Поделиться через


Общие сведения об API детализированных делегированных прав администратора (GDAP)

Пространство имен: microsoft.graph

В рамках экосистемы Центра партнеров Майкрософт партнеры Майкрософт в программах поставщиков облачных решений, дополнительных торговых посредников или Помощников могут выполнять административные операции со своими клиентами, чтобы помочь управлять службами клиентов, например Microsoft Entra и Microsoft 365. Ранее эта возможность позволяла партнерам принимать на себя роль глобального администратора в клиенте клиента на неопределенный срок, создавая потенциальные риски безопасности и ограничивая рыночный потенциал.

Детализированные делегированные права администратора (GDAP) предоставляют партнерам минимальный привилегированный доступ к клиентам клиентов в соответствии с моделью кибербезопасности "Никому не доверяй". Через GDAP партнеры настраивают и запрашивают детализированный и ограниченный по времени доступ к средам своих клиентов, и клиенты должны явно предоставить партнерам этот доступ с наименьшими привилегиями. Кроме того, партнеры должны запрашивать определенные роли для администрирования клиента в течение определенного периода времени. Этот элемент управления устраняет необходимость в том, чтобы партнеры имели роль глобального администратора в клиенте клиента, но теперь у них меньше привилегированных разрешений, которые им абсолютно необходимы для делегированных административных задач.

Дополнительные сведения о GDAP см. в разделе:

Рабочий процесс GDAP

Жизненный цикл связи GDAP

На следующей схеме показано состояние переходов отношений делегированного администратора.

Схема перехода состояния отношений делегированного администратора

  1. Создание delegatedAdminRelationship
  2. Обновление delegatedAdminRelationship
  3. Создание delegatedAdminRelationshipRequest (действие: lockForApproval)
  4. Create delegatedAdminRelationshipRequest (action: terminate)

После запуска API Create delegatedAdminRelationshipRequest с lockForApproval действием создайте ссылку на приглашение клиента с помощью следующего шаблона URI, где {adminRelationshipID} — это идентификатор запроса на связь с администратором.

https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}

Отправьте клиенту ссылку на приглашение, чтобы он утвердил запрос GDAP. Например, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 — это ссылка с приглашением, где 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 — идентификатор запроса связи с администратором. После утверждения клиентом запроса GDAP отношение GDAP перейдет в активное состояние.

Чтобы завершить рабочий процесс включения администратора от имени (AOBO) управления клиентом клиента, создайте новое назначение доступа для отношений делегированного администратора с помощью API Create accessAssignments .

Жизненный цикл назначения доступа к связи GDAP

Назначение делегированного административного доступа проходит через переходы состояния, показанные на следующей схеме.

Схема перехода состояния назначения делегированного административного доступа

  1. Создание делегированногоAdminAccessAssignment
  2. Удаление delegatedAdminAccessAssignment

Варианты использования API GDAP

В этом разделе описаны способы, которыми партнеры Майкрософт могут использовать API GDAP для программного управления делегированными отношениями администратора для своих клиентов.

Отношение делегированного администратора

Варианты использования Интерфейсы API
Создание новых отношений делегированного администратора для утверждения любым клиентом
Создание нового отношения делегированного администратора для утверждения конкретным клиентом
Создание delegatedAdminRelationship
Список всех делегированных отношений администратора партнера
Список всех делегированных отношений администратора для конкретного клиента
Перечисление делегированныхАдминреляций
Получение отношения делегированного администратора по идентификатору Получение delegatedAdminRelationship
Удаление отношения делегированного администратора Удаление delegatedAdminRelationship

Запрос отношений делегированного администратора

Варианты использования Интерфейсы API
Создайте запрос на отношения делегированного администратора, чтобы заблокировать связь для утверждения клиентом или прекратить существующее отношение. Создание запросов
Получение запроса на отношения делегированного администратора по идентификатору Получение delegatedAdminRelationshipRequest
Перечисление всех запросов делегированных отношений администратора для данной связи Перечисление запросов

Назначения ролей

Варианты использования Интерфейсы API
Создание нового назначения делегированного доступа администратора для отношений делегированного администратора Создание accessAssignments
Перечисление назначений доступа для отношений делегированного администратора Вывод списка accessAssignments
Получение назначения доступа к делегированным отношениям администратора по идентификатору Получение делегированногоAdminAccessAssignment
Удаление назначения доступа для отношения делегированного администратора Удаление delegatedAdminAccessAssignment
Обновление назначений ролей для назначения доступа к делегированным отношениям администратора Обновление delegatedAdminAccessAssignment

Длительные операции

Варианты использования Интерфейсы API
Список всех длительных операций делегированного отношения администратора Операции со списком
Получение длительной операции делегированного отношения администратора Получение delegatedAdminRelationshipOperation

Клиенты с делегированным администратором

Варианты использования Интерфейсы API
Список всех клиентов делегированных администраторов Список делегированныхадминистраторов
Получение одного клиента делегированного администратора по идентификатору Получение delegatedAdminCustomer
Получение сведений об управлении службой для клиента с делегированным администратором Перечисление serviceManagementDetails

Разрешения

Для управления отношениями делегированного администратора вызывающий субъект должен находиться в клиенте партнера и иметь соответствующие детализированные делегированные разрешения администратора.

"Никому не доверяй"

Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":

  • Выполняйте проверку явным образом.
  • Использование минимальных привилегий
  • Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".