Descrição geral da API de privilégios de administrador delegados granulares (GDAP)
Namespace: microsoft.graph
Como parte do ecossistema do Centro de Parceiros da Microsoft, os parceiros da Microsoft nos programas Fornecedor de Soluções Cloud, Revendedor de Valor Acrescentado ou Assistente podem realizar operações administrativas nos inquilinos dos clientes para ajudar a gerir os serviços do cliente, por exemplo, o Microsoft Entra e o Microsoft 365. Esta capacidade permitia anteriormente que os parceiros assumissem uma função de Administrador Global no inquilino do cliente indefinidamente, criando potenciais exposições de segurança e limitando o potencial de mercado.
Os privilégios de administrador delegados granulares (GDAP) fornecem aos parceiros acesso com menos privilégios aos inquilinos dos clientes, seguindo o modelo de cibersegurança Confiança Zero. Através do GDAP, os parceiros configuram e pedem acesso granular e vinculado ao tempo aos ambientes dos clientes e os clientes têm de conceder explicitamente este acesso menos privilegiado aos parceiros. Além disso, os parceiros têm de pedir funções específicas para a administração de inquilinos do cliente durante um período de tempo definido. Este controlo elimina a necessidade de os parceiros terem a função de Administrador Global no inquilino do cliente, mas, em vez disso, têm agora permissões com privilégios menores de que precisam absolutamente para tarefas administrativas delegadas.
Para obter mais informações sobre o GDAP, consulte:
- Introdução aos privilégios de administrador delegado granulares (GDAP)
- Funções com menos privilégios por tarefa
Fluxo de trabalho GDAP
Ciclo de vida de uma relação GDAP
O diagrama seguinte mostra o estado das transições de relações de Administrador Delegado.
- Criar delegatedAdminRelationship
- Atualizar delegatedAdminRelationship
- Criar delegatedAdminRelationshipRequest (ação: lockForApproval)
- Criar delegatedAdminRelationshipRequest (ação: terminar)
Depois de executar a API Create delegatedAdminRelationshipRequest com a
lockForApprovalação, crie a ligação de convite do cliente com o seguinte modelo de URI, em que {adminRelationshipID} é o ID do pedido de relação de administrador.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Envie a ligação de convite ao cliente para que este aprove o pedido GDAP. Por exemplo, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 é uma ligação de convite, onde 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 está o ID do pedido de relação de administrador. Depois de o cliente aprovar o pedido GDAP, a relação GDAP passará para um estado ativo.
Para finalizar o fluxo de trabalho para ativar o administrador em nome da gestão (AOBO) do inquilino do cliente, crie uma nova atribuição de acesso para a relação de administrador delegado com a API Create accessAssignments .
Ciclo de vida de uma atribuição de acesso a relações GDAP
A atribuição de acesso de administrador delegado passa pelas transições de estado apresentadas no diagrama seguinte.
Casos de utilização para APIs GDAP
Esta secção descreve as formas como os parceiros da Microsoft podem utilizar as APIs GDAP para gerir programaticamente relações de administrador delegado para os seus clientes.
Relação de administrador delegado
| Casos de uso | APIs |
|---|---|
| Criar uma nova relação de administrador delegado para aprovação por qualquer cliente Criar uma nova relação de administrador delegado para aprovação por um cliente específico |
Criar delegatedAdminRelationship |
| Listar todas as relações de administrador delegadas de um parceiro Listar todas as relações de administrador delegadas para um cliente específico |
Listar delegatedAdminRelationships |
| Obter uma relação de administrador delegado por ID | Obter delegatedAdminRelationship |
| Eliminar a relação de administrador delegado | Eliminar delegatedAdminRelationship |
Pedido de relação de administrador delegado
| Casos de uso | APIs |
|---|---|
| Crie um pedido de relação de administrador delegado para bloquear uma relação para aprovação do cliente ou terminar uma relação existente. | Criar solicitações |
| Obter um pedido de relação de administrador delegado por ID | Obter delegatedAdminRelationshipRequest |
| Listar todos os pedidos de relação de administrador delegados para uma determinada relação | Listar pedidos |
Atribuições de função
| Casos de uso | APIs |
|---|---|
| Criar nova atribuição de acesso de administrador delegado para uma relação de administrador delegado | Criar accessAssignments |
| Listar atribuições de acesso para uma relação de administrador delegado | Listar accessAssignments |
| Obter uma atribuição de acesso de relação de administrador delegada por ID | Obter delegatedAdminAccessAssignment |
| Eliminar uma atribuição de acesso de uma relação de administrador delegado | Eliminar delegatedAdminAccessAssignment |
| Atualizar atribuições de funções para uma atribuição de acesso de relação de administrador delegada | Atualizar delegatedAdminAccessAssignment |
Operações de execução prolongada
| Casos de uso | APIs |
|---|---|
| Listar todas as operações de execução prolongada de uma relação de administrador delegado | Listar operações |
| Obter uma operação de execução prolongada de uma relação de administrador delegado | Obter delegatedAdminRelationshipOperation |
Clientes administradores delegados
| Casos de uso | APIs |
|---|---|
| Listar todos os clientes administradores delegados | Lista delegatedAdminCustomers |
| Obter um único cliente de administrador delegado por ID | Obter delegatedAdminCustomer |
| Obter detalhes de gestão de serviços para um cliente administrador delegado | Listar serviceManagementDetails |
Permissões
Para gerir relações de administrador delegado, o principal de chamada tem de estar no inquilino do parceiro e ser-lhe-ão concedidas as permissões de privilégios de administrador delegado granulares adequados.
Confiança Zero
Esta funcionalidade ajuda as organizações a alinhar as respetivas identidades com os três princípios de orientação de uma arquitetura de Confiança Zero:
- Verificar explicitamente
- Utilizar menos privilégios
- Assumir violação
Para saber mais sobre a Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação de Confiança Zero.