適當角色:對合作夥伴中心感興趣的所有使用者
Microsoft正在協助尚未從委派系統管理員許可權 (DAP) 轉換到細微委派系統管理員許可權 (GDAP) 的 Jumpstart 合作夥伴。 這項協助可協助合作夥伴藉由移至使用安全性最佳做法的帳戶,包括使用限時、最低許可權安全性合約的帳戶來降低安全性風險。
Microsoft導向轉換的運作方式
以下是Microsoft導向轉換至 GDAP 運作方式的高階步驟:
- Microsoft會自動建立具有八個預設角色的 GDAP 關聯性。
- 角色會自動指派給預先定義的雲端解決方案提供者 (CSP) 安全組。
- 30 天后,會移除 DAP。
誰有資格獲得Microsoft主導的過渡資格?
下表顯示高階摘要:
| 已啟用 DAP | GDAP 關係存在 | 待核准狀態的 GDAP 關聯性 | GDAP 關聯性已終止/已過期 | Microsoft導向的轉換資格 |
|---|---|---|---|---|
| 是的 | 否 | N/A | N/A | 是的 |
| 是的 | 是的 | 否 | 否 | 否 |
| 是的 | 是的 | 是的 | 否 | 否† |
| 是的 | 是的 | 否 | 是的 | 否† |
| 否 | 是的 | 否 | 否 | 否† |
| 否 | 否 | 否 | 是的 | 否 |
如果您建立了 GDAP 關聯性,Microsoft不會在Microsoft導向轉換中建立 GDAP 關聯性。 相反地,DAP 關聯性會在 2023 年 7 月移除。
在下列任一案例中,您可能有資格成為Microsoft導向轉換的一部分:
- 您已建立 GDAP 關聯性,且關聯性處於 擱置核准 狀態。 此關聯性會在三個月後清除。
- † 如果您建立 GDAP 關聯性,但 GDAP 關聯性已過期,您可能符合資格。 資格取決於關係何時到期。
- 如果關聯性在少於 365 天前過期,則不會建立新的 GDAP 關聯性。
- 如果關聯性在 365 天前過期,則會移除關聯性。
在由 Microsoft 主導的過渡之後,客戶是否會受到影響?
合作夥伴及其業務是獨一無二的。 一旦透過Microsoft導向的轉換工具建立 GDAP 關聯性,GDAP 就會優先於 DAP。
Microsoft建議合作夥伴使用Microsoft導向轉換工具中缺少的必要角色來測試及建立新的關聯性。 根據您的使用案例和商務需求建立與角色的 GDAP 關聯性,以確保從 DAP 順利轉換到 GDAP。
使用 Microsoft 主導轉換工具建立 GDAP 關係時,Microsoft 會指派哪些 Microsoft Entra 角色?
- 目錄讀取器:可以讀取基本目錄資訊。 通常用來授與目錄讀取存取權給應用程式和來賓。
- 目錄寫入器:可以讀取和寫入基本目錄資訊。 通常用來授與應用程式的存取權。 此角色並非為使用者設計。
- 全域讀取者:可以讀取全域管理員能讀取的所有內容,但不能更新任何東西。
- 授權系統管理員:可以管理使用者和群組上的產品授權。
- 服務支持系統管理員:可讀取服務健康情況資訊及管理支援票證。
- 用戶系統管理員:可以管理使用者和群組的所有層面,包括重設有限系統管理員的密碼。
- 特殊許可權角色管理員:可以管理 Microsoft Entra ID 中的角色指派以及特權身份管理(PIM)的所有層面。
- 技術服務人員系統管理員:可以重設非管理人員和技術服務人員的密碼。
- 特殊許可權驗證系統管理員:可以存取、檢視、設定及重設任何使用者的驗證方法資訊(系統管理員或非系統管理員)。
哪些 Microsoft Entra 角色會作為 Microsoft 主導的轉換的一部分,自動指派給哪些預先定義的 CSP 安全群組?
