Udostępnij za pośrednictwem

Kierowane przez firmę Microsoft przejście z uprawnień administratora delegowanego na szczegółowe uprawnienia administratora delegowanego

  • Artykuł

Odpowiednie role: Wszyscy użytkownicy zainteresowani Centrum partnerskim

Firma Microsoft pomaga partnerom Jumpstart, którzy nie zaczęli przechodzić z delegowanych protokołów dostępu (DAP) do szczegółowych delegowanych protokołów dostępu (GDAP). Ta pomoc pomaga partnerom zmniejszyć ryzyko bezpieczeństwa, przechodząc do kont korzystających z najlepszych rozwiązań w zakresie zabezpieczeń, w tym przy użyciu umów dotyczących zabezpieczeń z ograniczonymi czasami.

Jak działa przejście prowadzone przez firmę Microsoft

  1. Firma Microsoft automatycznie tworzy relację GDAP z ośmioma rolami domyślnymi.
  2. Role są automatycznie przypisywane do wstępnie zdefiniowanych grup zabezpieczeń Dostawca rozwiązań w chmurze (CSP).
  3. Po upływie 30 dni język DAP zostanie usunięty.

Zaplanuj

Firma Microsoft rozpoczęła przejście DAP do GDAP w dniu 22 maja 2023 r. W czerwcu jest okres zaciemnienia. Przejście zostanie wznowione po lipcu.

KtoTo kwalifikuje się do przejścia prowadzonego przez firmę Microsoft?

W tej tabeli przedstawiono ogólne podsumowanie:

Włączono język DAP Relacja GDAP istnieje Relacja GDAP w stanie "Oczekiwanie na zatwierdzenie" Relacja GDAP została zakończona/wygasła Uprawnienia do przejścia prowadzonego przez firmę Microsoft
Tak Nie Brak Brak Tak
Tak Tak Nie. Nie. Nie.
Tak Tak Tak Nie. Nie†
Tak Tak Nie Tak Nie†
Nie. Tak Nie. Nie. Nie†
Nie Nie. Nie. Tak Nie.

Jeśli utworzono relację GDAP, firma Microsoft nie utworzy relacji GDAP w ramach przejścia prowadzonego przez firmę Microsoft. Zamiast tego relacja języka DAP zostanie usunięta w lipcu 2023 r.

Możesz zakwalifikować się do przejścia prowadzonego przez firmę Microsoft w dowolnym z następujących scenariuszy:

  • Utworzono relację GDAP, a relacja jest w stanie Oczekiwanie na zatwierdzenie . Ta relacja zostanie oczyszczona po trzech miesiącach.
  • † Możesz zakwalifikować się, jeśli utworzono relację GDAP, ale relacja GDAP wygasła. Kwalifikacje zależą od tego, jak długo relacja wygasła:
    • Jeśli relacja wygasła mniej niż 365 dni temu, nie zostanie utworzona nowa relacja GDAP.
    • Jeśli relacja wygasła ponad 365 dni temu, relacja zostanie usunięta.

Czy po przejściu prowadzonym przez firmę Microsoft nastąpi zakłócenie dla klientów?

Partnerzy i ich działalność są unikatowe. Po utworzeniu relacji GDAP za pomocą narzędzia przejściowego prowadzonego przez firmę Microsoft GDAP pierwszeństwo ma język DAP.

Firma Microsoft zaleca, aby partnerzy testować i tworzyć nowe relacje z wymaganymi rolami, których brakuje w narzędziu do przenoszenia prowadzonego przez firmę Microsoft. Utwórz relację GDAP z rolami na podstawie przypadków użycia i wymagań biznesowych w celu zapewnienia bezproblemowego przejścia z języka DAP do GDAP.

Jakie role firmy Microsoft Entra przypisuje firma Microsoft podczas tworzenia relacji GDAP przy użyciu narzędzia do przenoszenia prowadzonego przez firmę Microsoft?

