Visão geral da API de privilégios de administrador delegado granular (GDAP)
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Como parte do ecossistema do Microsoft Partner Center, os parceiros da Microsoft nos programas Provedor de Soluções na Nuvem, Revendedor de Valor Adicionado ou Assistente podem executar operações administrativas em seus locatários de clientes para ajudar a gerenciar os serviços do cliente, por exemplo, Microsoft Entra ID e Microsoft 365. Essa funcionalidade anteriormente permitia que os parceiros assumissem uma função de Administrador Global no locatário do cliente indefinidamente, criando possíveis exposições de segurança e limitando o potencial de mercado.
Os privilégios de administrador delegado granular (GDAP) fornecem aos parceiros acesso menos privilegiado aos locatários de seus clientes seguindo o modelo de segurança cibernética Confiança Zero. Por meio do GDAP, os parceiros configuram e solicitam acesso granular e com limite de tempo aos ambientes de seus clientes, e os clientes devem conceder explicitamente esse acesso menos privilegiado aos parceiros. Além disso, os parceiros devem solicitar funções específicas para a administração do locatário do cliente por um período definido de tempo. Esse controle elimina a necessidade de os parceiros terem a função de Administrador Global no locatário do cliente, mas, em vez disso, agora têm permissões privilegiadas menores que precisam absolutamente para tarefas administrativas delegadas.
Para obter mais informações sobre o GDAP, consulte:
- Introdução aos privilégios de administrador delegado granular (GDAP)
- Funções menos privilegiadas por tarefa
Fluxo de trabalho GDAP
Ciclo de vida de uma relação GDAP
O diagrama a seguir mostra o status das transições de relação delegada Administração.
- Criar delegatedAdminRelationship
- Atualizar delegatedAdminRelationship
- Criar delegatedAdminRelationshipRequest (ação: lockForApproval)
- Criar delegatedAdminRelationshipRequest (ação: encerrar)
Depois de executar a API Create delegatedAdminRelationshipRequest com a ação lockForApproval , crie o link de convite do cliente usando o modelo URI a seguir, em que {adminRelationshipID} é a ID da solicitação de relacionamento de administrador.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Envie o link de convite para o cliente para que ele aprove a solicitação GDAP. Por exemplo, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 é um link de convite, em que 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 é a ID da solicitação de relação de administrador. Depois que o cliente aprovar a solicitação GDAP, a relação GDAP fará a transição para um estado ativo.
Para finalizar o fluxo de trabalho para habilitar o gerenciamento de administrador em nome do (AOBO) do locatário do cliente, prossiga criando uma nova atribuição de acesso para a relação de administrador delegado usando a API Criar accessAssignments .
Ciclo de vida de uma atribuição de acesso de relacionamento GDAP
A atribuição de acesso de administrador delegado passa pelas transições de status mostradas no diagrama a seguir.
Usar casos para APIs GDAP
Esta seção descreve as maneiras pelas quais os parceiros da Microsoft podem usar as APIs GDAP para gerenciar programaticamente relações de administrador delegada para seus clientes.
Relação de administrador delegada
| Casos de uso | APIs |
|---|---|
| Criar uma nova relação de administrador delegado para aprovação de qualquer cliente Criar uma nova relação de administrador delegado para aprovação de um cliente específico |
Criar delegatedAdminRelationship |
| Listar todas as relações de administrador delegadas de um parceiro Listar todas as relações de administrador delegadas para um cliente específico |
Lista delegadaAdminRelationships |
| Obter uma relação de administrador delegada por ID | Obter delegatedAdminRelationship |
| Excluir relação de administrador delegado | Excluir delegatedAdminRelationship |
Solicitação de relação de administrador delegada
| Casos de uso | APIs |
|---|---|
| Crie uma solicitação de relação de administrador delegada para bloquear uma relação para aprovação do cliente ou encerrar um relacionamento existente. | Criar solicitações |
| Obter uma solicitação de relação de administrador delegada por ID | Obter delegatedAdminRelationshipRequest |
| Listar todas as solicitações de relação de administrador delegada para uma determinada relação | Listar solicitações |
Atribuições de função
| Casos de uso | APIs |
|---|---|
| Criar uma nova atribuição de acesso de administrador delegado para uma relação de administrador delegado | Criar accessAssignments |
| Listar atribuições de acesso para uma relação de administrador delegada | Listar accessAssignments |
| Obter uma atribuição de acesso de relacionamento de administrador delegado por ID | Obter delegatedAdminAccessAssignment |
| Excluir uma atribuição de acesso de uma relação de administrador delegada | Excluir delegatedAdminAccessAssignment |
| Atualizar atribuições de função para uma atribuição de acesso de relacionamento de administrador delegado | Atualizar delegatedAdminAccessAssignment |
Operações de execução longa
| Casos de uso | APIs |
|---|---|
| Listar todas as operações de execução longa de uma relação de administrador delegada | Listar operações |
| Obter uma operação de execução longa de uma relação de administrador delegada | Obter delegatedAdminRelationshipOperation |
Clientes administradores delegados
| Casos de uso | APIs |
|---|---|
| Listar todos os clientes administradores delegados | Lista delegatedAdminCustomers |
| Obter um único cliente de administrador delegado por ID | Obter delegatedAdminCustomer |
| Obter detalhes de gerenciamento de serviço para um cliente administrador delegado | Listar serviceManagementDetails |
Permissões
Para gerenciar relações de administrador delegada, a entidade de chamada deve estar no locatário do parceiro e receber as permissões apropriadas de privilégios de administrador delegado granular.
Confiança Zero
Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Usar privilégio mínimo
- Assumir violação
Para saber mais sobre Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Centro de Diretrizes Confiança Zero.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de