Transição liderada pela Microsoft do DAP para o GDAP
Funções apropriadas: todos os usuários interessados no Partner Center
A Microsoft está ajudando os parceiros Jumpstart que não começaram a fazer a transição de protocolos de acesso delegado (DAP) para protocolos de acesso delegado granular (GDAP). Essa assistência ajuda os parceiros a reduzir os riscos de segurança migrando para contas que usam as melhores práticas de segurança, incluindo o uso de contratos de segurança com direitos mínimos por tempo limitado.
Como funciona a transição liderada pela Microsoft
- A Microsoft cria automaticamente uma relação GDAP com oito funções padrão.
- As funções são atribuídas automaticamente a grupos de segurança predefinidos do CSP (Provedor de Soluções na Nuvem).
- Após 30 dias, o DAP é removido.
Agenda
A Microsoft iniciou a transição do DAP para o GDAP em 22 de maio de 2023. Há um período de blecaute em junho. A transição será retomada depois de julho.
Quem se qualifica para a transição liderada pela Microsoft?
Esta tabela mostra um resumo de alto nível:
| DAP habilitado | Existe uma relação GDAP | Relação GDAP no estado "Aprovação pendente" | Relacionamento GDAP encerrado/expirado | Qualificação para transição liderada pela Microsoft |
|---|---|---|---|---|
| Sim | Não | N/D | N/D | Sim |
| Sim | Sim | Não | No | No |
| Sim | Sim | Sim | No | Não† |
| Sim | Sim | Não | Sim | Não† |
| Não | Sim | Não | No | Não† |
| Não | No | No | Sim | No |
Se você criou uma relação GDAP, a Microsoft não criará uma relação GDAP como parte da transição liderada pela Microsoft. Em vez disso, o relacionamento DAP será removido em julho de 2023.
Você pode se qualificar para fazer parte da transição liderada pela Microsoft em qualquer um dos seguintes cenários:
- Você criou uma relação GDAP e a relação está em um estado de aprovação Pendente. Esse relacionamento será limpo após três meses.
- † Você pode se qualificar se tiver criado uma relação GDAP, mas a relação GDAP expirou. A qualificação depende de quanto tempo o relacionamento expirou:
- Se a relação expirou há menos de 365 dias, uma nova relação GDAP não será criada.
- Se a relação expirou há mais de 365 dias, a relação será removida.
Haverá uma interrupção para os clientes após a transição liderada pela Microsoft?
Os parceiros e seus negócios são únicos. Depois que a relação GDAP é criada por meio da ferramenta de transição liderada pela Microsoft, o GDAP tem precedência sobre o DAP.
A Microsoft recomenda que os parceiros testem e criem novas relações com as funções necessárias que estão ausentes na ferramenta de transição liderada pela Microsoft. Crie um relacionamento GDAP com funções com base em seus casos de uso e requisitos de negócios para garantir uma transição suave do DAP para o GDAP.
Quais funções do Microsoft Entra a Microsoft atribui quando uma relação GDAP é criada usando a ferramenta de transição liderada pela Microsoft?
- Leitores de diretório: Pode ler informações básicas do diretório. Normalmente usado para conceder acesso de leitura de diretório a aplicativos e convidados.
- Escritores de diretório: Pode ler e gravar informações básicas de diretório. Comumente usado para conceder acesso a aplicativos. Essa função não se destina a usuários.
- Leitor Global: Pode ler tudo o que um Administrador Global pode, mas não atualizar nada.
- Administrador de licenças: pode gerenciar licenças de produtos em usuários e grupos.
- Administrador de suporte de serviço: pode ler informações de integridade do serviço e gerenciar tíquetes de suporte.
- Administrador de usuários: pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados.
- Administrador de função privilegiada: pode gerenciar atribuições de função na ID do Microsoft Entra e todos os aspectos do PIM (Privileged Identity Management).
- Administrador de assistência técnica: pode redefinir senhas para não administradores e administradores de assistência técnica.
- Administrador de autenticação com privilégios: pode acessar, visualizar, definir e redefinir informações do método de autenticação para qualquer usuário (administrador ou não administrador).
Quais funções do Microsoft Entra são atribuídas automaticamente a quais grupos de segurança CSP predefinidos como parte da transição liderada pela Microsoft?
Grupo de segurança de agentes administrativos:
- Leitores de diretório: Pode ler informações básicas do diretório. Normalmente usado para conceder acesso de leitura de diretório a aplicativos e convidados.