  • Czytelnicy katalogów: może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości.
  • Autorzy katalogów: może odczytywać i zapisywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do aplikacji. Ta rola nie jest przeznaczona dla użytkowników.
  • Czytelnik globalny: może czytać wszystko, co może Administracja istrator globalny, ale nie aktualizuje niczego.
  • Administrator licencji: może zarządzać licencjami produktów dla użytkowników i grup.
  • Administrator pomocy technicznej usługi: może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej.
  • Administrator użytkowników: może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów.
  • Administrator ról uprzywilejowanych: może zarządzać przypisaniami ról w usłudze Microsoft Entra ID i wszystkimi aspektami usługi Privileged Identity Management (PIM).
  • Administrator pomocy technicznej: może resetować hasła dla administratorów nieadministratorów i administratorów pomocy technicznej.
  • Administrator uwierzytelniania uprzywilejowanego: może uzyskiwać dostęp, wyświetlać, ustawiać i resetować informacje o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego administratora).

Które role firmy Microsoft Entra są automatycznie przypisywane do wstępnie zdefiniowanych grup zabezpieczeń CSP w ramach przejścia prowadzonego przez firmę Microsoft?

grupa zabezpieczeń agentów Administracja:

  • Czytelnicy katalogów: może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości.
  • Składniki zapisywania katalogów: może odczytywać i zapisywać podstawowe informacje o katalogu; w celu udzielenia dostępu do aplikacji, które nie są przeznaczone dla użytkowników.
  • Czytelnik globalny: może czytać wszystko, co może Administracja istrator globalny, ale nie aktualizuje niczego.
  • Administrator licencji: może zarządzać licencjami produktów dla użytkowników i grup.
  • Administrator użytkowników: może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów.
  • Administrator ról uprzywilejowanych: może zarządzać przypisaniami ról w usłudze Microsoft Entra ID i wszystkimi aspektami usługi Privileged Identity Management (PIM).
  • Administrator uwierzytelniania uprzywilejowanego: może uzyskiwać dostęp, wyświetlać, ustawiać i resetować informacje o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego administratora).
  • Administrator pomocy technicznej usługi: może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej.
  • Administrator pomocy technicznej: może resetować hasła dla administratorów nieadministratorów i administratorów pomocy technicznej.

Grupa zabezpieczeń agentów pomocy technicznej:

  • Administrator pomocy technicznej usługi: może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej.
  • Administrator pomocy technicznej: może resetować hasła dla administratorów nieadministratorów i administratorów pomocy technicznej.

Jak długo jest nowa relacja GDAP?

Relacja GDAP utworzona podczas transformacji prowadzonej przez firmę Microsoft trwa rok.

Czy klienci będą wiedzieć, kiedy firma Microsoft tworzy nową relację GDAP w ramach przejścia daP do GDAP lub usunięcia języka DAP?

L.p. Wszystkie e-maile, które zwykle idą do klientów w ramach przejścia GDAP, są pomijane.

Jak mogę wiedzieć, kiedy firma Microsoft tworzy nową relację w ramach przejścia daP do GDAP?

Partnerzy nie otrzymują powiadomień o utworzeniu nowej relacji GDAP podczas przejścia prowadzonego przez firmę Microsoft. Pominięto te typy powiadomień podczas przejścia, ponieważ wysłanie wiadomości e-mail dla każdej zmiany może spowodować powstanie ogromnej liczby wiadomości e-mail. Możesz sprawdzić dzienniki inspekcji, aby sprawdzić, kiedy zostanie utworzona nowa relacja GDAP.

Rezygnacja z przejścia prowadzonego przez firmę Microsoft

Aby zrezygnować z tego przejścia, możesz utworzyć relację GDAP lub usunąć istniejące relacje języka DAP.

Kiedy zostanie usunięta relacja dap?

Trzydzieści dni po utworzeniu relacji GDAP firma Microsoft usunie relację języka DAP. Jeśli utworzono już relację GDAP, firma Microsoft usunie odpowiednią relację DAP w lipcu 2023 r.

Uzyskiwanie dostępu do witryny Azure Portal po przejściu przez firmę Microsoft

Jeśli użytkownik partnera jest częścią grupy zabezpieczeń agenta Administracja lub użytkownik jest częścią grupy zabezpieczeń, takiej jak Usługa Azure Manager zagnieżdżona w ramach grupy zabezpieczeń agenta Administracja (zalecane przez firmę Microsoft), użytkownik partnera może uzyskać dostęp do witryny Azure Portal przy użyciu roli czytelnika katalogów najniższych uprawnień. Rola Czytelnik katalogu jest jedną z domyślnych ról dla relacji GDAP tworzonej przez firmę Microsoft. Ta rola jest automatycznie przypisywana do grupy zabezpieczeń agenta Administracja w ramach przejścia firmy Microsoft z daP na GDAP.

