Udostępnij za pośrednictwem

Kierowane przez firmę Microsoft przejście z uprawnień administratora delegowanego na szczegółowe uprawnienia administratora delegowanego

  • Artykuł

Odpowiednie role: Wszyscy użytkownicy zainteresowani Centrum partnerskim

Firma Microsoft pomaga partnerom Jumpstart, którzy nie zaczęli przechodzić z delegowanych protokołów dostępu (DAP) do szczegółowych delegowanych protokołów dostępu (GDAP). Ta pomoc pomaga partnerom zmniejszyć ryzyko bezpieczeństwa, przechodząc do kont korzystających z najlepszych rozwiązań w zakresie zabezpieczeń, w tym przy użyciu umów dotyczących zabezpieczeń z ograniczonymi czasami.

Jak działa przejście prowadzone przez firmę Microsoft

  1. Firma Microsoft automatycznie tworzy relację GDAP z ośmioma rolami domyślnymi.
  2. Role są automatycznie przypisywane do wstępnie zdefiniowanych grup zabezpieczeń Dostawca rozwiązań w chmurze (CSP).
  3. Po upływie 30 dni język DAP zostanie usunięty.

Zaplanuj

Firma Microsoft rozpoczęła przejście DAP do GDAP w dniu 22 maja 2023 r. W czerwcu jest okres zaciemnienia. Przejście zostanie wznowione po lipcu.

Kto kwalifikuje się do przejścia prowadzonego przez firmę Microsoft?

W tej tabeli przedstawiono ogólne podsumowanie:

Włączono język DAP Relacja GDAP istnieje Relacja GDAP w stanie "Oczekiwanie na zatwierdzenie" Relacja GDAP została zakończona/wygasła Uprawnienia do przejścia prowadzonego przez firmę Microsoft
Tak Nie Brak Brak Tak
Tak Tak Nie. Nie. Nie.
Tak Tak Tak Nie. Nie†
Tak Tak Nie Tak Nie†
Nie. Tak Nie. Nie. Nie†
Nie Nie. Nie. Tak Nie.

Jeśli utworzono relację GDAP, firma Microsoft nie utworzy relacji GDAP w ramach przejścia prowadzonego przez firmę Microsoft. Zamiast tego relacja języka DAP zostanie usunięta w lipcu 2023 r.

Możesz zakwalifikować się do przejścia prowadzonego przez firmę Microsoft w dowolnym z następujących scenariuszy:

  • Utworzono relację GDAP, a relacja jest w stanie Oczekiwanie na zatwierdzenie . Ta relacja zostanie oczyszczona po trzech miesiącach.
  • † Możesz zakwalifikować się, jeśli utworzono relację GDAP, ale relacja GDAP wygasła. Kwalifikacje zależą od tego, jak długo relacja wygasła:
    • Jeśli relacja wygasła mniej niż 365 dni temu, nie zostanie utworzona nowa relacja GDAP.
    • Jeśli relacja wygasła ponad 365 dni temu, relacja zostanie usunięta.

Czy po przejściu prowadzonym przez firmę Microsoft nastąpi zakłócenie dla klientów?

Partnerzy i ich działalność są unikatowe. Po utworzeniu relacji GDAP za pomocą narzędzia przejściowego prowadzonego przez firmę Microsoft GDAP pierwszeństwo ma język DAP.

Firma Microsoft zaleca, aby partnerzy testować i tworzyć nowe relacje z wymaganymi rolami, których brakuje w narzędziu do przenoszenia prowadzonego przez firmę Microsoft. Utwórz relację GDAP z rolami na podstawie przypadków użycia i wymagań biznesowych w celu zapewnienia bezproblemowego przejścia z języka DAP do GDAP.

Jakie role firmy Microsoft Entra przypisuje firma Microsoft podczas tworzenia relacji GDAP przy użyciu narzędzia do przenoszenia prowadzonego przez firmę Microsoft?

