Общие сведения об API детализированных делегированных прав администратора (GDAP)
Пространство имен: microsoft.graph
В рамках экосистемы Центра партнеров Майкрософт партнеры Майкрософт в программах поставщиков облачных решений, дополнительных торговых посредников или Помощников могут выполнять административные операции со своими клиентами, чтобы помочь управлять службами клиентов, например Microsoft Entra и Microsoft 365. Ранее эта возможность позволяла партнерам принимать на себя роль глобального администратора в клиенте клиента на неопределенный срок, создавая потенциальные риски безопасности и ограничивая рыночный потенциал.
Детализированные делегированные права администратора (GDAP) предоставляют партнерам минимальный привилегированный доступ к клиентам клиентов в соответствии с моделью кибербезопасности "Никому не доверяй". Через GDAP партнеры настраивают и запрашивают детализированный и ограниченный по времени доступ к средам своих клиентов, и клиенты должны явно предоставить партнерам этот доступ с наименьшими привилегиями. Кроме того, партнеры должны запрашивать определенные роли для администрирования клиента в течение определенного периода времени. Этот элемент управления устраняет необходимость в том, чтобы партнеры имели роль глобального администратора в клиенте клиента, но теперь у них меньше привилегированных разрешений, которые им абсолютно необходимы для делегированных административных задач.
Дополнительные сведения о GDAP см. в разделе:
- Общие сведения о детализированных делегированных правах администратора (GDAP)
- Роли с наименьшими привилегиями по задачам
Рабочий процесс GDAP
Жизненный цикл связи GDAP
На следующей схеме показано состояние переходов отношений делегированного администратора.
- Создание delegatedAdminRelationship
- Обновление delegatedAdminRelationship
- Создание delegatedAdminRelationshipRequest (действие: lockForApproval)
- Create delegatedAdminRelationshipRequest (action: terminate)
После запуска API Create delegatedAdminRelationshipRequest с
lockForApprovalдействием создайте ссылку на приглашение клиента с помощью следующего шаблона URI, где {adminRelationshipID} — это идентификатор запроса на связь с администратором.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Отправьте клиенту ссылку на приглашение, чтобы он утвердил запрос GDAP. Например, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 — это ссылка с приглашением, где 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 — идентификатор запроса связи с администратором. После утверждения клиентом запроса GDAP отношение GDAP перейдет в активное состояние.
Чтобы завершить рабочий процесс включения администратора от имени (AOBO) управления клиентом клиента, создайте новое назначение доступа для отношений делегированного администратора с помощью API Create accessAssignments .
Жизненный цикл назначения доступа к связи GDAP
Назначение делегированного административного доступа проходит через переходы состояния, показанные на следующей схеме.
Варианты использования API GDAP
В этом разделе описаны способы, которыми партнеры Майкрософт могут использовать API GDAP для программного управления делегированными отношениями администратора для своих клиентов.
Отношение делегированного администратора
| Варианты использования | Интерфейсы API |
|---|---|
| Создание новых отношений делегированного администратора для утверждения любым клиентом Создание нового отношения делегированного администратора для утверждения конкретным клиентом |
Создание delegatedAdminRelationship |
| Список всех делегированных отношений администратора партнера Список всех делегированных отношений администратора для конкретного клиента |
Перечисление делегированныхАдминреляций |
| Получение отношения делегированного администратора по идентификатору | Получение delegatedAdminRelationship |
| Удаление отношения делегированного администратора | Удаление delegatedAdminRelationship |
Запрос отношений делегированного администратора
| Варианты использования | Интерфейсы API |
|---|---|
| Создайте запрос на отношения делегированного администратора, чтобы заблокировать связь для утверждения клиентом или прекратить существующее отношение. | Создание запросов |
| Получение запроса на отношения делегированного администратора по идентификатору | Получение delegatedAdminRelationshipRequest |
| Перечисление всех запросов делегированных отношений администратора для данной связи | Перечисление запросов |
Назначения ролей
| Варианты использования | Интерфейсы API |
|---|---|
| Создание нового назначения делегированного доступа администратора для отношений делегированного администратора | Создание accessAssignments |
| Перечисление назначений доступа для отношений делегированного администратора | Вывод списка accessAssignments |
| Получение назначения доступа к делегированным отношениям администратора по идентификатору | Получение делегированногоAdminAccessAssignment |
| Удаление назначения доступа для отношения делегированного администратора | Удаление delegatedAdminAccessAssignment |
| Обновление назначений ролей для назначения доступа к делегированным отношениям администратора | Обновление delegatedAdminAccessAssignment |
Длительные операции
| Варианты использования | Интерфейсы API |
|---|---|
| Список всех длительных операций делегированного отношения администратора | Операции со списком |
| Получение длительной операции делегированного отношения администратора | Получение delegatedAdminRelationshipOperation |
Клиенты с делегированным администратором
| Варианты использования | Интерфейсы API |
|---|---|
| Список всех клиентов делегированных администраторов | Список делегированныхадминистраторов |
| Получение одного клиента делегированного администратора по идентификатору | Получение delegatedAdminCustomer |
| Получение сведений об управлении службой для клиента с делегированным администратором | Перечисление serviceManagementDetails |
Разрешения
Для управления отношениями делегированного администратора вызывающий субъект должен находиться в клиенте партнера и иметь соответствующие детализированные делегированные разрешения администратора.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".