Scenariusz Włączono język DAP Relacja GDAP istnieje Przypisana przez użytkownika rola agenta Administracja Użytkownik dodany do grupy zabezpieczeń z członkostwem w agencie Administracja Rola Czytelnik katalogu automatycznie przypisana do grupy zabezpieczeń agenta Administracja Użytkownik może uzyskać dostęp do subskrypcji platformy Azure
1 Tak Tak Nie Tak Tak Tak
2 Nie. Tak Nie Tak Tak Tak
3 Nie. Tak Tak Tak Tak Tak

W scenariuszach 1 i 2, w których przypisana przez użytkownika rola agenta administracyjnego to "Nie", członkostwo użytkownika partnera zmienia się na rolę agenta Administracja, gdy są częścią grupy zabezpieczeń agenta Administracja (SG). To zachowanie nie jest bezpośrednim członkostwem, ale pochodzi od części Administracja Agent SG lub grupy zabezpieczeń zagnieżdżonej w ramach Administracja Agent SG.

Jak nowi użytkownicy partnerów uzyskują dostęp do witryny Azure Portal po przejściu przez firmę Microsoft?

Zobacz Obciążenia obsługiwane przez szczegółowe uprawnienia administratora delegowanego (GDAP), aby zapoznać się z najlepszymi rozwiązaniami dotyczącymi platformy Azure. Możesz również ponownie skonfigurować grupy zabezpieczeń istniejącego partnera, aby postępować zgodnie z zalecanym przepływem:

Diagram showing the relationship between partner and customer using GDAP.

Zobacz nową relację GDAP

Po utworzeniu nowej relacji GDAP za pomocą narzędzia do przenoszenia prowadzonego przez firmę Microsoft znajdziesz relację o nazwie MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). Liczba gwarantuje, że relacja jest unikatowa zarówno w dzierżawie, jak i w dzierżawie klienta. Przykładowa nazwa relacji GDAP: "MLT_12abcd34_56cdef78_90abcd12".

Zobacz nową relację GDAP w portalu Centrum partnerskim

W portalu Centrum partnerskiego otwórz obszar roboczy Klient i wybierz sekcję relacji Administracja, a następnie wybierz klienta.

Screenshot of the Admin Relationships screen in Partner Center. The list shows admin relationships with the customer that are currently active, expired, or terminated, including a single entry, MLT_abc123_def456.

W tym miejscu możesz znaleźć role firmy Microsoft Entra i znaleźć role firmy Microsoft Entra przypisane do grup zabezpieczeń agentów Administracja i agentów pomocy technicznej.

Screenshot of a sample Admin Relationship that has the name MLT_abc123_def456. The list shows admin relationships with the customer that are currently active, expired, or terminated.

Wybierz strzałkę w dół w kolumnie Szczegóły , aby wyświetlić role firmy Microsoft Entra.

Screenshot of the customer's view of the Admin Relationship screen, with the Security Groups details visible.

Gdzie klienci znajdą nową relację GDAP utworzoną za pośrednictwem przejścia prowadzonego przez firmę Microsoft w portalu Microsoft Administracja Center (MAC)?

Klienci mogą znaleźć relację GDAP prowadzoną przez firmę Microsoft w sekcji Relacja partnerów na karcie Ustawienia.

Screenshot of the Microsoft 365 admin center. In the Settings tab, the Granular delegated administrative privileges (GDAP) show one partner relationship, with the name MLT_abc123_def456.

Dzienniki inspekcji w dzierżawie klienta

Poniższy zrzut ekranu przedstawia wygląd dzienników inspekcji w dzierżawie klienta po utworzeniu relacji GDAP za pośrednictwem przejścia prowadzonego przez firmę Microsoft:

Screenshot of what the Audit logs in the customer tenant look like after the GDAP relationship is created through Microsoft-led transition:

Jak dzienniki inspekcji wyglądają w portalu Centrum partnerskim dla utworzonej relacji GDAP przez firmę MS?

