Von Microsoft geführter Übergang von DAP zu GDAP
Geeignete Rollen: Alle Benutzer , die an Partner Center interessiert sind
Microsoft unterstützt Jumpstart-Partner, die nicht mit dem Übergang von delegierten Zugriffsprotokollen (DAP) zu granularen delegierten Zugriffsprotokollen (GDAP) begonnen haben. Diese Unterstützung hilft Partnern, Sicherheitsrisiken zu reduzieren, indem sie auf Konten umsteigen, die bewährte Methoden für die Sicherheit verwenden, einschließlich zeitlich begrenzter, mindestrechtlicher Sicherheitsverträge.
Funktionsweise des von Microsoft geführten Übergangs
- Microsoft erstellt automatisch eine GDAP-Beziehung mit acht Standardrollen.
- Rollen werden automatisch vordefinierten Cloud Solution Provider (CSP)-Sicherheitsgruppen zugewiesen.
- Nach 30 Tagen wird DAP entfernt.
Planen
Microsoft begann den DAP-Übergang zum GDAP am 22. Mai 2023. Im Juni gibt es eine Blackoutperiode. Der Übergang wird nach Juli fortgesetzt.
Wer qualifiziert für den von Microsoft geführten Übergang?
Diese Tabelle enthält eine allgemeine Zusammenfassung:
| DAP aktiviert | GDAP-Beziehung ist vorhanden | GDAP-Beziehung im Status "Genehmigung ausstehend" | GDAP-Beziehung beendet/abgelaufen | Von Microsoft geleitete Übergangsberechtigung |
|---|---|---|---|---|
| Ja | Nein | – | – | Ja |
| Ja | Ja | Nein | Nr. | Nein |
| Ja | Ja | Ja | Nein | Nein† |
| Ja | Ja | Keine | Ja | Nein† |
| Nein | Ja | Nein | Nein | Nein† |
| Nein | Nr. | Nein | Ja | Nein |
Wenn Sie eine GDAP-Beziehung erstellt haben, erstellt Microsoft im Rahmen des von Microsoft geführten Übergangs keine GDAP-Beziehung. Stattdessen wird die DAP-Beziehung im Juli 2023 entfernt.
Möglicherweise sind Sie Teil des von Microsoft geführten Übergangs in einem der folgenden Szenarien:
- Sie haben eine GDAP-Beziehung erstellt, und die Beziehung befindet sich im Status "Ausstehende Genehmigung ". Diese Beziehung wird nach drei Monaten sauber.
- † Sie können sich qualifizieren, wenn Sie eine GDAP-Beziehung erstellt haben, die GDAP-Beziehung jedoch abgelaufen ist. Die Qualifikation hängt davon ab, wie lange die Beziehung abgelaufen ist:
- Wenn die Beziehung vor weniger als 365 Tagen abgelaufen ist, wird keine neue GDAP-Beziehung erstellt.
- Wenn die Beziehung vor mehr als 365 Tagen abgelaufen ist, wird die Beziehung entfernt.
Gibt es nach dem von Microsoft geführten Übergang eine Unterbrechung für Kunden?
Partner und ihr Unternehmen sind einzigartig. Sobald die GDAP-Beziehung über das von Microsoft geleitete Übergangstool erstellt wurde, hat GDAP Vorrang vor DAP.
Microsoft empfiehlt Partnern, neue Beziehungen mit den erforderlichen Rollen zu testen und zu erstellen, die im von Microsoft geführten Übergangstool fehlen. Erstellen Sie GDAP-Beziehung mit Rollen basierend auf Ihren Anwendungsfällen und Geschäftsanforderungen, um einen reibungslosen Übergang von DAP zu GDAP sicherzustellen.
Welche Microsoft Entra-Rollen weist Microsoft zu, wenn eine GDAP-Beziehung mithilfe des von Microsoft geführten Übergangstools erstellt wird?
- Verzeichnisleser: Kann grundlegende Verzeichnisinformationen lesen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen.
- Verzeichnisautoren: Kann grundlegende Verzeichnisinformationen lesen und schreiben. Wird häufig verwendet, um Zugriff auf Anwendungen zu gewähren. Diese Rolle ist nicht für Benutzer vorgesehen.
- Globaler Reader: Kann alles lesen, was ein globaler Administrator kann, aber nichts aktualisieren.
