Dela via

Microsoft-ledd övergång från DAP till GDAP

  • Artikel

Lämpliga roller: Alla användare som är intresserade av Partnercenter

Microsoft hjälper Jumpstart-partner som inte har börjat övergå från delegerade åtkomstprotokoll (DAP) till detaljerade delegerade åtkomstprotokoll (GDAP). Den här hjälpen hjälper partner att minska säkerhetsriskerna genom att gå över till konton som använder metodtips för säkerhet, inklusive användning av tidsbegränsade säkerhetsavtal med minimirättigheter.

Så här fungerar den Microsoft-ledda övergången

  1. Microsoft skapar automatiskt en GDAP-relation med åtta standardroller.
  2. Roller tilldelas automatiskt till fördefinierade säkerhetsgrupper för Dobavljač rešenja u oblaku (CSP).
  3. Efter 30 dagar tas DAP bort.

Schema

Microsoft började övergången från DAP till GDAP den 22 maj 2023. Det är en blackout-period i juni. Övergången återupptas efter juli.

Vem kvalificerar sig för Microsoft-ledd övergång?

Den här tabellen visar en sammanfattning på hög nivå:

DAP aktiverat GDAP-relation finns GDAP-relation i tillståndet "Väntar på godkännande" GDAP-relationen har avslutats/upphört att gälla Microsoft-ledd övergångsberättigande
Ja Nej Saknas Saknas Ja
Ja Ja Nej Nej Nej
Ja Ja Ja Nej Nej†
Ja Ja No Ja Nej†
Nej Ja Nej Nej Nej†
Nej Nej Nej Ja Nej

Om du har skapat en GDAP-relation skapar Microsoft inte en GDAP-relation som en del av den Microsoft-ledda övergången. I stället tas DAP-relationen bort i juli 2023.

Du kan kvalificera dig för att vara en del av den Microsoft-ledda övergången i något av följande scenarier:

  • Du har skapat en GDAP-relation och relationen är i tillståndet Väntar på godkännande . Den här relationen rensas efter tre månader.
  • † Du kan kvalificera dig om du har skapat en GDAP-relation, men GDAP-relationen har upphört att gälla. Kvalificering beror på hur länge relationen har upphört att gälla:
    • Om relationen upphörde att gälla för mindre än 365 dagar sedan skapas inte en ny GDAP-relation.
    • Om relationen upphörde att gälla för mer än 365 dagar sedan tas relationen bort.

Kommer det att uppstå störningar för kunderna efter den Microsoft-ledda övergången?

Partner och deras verksamhet är unika. När GDAP-relationen har skapats via det Microsoft-ledda övergångsverktyget har GDAP företräde framför DAP.

Microsoft rekommenderar att partner testar och skapar nya relationer med de roller som krävs som saknas i det Microsoft-ledda övergångsverktyget. Skapa GDAP-relation med roller baserat på dina användningsfall och affärskrav för att säkerställa en smidig övergång från DAP till GDAP.

Vilka Microsoft Entra-roller tilldelar Microsoft när en GDAP-relation skapas med hjälp av det Microsoft-ledda övergångsverktyget?

  • Katalogläsare: Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster.
  • Katalogförfattare: Kan läsa och skriva grundläggande kataloginformation. Används ofta för att bevilja åtkomst till program. Den här rollen är inte avsedd för användare.
  • Global läsare: Kan läsa allt som en global administratör kan, men inte uppdatera något.
  • Licensadministratör: Kan hantera produktlicenser för användare och grupper.
  • Tjänstsupportadministratör: Kan läsa information om tjänstens hälsotillstånd och hantera supportärenden.
  • Användaradministratör: Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer.
  • Privilegierad rolladministratör: Kan hantera rolltilldelningar i Microsoft Entra-ID och alla aspekter av Privileged Identity Management (PIM).
  • Supportadministratör: Kan återställa lösenord för icke-administratörer och supportadministratörer.
  • Administratör för privilegierad autentisering: Kan komma åt, visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör).

Vilka Microsoft Entra-roller tilldelas automatiskt till vilka fördefinierade CSP-säkerhetsgrupper som en del av Microsoft-ledd övergång?

Säkerhetsgrupp för administratörsagenter:

  • Katalogläsare: Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster.
  • Katalogförfattare: Kan läsa och skriva grundläggande kataloginformation, för att bevilja åtkomst till program, inte avsett för användare.
  • Global läsare: Kan läsa allt som en global administratör kan, men inte uppdatera något.
  • Licensadministratör: Kan hantera produktlicenser för användare och grupper.
  • Användaradministratör: Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer.
  • Privilegierad rolladministratör: Kan hantera rolltilldelningar i Microsoft Entra-ID och alla aspekter av Privileged Identity Management (PIM).
  • Administratör för privilegierad autentisering: Kan komma åt, visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör).
  • Tjänstsupportadministratör: Kan läsa information om tjänstens hälsotillstånd och hantera supportärenden.
  • Supportadministratör: Kan återställa lösenord för icke-administratörer och supportadministratörer.

