Müşteriler için GDAP Geçişi hakkında SSS
Uygun roller: İş Ortağı Merkezi ile ilgilenen tüm kullanıcılar
Ayrıntılı yönetici izinleri (GDAP), iş ortaklarının müşterilerinin iş yüklerine daha ayrıntılı ve zamana bağlı bir şekilde erişmesini sağlar ve bu da müşteri güvenliği sorunlarını gidermeye yardımcı olabilir.
GDAP ile iş ortakları, yüksek düzeyde iş ortağı erişiminden rahatsız olabilecek müşterilere daha fazla hizmet sunabilir.
GDAP, mevzuat gereksinimleri olan müşterilerin iş ortaklarına en az ayrıcalıklı erişim sağlamasına da yardımcı olur.
Temsilci yönetim ayrıcalıkları (DAP) nedir?
Temsilcili yönetim ayrıcalıkları (DAP), iş ortağının müşterinin hizmetini veya aboneliğini kendi adına yönetmesini sağlar.
Daha fazla bilgi için bkz . Temsilci yönetim ayrıcalıkları.
CSP'mize müşterilerinin kiracısı için ne zaman DAP izinleri verildi?
- CSP yeni bir müşteri ilişkisi kurduğunda, temsilci yönetici ayrıcalığı (DAP) oluşturulur.
- bir iş ortağı kurumsal bayi ilişkisi istediğinde, daveti müşteriye göndererek DAP kurma seçeneği vardır. Müşterinin isteği kabul etmek zorunda olması gerekir.
Müşteri kiracısına DAP erişimini iptal edebilir mi?
Evet, her iki taraf da CSP veya Müşteri DAP erişimini iptal edebilir.
Microsoft temsilci yönetici ayrıcalıklarını (DAP) neden devre dışı bırakmalı?
DAP, uzun ömürlülüğü ve yüksek ayrıcalıklı erişimi nedeniyle güvenlik saldırılarına karşı savunmasızdır.
Daha fazla bilgi için daha geniş çaplı saldırıları kolaylaştırmak için bkz. NOBELIUM temsilci yönetim ayrıcalıklarını hedefleme.
GDAP nedir?
Ayrıntılı yönetici ayrıcalığı (GDAP), Sıfır Güven siber güvenlik protokolünden sonra iş ortaklarına en az ayrıcalıklı erişim sağlayan bir güvenlik özelliğidir. İş ortaklarının müşterilerine ait üretim ve korumalı alan ortamlarındaki iş yüklerine ayrıntılı ve zamana bağlı erişim yapılandırmalarını sağlar. Bu en az ayrıcalıklı erişimin, müşterileri tarafından iş ortaklarına açıkça verilmesi gerekir.
Daha fazla bilgi için bkz . Microsoft Entra yerleşik rolleri.
GDAP nasıl çalışır?
GDAP, CSP İş Ortağı ve müşteri güvenlik modellerini Microsoft Kimlik Modeli ile uyumlu hale getirmek için Kiracılar Arası Erişim İlkesi (bazen XTAP Kiracılar arası erişime genel bakış olarak da adlandırılır) adlı bir Microsoft Entra özelliği kullanır. CSP iş ortağından müşterisine bir GDAP ilişkisi isteği yapıldığında, bir veya daha fazla Microsoft Entra yerleşik rolü ve gün cinsinden ölçülen zamana bağlı erişim (1 ila 730) içerir. Müşteri isteği kabul ettiğinde müşterinin kiracısına bir XTAP ilkesi yazılır ve csp iş ortağı tarafından istenen sınırlı rollere ve verilen zaman aralığına onay verilir.
CSP iş ortağı, her biri kendi sınırlı rollerine ve verilen zaman aralığına sahip birden çok GDAP ilişkisi isteyebilir ve önceki DAP ilişkisinden daha fazla esneklik sağlayabilir.
GDAP toplu geçiş aracı nedir?
GDAP toplu geçiş aracı, CSP iş ortaklarına etkin DAP erişimini GDAP'a taşımak ve eski DAP izinlerini kaldırmak için bir araç sağlar. Etkin DAP, şu anda kurulmuş olan herhangi bir CSP / Müşteri DAP ilişkisi olarak tanımlanır. CSP iş ortakları, DAP ile kurulandan daha yüksek bir erişim düzeyi isteyemez.
Daha fazla bilgi için bkz . GDAP ile ilgili sık sorulan sorular.
GDAP Toplu geçiş aracını çalıştırmak, müşterinin kiracısına kurumsal uygulama olarak yeni bir hizmet sorumlusu eklenmesine neden olacak mı?
Evet, GDAP toplu geçiş aracı, yeni bir GDAP ilişkisi kurulmasını yetkilendirmek için çalışan bir DAP kullanır. GDAP ilişkisi ilk kez kabul edilirse, müşteri kiracısında devreye giren iki Microsoft birinci taraf hizmet sorumlusu vardır.
Müşterinin kiracısında oluşturulan iki Microsoft Entra GDAP hizmet sorumlusu nelerdir?
| Veri Akışı Adı | Uygulama Kimliği |
|---|---|
| İş ortağı müşteri temsilcisi yönetimi | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| İş ortağı müşteri temsilcisi yönetici çevrimdışı işlemci | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
Bu bağlamda ,"birinci taraf", api çağrısı zamanında Microsoft tarafından örtük olarak onay verildiği ve OAuth 2.0 Access Token her API çağrısında yönetilen GDAP ilişkilerine çağrı yapan kimliğin rolünü veya izinlerini zorlamak için doğrulandığı anlamına gelir.
GDAP ilişkisinin kabulü sırasında 283* hizmet sorumlusu gereklidir. 283* Hizmet Sorumlusu XTAP "hizmet sağlayıcısı" ilkesini ayarlar ve süre sonu ve rol yönetimine izin vermek için izinleri hazırlar. Hizmet Sağlayıcıları için XTAP ilkelerini yalnızca GDAP SP ayarlayabilir veya değiştirebilir.
A34* kimliği, GDAP ilişkisinin tüm yaşam döngüsü için gereklidir ve son GDAP ilişkisi sona erdiğinde otomatik olarak kaldırılır. A34* kimliğinin birincil izni ve işlevi XTAP ilkelerini ve erişim atamalarını yönetmektir. Müşteri yöneticisi a34* kimliğini el ile kaldırmayı denememelidir. a34* kimliği, güvenilen süre sonu ve rol yönetimi işlevleri uygular. Müşterinin mevcut GDAP ilişkilerini görüntülemesi veya kaldırması için önerilen yöntem admin.microsoft.com portalı üzerinden yapılır.