Share via

客戶 GDAP 移轉常見問題

  • 文章

適當角色:對合作夥伴中心感興趣的所有使用者

細微委派的系統管理員許可權 (GDAP) 可讓合作夥伴以更細微且時間限制的方式存取其客戶的工作負載,這有助於解決客戶的安全性考慮。

透過 GDAP,合作夥伴可以提供更多服務給可能對高層級合作夥伴存取感到不舒服的客戶。

GDAP 也可協助具有法規需求的客戶,為合作夥伴提供最低許可權存取權。

什麼是委派的系統管理許可權 (DAP)?

委派的系統管理許可權 (DAP) 可讓合作夥伴代表他們管理客戶的服務或訂用帳戶。

如需詳細資訊,請參閱 委派的系統管理許可權

我們的 CSP 何時將 DAP 許可權授與其客戶的租使用者?

  • 當 CSP 設定新的客戶關係時,就會建立委派的系統管理員許可權 (DAP)。
  • 當合作夥伴要求 轉銷商關係時,可以選擇將邀請傳送給客戶,以建立 DAP。 客戶必須接受要求。

客戶是否可以撤銷其租使用者的 DAP 存取權?

是,任何一方、CSP 或客戶都可以取消 DAP 存取。

為什麼 Microsoft 會淘汰委派的系統管理許可權 (DAP)?

由於 DAP 的壽命和高特殊許可權存取,因此容易遭受安全性攻擊。

如需詳細資訊,請參閱 諾貝爾獎以委派的系統管理許可權為目標,以促進更廣泛的攻擊

什麼是 GDAP?

細微委派的系統管理許可權 (GDAP) 是一項安全性功能,可在 零信任 網路安全通訊協議之後,為合作夥伴提供最低許可權存取權。 其可讓合作夥伴設定他們客戶在生產與沙箱環境中工作負載的細微和時間繫結存取權。 此最低許可權的存取權必須由其客戶明確授與給合作夥伴。

如需詳細資訊,請參閱 Microsoft Entra 內建角色

GDAP 如何運作?

GDAP 利用名為跨租使用者存取原則的 Microsoft Entra 功能(有時稱為 XTAP 跨租使用者存取概觀),讓 CSP 合作夥伴和客戶安全性模型與 Microsoft 身分識別模型保持一致。 提出 GDAP 關聯性的要求時,從 CSP 合作夥伴到客戶,它包含一或多個 Microsoft Entra 內建角色和以天為單位的時限存取權(1 到 730)。 當客戶接受要求時,XTAP 原則會寫入客戶的租使用者中,同意有限的角色,並取得 CSP 合作夥伴所要求的時間範圍。

CSP 合作夥伴可以要求多個 GDAP 關聯性,每個關聯性都有自己的有限角色,並指定時間範圍,增加比先前的 DAP 關聯性更多的彈性。

什麼是 GDAP 大量移轉工具?

GDAP 大量移轉工具為 CSP 合作夥伴提供將作用中 DAP 存取移至 GDAP 和移除舊版 DAP 許可權的方法。 作用中 DAP 定義為目前建立的任何 CSP/客戶 DAP 關聯性。 CSP 合作夥伴無法要求大於使用 DAP 建立的存取層級。

如需詳細資訊,請參閱 GDAP 常見問題

執行 GDAP 大量移轉工具是否會在客戶的租使用者中將新的服務主體新增為企業應用程式?

是,GDAP 大量移轉工具會使用正常運作的 DAP 來授權建立新的 GDAP 關聯性。 第一次接受 GDAP 關聯性時,有兩個 Microsoft 第一方服務主體會在客戶租用戶中發揮作用。

客戶租使用者中建立的兩個 Microsoft Entra GDAP 服務主體是什麼?

名稱 Application ID
合作夥伴客戶委派的系統管理 2832473f-ec63-45fb-976f-5d45a7d4bb91
合作夥伴客戶委派的系統管理員離線處理器 a3475900-ccec-4a69-98f5-a65cd5dc5306

在此內容中,「第一方」表示在 API 呼叫時間由 Microsoft 隱含地提供同意,並在 OAuth 2.0 Access Token 每個 API 呼叫上驗證 ,以強制執行呼叫身分識別至受控 GDAP 關聯性的角色或許可權。

接受 GDAP 關聯性時,需要 283* 服務主體。 283* 服務主體會設定 XTAP「服務提供者」原則,並準備許可權以允許到期和角色管理。 只有 GDAP SP 可以設定或修改服務提供者的 XTAP 原則。

GDAP 關聯性整個生命週期都需要 a34* 身分識別,而且會在最後一個 GDAP 關聯性結束時自動移除。 a34* 身分識別的主要許可權和函式是管理 XTAP 原則和存取指派。 客戶系統管理員不應該嘗試手動移除 a34* 身分識別。 a34* 身分識別會實作信任到期和角色管理的函式。 客戶檢視或移除現有 GDAP 關聯性的建議方法是透過 admin.microsoft.com 入口網站。

下一步