Aracılığıyla paylaş

Microsoft yönetiminde DAP'tan GDAP'ye geçiş

  • Makale

Uygun roller: İş Ortağı Merkezi ile ilgilenen tüm kullanıcılar

Microsoft, temsilci erişim protokollerinden (DAP) ayrıntılı temsilci erişim protokollerine (GDAP) geçiş yapmaya başlamayan Jumpstart iş ortaklarına yardımcı olur. Bu yardım, iş ortaklarının sınırlı süreli, minimum haklara sahip güvenlik sözleşmeleri de dahil olmak üzere en iyi güvenlik yöntemlerini kullanan hesaplara geçerek güvenlik risklerini azaltmasına yardımcı olur.

Microsoft liderliğindeki geçiş nasıl çalışır?

  1. Microsoft otomatik olarak sekiz varsayılan rolle bir GDAP ilişkisi oluşturur.
  2. Roller, önceden tanımlanmış Bulut Çözümü Sağlayıcısı (CSP) güvenlik gruplarına otomatik olarak atanır.
  3. 30 gün sonra DAP kaldırılır.

Zamanla

Microsoft, 22 Mayıs 2023'te DAP'dan GDAP'ye geçişe başladı. Haziran'da bir kararma dönemi var. Geçiş Temmuz ayından sonra devam edecektir.

Microsoft tarafından yönetilen geçiş için kim uygun?

Bu tabloda üst düzey bir özet gösterilir:

DAP Etkin GDAP İlişkisi Var "Onay bekleniyor" durumunda GDAP İlişkisi GDAP İlişkisi Sonlandırıldı/Süresi Doldu Microsoft liderliğinde geçişe Uygunluk
Yes Hayır YOK YOK Yes
Evet Evet Hayı Hayı Hayı
Evet Evet Evet Hayır Hayır†
Yes Evet Hayı Evet Hayır†
Hayır Evet Hayı Hayır Hayır†
Hayır Hayı Hayı Evet Hayır

GDAP ilişkisi oluşturduysanız Microsoft tarafından yönetilen geçişin bir parçası olarak Microsoft bir GDAP ilişkisi oluşturmaz. Bunun yerine DAP ilişkisi Temmuz 2023'te kaldırılacaktır.

Aşağıdaki senaryolardan herhangi birinde Microsoft tarafından yönetilen geçişin bir parçası olmaya hak kazanabilirsiniz:

  • Bir GDAP ilişkisi oluşturdunuz ve ilişki Onay bekleniyor durumunda. Bu ilişki üç ay sonra temizlenecek.
  • † Bir GDAP ilişkisi oluşturduysanız ancak GDAP ilişkisinin süresi dolduysa buna hak kazanabilirsiniz. Niteleme, ilişkinin süresinin ne kadar süreyle dolmasına bağlıdır:
    • İlişkinin süresi 365 günden az bir süre önce dolduysa yeni bir GDAP ilişkisi oluşturulmaz.
    • İlişkinin süresi 365 günden uzun bir süre önce dolduysa ilişki kaldırılır.

Microsoft tarafından yönetilen geçiş sonrasında müşteriler için bir kesinti olacak mı?

İş ortakları ve iş ortakları benzersizdir. GDAP ilişkisi Microsoft tarafından yönetilen geçiş aracıyla oluşturulduktan sonra GDAP, DAP'a göre önceliklidir.

Microsoft, iş ortaklarının Microsoft tarafından yönetilen geçiş aracında eksik olan gerekli rollerle yeni ilişkileri test edip oluşturmalarını önerir. DAP'tan GDAP'a sorunsuz geçiş sağlamak için kullanım örneklerinize ve iş gereksinimlerinize göre rollerle GDAP İlişkisi oluşturun.

Microsoft tarafından yönetilen geçiş aracı kullanılarak bir GDAP ilişkisi oluşturulduğunda Microsoft hangi Microsoft Entra rollerini atar?

  • Dizin okuyucuları: Temel dizin bilgilerini okuyabilir. Genellikle uygulamalara ve konuklara dizin okuma erişimi vermek için kullanılır.
  • Dizin yazarları: Temel dizin bilgilerini okuyabilir ve yazabilir. Uygulamalara erişim vermek için yaygın olarak kullanılır. Bu rol kullanıcılara yönelik değildir.
  • Genel Okuyucu: Bir Global Yönetici istrator'ın okuyabildiği her şeyi okuyabilir, ancak hiçbir şeyi güncelleştiremez.
  • Lisans yöneticisi: Kullanıcılar ve gruplardaki ürün lisanslarını yönetebilir.
  • Hizmet destek yöneticisi: Hizmet durumu bilgilerini okuyabilir ve destek biletlerini yönetebilir.
  • Kullanıcı yöneticisi: Sınırlı yöneticilerin parolalarını sıfırlama dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir.
  • Ayrıcalıklı rol yöneticisi: Microsoft Entra Id'deki rol atamalarını ve Privileged Identity Management'ın (PIM) tüm yönlerini yönetebilir.
  • Yardım masası yöneticisi: Yönetici olmayanlar ve yardım masası yöneticileri için parolaları sıfırlayabilir.
  • Ayrıcalıklı kimlik doğrulama yöneticisi: Herhangi bir kullanıcının (yönetici veya yönetici olmayan) kimlik doğrulama yöntemi bilgilerine erişebilir, görüntüleyebilir, ayarlayabilir ve sıfırlayabilir.