- Escritores de diretório: Pode ler e gravar informações básicas de diretório; para conceder acesso a aplicativos, não destinados a usuários.
- Leitor Global: Pode ler tudo o que um Administrador Global pode, mas não atualizar nada.
- Administrador de licenças: pode gerenciar licenças de produtos em usuários e grupos.
- Administrador de usuários: pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados.
- Administrador de função privilegiada: pode gerenciar atribuições de função na ID do Microsoft Entra e todos os aspectos do PIM (Privileged Identity Management).
- Administrador de autenticação com privilégios: pode acessar, visualizar, definir e redefinir informações do método de autenticação para qualquer usuário (administrador ou não administrador).
- Administrador de suporte de serviço: pode ler informações de integridade do serviço e gerenciar tíquetes de suporte.
- Administrador de assistência técnica: pode redefinir senhas para não administradores e administradores de assistência técnica.
Grupo de segurança dos agentes de helpdesk:
- Administrador de suporte de serviço: pode ler informações de integridade do serviço e gerenciar tíquetes de suporte.
- Administrador de assistência técnica: pode redefinir senhas para não administradores e administradores de assistência técnica.
Qual é a duração do novo relacionamento GDAP?
A relação GDAP criada durante a transição liderada pela Microsoft é de um ano.
Os clientes saberão quando a Microsoft criar a nova relação GDAP como parte da transição do DAP para o GDAP ou remover o DAP?
Não. Todos os e-mails que normalmente iriam para os clientes como parte da transição GDAP são suprimidos.
Como saberei quando a Microsoft cria uma nova relação como parte da transição do DAP para o GDAP?
Os parceiros não recebem notificações quando a nova relação GDAP é criada durante a transição liderada pela Microsoft. Suprimimos esses tipos de notificações durante a transição, porque enviar um e-mail para cada alteração pode criar um grande volume de e-mails. Você pode verificar os logs de auditoria para ver quando o novo relacionamento GDAP é criado.
Recusar a transição liderada pela Microsoft
Para recusar essa transição, você pode criar uma relação GDAP ou remover suas relações DAP existentes.
Quando o relacionamento DAP será removido?
Trinta dias após a criação da relação GDAP, a Microsoft removerá a relação DAP. Se você já criou uma relação GDAP, a Microsoft removerá a respectiva relação DAP em julho de 2023.
Acessar o portal do Azure após a transição liderada pela Microsoft
Se o usuário parceiro fizer parte do Grupo de Segurança do Agente Administrador ou fizer parte de um grupo de segurança, como o Gerenciador do Azure, aninhado no Grupo de Segurança do Agente Administrador (prática recomendada pela Microsoft), o usuário parceiro poderá acessar o portal do Azure usando a função de Leitor de Diretório com privilégios mínimos. A função Directory-Reader é uma das funções padrão para a relação GDAP que a ferramenta de transição liderada pela Microsoft cria. Essa função é atribuída automaticamente ao grupo de segurança do Agente Administrador como parte da transição liderada pela Microsoft do DAP para o GDAP.
| Cenário | DAP habilitado | Existe uma relação GDAP | Função de Agente Administrador atribuída pelo usuário | Usuário adicionado ao Grupo de Segurança com associação ao Agente Administrador | Função de Leitor de Diretório atribuída automaticamente ao Grupo de Segurança do Agente Administrador | O usuário pode acessar a assinatura do Azure |
|---|---|---|---|---|---|---|
| 1 | Sim | Sim | Não | Sim | Sim | Sim |
| 2 | Não | Sim | Não | Sim | Sim | Sim |
| 3 | Não | Sim | Sim | Sim | Sim | Sim |
Para os cenários 1 e 2, em que a função de agente administrador atribuída pelo usuário é "Não", a associação de usuário do parceiro muda para a função de Agente Administrador quando ele faz parte do SG (Grupo de Segurança) do Agente Administrador. Esse comportamento não é uma associação direta, mas derivada de fazer parte do SG do Agente Administrador ou de um grupo de segurança aninhado no SG do Agente Administrador.
Após a transição liderada pela Microsoft, como os novos usuários parceiros obtêm acesso ao portal do Azure?
Consulte Cargas de trabalho compatíveis com GDAP (privilégios de administrador delegado) granulares para obter as práticas recomendadas do Azure. Você também pode reconfigurar os grupos de segurança do usuário parceiro existente para seguir o fluxo recomendado:
Veja o novo relacionamento GDAP
Quando uma nova relação GDAP é criada com a ferramenta de transição liderada pela Microsoft, você encontrará uma relação com o nome MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). O número garante que a relação seja exclusiva no locatário e no locatário do cliente. Exemplo de nome da relação GDAP: "MLT_12abcd34_56cdef78_90abcd12".
