Często zadawane pytania dotyczące migracji GDAP dla klientów
Odpowiednie role: Wszyscy użytkownicy zainteresowani Centrum partnerskim
Szczegółowe uprawnienia administratora delegowanego (GDAP) zapewniają partnerom dostęp do obciążeń swoich klientów w sposób bardziej szczegółowy i ograniczony czas, co może pomóc w rozwiązywaniu problemów z zabezpieczeniami klientów.
Dzięki GDAP partnerzy mogą świadczyć więcej usług klientom, którzy mogą być niewygodni z wysokim poziomem dostępu partnerów.
GDAP pomaga również klientom, którzy mają wymagania prawne, zapewniają najmniej uprzywilejowany dostęp do partnerów.
Co to są uprawnienia administracji delegowanej (DAP)?
Delegowane uprawnienia administracyjne (DAP) umożliwiają partnerowi zarządzanie usługą lub subskrypcją klienta w ich imieniu.
Aby uzyskać więcej informacji, zobacz Delegowane uprawnienia administracyjne.
Kiedy nasz dostawca CSP udzielił uprawnień daP do dzierżawy swoich klientów?
- Gdy dostawca CSP konfiguruje nową relację z klientem, zostanie ustanowiony delegowany uprawnienia administratora (DAP).
- Gdy partner zażąda relacji odsprzedawcy, istnieje możliwość ustanowienia dostawcy daP przez wysłanie zaproszenia do klienta. Klient musi zaakceptować żądanie.
Czy klient może odwołać dostęp daP do swojej dzierżawy?
Tak, jedną ze stron, dostawcy CSP lub klienta, można anulować dostęp daP.
Dlaczego firma Microsoft wycofała delegowane uprawnienia administracyjne (DAP)?
DaP jest podatny na ataki zabezpieczeń ze względu na jego długowieczność i wysoki dostęp uprzywilejowany.
Aby uzyskać więcej informacji, zobacz NOBELIUM skierowane do delegowanych uprawnień administracyjnych w celu ułatwienia szerszych ataków.
Co to jest GDAP?
Szczegółowe delegowane uprawnienia administracyjne (GDAP) to funkcja zabezpieczeń, która zapewnia partnerom dostęp z najniższymi uprawnieniami po protokole cyberbezpieczeństwa Zero Trust. Umożliwia ona partnerom konfigurowanie szczegółowego i ograniczonego czasowo dostępu do obciążeń klientów w środowiskach produkcyjnych i środowiskach piaskownicy. Ten najmniej uprzywilejowany dostęp musi być jawnie udzielany partnerom przez swoich klientów.
Aby uzyskać więcej informacji, zobacz Wbudowane role firmy Microsoft.
Jak działa GDAP?
Aplikacja GDAP korzysta z funkcji firmy Microsoft Entra o nazwie Cross-Tenant Access Policy (czasami nazywanej omówieniem dostępu między dzierżawami XTAP), dostosowując model zabezpieczeń partnera CSP i klienta do modelu tożsamości firmy Microsoft. Po wysłaniu żądania dotyczącego relacji GDAP od partnera CSP do klienta zawiera on co najmniej jedną wbudowaną rolę firmy Microsoft Entra i dostęp ograniczony czasowo w dniach (od 1 do 730). Gdy klient zaakceptuje żądanie, zasady XTAP są zapisywane w dzierżawie klienta, wyrażając zgodę na ograniczone role i biorąc pod uwagę zakres czasu namawiany przez partnera CSP.
Partner CSP może zażądać wielu relacji GDAP, z których każda ma własne ograniczone role i biorąc pod uwagę przedział czasu, dodając większą elastyczność niż poprzednia relacja języka DAP.
Co to jest narzędzie migracji zbiorczej GDAP?
Narzędzie migracji zbiorczej GDAP udostępnia partnerom CSP środki umożliwiające przenoszenie aktywnego dostępu DAP do aplikacji GDAP i usuwanie starszych uprawnień daP. Aktywny dostawca DAP jest definiowany jako dowolna relacja CSP/Customer DAP, która jest obecnie ustanowiona. Partnerzy CSP nie mogą zażądać poziomu dostępu większego niż to, co zostało ustanowione w języku DAP.
Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące GDAP.
Czy uruchomienie narzędzia migracji zbiorczej GDAP spowoduje dodanie nowej jednostki usługi jako aplikacji dla przedsiębiorstw w dzierżawie klienta?
Tak, narzędzie migracji zbiorczej GDAP używa działającego daP do autoryzowania ustanowienia nowej relacji GDAP. Po pierwszym zaakceptowaniu relacji GDAP istnieją dwie jednostki usługi firmy Microsoft, które wchodzą w grę w dzierżawie klienta.
Jakie są dwie jednostki usługi Microsoft Entra GDAP utworzone w dzierżawie klienta?
| Nazwisko | Application ID |
|---|---|
| Administrowanie delegowane przez klienta partnerskiego | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Administrator delegowany przez klienta partnera w trybie offline | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
W tym kontekście "pierwsza strona" oznacza, że zgoda jest niejawnie dostarczana przez firmę Microsoft w czasie wywołania interfejsu API i OAuth 2.0 Access Token jest weryfikowana na każdym wywołaniu interfejsu API w celu wymuszenia roli lub uprawnień dla tożsamości wywołującej do zarządzanych relacji GDAP.
Jednostka usługi 283* jest wymagana w momencie akceptacji relacji GDAP. Jednostka usługi 283* konfiguruje zasady "dostawcy usług" XTAP i przygotowuje uprawnienia umożliwiające wygasanie i zarządzanie rolami. Tylko GDAP SP może ustawić lub zmodyfikować zasady XTAP dla dostawców usług.
Tożsamość a34* jest wymagana dla całego cyklu życia relacji GDAP i zostanie automatycznie usunięta w momencie zakończenia ostatniej relacji GDAP. Podstawowym uprawnieniem i funkcją tożsamości a34* jest zarządzanie zasadami XTAP i przypisaniami dostępu. Administrator klienta nie powinien próbować ręcznie usunąć tożsamości a34*. Tożsamość a34* implementuje funkcje do zaufanego wygasania i zarządzania rolami. Zalecaną metodą wyświetlania lub usuwania istniejących relacji GDAP przez klienta jest portal admin.microsoft.com .