- Lizenzadministrator: Kann Produktlizenzen für Benutzer und Gruppen verwalten.
- Dienstsupportadministrator: Kann Dienststatusinformationen lesen und Supporttickets verwalten.
- Benutzeradministrator: Kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich des Zurücksetzens von Kennwörtern für eingeschränkte Administratoren.
- Administrator für privilegierte Rollen: Kann Rollenzuweisungen in Microsoft Entra ID und alle Aspekte von Privileged Identity Management (PIM) verwalten.
- Helpdesk-Administrator: Kann Kennwörter für Nichtadministratoren und Helpdesk-Administratoren zurücksetzen.
- Administrator für privilegierte Authentifizierung: Kann auf Informationen zur Authentifizierungsmethode für jeden Benutzer (Administrator oder nichtadmin) zugreifen, anzeigen, festlegen und zurücksetzen.
Welche Microsoft Entra-Rollen werden automatisch den vordefinierten CSP-Sicherheitsgruppen im Rahmen des von Microsoft geführten Übergangs zugewiesen?
Sicherheitsgruppe für Administratoren:
- Verzeichnisleser: Kann grundlegende Verzeichnisinformationen lesen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen.
- Verzeichnisautoren: Kann grundlegende Verzeichnisinformationen lesen und schreiben; zum Gewähren des Zugriffs auf Anwendungen, nicht für Benutzer vorgesehen.
- Globaler Reader: Kann alles lesen, was ein globaler Administrator kann, aber nichts aktualisieren.
- Lizenzadministrator: Kann Produktlizenzen für Benutzer und Gruppen verwalten.
- Benutzeradministrator: Kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich des Zurücksetzens von Kennwörtern für eingeschränkte Administratoren.
- Administrator für privilegierte Rollen: Kann Rollenzuweisungen in Microsoft Entra ID und alle Aspekte von Privileged Identity Management (PIM) verwalten.
- Administrator für privilegierte Authentifizierung: Kann auf Informationen zur Authentifizierungsmethode für jeden Benutzer (Administrator oder nichtadmin) zugreifen, anzeigen, festlegen und zurücksetzen.
- Dienstsupportadministrator: Kann Dienststatusinformationen lesen und Supporttickets verwalten.
- Helpdesk-Administrator: Kann Kennwörter für Nichtadministratoren und Helpdesk-Administratoren zurücksetzen.
Helpdesk-Agents– Sicherheitsgruppe:
- Dienstsupportadministrator: Kann Dienststatusinformationen lesen und Supporttickets verwalten.
- Helpdesk-Administrator: Kann Kennwörter für Nichtadministratoren und Helpdesk-Administratoren zurücksetzen.
Wie lange ist die neue GDAP-Beziehung?
Die gdAP-Beziehung, die während des von Microsoft geführten Übergangs erstellt wurde, beträgt ein Jahr.
Wissen Kunden, wann Microsoft die neue GDAP-Beziehung als Teil von DAP zum GDAP-Übergang erstellt oder DAP entfernt?
Nein Alle E-Mails, die im Rahmen des GDAP-Übergangs normalerweise an Kunden gehen würden, werden unterdrückt.
Wie weiß ich, wann Microsoft eine neue Beziehung als Teil von DAP zum GDAP-Übergang erstellt?
Partner erhalten keine Benachrichtigungen, wenn die neue GDAP-Beziehung während des von Microsoft geführten Übergangs erstellt wird. Wir haben diese Arten von Benachrichtigungen während des Übergangs unterdrückt, da das Senden einer E-Mail für jede Änderung zu einer großen Anzahl von E-Mails führen könnte. Sie können die Überwachungsprotokolle überprüfen, um festzustellen, wann die neue GDAP-Beziehung erstellt wird.
Abmelden des von Microsoft geführten Übergangs
Um diesen Übergang zu deaktivieren, können Sie entweder eine GDAP-Beziehung erstellen oder Ihre vorhandenen DAP-Beziehungen entfernen.
Wann wird die DAP-Beziehung entfernt?
Dreißig Tage nach der Erstellung der GDAP-Beziehung entfernt Microsoft die DAP-Beziehung. Wenn Sie bereits eine GDAP-Beziehung erstellt haben, entfernt Microsoft die entsprechende DAP-Beziehung im Juli 2023.