  • Czytelnicy katalogów: może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości.
  • Autorzy katalogów: może odczytywać i zapisywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do aplikacji. Ta rola nie jest przeznaczona dla użytkowników.
  • Czytelnik globalny: może przeczytać wszystko, co administrator globalny, ale nie może nic zaktualizować.
  • Administrator licencji: może zarządzać licencjami produktów dla użytkowników i grup.
  • Administrator pomocy technicznej usługi: może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej.
  • Administrator użytkowników: może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów.
  • Administrator ról uprzywilejowanych: może zarządzać przypisaniami ról w usłudze Microsoft Entra ID i wszystkimi aspektami usługi Privileged Identity Management (PIM).
  • Administrator pomocy technicznej: może resetować hasła dla administratorów nieadministratorów i administratorów pomocy technicznej.
  • Administrator uwierzytelniania uprzywilejowanego: może uzyskiwać dostęp, wyświetlać, ustawiać i resetować informacje o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego administratora).

Które role firmy Microsoft Entra są automatycznie przypisywane do wstępnie zdefiniowanych grup zabezpieczeń CSP w ramach przejścia prowadzonego przez firmę Microsoft?

Grupa zabezpieczeń agentów administracyjnych:

  • Czytelnicy katalogów: może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości.
  • Składniki zapisywania katalogów: może odczytywać i zapisywać podstawowe informacje o katalogu; w celu udzielenia dostępu do aplikacji, które nie są przeznaczone dla użytkowników.
  • Czytelnik globalny: może przeczytać wszystko, co administrator globalny, ale nie może nic zaktualizować.
  • Administrator licencji: może zarządzać licencjami produktów dla użytkowników i grup.
  • Administrator użytkowników: może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów.
  • Administrator ról uprzywilejowanych: może zarządzać przypisaniami ról w usłudze Microsoft Entra ID i wszystkimi aspektami usługi Privileged Identity Management (PIM).
  • Administrator uwierzytelniania uprzywilejowanego: może uzyskiwać dostęp, wyświetlać, ustawiać i resetować informacje o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego administratora).
  • Administrator pomocy technicznej usługi: może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej.
  • Administrator pomocy technicznej: może resetować hasła dla administratorów nieadministratorów i administratorów pomocy technicznej.

Grupa zabezpieczeń agentów pomocy technicznej:

  • Administrator pomocy technicznej usługi: może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej.
  • Administrator pomocy technicznej: może resetować hasła dla administratorów nieadministratorów i administratorów pomocy technicznej.

Jak długo jest nowa relacja GDAP?

Relacja GDAP utworzona podczas transformacji prowadzonej przez firmę Microsoft trwa rok.

Czy klienci będą wiedzieć, kiedy firma Microsoft tworzy nową relację GDAP w ramach przejścia daP do GDAP lub usunięcia języka DAP?

L.p. Wszystkie e-maile, które zwykle idą do klientów w ramach przejścia GDAP, są pomijane.

Jak mogę wiedzieć, kiedy firma Microsoft tworzy nową relację w ramach przejścia daP do GDAP?

Partnerzy nie otrzymują powiadomień o utworzeniu nowej relacji GDAP podczas przejścia prowadzonego przez firmę Microsoft. Pominięto te typy powiadomień podczas przejścia, ponieważ wysłanie wiadomości e-mail dla każdej zmiany może spowodować powstanie ogromnej liczby wiadomości e-mail. Możesz sprawdzić dzienniki inspekcji, aby sprawdzić, kiedy zostanie utworzona nowa relacja GDAP.

Rezygnacja z przejścia prowadzonego przez firmę Microsoft

Aby zrezygnować z tego przejścia, możesz utworzyć relację GDAP lub usunąć istniejące relacje języka DAP.

Kiedy zostanie usunięta relacja dap?

Trzydzieści dni po utworzeniu relacji GDAP firma Microsoft usunie relację języka DAP. Jeśli utworzono już relację GDAP, firma Microsoft usunie odpowiednią relację DAP w lipcu 2023 r.

Uzyskiwanie dostępu do witryny Azure Portal po przejściu przez firmę Microsoft

Jeśli użytkownik partnera jest częścią grupy zabezpieczeń agenta administracyjnego lub użytkownik jest częścią grupy zabezpieczeń, takiej jak Usługa Azure Manager, która jest zagnieżdżona w grupie zabezpieczeń agenta administracyjnego (zalecane przez firmę Microsoft), użytkownik partnera może uzyskać dostęp do witryny Azure Portal przy użyciu roli czytelnika katalogów najniższych uprawnień. Rola Czytelnik katalogu jest jedną z domyślnych ról dla relacji GDAP tworzonej przez firmę Microsoft. Ta rola jest automatycznie przypisywana do grupy zabezpieczeń Agent administracyjny w ramach przejścia firmy Microsoft z języka DAP do usługi GDAP.