Microsoft tarafından yönetilen geçişin bir parçası olarak hangi Microsoft Entra rolleri otomatik olarak hangi önceden tanımlanmış CSP güvenlik gruplarına atanır?

Yönetici Aracıları Güvenlik Grubu:

  • Dizin okuyucuları: Temel dizin bilgilerini okuyabilir. Genellikle uygulamalara ve konuklara dizin okuma erişimi vermek için kullanılır.
  • Dizin yazarları: Temel dizin bilgilerini okuyabilir ve yazabilir; kullanıcılara yönelik değil, uygulamalara erişim izni vermek için.
  • Genel Okuyucu: Bir Global Yönetici istrator'ın okuyabildiği her şeyi okuyabilir, ancak hiçbir şeyi güncelleştiremez.
  • Lisans yöneticisi: Kullanıcılar ve gruplardaki ürün lisanslarını yönetebilir.
  • Kullanıcı yöneticisi: Sınırlı yöneticilerin parolalarını sıfırlama dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir.
  • Ayrıcalıklı rol yöneticisi: Microsoft Entra Id'deki rol atamalarını ve Privileged Identity Management'ın (PIM) tüm yönlerini yönetebilir.
  • Ayrıcalıklı kimlik doğrulama yöneticisi: Herhangi bir kullanıcının (yönetici veya yönetici olmayan) kimlik doğrulama yöntemi bilgilerine erişebilir, görüntüleyebilir, ayarlayabilir ve sıfırlayabilir.
  • Hizmet destek yöneticisi: Hizmet durumu bilgilerini okuyabilir ve destek biletlerini yönetebilir.
  • Yardım masası yöneticisi: Yönetici olmayanlar ve Yardım Masası yöneticileri için parolaları sıfırlayabilir.

Yardım Masası Aracıları Güvenlik Grubu:

  • Hizmet destek yöneticisi: Hizmet durumu bilgilerini okuyabilir ve destek biletlerini yönetebilir.
  • Yardım masası yöneticisi: Yönetici olmayanlar ve yardım masası yöneticileri için parolaları sıfırlayabilir.

Yeni GDAP İlişkisi ne kadar sürer?

Microsoft liderliğindeki geçiş sırasında oluşturulan GDAP ilişkisi bir yıldır.

Müşteriler Microsoft'un DAP'ı GDAP'a geçişinin veya DAP'ı kaldırmanın bir parçası olarak yeni GDAP ilişkisini ne zaman oluşturduğunu bilecek mi?

Hayır Normalde GDAP geçişinin bir parçası olarak müşterilere gidecek tüm e-postalar gizlenir.

Microsoft'un DAP'ın GDAP'a geçişinin bir parçası olarak yeni bir ilişki oluşturduğundan nasıl emin olabilirim?

İş ortakları, Microsoft liderliğindeki geçiş sırasında yeni GDAP ilişkisi oluşturulduğunda bildirim almaz. Geçiş sırasında bu tür bildirimleri gizledik çünkü her değişiklik için e-posta göndermek çok büyük miktarda e-posta oluşturabilir. Yeni GDAP ilişkisinin ne zaman oluşturulduğunu görmek için denetim günlüklerini denetleyebilirsiniz.

Microsoft tarafından yönetilen geçişi geri çevirme

Bu geçişi geri çevirmek için bir GDAP ilişkisi oluşturabilir veya mevcut DAP ilişkilerinizi kaldırabilirsiniz.

DAP ilişkisi ne zaman kaldırılacak?

GDAP ilişkisi oluşturulduktan otuz gün sonra Microsoft, DAP ilişkisini kaldırır. Zaten bir GDAP ilişkisi oluşturduysanız Microsoft, Temmuz 2023'te ilgili DAP ilişkisini kaldırır.