系統管理代理程式安全組:
- 目錄讀取器:可以讀取基本目錄資訊。 通常用來授與目錄讀取存取權給應用程式和來賓。
- 目錄寫入器:可以讀取和寫入基本目錄資訊;用於授與應用程式的存取權,不適用於使用者。
- 全域讀取者:可以讀取全域管理員能讀取的所有內容,但不能更新任何東西。
- 授權系統管理員:可以管理使用者和群組上的產品授權。
- 用戶系統管理員:可以管理使用者和群組的所有層面,包括重設有限系統管理員的密碼。
- 特殊許可權角色管理員:可以管理 Microsoft Entra ID 中的角色指派以及特權身份管理(PIM)的所有層面。
- 特殊許可權驗證系統管理員:可以存取、檢視、設定及重設任何使用者的驗證方法資訊(系統管理員或非系統管理員)。
- 服務支持系統管理員:可讀取服務健康情況資訊及管理支援票證。
- 技術服務人員系統管理員:可以重設非系統管理員和技術支援人員的密碼。
Helpdesk Agents 安全群組:
- 服務支持系統管理員:可讀取服務健康情況資訊及管理支援票證。
- 技術服務人員系統管理員:可以重設非管理人員和技術服務人員的密碼。
新的 GDAP 關係的持續時間是多少?
在由 Microsoft 主導的轉換過程中建立的 GDAP 關聯性持續一年。
客戶是否知道 Microsoft 作為 DAP 到 GDAP 轉換的一部分而建立新的 GDAP 關係,或者移除 DAP 時?
否。 在 GDAP 轉換中,通常會傳送給客戶的所有電子郵件都會隱藏。
如何知道 Microsoft 在從 DAP 過渡到 GDAP 的過程中建立新的關係時?
在微軟主導的轉換過程中建立新的 GDAP 關聯時,合作夥伴不會收到通知。 我們會在轉換期間隱藏這些類型的通知,因為傳送每個變更的電子郵件可能會產生大量的電子郵件。 您可以檢查稽核記錄,以查看何時建立新的 GDAP 關聯性。
選擇不參加由Microsoft主導的轉換
若要退出此轉換,您可以建立 GDAP 關聯性,或者移除現有的 DAP 關聯性。
何時移除 DAP 關係?
建立 GDAP 關聯性三十天后,Microsoft會移除 DAP 關聯性。 如果您已建立 GDAP 關聯性,Microsoft會在 2023 年 7 月移除個別的 DAP 關聯性。
在Microsoft導向轉換之後存取 Azure 入口網站
如果合作夥伴使用者是管理代理安全群組的一員,或該使用者屬於嵌套於管理代理安全群組中的某個安全群組,例如Azure 管理員(Microsoft 建議的最佳做法),則合作夥伴使用者可以透過具最低許可權的目錄讀取者角色來存取 Azure 入口網站。 Directory-Reader 角色是Microsoft導向轉換工具所建立之 GDAP 關聯性的預設角色之一。 此角色會自動指派給系統管理員代理程式安全組,作為從 DAP 到 GDAP Microsoft導向轉換的一部分。
| 情境 | 已啟用 DAP | GDAP 關係存在 | 使用者指派系統管理代理角色 | 使用者已被添加到擁有系統管理員代理成員資格的安全群組 | 自動指派給管理代理人安全群組的目錄讀取角色 | 用戶可以存取 Azure 訂用帳戶 |
|---|---|---|---|---|---|---|
| 1 | 是的 | 是的 | 否 | 是的 | 是的 | 是的 |
| 2 | 否 | 是的 | 否 | 是的 | 是的 | 是的 |
| 3 | 否 | 是的 | 是的 | 是的 | 是的 | 是的 |
針對方案 1 和 2,當使用者指派的系統管理代理角色為 否 時,合作夥伴使用者的成員資格將變更為 系統管理代理 角色,一旦他們屬於 系統管理代理安全組(SG)。 此行為不是直接成員資格,而是衍生自系統 管理代理程式 SG 或巢狀在 系統管理代理程式 SG 下的安全組。
在Microsoft導向轉換之後,新的合作夥伴使用者如何取得 Azure 入口網站的存取權?
如需 Azure 最佳做法,請參閱 細微委派系統管理員許可權 (GDAP) 所支援的工作負載 。 您也可以重新設定現有的合作夥伴使用者安全組,以遵循建議的流程:
查看新的 GDAP 關係
使用 Microsoft 導向轉換工具建立新的 GDAP 關聯性時,您會找到一個名稱為 MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number) 的關聯性。 此數字可確保在您的租用戶和客戶租用戶中關係是唯一的。 範例 GDAP 關聯性名稱:「MLT_12abcd34_56cdef78_90abcd12」。
請參閱合作夥伴中心入口網站中的新 GDAP 關聯性
從合作夥伴中心入口網站開啟 [客戶 ] 工作區,然後選取 [ 系統管理關係] 區段,然後選取客戶。
![合作夥伴中心 [系統管理關聯性] 畫面的螢幕快照。此清單會顯示與客戶的系統管理關聯性,包含目前作用中、已過期或終止的狀態,以及單一條目 MLT_abc123_def456。](../media/gdap/admin-relationship-section.png#lightbox)
您可以在此找到 Microsoft Entra 角色,並了解哪些 Microsoft Entra 角色指派給 管理代理 和 客服代理 安全群組。
選取 [ 詳細數據 ] 數據行中的向下箭號,以查看Microsoft Entra 角色。
![客戶檢視 [系統管理關係] 畫面的螢幕快照,其中顯示 [安全組詳細數據]。](../media/gdap/azure-ad-security-groups.png#lightbox)
客戶要在哪裡才能透過 Microsoft 主導的轉換,在 Microsoft 系統管理中心(MAC)入口網站中找到新建立的 GDAP 關係?
