Microsoft 主导的从 DAP 到 GDAP 的转换
相应的角色:对合作伙伴中心感兴趣的所有用户
Microsoft正在协助尚未开始从委派访问协议(DAP)过渡到精细委派访问协议(GDAP)的 Jumpstart 合作伙伴。 此帮助帮助合作伙伴通过转向使用安全最佳做法的帐户(包括使用限时、最低权限安全合同)来降低安全风险。
Microsoft主导的转换的工作原理
- Microsoft自动创建具有 8 个默认角色的 GDAP 关系。
- 角色会自动分配给预定义云解决方案提供商(CSP)安全组。
- 30 天后,将删除 DAP。
计划
Microsoft于 2023 年 5 月 22 日开始执行 DAP 到 GDAP 过渡。 6月有停电期。 过渡将于7月后恢复。
谁有资格进行Microsoft主导的过渡?
下表显示了概要摘要:
| 已启用 DAP | GDAP 关系存在 | 处于“挂起审批”状态的 GDAP 关系 | GDAP 关系已终止/已过期 | Microsoft主导的过渡资格 |
|---|---|---|---|---|
| 是 | 否 | 空值 | 空值 | 是 |
| 是 | 是 | 否 | No | No |
| 是 | 是 | 是 | 否 | 否† |
| 是 | 是 | No | 是 | 否† |
| 否 | 是 | 否 | 否 | 否† |
| 否 | No | No | 是 | 否 |
如果已创建 GDAP 关系,则Microsoft不会在Microsoft主导的转换过程中创建 GDAP 关系。 相反,DAP 关系将在 2023 年 7 月删除。
在以下任一方案中,你可能有资格成为Microsoft主导的转换的一部分:
- 你创建了 GDAP 关系,并且该关系处于 挂起的审批 状态。 此关系将在三个月后清除。
- † 如果创建了 GDAP 关系,则可能符合条件,但 GDAP 关系已过期。 资格取决于关系已过期的时间:
- 如果关系在 365 天前过期,则不会创建新的 GDAP 关系。
- 如果关系过期超过 365 天,则删除该关系。
Microsoft主导的过渡后,客户是否会中断?
合作伙伴及其业务是独一无二的。 通过Microsoft主导的转换工具创建 GDAP 关系后,GDAP 优先于 DAP。
Microsoft建议合作伙伴测试并创建新关系,这些关系与Microsoft主导的转换工具中缺少的必需角色。 根据用例和业务需求创建与角色的 GDAP 关系,以确保从 DAP 顺利过渡到 GDAP。
使用Microsoft主导的转换工具创建 GDAP 关系时,Microsoft分配哪些Microsoft Entra 角色?
- 目录读取器:可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限。
- 目录编写器:可以读取和写入基本目录信息。 通常用于授予对应用程序的访问权限。 此角色不适用于用户。
- 全局读取者:可以读取全局管理员可以但不能更新的所有内容。
- 许可证管理员:可以管理用户和组上的产品许可证。
- 服务支持管理员:可以读取服务运行状况信息并管理支持票证。
- 用户管理员:可以管理用户和组的所有方面,包括重置受限管理员的密码。
- 特权角色管理员:可以在 Privileged Identity Management(PIM)的 Microsoft Entra ID 和所有方面管理角色分配。
- 支持管理员:可以为非管理员管理员和支持管理员重置密码。
- 特权身份验证管理员:可以访问、查看、设置和重置任何用户的身份验证方法信息(管理员或非管理员)。
哪些Microsoft Entra 角色会在Microsoft主导的转换过程中自动分配给哪些预定义 CSP 安全组?