Zugreifen auf die Azure-Portal nach dem von Microsoft geführten Übergang
Wenn der Partnerbenutzer Teil der Administrator-Agent-Sicherheitsgruppe ist oder der Benutzer Teil einer Sicherheitsgruppe wie Azure Manager ist, die in der Administrator-Agent-Sicherheitsgruppe geschachtelt ist (bewährte Methode von Microsoft empfehlen), kann der Partnerbenutzer mithilfe der Rolle "Verzeichnisleseberechtigter" auf Azure-Portal zugreifen. Die Rolle "Verzeichnisleser" ist eine der Standardrollen für die GDAP-Beziehung, die das von Microsoft geleitete Übergangstool erstellt. Diese Rolle wird automatisch der Administrator-Agent-Sicherheitsgruppe als Teil des von Microsoft geführten Übergangs von DAP zu GDAP zugewiesen.
| Szenario | DAP aktiviert | GDAP-Beziehung ist vorhanden | Rolle "Vom Benutzer zugewiesener Administrator-Agent" | Benutzer, der sicherheitsgruppe mit Administrator-Agent-Mitgliedschaft hinzugefügt wurde | Automatisches Zuweisen der Verzeichnisleserrolle zur Sicherheitsgruppe "Administrator-Agent" | Benutzer können auf azure-Abonnement zugreifen |
|---|---|---|---|---|---|---|
| 1 | Ja | Ja | Keine | Ja | Ja | Ja |
| 2 | Nein | Ja | Keine | Ja | Ja | Ja |
| 3 | Nein | Ja | Ja | Ja | Ja | Ja |
In Szenarien 1 und 2, in denen die Rolle des vom Benutzer zugewiesenen Administrator-Agents "Nein" lautet, ändert sich die Mitgliedschaft des Partnerbenutzers in die Rolle "Administrator-Agent ", sobald sie Teil der Administrator-Agent-Sicherheitsgruppe (SG) sind. Dieses Verhalten ist keine direkte Mitgliedschaft, sondern abgeleitet, indem sie Teil des Admin Agent SG oder einer Sicherheitsgruppe ist, die unter dem Administrator-Agent SG geschachtelt ist.
Wie erhalten neue Partnerbenutzer nach dem von Microsoft geführten Übergang Zugriff auf Azure-Portal?
Sehen Sie sich Workloads an, die von granularen delegierten Administratorrechten (GDAP) für bewährte Azure-Methoden unterstützt werden. Sie können auch die Sicherheitsgruppen Ihres vorhandenen Partnerbenutzers neu konfigurieren, um dem empfohlenen Ablauf zu folgen:
Siehe die neue GDAP-Beziehung
Wenn eine neue GDAP-Beziehung mit dem von Microsoft geführten Übergangstool erstellt wird, finden Sie eine Beziehung mit dem Namen MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). Die Zahl stellt sicher, dass die Beziehung sowohl in Ihrem Mandanten als auch im Kundenmandanten eindeutig ist. Beispielname der GDAP-Beziehung: "MLT_12abcd34_56cdef78_90abcd12".
Sehen Sie sich die neue GDAP-Beziehung im Partner Center-Portal an
Öffnen Sie im Partner Center-Portal den Kundenarbeitsbereich, und wählen Sie den Abschnitt "Administratorbeziehung" und dann den Kunden aus.
Von hier aus finden Sie die Microsoft Entra-Rollen und finden, welche Microsoft Entra-Rollen den Sicherheitsgruppen "Admin Agents" und "Helpdesk Agents" zugewiesen sind.
Wählen Sie den Abwärtspfeil in der Spalte "Details " aus, um die Microsoft Entra-Rollen anzuzeigen.
Wo finden Kunden die neue GDAP-Beziehung, die über den von Microsoft geführten Übergang im Microsoft Admin Center (MAC)-Portal erstellt wurde?
Kunden finden die von Microsoft geleitete GDAP-Beziehung im Abschnitt "Partnerbeziehung" auf der Registerkarte Einstellungen.
Überwachungsprotokolle im Kundenmandanten
Der folgende Screenshot zeigt, wie die Überwachungsprotokolle im Kundenmandanten aussehen, nachdem die GDAP-Beziehung über den von Microsoft geführten Übergang erstellt wurde:
Wie sehen Überwachungsprotokolle im Partner Center-Portal für MS Led erstellte GDAP-Beziehung aus?
