Вопросы и ответы о миграции GDAP для клиентов
Соответствующие роли: все пользователи, заинтересованные в Центре партнеров
Детализированные делегированные разрешения администратора (GDAP) предоставляют партнерам доступ к рабочим нагрузкам своих клиентов таким образом, что более детализировано и привязано к времени, что может помочь решить проблемы безопасности клиентов.
С помощью GDAP партнеры могут предоставлять клиентам больше услуг, которые могут быть неудобны с высоким уровнем доступа к партнеру.
GDAP также помогает клиентам, у которых есть нормативные требования, предоставить наименее привилегированный доступ к партнерам.
Что такое делегированные права администрирования (DAP)?
Делегированные права администрирования (DAP) позволяют партнеру управлять службой или подпиской клиента от их имени.
Дополнительные сведения см. в разделе "Делегированные права администрирования".
Когда поставщик служб CSP предоставил разрешения DAP клиенту клиентов?
- Когда поставщик служб CSP настраивает новую связь с клиентом, устанавливается делегированная привилегия администратора (DAP).
- Когда партнер запрашивает отношения торгового посредника, существует возможность установить DAP, отправив приглашение клиенту. Клиент должен принять запрос.
Может ли клиент отозвать доступ DAP к своему клиенту?
Да, любой стороной, поставщиком услуг или клиентом, может отменить доступ DAP.
Почему корпорация Майкрософт отставает делегированные административные привилегии (DAP)?
DAP подвержен атакам безопасности из-за его долголетия и высокого привилегированного доступа.
Дополнительные сведения см. в статье NOBELIUM, предназначенная для делегированных административных привилегий для упрощения более широких атак.
Что такое GDAP?
Детализация делегированных административных привилегий (GDAP) — это функция безопасности, которая предоставляет партнерам наименее привилегированный доступ после протокола кибербезопасности Zero Trust. Это позволяет партнерам настраивать детализированный и ограниченный по времени доступ к рабочим нагрузкам своих клиентов в рабочей среде и среде песочницы. Этот наименее привилегированный доступ должен быть явно предоставлен партнерам своим клиентам.
Дополнительные сведения см. в статье о встроенных ролях Microsoft Entra.
Как работает GDAP?
GDAP использует функцию Microsoft Entra с именем Кросстенантная политика доступа (иногда называемая обзором доступа между клиентами XTAP), выравнивая модели безопасности партнеров CSP и клиентов с моделью удостоверений Майкрософт. Когда выполняется запрос на связь GDAP, от партнера CSP к клиенту, он содержит одну или несколько встроенных ролей Microsoft Entra и ограниченный временем доступ, измеряемый в днях (от 1 до 730). Когда клиент принимает запрос, политика XTAP записывается в клиент клиента, предоставляя согласие на ограниченные роли и определенное время, запрошенное партнером CSP.
Партнер CSP может запрашивать несколько связей GDAP, каждый из которых имеет свои ограниченные роли и определенный промежуток времени, добавив большую гибкость, чем предыдущая связь DAP.
Что такое средство массовой миграции GDAP?
Средство массовой миграции GDAP предоставляет партнерам CSP средства для перемещения активного доступа DAP к GDAP и удаления устаревших разрешений DAP. Активный DAP определяется как любая связь CSP или Customer DAP, которая в настоящее время установлена. Партнеры CSP не могут запрашивать уровень доступа больше, чем то, что было установлено с DAP.
Дополнительные сведения см. в статье GDAP с часто задаваемыми вопросами.
Будет ли запуск средства массовой миграции GDAP привести к добавлению нового субъекта-службы в качестве корпоративного приложения в клиенте клиента?
Да, средство массовой миграции GDAP использует функцию DAP для авторизации новой связи GDAP. При первом принятии отношения GDAP есть два участника-службы Майкрософт, которые вступают в игру в клиенте клиента.
Каковы два субъекта-службы Microsoft Entra GDAP, созданные в клиенте клиента?
| Имя. | Application ID |
|---|---|
| Делегированное администрирование клиента-партнера | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| Автономный обработчик делегированного администратора партнера | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
В этом контексте "первая сторона" означает, что согласие неявно предоставляется корпорацией Майкрософт во время вызова API и OAuth 2.0 Access Token проверяется на каждом вызове API для принудительного применения роли или разрешений для вызывающего удостоверения для управляемых связей GDAP.
Субъект-служба 283* требуется во время принятия отношения GDAP. Субъект-служба 283* настраивает политику XTAP "поставщик услуг" и подготавливает разрешения для разрешения истечения срока действия и управления ролями. Только служба GDAP может задать или изменить политики XTAP для поставщиков услуг.
Удостоверение a34* требуется для всего жизненного цикла связи GDAP и будет автоматически удалено во время окончания последней связи GDAP. Основное разрешение и функция удостоверения a34* — управление политиками XTAP и назначениями доступа. Администратор клиента не должен пытаться вручную удалить удостоверение a34*. Удостоверение a34* реализует функции для управления доверенным сроком действия и ролью. Рекомендуемый метод для просмотра или удаления существующих связей GDAP осуществляется через портал admin.microsoft.com .
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по