Säkerhetsgrupp för helpdeskagenter:

  • Tjänstsupportadministratör: Kan läsa information om tjänstens hälsotillstånd och hantera supportärenden.
  • Supportadministratör: Kan återställa lösenord för icke-administratörer och supportadministratörer.

Hur länge är den nya GDAP-relationen?

DEN GDAP-relation som skapades under Microsoft-ledd övergång gäller i ett år.

Vet kunderna när Microsoft skapar den nya GDAP-relationen som en del av DAP till GDAP-övergången eller tar bort DAP?

Nej. Alla e-postmeddelanden som normalt går till kunder som en del av GDAP-övergången ignoreras.

Hur vet jag när Microsoft skapar en ny relation som en del av ÖVERGÅNGEN MELLAN DAP och GDAP?

Partner får inga meddelanden när den nya GDAP-relationen skapas under den Microsoft-ledda övergången. Vi har undertryckt dessa typer av meddelanden under övergången, eftersom det kan skapa en enorm mängd e-post genom att skicka ett e-postmeddelande för varje ändring. Du kan kontrollera granskningsloggarna för att se när den nya GDAP-relationen skapas.

Avregistrera dig från den Microsoft-ledda övergången

Om du vill välja bort den här övergången kan du antingen skapa en GDAP-relation eller ta bort dina befintliga DAP-relationer.

När kommer DAP-relationen att tas bort?

Trettio dagar efter att GDAP-relationen har skapats tar Microsoft bort DAP-relationen. Om du redan har skapat en GDAP-relation tar Microsoft bort respektive DAP-relation i juli 2023.

Få åtkomst till Azure-portalen efter den Microsoft-ledda övergången

Om partneranvändaren är en del av säkerhetsgruppen för administratörsagenten eller om användaren ingår i en säkerhetsgrupp, till exempel Azure Manager som är kapslad i administratörsagentens säkerhetsgrupp (Microsoft rekommenderar bästa praxis), kan partneranvändaren komma åt Azure-portalen med rollen katalogläsare med minst behörighet. Rollen Katalogläsare är en av standardrollerna för den GDAP-relation som det Microsoft-ledda övergångsverktyget skapar. Den här rollen tilldelas automatiskt till säkerhetsgruppen Administratörsagent som en del av Microsoft-ledd övergång från DAP till GDAP.

Scenario DAP aktiverat GDAP-relation finns Användartilldelad administratörsagentroll Användaren har lagts till i säkerhetsgruppen med administratörsagentmedlemskap Katalogläsarroll som automatiskt tilldelas administratörsagentens säkerhetsgrupp Användaren kan komma åt Azure-prenumerationen
1 Ja Ja No Ja Ja Ja
2 Nej Ja No Ja Ja Ja
3 Nej Ja Ja Ja Ja Ja

För scenarier 1 och 2, där den användartilldelade administratörsagentrollen är "Nej", ändras partneranvändarmedlemskapet till rollen Administratörsagent när de är en del av säkerhetsgruppen för administratörsagent (SG). Det här beteendet är inte ett direkt medlemskap utan härleds genom att vara en del av administrationsagentens SG eller en säkerhetsgrupp kapslad under administrationsagentens SG.

Hur får nya partneranvändare åtkomst till Azure-portalen efter den Microsoft-ledda övergången?

Se Arbetsbelastningar som stöds av detaljerade delegerade administratörsprivilegier (GDAP) för Metodtips för Azure. Du kan också konfigurera om din befintliga partneranvändares säkerhetsgrupper så att de följer det rekommenderade flödet:

Diagram som visar relationen mellan partner och kund med hjälp av GDAP.

Se den nya GDAP-relationen

När en ny GDAP-relation skapas med det Microsoft-ledda övergångsverktyget hittar du en relation med namnet MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). Talet säkerställer att relationen är unik i både klientorganisationen och kundklientorganisationen. Exempel på GDAP-relationsnamn: "MLT_12abcd34_56cdef78_90abcd12".

Se den nya GDAP-relationen i Partnercenter-portalen

Öppna arbetsytan Kund i Partnercenter-portalen och välj avsnittet Administratörsrelation och välj kunden.

Skärmbild av skärmen Administratörsrelationer i Partnercenter. Listan visar administratörsrelationer med kunden som för närvarande är aktiv, har upphört att gälla eller avslutats, inklusive en enda post, MLT_abc123_def456.

Härifrån kan du hitta Microsoft Entra-rollerna och hitta vilka Microsoft Entra-roller som är tilldelade till säkerhetsgrupperna Administratörsagenter och Supportpersonal .

Skärmbild av ett exempel på en administratörsrelation som har namnet MLT_abc123_def456. Listan visar administratörsrelationer med kunden som för närvarande är aktiv, har upphört att gälla eller avslutats.