Poniższy zrzut ekranu przedstawia wygląd dzienników inspekcji w portalu Centrum partnerskiego po utworzeniu relacji GDAP za pośrednictwem przejścia prowadzonego przez firmę Microsoft:

Screenshot of the Customer Azure portal, with the fictitious customer: Trey Research selected. Audit logs show the date, service area, Category, Activity, Status, Target, and Initiated by.

Jakie są jednostki usługi Microsoft Entra GDAP utworzone w dzierżawie klienta?

Nazwisko Application ID
Administrowanie delegowane przez klienta partnerskiego 2832473f-ec63-45fb-976f-5d45a7d4bb91
Administrator delegowany przez klienta partnera w trybie offline a3475900-ccec-4a69-98f5-a65cd5dc5306
Migracja delegowanych Administracja Centrum partnerskiego b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f

W tym kontekście "pierwsza strona" oznacza, że zgoda jest niejawnie dostarczana przez firmę Microsoft w czasie wywołania interfejsu API, a token dostępu OAuth 2.0 jest weryfikowany na każdym wywołaniu interfejsu API w celu wymuszenia roli lub uprawnień dla tożsamości wywołującej do zarządzanych relacji GDAP.

Jednostka usługi 283* konfiguruje zasady "dostawcy usług" XTAP i przygotowuje uprawnienia umożliwiające wygasanie i zarządzanie rolami. Tylko GDAP SP może ustawić lub zmodyfikować zasady XTAP dla dostawców usług.

Tożsamość a34* jest wymagana dla całego cyklu życia relacji GDAP i jest automatycznie usuwana w momencie zakończenia ostatniej relacji GDAP. Podstawowym uprawnieniem i funkcją tożsamości a34* jest zarządzanie zasadami XTAP i przypisaniami dostępu. Administrator klienta nie powinien próbować ręcznie usunąć tożsamości a34*. Tożsamość a34* implementuje funkcje do zaufanego wygasania i zarządzania rolami. Zalecaną metodą wyświetlania lub usuwania istniejących relacji GDAP przez klienta jest portal admin.microsoft.com.

Jednostka usługi b39* jest wymagana do zatwierdzenia relacji GDAP, które są migrowane w ramach przejścia prowadzonego przez firmę Microsoft. Jednostka usługi b39* ma uprawnienia do konfigurowania zasad "dostawcy usług" XTAP i dodawania jednostek usług w dzierżawach klienta do migrowania tylko relacji GDAP. Tylko GDAP SP może ustawić lub zmodyfikować zasady XTAP dla dostawców usług.

Zasady dostępu warunkowego

Firma Microsoft tworzy nową relację GDAP, nawet jeśli masz zasady dostępu warunkowego. Relacja GDAP jest tworzona w stanie Aktywny .

Nowa relacja GDAP nie pomija istniejących zasad dostępu warunkowego skonfigurowanych przez klienta. Zasady dostępu warunkowego są kontynuowane, a partner nadal ma podobne środowisko jako relacja języka DAP.

W niektórych przypadkach, mimo że relacja GDAP jest tworzona, role Entra firmy Microsoft nie są dodawane do grup zabezpieczeń przez narzędzie przejściowe prowadzone przez firmę Microsoft. Zazwyczaj role entra firmy Microsoft nie są dodawane do grup zabezpieczeń z powodu określonych zasad dostępu warunkowego ustawionych przez klienta. W takich przypadkach skontaktuj się z klientem, aby ukończyć konfigurację. Zobacz, jak klienci mogą wykluczać dostawców CSP z zasad dostępu warunkowego.

Rola czytelnika globalnego dodana do aplikacji Microsoft Led Transition GDAP

Rola "Czytelnik globalny" została dodana do firmy MS Led utworzonej przez firmę GDAP w maju po otrzymaniu opinii od partnerów w czerwcu 2023 r. Od lipca 2023 r. wszystkie zarządzane grupy zarządzane przez firmę GDAPs pełnią rolę czytelnika globalnego, co czyni go dziewięcioma rolami firmy Microsoft Entra w sumie.

Następne kroki