Переход от DAP к GDAP под руководством Майкрософт
Соответствующие роли: все пользователи, заинтересованные в Центре партнеров
Корпорация Майкрософт помогает партнерам Jumpstart, которые не начали переход с делегированных протоколов доступа (DAP) на детализированные протоколы делегированного доступа (GDAP). Эта помощь помогает партнерам снизить риски безопасности, перейдя к учетным записям, использующим рекомендации по обеспечению безопасности, включая использование ограниченного времени, минимальных контрактов безопасности.
Как работает переход, управляемый корпорацией Майкрософт
- Корпорация Майкрософт автоматически создает связь GDAP с восемью ролями по умолчанию.
- Роли автоматически назначаются предопределенным группам безопасности поставщик облачных решений (CSP).
- Через 30 дней DAP удаляется.
Расписание
Корпорация Майкрософт начала переход DAP в GDAP 22 мая 2023 года. В июне существует период отключения. Переход возобновляется после июля.
Кто относится к переходу под руководством Майкрософт?
В этой таблице показана сводка высокого уровня:
| DAP включено | Существует связь GDAP | Отношение GDAP в состоянии "Ожидание утверждения" | Прекращение или истечение срока действия связи GDAP | Право на переход, управляемый корпорацией Майкрософт |
|---|---|---|---|---|
| Да | Нет | Неприменимо | Неприменимо | Да |
| Да | Да | No | No | No |
| Да | Да | Да | Нет | Нет† |
| Да | Да | No | Да | Нет† |
| No | Да | No | No | Нет† |
| No | No | No | Да | Нет |
Если вы создали связь GDAP, корпорация Майкрософт не создаст связь GDAP в рамках перехода под руководством Майкрософт. Вместо этого связь DAP будет удалена в июле 2023 года.
Вы можете претендовать на участие в переходе под руководством Майкрософт в любом из следующих сценариев:
- Вы создали связь GDAP, и связь находится в состоянии ожидания утверждения . Эта связь будет удалена через три месяца.
- †, если вы создали связь GDAP, но срок действия связи GDAP истек. Квалификация зависит от того, сколько времени истек срок действия связи:
- Если срок действия связи истек менее 365 дней назад, то новая связь GDAP не создается.
- Если срок действия связи истек более 365 дней назад, то связь удаляется.
Будут ли перебои с клиентами после перехода под руководством Майкрософт?
Партнеры и их бизнес уникальны. После создания связи GDAP с помощью средства перехода под управлением Майкрософт GDAP имеет приоритет над DAP.
Корпорация Майкрософт рекомендует партнерам тестировать и создавать новые отношения с необходимыми ролями, отсутствующими в средстве перехода под управлением Майкрософт. Создайте связь GDAP с ролями на основе вариантов использования и бизнес-требований, чтобы обеспечить плавный переход от DAP к GDAP.
Какие роли Microsoft Entra назначает корпорация Майкрософт при создании связи GDAP с помощью средства перехода под управлением Майкрософт?
- Читатели каталогов: могут читать основные сведения о каталоге. Обычно используется для предоставления доступа на чтение каталога приложениям и гостям.
- Записи каталогов: могут читать и записывать основные сведения о каталоге. Часто используется для предоставления доступа к приложениям. Эта роль не предназначена для пользователей.
- Глобальный читатель: может читать все, что глобальный Администратор istrator может, но ничего не обновлять.
- Администратор лицензий: может управлять лицензиями на продукты для пользователей и групп.
- Администратор службы поддержки: может читать сведения о работоспособности службы и управлять запросами в службу поддержки.
- Администратор пользователей: может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов.
- Администратор привилегированных ролей: может управлять назначениями ролей в идентификаторе Microsoft Entra и всех аспектах управление привилегированными пользователями (PIM).
- Администратор службы технической поддержки: может сбрасывать пароли для неадминистраторов и администраторов службы технической поддержки.
- Администратор привилегированной проверки подлинности: может получать доступ, просматривать, задавать и сбрасывать сведения о методе проверки подлинности для любого пользователя (администратор или неадмин).
Какие роли Microsoft Entra автоматически назначаются предопределенным группам безопасности CSP в рамках перехода на основе Майкрософт?
Группа безопасности агентов Администратор:
- Читатели каталогов: могут читать основные сведения о каталоге. Обычно используется для предоставления доступа на чтение каталога приложениям и гостям.
