Vanliga frågor och svar om GDAP-migrering för kunder
Lämpliga roller: Alla användare som är intresserade av Partnercenter
Detaljerade delegerade administratörsbehörigheter (GDAP) ger partner åtkomst till sina kunders arbetsbelastningar på ett sätt som är mer detaljerat och tidsbegränsat, vilket kan hjälpa till att hantera kundens säkerhetsproblem.
Med GDAP kan partner tillhandahålla fler tjänster till kunder som kan vara obekväma med hög nivå av partneråtkomst.
GDAP hjälper även kunder som har regelkrav att ge minst privilegierad åtkomst till partner.
Vad är delegerade administratörsprivilegier (DAP)?
Med delegerade administratörsprivilegier (DAP) kan en partner hantera en kunds tjänst eller prenumeration åt dem.
Mer information finns i Delegerade administratörsbehörigheter.
När beviljades vår CSP DAP-behörighet till sina kunders klientorganisation?
- När CSP:n konfigurerar en ny kundrelation upprättas ett delegerat administratörsprivilegier (DAP).
- När en partner begär en återförsäljarrelation finns det ett alternativ för att upprätta DAP genom att skicka inbjudan till kunden. Kunden måste godkänna begäran.
Kan en kund återkalla DAP-åtkomst till sin klientorganisation?
Ja, någon av parterna, CSP eller Kunden, kan avbryta DAP-åtkomsten.
Varför drar Microsoft tillbaka delegerade administrativa privilegier (DAP)?
DAP är känsligt för säkerhetsattacker på grund av dess livslängd och hög privilegierad åtkomst.
Mer information finns i NOBELIUM som riktar sig mot delegerade administrativa privilegier för att underlätta bredare attacker.
Vad är GDAP?
Detaljerad delegerad administrativ behörighet (GDAP) är en säkerhetsfunktion som ger partner med minst privilegierad åtkomst enligt Nulta pouzdanost cybersäkerhetsprotokoll. Det gör att partner kan konfigurera detaljerad och tidsbunden åtkomst till sina kunders arbetsbelastningar i produktions- och sandbox-miljöer. Den här minst privilegierade åtkomsten måste uttryckligen beviljas partner av sina kunder.
Mer information finns i Inbyggda Microsoft Entra-roller.
Hur fungerar GDAP?
GDAP använder en Microsoft Entra-funktion med namnet Cross-Tenant Access Policy (kallas ibland för XTAP Cross-tenant access overview), som justerar CSP-partner- och kundsäkerhetsmodeller med Microsoft Identity Model. När en begäran om en GDAP-relation görs, från CSP-partnern till kunden, innehåller den en eller flera inbyggda Microsoft Entra-roller och tidsbunden åtkomst mätt i dagar (1 till 730). När kunden godkänner begäran skrivs en XTAP-princip in i kundens klientorganisation, samtycker till de begränsade roller och tidsintervall som begärs av CSP-partnern.
CSP-partnern kan begära flera GDAP-relationer, var och en med sina egna begränsade roller och tidsintervall, vilket ger mer flexibilitet än den tidigare DAP-relationen.
Vad är massmigreringsverktyget för GDAP?
Massmigreringsverktyget GDAP ger CSP-partner ett sätt att flytta aktiv DAP-åtkomst till GDAP och ta bort äldre DAP-behörigheter. Aktiv DAP definieras som alla CSP-/kund-DAP-relationer som för närvarande har upprättats. CSP-partner kan inte begära en åtkomstnivå som är större än vad som har upprättats med DAP.
Mer information finns i Vanliga frågor och svar om GDAP.
Kommer ett nytt tjänsthuvudnamn att läggas till som ett företagsprogram i kundens klientorganisation om du kör gdAP-massmigreringsverktyget?
Ja, massmigreringsverktyget GDAP använder en fungerande DAP för att auktorisera inrättandet av en ny GDAP-relation. Första gången en GDAP-relation accepteras finns det två microsofts huvudnamn för första part-tjänsten som spelar in i kundens klientorganisation.
Vilka är de två Microsoft Entra GDAP-tjänstens huvudnamn som skapas i kundens klientorganisation?
Name | Program-ID:t |
---|---|
Partnerkund delegerad administration | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
Partnerkund delegerad offlineprocessor för administratör | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
I det här sammanhanget innebär "första part" att medgivande tillhandahålls implicit av Microsoft vid API-anropstid och OAuth 2.0 Access Token
verifieras för varje API-anrop för att framtvinga roll eller behörigheter för den anropande identiteten till hanterade GDAP-relationer.
Tjänstens huvudnamn 283* krävs vid tidpunkten för godkännandet av en GDAP-relation. Tjänstens huvudnamn 283* konfigurerar XTAP-principen "tjänstleverantör" och förbereder behörigheter för att tillåta förfallo- och rollhantering. Endast GDAP SP kan ange eller ändra XTAP-principerna för tjänstleverantörer.
A34*-identiteten krävs för hela livscykeln för GDAP-relationen och tas automatiskt bort när den senaste GDAP-relationen slutar. A34*-identitetens primära behörighet och funktion är att hantera XTAP-principer och åtkomsttilldelningar. En kundadministratör bör inte försöka ta bort a34*-identiteten manuellt. A34*-identiteten implementerar funktioner för betrodd förfallotid och rollhantering. Den rekommenderade metoden för en kund att visa eller ta bort befintliga GDAP-relationer är via admin.microsoft.com-portalen .