Scenariusz Włączono język DAP Relacja GDAP istnieje Rola agenta administracyjnego przypisana przez użytkownika Użytkownik dodany do grupy zabezpieczeń z członkostwem agenta administracyjnego Rola czytelnika katalogu automatycznie przypisana do grupy zabezpieczeń agenta administracyjnego Użytkownik może uzyskać dostęp do subskrypcji platformy Azure
1 Tak Tak Nie Tak Tak Tak
2 Nie. Tak Nie Tak Tak Tak
3 Nie. Tak Tak Tak Tak Tak

W scenariuszach 1 i 2, w których przypisana przez użytkownika rola agenta administracyjnego to "Nie", członkostwo użytkownika partnera zmienia się na rolę agenta administracyjnego, gdy są częścią grupy zabezpieczeń agenta administracyjnego (SG). To zachowanie nie jest bezpośrednim członkostwem, ale pochodzi od części administratora agenta SG lub grupy zabezpieczeń zagnieżdżonej w ramach sg agenta administracyjnego.

Jak nowi użytkownicy partnerów uzyskują dostęp do witryny Azure Portal po przejściu przez firmę Microsoft?

Zobacz Obciążenia obsługiwane przez szczegółowe uprawnienia administratora delegowanego (GDAP), aby zapoznać się z najlepszymi rozwiązaniami dotyczącymi platformy Azure. Możesz również ponownie skonfigurować grupy zabezpieczeń istniejącego partnera, aby postępować zgodnie z zalecanym przepływem:

Diagram przedstawiający relację między partnerem a klientem korzystającym z aplikacji GDAP.

Zobacz nową relację GDAP

Po utworzeniu nowej relacji GDAP za pomocą narzędzia do przenoszenia prowadzonego przez firmę Microsoft znajdziesz relację o nazwie MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). Liczba gwarantuje, że relacja jest unikatowa zarówno w dzierżawie, jak i w dzierżawie klienta. Przykładowa nazwa relacji GDAP: "MLT_12abcd34_56cdef78_90abcd12".

Zobacz nową relację GDAP w portalu Centrum partnerskim

W portalu Centrum partnerskiego otwórz obszar roboczy Klient , a następnie wybierz sekcję Relacje administratora i wybierz klienta.

Zrzut ekranu przedstawiający ekran Relacje administratora w Centrum partnerskim. Lista zawiera relacje administratora z klientem, który jest obecnie aktywny, wygasł lub zakończony, w tym pojedynczy wpis, MLT_abc123_def456.

W tym miejscu możesz znaleźć role firmy Microsoft Entra i znaleźć role firmy Microsoft Entra przypisane do grup zabezpieczeń Agenci administracyjni i Agenci pomocy technicznej.

Zrzut ekranu przedstawiający przykładową relację administratora, która ma nazwę MLT_abc123_def456. Lista zawiera relacje administratora z klientem, który jest obecnie aktywny, wygasł lub zakończony.

Wybierz strzałkę w dół w kolumnie Szczegóły , aby wyświetlić role firmy Microsoft Entra.

Zrzut ekranu przedstawiający widok klienta na ekranie Relacja administratora z widocznymi szczegółami grup zabezpieczeń.

Gdzie klienci znajdą nową relację GDAP utworzoną za pośrednictwem przejścia prowadzonego przez firmę Microsoft w portalu Microsoft Admin Center (MAC)?

Klienci mogą znaleźć relację GDAP prowadzoną przez firmę Microsoft w sekcji Relacja partnera na karcie Ustawienia .

Zrzut ekranu przedstawiający Centrum administracyjne platformy Microsoft 365. Na karcie Ustawienia szczegółowe delegowane uprawnienia administracyjne (GDAP) pokazują jedną relację partnera z nazwą MLT_abc123_def456.

Dzienniki inspekcji w dzierżawie klienta

Poniższy zrzut ekranu przedstawia wygląd dzienników inspekcji w dzierżawie klienta po utworzeniu relacji GDAP za pośrednictwem przejścia prowadzonego przez firmę Microsoft:

Zrzut ekranu przedstawiający wygląd dzienników inspekcji w dzierżawie klienta po utworzeniu relacji GDAP za pośrednictwem przejścia prowadzonego przez firmę Microsoft:

Jak dzienniki inspekcji wyglądają w portalu Centrum partnerskim dla utworzonej relacji GDAP przez firmę MS?