Microsoft tarafından yönetilen geçiş sonrasında Azure portalına erişme

İş ortağı kullanıcı Yönetici Aracısı Güvenlik Grubu'nun parçasıysa veya kullanıcı Yönetici Aracısı Güvenlik Grubu içinde iç içe yerleştirilmiş Azure Manager gibi bir güvenlik grubunun parçasıysa (Microsoft tarafından önerilen en iyi yöntem), iş ortağı kullanıcı azure portala en az ayrıcalıklı Dizin Okuyucusu rolünü kullanarak erişebilir. Dizin Okuyucusu rolü, Microsoft liderliğindeki geçiş aracının oluşturduğu GDAP ilişkisi için varsayılan rollerden biridir. Bu rol, Microsoft tarafından yönetilen DAP'tan GDAP'a geçişin bir parçası olarak Yönetici Aracısı güvenlik grubuna otomatik olarak atanır.

Senaryo DAP Etkin GDAP İlişkisi Var Kullanıcı tarafından atanan Yönetici Aracısı rolü Yönetici Aracısı üyeliğiyle Güvenlik Grubuna eklenen kullanıcı Yönetici Aracısı Güvenlik Grubuna otomatik olarak atanan Dizin Okuyucusu rolü Kullanıcı Azure aboneliğine erişebilir
1 Yes Evet Hayı Evet Evet Yes
2 Hayır Evet Hayı Evet Evet Yes
3 Hayır Evet Evet Evet Evet Yes

Kullanıcı tarafından atanan yönetici aracısı rolünün "Hayır" olduğu 1 ve 2 senaryolarında, Yönetici Aracısı Güvenlik Grubu'nun (SG) bir parçası olduktan sonra iş ortağı kullanıcı üyeliği Yönetici Aracısı rolüne dönüşür. Bu davranış doğrudan üyelik değildir ancak Yönetici Aracısı SG'sinin veya Yönetici Aracısı SG'sininaltında iç içe yerleştirilmiş bir güvenlik grubunun parçası olarak türetilir.

Microsoft liderliğindeki geçiş sonrasında yeni iş ortağı kullanıcıları Azure portalına nasıl erişim elde edebilir?

Azure en iyi yöntemleri için bkz . Ayrıntılı yönetici ayrıcalıkları (GDAP) tarafından desteklenen iş yükleri. Ayrıca, mevcut iş ortağı kullanıcınızın güvenlik gruplarını önerilen akışı izleyecek şekilde yeniden yapılandırabilirsiniz:

Diagram showing the relationship between partner and customer using GDAP.

Yeni GDAP ilişkisine bakın

Microsoft tarafından yönetilen geçiş aracıyla yeni bir GDAP ilişkisi oluşturulduğunda, adlı MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number)bir ilişki bulursunuz. Sayı, ilişkinin hem kiracınızda hem de müşteri kiracısında benzersiz olmasını sağlar. Örnek GDAP ilişki adı: "MLT_12abcd34_56cdef78_90abcd12".

İş Ortağı Merkezi Portalı'nda yeni GDAP ilişkisine bakın

İş Ortağı Merkezi portalından Müşteri çalışma alanını açın, Yönetici ilişki bölümünü seçin ve müşteriyi seçin.

Screenshot of the Admin Relationships screen in Partner Center. The list shows admin relationships with the customer that are currently active, expired, or terminated, including a single entry, MLT_abc123_def456.

Buradan Microsoft Entra rollerini bulabilir ve Yönetici Aracıları ve Yardım Masası Aracıları güvenlik gruplarına hangi Microsoft Entra rollerinin atandığı bulabilirsiniz.

Screenshot of a sample Admin Relationship that has the name MLT_abc123_def456. The list shows admin relationships with the customer that are currently active, expired, or terminated.

Microsoft Entra rollerini görmek için Ayrıntılar sütunundaki aşağı oku seçin.

Screenshot of the customer's view of the Admin Relationship screen, with the Security Groups details visible.

Müşteriler Microsoft Yönetici Center (MAC) Portalı'nda Microsoft tarafından yönetilen geçiş aracılığıyla oluşturulan yeni GDAP İlişkisini nerede bulacak?

Müşteriler Microsoft liderliğindeki GDAP ilişkisini Ayarlar sekmesindeki İş Ortağı İlişkisi bölümünde bulabilir.

Screenshot of the Microsoft 365 admin center. In the Settings tab, the Granular delegated administrative privileges (GDAP) show one partner relationship, with the name MLT_abc123_def456.

Müşteri kiracısında denetim günlükleri

Aşağıdaki ekran görüntüsünde, Microsoft tarafından yönetilen geçiş aracılığıyla GDAP ilişkisi oluşturulduktan sonra müşteri kiracısında Denetim günlüklerinin nasıl göründüğü gösterilmektedir:

Screenshot of what the Audit logs in the customer tenant look like after the GDAP relationship is created through Microsoft-led transition:

MS Led tarafından oluşturulan GDAP İlişkisi için İş Ortağı Merkezi Portalı'nda Denetim Günlükleri nasıl görünür?