- Записи каталогов: могут читать и записывать основные сведения о каталоге; для предоставления доступа к приложениям, а не предназначенных для пользователей.
- Глобальный читатель: может читать все, что глобальный Администратор istrator может, но ничего не обновлять.
- Администратор лицензий: может управлять лицензиями на продукты для пользователей и групп.
- Администратор пользователей: может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов.
- Администратор привилегированных ролей: может управлять назначениями ролей в идентификаторе Microsoft Entra и всех аспектах управление привилегированными пользователями (PIM).
- Администратор привилегированной проверки подлинности: может получать доступ, просматривать, задавать и сбрасывать сведения о методе проверки подлинности для любого пользователя (администратор или неадмин).
- Администратор службы поддержки: может читать сведения о работоспособности службы и управлять запросами в службу поддержки.
- Администратор службы технической поддержки: может сбрасывать пароли для неадминистраторов и администраторов Helpdesk.
Группа безопасности агентов helpdesk:
- Администратор службы поддержки: может читать сведения о работоспособности службы и управлять запросами в службу поддержки.
- Администратор службы технической поддержки: может сбрасывать пароли для неадминистраторов и администраторов службы технической поддержки.
Сколько времени нового отношения GDAP?
Связь GDAP, созданная во время перехода под руководством Майкрософт, составляет один год.
Будут ли клиенты знать, когда корпорация Майкрософт создает новую связь GDAP в рамках перехода DAP к GDAP или удаляет DAP?
№ Все сообщения электронной почты, которые обычно отправляются клиентам в рамках перехода GDAP, подавляются.
Как узнать, когда корпорация Майкрософт создает новую связь в рамках перехода DAP к GDAP?
Партнеры не получают уведомления о создании новой связи GDAP во время перехода под руководством Майкрософт. Мы подавили эти типы уведомлений во время перехода, так как отправка электронной почты для каждого изменения может создать огромный объем электронной почты. Вы можете проверка журналы аудита, чтобы узнать, когда создается новая связь GDAP.
Отказ от перехода под руководством Майкрософт
Чтобы отказаться от этого перехода, можно создать связь GDAP или удалить существующие связи DAP.
Когда связь DAP будет удалена?
Через тридцать дней после создания отношения GDAP корпорация Майкрософт удалит связь DAP. Если вы уже создали связь GDAP, корпорация Майкрософт удаляет соответствующую связь DAP в июле 2023 года.
Доступ к портал Azure после перехода под управлением Майкрософт
Если пользователь-партнер является частью группы безопасности агента Администратор или пользователь входит в группу безопасности, например Диспетчер Azure, вложенную в группу безопасности агента Администратор (рекомендуется майкрософт), то пользователь-партнер может получить доступ к портал Azure с помощью роли читателя каталогов с наименьшими привилегиями. Роль "Читатель каталогов" — это одна из ролей по умолчанию для связи GDAP, которую создает средство перехода под руководством Майкрософт. Эта роль автоматически назначается группе безопасности агента Администратор в рамках перехода с DAP на GDAP.
| Сценарий | DAP включено | Существует связь GDAP | Назначенная пользователем роль агента Администратор | Пользователь, добавленный в группу безопасности с членством в агенте Администратор | Роль читателя каталогов автоматически назначается группе безопасности агента Администратор | Пользователь может получить доступ к подписке Azure |
|---|---|---|---|---|---|---|
| 1 | Да | Да | No | Да | Да | Да |
| 2 | No | Да | No | Да | Да | Да |
| 3 | No | Да | Да | Да | Да | Да |
В сценариях 1 и 2, где роль агента администратора, назначаемого пользователем, имеет значение "Нет", членство партнера в роли агента Администратор после того, как они являются частью группы безопасности агента Администратор (SG). Это поведение не является прямым членством, но производным от того, что он является частью SG агента Администратор или группы безопасности, вложенной в группу безопасности, вложенную в группу SG агента Администратор.
После перехода под руководством Майкрософт новые пользователи партнеров получают доступ к портал Azure?
