Perguntas frequentes sobre migração GDAP para clientes
Funções apropriadas: todos os usuários interessados no Partner Center
As permissões de administrador delegado granulares (GDAP) dão aos parceiros acesso às cargas de trabalho de seus clientes de uma forma mais granular e com limite de tempo, o que pode ajudar a resolver as preocupações de segurança do cliente.
Com o GDAP, os parceiros podem fornecer mais serviços aos clientes que podem se sentir desconfortáveis com altos níveis de acesso ao parceiro.
O GDAP também ajuda os clientes que têm requisitos regulatórios a fornecer acesso menos privilegiado aos parceiros.
O que são privilégios de administração delegada (DAP)?
Os DAP (privilégios de administração delegada) permitem que um parceiro gerencie o serviço ou a assinatura de um cliente em seu nome.
Para obter mais informações, consulte Privilégios de administração delegada.
Quando nosso CSP recebeu permissões de DAP para o locatário de seus clientes?
- Quando o CSP configura uma nova relação com o cliente, um DAP (privilégio de administrador delegado) é estabelecido.
- Quando um parceiro solicita uma relação de revendedor, há uma opção para estabelecer o DAP enviando o convite ao cliente. O cliente tem que aceitar a solicitação.
Um cliente pode revogar o acesso do DAP ao locatário?
Sim, qualquer uma das partes, o CSP ou o Cliente, pode cancelar o acesso ao DAP.
Por que a Microsoft está desativando os DAP (privilégios administrativos delegados)?
O DAP é suscetível a ataques de segurança devido à sua longevidade e alto acesso privilegiado.
Para obter mais informações, consulte NOBELIUM visando privilégios administrativos delegados para facilitar ataques mais amplos.
O que é GDAP?
O privilégio administrativo delegado granular (GDAP) é um recurso de segurança que fornece aos parceiros acesso com privilégios mínimos seguindo o protocolo de segurança cibernética Zero Trust. Ele permite que os parceiros configurem acesso granular e com limite de tempo às cargas de trabalho dos clientes em ambientes de produção e de área restrita. Esse acesso com privilégios mínimos precisa ser explicitamente concedido aos parceiros por seus clientes.
Para obter mais informações, consulte Funções internas do Microsoft Entra.
Como funciona o GDAP?
O GDAP utiliza um recurso do Microsoft Entra chamado Política de Acesso entre Locatários (às vezes chamado de Visão geral de acesso entre locatários XTAP), alinhando os modelos de segurança do Parceiro CSP e do cliente com o Modelo de Identidade da Microsoft. Quando uma solicitação para uma relação GDAP é feita, do parceiro CSP para seu cliente, ela contém uma ou mais funções internas do Microsoft Entra e acesso com limite de tempo medido em dias (1 a 730). Quando o cliente aceita a solicitação, uma política XTAP é gravada no locatário do cliente, consentindo com as funções limitadas e o período de tempo determinado solicitado pelo parceiro CSP.
O parceiro CSP pode solicitar várias relações GDAP, cada uma com suas próprias funções limitadas e determinado período de tempo, adicionando mais flexibilidade do que a relação DAP anterior.
O que é a ferramenta de migração em massa GDAP?
A ferramenta de migração em massa GDAP fornece aos parceiros CSP um meio de mover o acesso ativo do DAP para o GDAP e remover permissões herdadas do DAP. O DAP ativo é definido como qualquer relação CSP/DAP do cliente estabelecida no momento. Os parceiros CSP não podem solicitar um nível de acesso maior do que o estabelecido com o DAP.
Para obter mais informações, consulte as perguntas frequentes sobre o GDAP.
A execução da ferramenta de migração em massa GDAP fará com que uma nova entidade de serviço seja adicionada como um aplicativo empresarial no locatário do cliente?
Sim, a ferramenta de migração em massa GDAP usa um DAP em funcionamento para autorizar o estabelecimento de um novo relacionamento GDAP. Na primeira vez que uma relação GDAP é aceita, há duas entidades de serviço internas da Microsoft que entram em jogo no locatário do cliente.
Quais são as duas entidades de serviço GDAP do Microsoft Entra criadas no locatário do cliente?
| Nome | ID do Aplicativo |
|---|---|
| Administração delegada do cliente parceiro | 2832473F-EC63-45FB-976F-5D45A7D4BB91 |
| Processador offline de administrador delegado do cliente parceiro | Rolamento A3475900-CCEC-4A69-98F5-A65CD5DC5306 |
Nesse contexto, "primário" significa que o consentimento é fornecido implicitamente pela Microsoft no momento da OAuth 2.0 Access Token chamada à API e é validado em cada chamada à API para impor a função ou as permissões da identidade de chamada para relações GDAP gerenciadas.
A entidade de serviço 283* é necessária no momento da aceitação de uma relação GDAP. A entidade de serviço 283* configura a política de "provedor de serviços" XTAP e prepara permissões para permitir o gerenciamento de expiração e função. Somente o SP GDAP pode definir ou modificar as políticas XTAP para provedores de serviços.
A identidade a34* é necessária para todo o ciclo de vida da relação GDAP e será removida automaticamente no momento em que a última relação GDAP terminar. A principal permissão e função da identidade a34* é gerenciar políticas XTAP e atribuições de acesso. Um administrador do cliente não deve tentar remover manualmente a identidade a34*. A identidade a34* implementa funções para expiração confiável e gerenciamento de funções. O método recomendado para um cliente exibir ou remover relacionamentos GDAP existentes é por meio do portal admin.microsoft.com.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de