Introdução aos privilégios de administrador delegado granular (GDAP)

Funções apropriadas: todos os parceiros interessados no Partner Center

Os recursos GDAP permitem que os parceiros controlem o acesso às cargas de trabalho de seus clientes para atender melhor às suas preocupações de segurança. Os parceiros podem oferecer mais serviços aos clientes que podem se sentir desconfortáveis com os níveis atuais de acesso ao parceiro. Eles também podem oferecer serviços a clientes que têm necessidades regulatórias que exigem acesso menos privilegiado a parceiros.

O que é GDAP no Partner Center?

O GDAP é um recurso de segurança que fornece aos parceiros acesso com privilégios mínimos seguindo o protocolo de segurança cibernética Zero Trust. Ele permite que os parceiros configurem acesso granular e com limite de tempo às cargas de trabalho dos clientes em ambientes de produção e de área restrita. Esse acesso com privilégios mínimos precisa ser explicitamente concedido aos parceiros por seus clientes.

O acesso dos parceiros pode ser particionado por cliente. Com o GDAP, os parceiros não têm mais acesso a todos os locatários do cliente em assinaturas do Azure por meio de agentes administradores por padrão. Em vez disso, os parceiros que gerenciam o Azure fazem parte de um grupo de segurança separado, que é membro do grupo de agentes de administração. Esse grupo concede ao proprietário acesso RBAC (controle de acesso baseado em função) em todas as assinaturas do Azure para esse cliente.

Imagem do diagrama GDAP.

Os parceiros que gerenciam o Azure não recebem mais a função de Administrador Global no locatário do cliente, mas recebem permissões mais baixas para ler um diretório de clientes por padrão.

Os parceiros podem fazer a transição do DAP para o GDAP e, eventualmente, remover o DAP (Global Admin) no locatário dos clientes sem qualquer efeito no crédito ganho pelo parceiro (PEC).