiadomień, aby wyświetlić relacje GDAP i zarządzać nimi na stronie Partnerzy w Centrum administracyjnym firmy Microsoft.

Uprawnienia administratora delegowanego

Wszystkie relacje DAP umożliwiają dostawcy CSP delegowanie ról Administratora Globalnego i Administratora Pomocy Technicznej do swoich techników. W przeciwieństwie do relacji GDAP, relacja DAP trwa do chwili, gdy Ty lub dostawca CSP ją odwołacie.

Jeśli masz jakiekolwiek relacje DAP w swojej dzierżawie, możesz je wyświetlić na liście na stronie Administracji delegowanej w portalu Azure. Aby usunąć relację DAP dla dostawcy CSP, przejdź do strony Partnerzy w Centrum administracyjnym Microsoft.

Następne kroki

Jeśli jesteś początkującym administratorem firmy Microsoft Entra, zapoznaj się z podstawowymi informacjami w temacie Microsoft Entra Fundamentals.

• Uprawnienia administracji delegowanej (DAP) — często zadawane pytania
• Wprowadzenie do granularnych uprawnień administratora delegowanego (GDAP)
• Przejście za kierownictwem Microsoft z DAP na GDAP