使粒度关系过期并延长粒度委派管理员权限 (GDAP) 的期限
相应的角色:管理员代理
合作伙伴可以识别已过期或即将过期的精细委派管理员权限(GDAP)关系,并采取措施自动扩展权限。
先决条件
若要管理 GDAP 自动扩展,必须:
- 具有角色: 管理员代理
即将过期的粒度关系和筛选器
使用筛选器选择时间范围来查找在不同时间范围和过期时间范围内过期的 GDAP 关系。
- 合作伙伴管理员代理可以查看 30 天内、7 天、1 天和 30 天内过期的活动 GDAP,以及在过去一年内过期的 GDAP。
- 要使磁贴过期的 GDAP 关系(前四个)表示活动 GDAP 和 GDAP 关系过期磁贴(最后一个磁贴)的计数和百分比表示总体 GDAP 的计数和百分比。
- 每个磁贴表示总体 GDAP 的计数和百分比。
- 每个磁贴都表示为仅显示相应 GDAP 的筛选器
- 使用搜索按客户名称、管理员关系名称进行搜索
- 使用 “下载” 选项下载 GDAP
注意
无法还原或激活过期的 GDAP。
管理 GDAP 自动扩展
合作伙伴现在可以选择一个或多个 GDA(最多 25 个),以启用或禁用自动扩展。 对 GDAP 启用 Autoextend 时,自动扩展持续时间设置为“是”(6 个月)。 自动扩展的 GDAP 不会在 GDAP 的最后一天过期,它会向前滚动六个月,这样合作伙伴就不需要请求新的 GDAP、获取客户同意或执行访问分配。 当针对 GDAP 禁用 Autoextend 时,合作伙伴会在到期前 30 天、7 天和 1 天收到通知。
合作伙伴可以选择 GDAP,然后选择“ 启用自动扩展 ”以启用自动扩展。
合作伙伴可以选择 GDAP,然后选择“ 禁用自动扩展 ”以关闭自动扩展
合作伙伴可以一次选择多个 GDA,以启用或禁用自动扩展。
无法自动扩展具有全局管理员的 GDAP
与零信任和最低特权访问权限保持一致,GDAP 具有Microsoft Entra 角色: 无法将全局管理员 标记为自动扩展。
- 具有全局管理员角色的 GDAP 将在列自动延长持续时间下显示 NA。
删除全局管理员角色
合作伙伴可以使用具有全局管理员的新筛选器 来显示具有全局管理员 角色的 GDAP。
若要从 GDAP 中删除全局管理员角色,请执行以下操作:
选择一个或多个 GDAP 角色。 “ 删除全局管理员角色 ”按钮变为活动状态。
选择“ 删除全局管理员角色”。
删除全局管理员角色后,相应的管理员关系将有资格进行 自动扩展。
删除与全局管理员角色关联的访问分配。