客戶可以在 [設定] 索引標籤的 [合作夥伴關係] 區段中,找到Microsoft導向的 GDAP 關聯性。
![Microsoft 365 系統管理中心的螢幕快照。在 [設定] 索引標籤中,細微委派的系統管理許可權 (GDAP) 會顯示一個夥伴關聯性,且名稱為 MLT_abc123_def456。](../media/gdap/microsoft-admin-center-portal-gdap.png#lightbox)
客戶租用戶中的稽核日誌
下列螢幕快照顯示,透過 Microsoft 導向轉換建立 GDAP 關聯性之後,客戶租戶中的稽核日誌情況:
透過 Microsoft 主導的轉換建立 GDAP 關係後,客戶租戶的稽核記錄畫面截圖顯示如下:
在合作夥伴中心入口網站中,如何查看 MS 主導建立的 GDAP 關聯性的稽核記錄?
下列螢幕快照顯示合作夥伴中心入口網站中的稽核記錄在透過Microsoft導向轉換建立 GDAP 關聯性之後的外觀:
客戶租戶中建立的 Microsoft Entra GDAP 服務主體有哪些?
| 名稱 | 應用程式識別碼 |
|---|---|
| 合作夥伴客戶委派的系統管理 | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| 合作夥伴客戶委派的系統管理員離線處理器 | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
| 合作夥伴中心委派的系統管理員移轉 | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
在此情境中,「第一方」表示在 API 呼叫時,由 Microsoft 隱式地提供同意,並在每次 API 呼叫時驗證 OAuth 2.0 訪問權杖,以強制執行呼叫方在已管理 GDAP 關係中的角色或權限。
283* Service Principal 設定 XTAP「服務提供者」策略,並配置權限以允許到期管理和角色管理。 只有 GDAP SP 可以設定或修改服務提供者的 XTAP 原則。
整個 GDAP 關聯性生命週期都需要 a34* 身分識別,而當最後一個 GDAP 關聯性結束時,它會自動被移除。 a34* 身份標識的主要權限和功能是管理 XTAP 政策和存取指派。 客戶系統管理員不應該嘗試手動移除 a34* 身分識別。 a34* 身分識別會執行受信到期管理和角色管理的功能。 客戶檢視或移除現有 GDAP 關聯性的建議方法是透過 admin.microsoft.com 入口網站。
需要 b39* 服務主體,才能核准由 Microsoft 主導轉換過程的 GDAP 關係。 b39* 服務主體有權設定 XTAP「服務提供者」政策,並在客戶租戶中新增服務主體,只用於移轉 GDAP 關係。 只有 GDAP SP 可以設定或修改服務提供者的 XTAP 原則。
條件式存取原則
Microsoft 即使在您已有條件存取原則的情況下,仍會建立新的 GDAP 關係。 GDAP 關聯性會以 作用 状态建立。
新的 GDAP 關聯性不會略過客戶設定的現有條件式存取原則。 條件式存取政策會持續執行,合作夥伴會繼續擁有與 DAP 連結相似的體驗。
在某些情況下,雖然建立了 GDAP 關係,但由 Microsoft 主導的轉換工具無法將 Microsoft Entra 角色新增至安全群組。 一般而言,Microsoft Entra 角色不會新增至安全組,因為客戶設定的特定條件式存取原則。 在這種情況下,請與客戶合作來完成設定。 查看客戶如何 從條件式存取原則中排除 CSP。
新增 Microsoft 主導轉換 GDAP 的全域讀者角色
在 2023 年 6 月收到合作夥伴的意見反應後,MS Led 於 5 月建立的 GDAP 已新增全球讀者角色。 從 2023 年 7 月開始,所有 MS Led 建立的 GDAP 都有全域讀者角色,總共有 9 個Microsoft Entra 角色。