Ознакомьтесь с рекомендациями по использованию рабочих нагрузок, поддерживаемых подробными делегированными правами администратора (GDAP). Вы также можете перенастроить существующие группы безопасности партнера, чтобы выполнить рекомендуемый поток:
См. новое отношение GDAP
При создании новой связи GDAP с помощью средства перехода под управлением Майкрософт вы найдете связь с именем MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number). Число гарантирует, что связь уникальна как в клиенте, так и в клиенте клиента. Пример имени связи GDAP: "MLT_12abcd34_56cdef78_90abcd12".
Ознакомьтесь с новыми отношениями GDAP на портале Центра партнеров
На портале Центра партнеров откройте рабочую область клиента и выберите раздел Администратор отношения и выберите клиента.
Здесь вы можете найти роли Microsoft Entra и найти, какие роли Microsoft Entra назначаются группам безопасности агентов Администратор и вспомогательных агентов.
Щелкните стрелку вниз в столбце "Сведения" , чтобы просмотреть роли Microsoft Entra.
Где клиенты будут находить новую связь GDAP, созданную с помощью перехода под руководством Майкрософт на портале Центра Администратор (MAC)?
Клиенты могут найти связь GDAP под руководством Майкрософт в разделе "Отношения партнеров" на вкладке Параметры.
Журналы аудита в клиенте клиента
На следующем снимке экрана показано, как выглядят журналы аудита в клиенте после создания связи GDAP с помощью перехода, управляемого корпорацией Майкрософт:
Как журналы аудита выглядят на портале Центра партнеров для MS Led, созданном связью GDAP?
На следующем снимке экрана показано, как выглядят журналы аудита на портале Центра партнеров после создания связи GDAP с помощью перехода под руководством Майкрософт:
Каковы субъекты-службы Microsoft Entra GDAP, созданные в клиенте клиента?
| Имя. | Application ID |
|---|---|
| Делегированное администрирование клиента-партнера | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Автономный обработчик делегированного администратора партнера | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
| Делегированная Администратор миграция в Центре партнеров | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
В этом контексте "первая сторона" означает, что согласие неявно предоставляется корпорацией Майкрософт во время вызова API, а маркер доступа OAuth 2.0 проверяется на каждом вызове API для принудительного применения роли или разрешений для вызывающего удостоверения для управляемых связей GDAP.
Субъект-служба 283* настраивает политику XTAP "поставщик услуг" и подготавливает разрешения для разрешения истечения срока действия и управления ролями. Только служба GDAP может задать или изменить политики XTAP для поставщиков услуг.
Удостоверение a34* требуется для всего жизненного цикла связи GDAP и автоматически удаляется во время окончания последней связи GDAP. Основное разрешение и функция удостоверения a34* — управление политиками XTAP и назначениями доступа. Администратор клиента не должен пытаться вручную удалить удостоверение a34*. Удостоверение a34* реализует функции для управления доверенным сроком действия и ролью. Рекомендуемый метод для просмотра или удаления существующих связей GDAP осуществляется через портал admin.microsoft.com.
Субъект-служба b39* требуется для утверждения связи GDAP, которая переносится в рамках перехода под руководством Майкрософт. Субъект-служба b39* имеет разрешение на настройку политики XTAP "поставщик услуг" и добавление субъектов-служб в клиенты клиентов только для переноса связей GDAP. Только служба GDAP может задать или изменить политики XTAP для поставщиков услуг.
Политики условного доступа
Корпорация Майкрософт создает новую связь GDAP, даже если у вас есть политика условного доступа. Связь GDAP создается в активном состоянии.
Новая связь GDAP не обходит существующую политику условного доступа, настроенную клиентом. Политика условного доступа продолжается, и партнер по-прежнему имеет аналогичный опыт, как связь DAP.
В некоторых случаях, хотя связь GDAP создается, роли Microsoft Entra не добавляются в группы безопасности с помощью средства перехода под руководством Майкрософт. Как правило, роли Microsoft Entra не добавляются в группы безопасности из-за определенных политик условного доступа, заданных клиентом. В таких случаях обратитесь к клиенту, чтобы завершить настройку. Узнайте, как клиенты могут исключить поставщики служб из политики условного доступа.
Роль глобального читателя, добавленная в GDAP перехода Microsoft Led
Роль "Глобального читателя" была добавлена в MS Led, созданной gDAP в мае после получения отзывов от партнеров в июне 2023 года. Начиная с июля 2023 года все созданные GDAPs MS Led имеют роль глобального читателя, что делает ее девять ролей Microsoft Entra в общей сложности.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по