Confira a nova relação GDAP no Portal do Partner Center
No portal do Partner Center, abra o espaço de trabalho do cliente , selecione a seção Relação de administrador e selecione o cliente.
A partir daqui, você pode encontrar as funções do Microsoft Entra e descobrir quais funções do Microsoft Entra são atribuídas aos grupos de segurança Agentes Administrativos e Agentes de Assistência Técnica.
Selecione a seta para baixo na coluna Detalhes para ver as funções do Microsoft Entra.
Onde os clientes encontrarão a nova relação GDAP criada por meio da transição liderada pela Microsoft no Portal MAC (Microsoft Admin Center)?
Os clientes podem encontrar a relação GDAP liderada pela Microsoft na seção Relação de Parceiro na guia Configurações .
Logs de auditoria no locatário do cliente
A captura de tela a seguir mostra a aparência dos logs de auditoria no locatário do cliente depois que a relação GDAP é criada por meio da transição liderada pela Microsoft:
Como os Logs de Auditoria se parecem no Portal do Partner Center para a relação GDAP criada pelo MS Led?
A captura de tela a seguir mostra a aparência dos logs de auditoria no portal do Partner Center depois que a relação GDAP é criada por meio da transição liderada pela Microsoft:
Quais são as entidades de serviço GDAP do Microsoft Entra criadas no locatário do cliente?
| Nome | ID do Aplicativo |
|---|---|
| Administração delegada do cliente parceiro | 2832473F-EC63-45FB-976F-5D45A7D4BB91 |
| Processador offline de administrador delegado do cliente parceiro | Rolamento A3475900-CCEC-4A69-98F5-A65CD5DC5306 |
| Migração de administrador delegado do Partner Center | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
Nesse contexto, "primário" significa que o consentimento é fornecido implicitamente pela Microsoft no momento da chamada da API e o Token de Acesso do OAuth 2.0 é validado em cada chamada à API para impor a função ou as permissões da identidade de chamada para relações GDAP gerenciadas.
A entidade de serviço 283* configura a política de "provedor de serviços" XTAP e prepara permissões para permitir o gerenciamento de expiração e função. Somente o SP GDAP pode definir ou modificar as políticas XTAP para provedores de serviços.
A identidade a34* é necessária para todo o ciclo de vida da relação GDAP e é removida automaticamente no momento em que a última relação GDAP termina. A principal permissão e função da identidade a34* é gerenciar políticas XTAP e atribuições de acesso. Um administrador do cliente não deve tentar remover manualmente a identidade a34*. A identidade a34* implementa funções para expiração confiável e gerenciamento de funções. O método recomendado para um cliente exibir ou remover relacionamentos GDAP existentes é por meio do portal admin.microsoft.com.
A entidade de serviço b39* é necessária para a aprovação de uma relação GDAP que está sendo migrada como parte da Transição liderada pela Microsoft. A entidade de serviço b39* tem permissão para configurar a política de "provedor de serviços" XTAP e adicionar entidades de serviço nos locatários do cliente somente para migrar relacionamentos GDAP. Somente o SP GDAP pode definir ou modificar as políticas XTAP para provedores de serviços.
Políticas de acesso condicional
A Microsoft cria uma nova relação GDAP, mesmo que você tenha uma política de acesso condicional em vigor. A relação GDAP é criada em um estado Ativo .
A nova relação GDAP não ignora a política de acesso condicional existente que um cliente configurou. A política de acesso condicional continua e o parceiro continua a ter uma experiência semelhante a uma relação DAP.
Em alguns casos, embora a relação GDAP seja criada, as funções do Microsoft Entra não são adicionadas aos grupos de segurança pela ferramenta de transição liderada pela Microsoft. Normalmente, as funções do Microsoft Entra não são adicionadas a grupos de segurança devido a determinadas políticas de acesso condicional que o cliente definiu. Nesses casos, trabalhe com o cliente para concluir a configuração. Veja como os clientes podem excluir CSPs da política de acesso condicional.
Função de Leitor Global adicionada ao GDAP de Transição Liderada pela Microsoft
A função "Global Reader" foi adicionada ao MS Led criado pelo GDAP em maio, após receber feedback dos parceiros em junho de 2023. A partir de julho de 2023, todos os GDAPs criados pelo MS Led têm a função de Leitor Global, totalizando nove funções do Microsoft Entra.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de