Vue d’ensemble de l’API GDAP (Granular Delegated Admin Privileges)

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Dans le cadre de l’écosystème de l’Espace partenaires Microsoft, les partenaires Microsoft des programmes Fournisseur de solutions cloud, Revendeur à valeur ajoutée ou Advisor peuvent effectuer des opérations administratives sur leurs locataires clients pour aider à gérer les services du client, par exemple, l’ID Microsoft Entra et Microsoft 365. Cette fonctionnalité permettait aux partenaires d’assumer indéfiniment un rôle d’administrateur général dans le locataire client, ce qui créait des risques potentiels de sécurité et limitait le potentiel du marché.

Les privilèges d’administrateur délégué granulaires (GDAP) fournissent aux partenaires l’accès le moins privilégié à leurs locataires clients en suivant le modèle de cybersécurité Confiance Zéro. Par le biais de GDAP, les partenaires configurent et demandent un accès précis et limité dans le temps aux environnements de leurs clients, et les clients doivent accorder explicitement cet accès aux privilèges minimum aux partenaires. En outre, les partenaires doivent demander des rôles spécifiques pour l’administration du locataire client pendant un laps de temps défini. Ce contrôle élimine la nécessité pour les partenaires d’avoir le rôle Administrateur général dans le locataire de leur client, mais ils disposent désormais d’autorisations privilégiées moins importantes dont ils ont absolument besoin pour les tâches d’administration déléguées.

Pour plus d’informations sur GDAP, consultez :

Flux de travail GDAP

Cycle de vie d’une relation GDAP

Le diagramme suivant montre l’état des transitions de relation Administrateur délégué.

Diagramme de transition de l’état de relation administrateur délégué

  1. Créer delegatedAdminRelationship
  2. Mettre à jour delegatedAdminRelationship
  3. Create delegatedAdminRelationshipRequest (action : lockForApproval)
  4. Create delegatedAdminRelationshipRequest (action : terminate)

Après avoir exécuté l’API Create delegatedAdminRelationshipRequest avec l’action lockForApproval , générez le lien d’invitation client à l’aide du modèle d’URI suivant, où {adminRelationshipID} est l’ID de la demande de relation administrateur.

https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}

Envoyez le lien d’invitation au client pour qu’il approuve la demande GDAP. Par exemple, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 est un lien d’invitation, où 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 est l’ID de demande de relation administrateur. Une fois que le client a approuvé la demande GDAP, la relation GDAP passe à un état actif.

Pour finaliser le flux de travail d’activation de la gestion administrateur au nom de (AOBO) du locataire du client, créez une attribution d’accès pour la relation d’administrateur délégué à l’aide de l’API Create accessAssignments .

Cycle de vie d’une attribution d’accès à une relation GDAP

L’attribution d’accès administrateur délégué passe par les transitions d’état indiquées dans le diagramme suivant.

Diagramme de transition de l’état de l’attribution d’accès administrateur délégué

  1. Créer delegatedAdminAccessAssignment
  2. Supprimer delegatedAdminAccessAssignment

Cas d’usage des API GDAP

Cette section décrit les façons dont les partenaires Microsoft peuvent utiliser les API GDAP pour gérer par programmation les relations d’administration déléguées pour leurs clients.

Relation d’administrateur délégué

Cas d'utilisation API
Créer une relation d’administrateur délégué pour approbation par n’importe quel client
Créer une relation d’administrateur délégué pour approbation par un client spécifique
Créer delegatedAdminRelationship
Répertorier toutes les relations d’administration déléguées d’un partenaire
Répertorier toutes les relations d’administrateur délégué pour un client spécifique
Répertorier delegatedAdminRelationships
Obtenir une relation d’administrateur délégué par ID Obtenir delegatedAdminRelationship
Supprimer la relation d’administrateur délégué Supprimer delegatedAdminRelationship

Demande de relation d’administrateur délégué

Cas d'utilisation API
Créez une demande de relation d’administrateur délégué pour verrouiller une relation en vue de l’approbation du client ou mettre fin à une relation existante. Créer des demandes
Obtenir une demande de relation d’administrateur délégué par ID Get delegatedAdminRelationshipRequest
Répertorier toutes les demandes de relation d’administrateur délégué pour une relation donnée Répertorier les demandes

Attributions de rôle

Cas d'utilisation API
Créer une attribution d’accès administrateur délégué pour une relation d’administrateur délégué Créer des accessAssignments
Répertorier les attributions d’accès pour une relation d’administrateur délégué Répertorier accessAssignments
Obtenir une attribution d’accès à une relation administrateur déléguée par ID Get delegatedAdminAccessAssignment
Supprimer une attribution d’accès d’une relation d’administrateur délégué Supprimer delegatedAdminAccessAssignment
Mettre à jour les attributions de rôles pour une attribution d’accès de relation administrateur déléguée Mettre à jour delegatedAdminAccessAssignment

Opérations de longue durée

Cas d'utilisation API
Répertorier toutes les opérations de longue durée d’une relation d’administrateur délégué Répertorier les opérations
Obtenir une opération longue d’une relation d’administrateur délégué Get delegatedAdminRelationshipOperation

Clients administrateurs délégués

Cas d'utilisation API
Répertorier tous les clients administrateurs délégués Répertorier delegatedAdminCustomers
Obtenir un seul client administrateur délégué par ID Get delegatedAdminCustomer
Obtenir les détails de la gestion des services pour un client administrateur délégué Répertorier serviceManagementDetails

Autorisations

Pour gérer les relations d’administrateur délégué, le principal appelant doit se trouver dans le locataire partenaire et disposer des autorisations d’administrateur délégués granulaires appropriées.

Confiance Zéro

Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance Zéro :

  • Vérifiez explicitement.
  • Utiliser le privilège minimum
  • Supposez une violation.

Pour en savoir plus sur la Confiance Zéro et d’autres façons d’aligner votre organisation sur les principes directeurs, consultez le Centre d’aide confiance zéro.