Aşağıdaki ekran görüntüsünde, Microsoft tarafından yönetilen geçiş aracılığıyla GDAP ilişkisi oluşturulduktan sonra İş Ortağı Merkezi portalındaki Denetim günlüklerinin nasıl göründüğü gösterilmektedir:

Screenshot of the Customer Azure portal, with the fictitious customer: Trey Research selected. Audit logs show the date, service area, Category, Activity, Status, Target, and Initiated by.

Müşterinin kiracısında oluşturulan Microsoft Entra GDAP hizmet sorumluları nelerdir?

Veri Akışı Adı Uygulama Kimliği
İş ortağı müşteri temsilcisi yönetimi 2832473f-ec63-45fb-976f-5d45a7d4bb91
İş ortağı müşteri temsilcisi yönetici çevrimdışı işlemci a3475900-ccec-4a69-98f5-a65cd5dc5306
İş Ortağı Merkezi Temsilci Yönetici Geçişi b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f

Bu bağlamda ,"birinci taraf", API çağrı zamanında Microsoft tarafından örtülü olarak onay verildiği ve her API çağrısında OAuth 2.0 Erişim Belirteci'nin yönetilen GDAP ilişkilerine çağrı kimliği için rol veya izinleri zorlamak üzere doğrulandığı anlamına gelir.

283* Hizmet Sorumlusu XTAP "hizmet sağlayıcısı" ilkesini ayarlar ve süre sonu ve rol yönetimine izin vermek için izinleri hazırlar. Hizmet Sağlayıcıları için XTAP ilkelerini yalnızca GDAP SP ayarlayabilir veya değiştirebilir.

A34* kimliği, GDAP ilişkisinin yaşam döngüsünün tamamı için gereklidir ve son GDAP ilişkisi sona erdiğinde otomatik olarak kaldırılır. A34* kimliğinin birincil izni ve işlevi XTAP ilkelerini ve erişim atamalarını yönetmektir. Müşteri yöneticisi a34* kimliğini el ile kaldırmayı denememelidir. a34* kimliği, güvenilen süre sonu ve rol yönetimi işlevleri uygular. Müşterinin mevcut GDAP ilişkilerini görüntülemesi veya kaldırması için önerilen yöntem admin.microsoft.com portalı üzerinden yapılır.

Microsoft liderliğindeki Geçiş kapsamında geçirilen bir GDAP ilişkisinin onaylanması için b39* hizmet sorumlusu gereklidir. b39* Hizmet Sorumlusu, XTAP "hizmet sağlayıcısı" ilkesini ayarlama ve yalnızca GDAP ilişkilerini geçirmek için müşteri kiracılarına hizmet sorumluları ekleme iznine sahiptir. Hizmet Sağlayıcıları için XTAP ilkelerini yalnızca GDAP SP ayarlayabilir veya değiştirebilir.

Koşullu erişim ilkeleri

Koşullu erişim ilkeniz olsa bile Microsoft yeni bir GDAP ilişkisi oluşturur. GDAP ilişkisi Etkin durumda oluşturulur.

Yeni GDAP ilişkisi, bir müşterinin ayarlandığı mevcut koşullu erişim ilkesini atlamaz. Koşullu erişim ilkesi devam eder ve iş ortağı da DAP ilişkisiyle benzer bir deneyim yaşamaya devam eder.

Bazı durumlarda, GDAP ilişkisi oluşturulsa da Microsoft Tarafından Yönetilen Geçiş Aracı tarafından Microsoft Entra rolleri güvenlik gruplarına eklenmez. Microsoft Entra rolleri genellikle müşterinin belirlediği belirli koşullu erişim ilkeleri nedeniyle güvenlik gruplarına eklenmez. Böyle durumlarda, kurulumu tamamlamak için müşteriyle birlikte çalışın. Müşterilerin CSP'leri koşullu erişim ilkesinden nasıl hariç tutabileceğini görün.

Microsoft Led Geçişi GDAP'sine Genel Okuyucu rolü eklendi

Haziran 2023'te iş ortaklarından geri bildirim aldıktan sonra Mayıs ayında MS Led tarafından oluşturulan GDAP'ye "Genel Okuyucu" rolü eklendi. Temmuz 2023'den itibaren, MS Led tarafından oluşturulan tüm GDAP'ler Genel Okuyucu rolüne sahiptir ve toplamda dokuz Microsoft Entra rolüne sahiptir.

Sonraki adımlar