Poniższy zrzut ekranu przedstawia wygląd dzienników inspekcji w portalu Centrum partnerskiego po utworzeniu relacji GDAP za pośrednictwem przejścia prowadzonego przez firmę Microsoft:

Zrzut ekranu witryny Azure Portal klienta z fikcyjnym klientem: Trey Research wybranym. Dzienniki inspekcji pokazują datę, obszar usługi, kategorię, aktywność, stan, cel i zainicjowane przez.

Jakie są jednostki usługi Microsoft Entra GDAP utworzone w dzierżawie klienta?

Nazwisko Application ID
Administrowanie delegowane przez klienta partnerskiego 2832473f-ec63-45fb-976f-5d45a7d4bb91
Administrator delegowany przez klienta partnera w trybie offline a3475900-ccec-4a69-98f5-a65cd5dc5306
Migracja administratora delegowanego Centrum partnerskiego b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f

W tym kontekście "pierwsza strona" oznacza, że zgoda jest niejawnie dostarczana przez firmę Microsoft w czasie wywołania interfejsu API, a token dostępu OAuth 2.0 jest weryfikowany na każdym wywołaniu interfejsu API w celu wymuszenia roli lub uprawnień dla tożsamości wywołującej do zarządzanych relacji GDAP.

Jednostka usługi 283* konfiguruje zasady "dostawcy usług" XTAP i przygotowuje uprawnienia umożliwiające wygasanie i zarządzanie rolami. Tylko GDAP SP może ustawić lub zmodyfikować zasady XTAP dla dostawców usług.

Tożsamość a34* jest wymagana dla całego cyklu życia relacji GDAP i jest automatycznie usuwana w momencie zakończenia ostatniej relacji GDAP. Podstawowym uprawnieniem i funkcją tożsamości a34* jest zarządzanie zasadami XTAP i przypisaniami dostępu. Administrator klienta nie powinien próbować ręcznie usunąć tożsamości a34*. Tożsamość a34* implementuje funkcje do zaufanego wygasania i zarządzania rolami. Zalecaną metodą wyświetlania lub usuwania istniejących relacji GDAP przez klienta jest portal admin.microsoft.com.

Jednostka usługi b39* jest wymagana do zatwierdzenia relacji GDAP, które są migrowane w ramach przejścia prowadzonego przez firmę Microsoft. Jednostka usługi b39* ma uprawnienia do konfigurowania zasad "dostawcy usług" XTAP i dodawania jednostek usług w dzierżawach klienta do migrowania tylko relacji GDAP. Tylko GDAP SP może ustawić lub zmodyfikować zasady XTAP dla dostawców usług.

Zasady dostępu warunkowego

Firma Microsoft tworzy nową relację GDAP, nawet jeśli masz zasady dostępu warunkowego. Relacja GDAP jest tworzona w stanie Aktywny .

Nowa relacja GDAP nie pomija istniejących zasad dostępu warunkowego skonfigurowanych przez klienta. Zasady dostępu warunkowego są kontynuowane, a partner nadal ma podobne środowisko jako relacja języka DAP.

W niektórych przypadkach, mimo że relacja GDAP jest tworzona, role Entra firmy Microsoft nie są dodawane do grup zabezpieczeń przez narzędzie przejściowe prowadzone przez firmę Microsoft. Zazwyczaj role entra firmy Microsoft nie są dodawane do grup zabezpieczeń z powodu określonych zasad dostępu warunkowego ustawionych przez klienta. W takich przypadkach skontaktuj się z klientem, aby ukończyć konfigurację. Zobacz, jak klienci mogą wykluczać dostawców CSP z zasad dostępu warunkowego.

Rola czytelnika globalnego dodana do aplikacji Microsoft Led Transition GDAP

Rola "Czytelnik globalny" została dodana do firmy MS Led utworzonej przez firmę GDAP w maju po otrzymaniu opinii od partnerów w czerwcu 2023 r. Od lipca 2023 r. wszystkie zarządzane grupy zarządzane przez firmę GDAPs pełnią rolę czytelnika globalnego, co czyni go dziewięcioma rolami firmy Microsoft Entra w sumie.

Powiązana zawartość