Välj nedåtpilen i kolumnen Information för att se Microsoft Entra-rollerna.

Skärmbild av kundens vy på skärmen Administratörsrelation med information om säkerhetsgrupper synlig.

Var hittar kunderna den nya GDAP-relationen som skapats via den Microsoft-ledda övergången i Microsoft Admin Center (MAC)-portalen?

Kunder kan hitta den Microsoft-ledda GDAP-relationen i avsnittet Partnerrelationfliken Inställningar .

Skärmbild av Microsoft 365 centar administracije. På fliken Inställningar visar GDAP (Granular delegated administrative privileges) en partnerrelation med namnet MLT_abc123_def456.

Granskningsloggar i kundklientorganisationen

Följande skärmbild visar hur granskningsloggarna i kundklientorganisationen ser ut efter att GDAP-relationen har skapats via Microsoft-ledd övergång:

Skärmbild av hur granskningsloggarna i kundklientorganisationen ser ut efter att GDAP-relationen har skapats via Microsoft-ledd övergång:

Hur ser granskningsloggar ut i Partnercenter-portalen för MS Led-skapad GDAP-relation?

Följande skärmbild visar hur granskningsloggarna i Partnercenter-portalen ser ut när GDAP-relationen har skapats via Microsoft-ledd övergång:

Skärmbild av Azure-kundportalen med den fiktiva kunden: Trey Research valt. Granskningsloggar visar datum, tjänstområde, Kategori, Aktivitet, Status, Mål och Initierad av.

Vilka är Microsoft Entra GDAP-tjänstens huvudnamn som skapas i kundens klientorganisation?

Name Program-ID:t
Partnerkund delegerad administration 2832473f-ec63-45fb-976f-5d45a7d4bb91
Partnerkund delegerad offlineprocessor för administratör a3475900-ccec-4a69-98f5-a65cd5dc5306
Delegerad administratörsmigrering i Partnercenter b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f

I det här sammanhanget innebär "första part" att medgivande implicit tillhandahålls av Microsoft vid API-anropstid och OAuth 2.0-åtkomsttoken verifieras för varje API-anrop för att framtvinga roll eller behörigheter för den anropande identiteten till hanterade GDAP-relationer.

Tjänstens huvudnamn 283* konfigurerar XTAP-principen "tjänstleverantör" och förbereder behörigheter för att tillåta förfallo- och rollhantering. Endast GDAP SP kan ange eller ändra XTAP-principerna för tjänstleverantörer.

A34*-identiteten krävs för hela livscykeln för GDAP-relationen och tas automatiskt bort när den senaste GDAP-relationen slutar. A34*-identitetens primära behörighet och funktion är att hantera XTAP-principer och åtkomsttilldelningar. En kundadministratör bör inte försöka ta bort a34*-identiteten manuellt. A34*-identiteten implementerar funktioner för betrodd förfallotid och rollhantering. Den rekommenderade metoden för en kund att visa eller ta bort befintliga GDAP-relationer är via admin.microsoft.com-portalen.

Tjänstens huvudnamn b39* krävs för godkännande av en GDAP-relation som migreras som en del av Microsoft-ledd övergång. Tjänstens huvudnamn b39* har behörighet att konfigurera XTAP-principen "tjänstleverantör" och lägga till tjänstens huvudnamn i kundklientorganisationer för att endast migrera GDAP-relationer. Endast GDAP SP kan ange eller ändra XTAP-principerna för tjänstleverantörer.

Villkorliga åtkomstprinciper

Microsoft skapar en ny GDAP-relation, även om du har en princip för villkorlig åtkomst på plats. GDAP-relationen skapas i ett aktivt tillstånd.

Den nya GDAP-relationen kringgår inte den befintliga principen för villkorlig åtkomst som en kund har konfigurerat. Principen för villkorlig åtkomst fortsätter och partnern fortsätter att ha en liknande upplevelse som en DAP-relation.

I vissa fall, även om GDAP-relationen skapas, läggs inte Microsoft Entra-rollerna till i säkerhetsgrupper av Microsoft-lett övergångsverktyg. Vanligtvis läggs inte Microsoft Entra-rollerna till i säkerhetsgrupper på grund av vissa principer för villkorlig åtkomst som kunden har angett. I sådana fall kan du samarbeta med kunden för att slutföra installationen. Se hur kunder kan undanta CSP:er från principen för villkorsstyrd åtkomst.

Rollen Global läsare har lagts till i Microsoft Led Transition GDAP

Rollen "Global läsare" lades till i MS Led skapade GDAP i maj efter att ha fått feedback från partner i juni 2023. Från och med juli 2023 har alla MS Led-skapade GDAP:er rollen Global Läsare, vilket gör det till nio Microsoft Entra-roller totalt.

Relaterat innehåll