Der folgende Screenshot zeigt, wie die Überwachungsprotokolle im Partner Center-Portal aussehen, nachdem die GDAP-Beziehung über den von Microsoft geführten Übergang erstellt wurde:
Was sind die Microsoft Entra GDAP-Dienstprinzipale, die im Mandanten des Kunden erstellt werden?
| Name | Anwendungs-ID |
|---|---|
| Delegierte Verwaltung des Partnerkunden | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Partner-Delegierter Administrator-Offlineprozessor | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
| Partner Center – Delegierte Administratormigration | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
In diesem Zusammenhang bedeutet "Erstanbieter", dass die Zustimmung implizit von Microsoft zur API-Aufrufzeit bereitgestellt wird und das OAuth 2.0-Zugriffstoken für jeden API-Aufruf überprüft wird, um die Rolle oder Berechtigungen für die aufrufende Identität für verwaltete GDAP-Beziehungen zu erzwingen.
Der Dienstprinzipal 283* richtet die XTAP-Richtlinie "Dienstanbieter" ein und bereitet Berechtigungen für die Ablauf- und Rollenverwaltung vor. Nur der GDAP-SP kann die XTAP-Richtlinien für Dienstanbieter festlegen oder ändern.
Die a34*-Identität ist für den gesamten Lebenszyklus der GDAP-Beziehung erforderlich und wird automatisch entfernt, wenn die letzte GDAP-Beziehung endet. Die primäre Berechtigung und Funktion der a34*-Identität besteht darin, XTAP-Richtlinien und Zugriffszuweisungen zu verwalten. Ein Kundenadministrator sollte nicht versuchen, die a34*-Identität manuell zu entfernen. Die a34*-Identität implementiert Funktionen für die vertrauenswürdige Ablauf- und Rollenverwaltung. Die empfohlene Methode für einen Kunden zum Anzeigen oder Entfernen vorhandener GDAP-Beziehungen erfolgt über das admin.microsoft.com-Portal.
Der Dienstprinzipal "b39*" ist für die Genehmigung einer GDAP-Beziehung erforderlich, die im Rahmen von Microsoft led Transition migriert wird. Der Dienstprinzipal b39* verfügt über die Berechtigung zum Einrichten der XTAP-Richtlinie "Dienstanbieter" und zum Hinzufügen von Dienstprinzipalen in den Kundenmandanten nur für die Migration von GDAP-Beziehungen. Nur der GDAP-SP kann die XTAP-Richtlinien für Dienstanbieter festlegen oder ändern.
Bedingte Zugriffsrichtlinien
Microsoft erstellt eine neue GDAP-Beziehung, auch wenn Sie über eine Richtlinie für bedingten Zugriff verfügen. Die GDAP-Beziehung wird in einem aktiven Zustand erstellt.
Die neue GDAP-Beziehung umgehen nicht die vorhandene Richtlinie für bedingten Zugriff, die ein Kunde eingerichtet hat. Die Richtlinie für bedingten Zugriff wird fortgesetzt, und der Partner hat weiterhin eine ähnliche Erfahrung wie eine DAP-Beziehung.
In einigen Fällen, obwohl die GDAP-Beziehung erstellt wird, werden die Microsoft Entra-Rollen nicht zu Sicherheitsgruppen durch das von Microsoft geleitete Übergangstool hinzugefügt. In der Regel werden die Microsoft Entra-Rollen aufgrund bestimmter richtlinien für bedingten Zugriff, die der Kunde festgelegt hat, nicht zu Sicherheitsgruppen hinzugefügt. Arbeiten Sie in solchen Fällen mit dem Kunden zusammen, um die Einrichtung abzuschließen. Erfahren Sie, wie Kunden CSPs aus der Richtlinie für bedingten Zugriff ausschließen können.
Rolle "Globaler Leser" zu Microsoft Led Transition GDAP hinzugefügt
Die Rolle "Globaler Leser" wurde ms Led im Mai nach Erhalt von Feedback von Partnern im Juni 2023 hinzugefügt. Ab Juli 2023 verfügen alle von MS Led erstellten GDAPs über die Rolle "Globaler Leser", wodurch insgesamt neun Microsoft Entra-Rollen verwendet werden.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für