Introduction aux privilèges d’administrateur délégué granulaires (GDAP)

Rôles appropriés : tous les partenaires intéressés dans l’Espace partenaires

Les fonctionnalités GDAP permettent aux partenaires de contrôler l’accès aux charges de travail de leurs clients afin de mieux répondre à leurs préoccupations en matière de sécurité. Les partenaires peuvent offrir davantage de services aux clients qui peuvent être mal à l’aise avec les niveaux actuels d’accès aux partenaires. Ils peuvent également offrir des services aux clients qui ont des besoins réglementaires qui nécessitent un accès au moins privilégié aux partenaires.

Qu’est-ce que GDAP dans l’Espace partenaires ?

GDAP est une fonctionnalité de sécurité qui fournit aux partenaires un accès au moins privilégié après le protocole de cybersécurité Confiance Zéro. Ainsi, les partenaires peuvent configurer un accès granulaire et limité dans le temps aux charges de travail de leurs clients dans des environnements de production et de bac à sable (sandbox). Cet accès au moins privilégié doit être explicitement accordé aux partenaires par leurs clients.

L’accès des partenaires peut être partitionné par client. Avec GDAP, les partenaires n’ont plus accès à tous les locataires clients dans les abonnements Azure par le biais d’agents d’administration par défaut. Au lieu de cela, les partenaires gérant Azure font partie d’un groupe de sécurité distinct, qui est membre du groupe d’agents d’administration. Ce groupe accorde l’accès au contrôle d’accès en fonction du rôle (RBAC) du propriétaire sur tous les abonnements Azure pour ce client.

Image du diagramme GDAP.

Les partenaires gérant Azure ne reçoivent plus le rôle Administrateur général sur le locataire de leur client, mais reçoivent plutôt des autorisations inférieures pour lire un annuaire client par défaut.

Les partenaires peuvent passer de DAP à GDAP et éventuellement supprimer le DAP (Administrateur général) sur le locataire des clients sans effet sur le crédit partenaires (PEC).