管理员代理安全组:
- 目录读取器:可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限。
- 目录编写器:可以读取和写入基本目录信息;用于授予对应用程序的访问权限,不适用于用户。
- 全局读取者:可以读取全局管理员可以但不能更新的所有内容。
- 许可证管理员:可以管理用户和组上的产品许可证。
- 用户管理员:可以管理用户和组的所有方面,包括重置受限管理员的密码。
- 特权角色管理员:可以在 Privileged Identity Management(PIM)的 Microsoft Entra ID 和所有方面管理角色分配。
- 特权身份验证管理员:可以访问、查看、设置和重置任何用户的身份验证方法信息(管理员或非管理员)。
- 服务支持管理员:可以读取服务运行状况信息并管理支持票证。
- 支持管理员:可以为非管理员管理员和支持管理员重置密码。
支持人员代理安全组:
- 服务支持管理员:可以读取服务运行状况信息并管理支持票证。
- 支持管理员:可以为非管理员管理员和支持管理员重置密码。
新的 GDAP 关系有多长?
在Microsoft主导的过渡期间创建的 GDAP 关系为期一年。
客户是否会知道何时Microsoft在 DAP 到 GDAP 转换或删除 DAP 时创建新的 GDAP 关系?
否。 作为 GDAP 转换的一部分,通常会转到客户的所有电子邮件都将被禁止。
如何知道何时Microsoft在 DAP 到 GDAP 转换过程中创建新关系?
在Microsoft主导转换期间创建新的 GDAP 关系时,合作伙伴不会收到通知。 在转换期间,我们禁止使用这些类型的通知,因为为每个更改发送电子邮件可能会创建大量电子邮件。 可以检查审核日志,以查看何时创建了新的 GDAP 关系。
选择退出Microsoft主导的转换
若要选择退出此转换,可以创建 GDAP 关系,或删除现有的 DAP 关系。
何时会删除 DAP 关系?
创建 GDAP 关系三十天后,Microsoft将删除 DAP 关系。 如果已创建 GDAP 关系,Microsoft在 2023 年 7 月删除相应的 DAP 关系。
在Microsoft引导转换后访问Azure 门户
如果合作伙伴用户是管理员代理安全组的一部分,或者该用户是嵌套在管理员代理安全组(Microsoft推荐最佳做法)中的安全组(例如 Azure Manager)的一部分,则合作伙伴用户能够使用最低特权目录读取者角色访问Azure 门户。 目录读取者角色是Microsoft主导转换工具创建的 GDAP 关系的默认角色之一。 此角色自动分配给管理员代理安全组,作为从 DAP 到 GDAP Microsoft引导的转换的一部分。
| 场景 | 已启用 DAP | GDAP 关系存在 | 用户分配的管理员代理角色 | 已将用户添加到具有管理员代理成员身份的安全组 | 目录读取者角色自动分配给管理员代理安全组 | 用户可以访问 Azure 订阅 |
|---|---|---|---|---|---|---|
| 1 | 是 | 是 | No | 是 | 是 | 是 |
| 2 | 否 | 是 | No | 是 | 是 | 是 |
| 3 | 否 | 是 | 是 | 是 | 是 | 是 |
对于用户分配的管理员代理角色为“否”的方案 1 和 2,合作伙伴用户成员身份在成为管理员代理安全组(SG)的一部分后将更改为“管理员代理”角色。 此行为不是直接成员身份,而是作为管理员代理 SG 的一部分或嵌套在管理员代理 SG 下的安全组派生的。
在Microsoft主导的转换之后,新合作伙伴用户如何获得Azure 门户的访问权限?
有关 Azure 最佳做法,请参阅 精细委派管理员权限(GDAP) 支持的工作负荷。 还可以重新配置现有合作伙伴用户的安全组,以遵循建议的流:
查看新的 GDAP 关系
使用Microsoft主导的转换工具创建新的 GDAP 关系时,你将找到与名称 MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number)的关系。 该数字可确保该关系在租户和客户租户中都是唯一的。 示例 GDAP 关系名称:“MLT_12abcd34_56cdef78_90abcd12”。
在合作伙伴中心门户中查看新的 GDAP 关系
在合作伙伴中心门户中,打开 “客户 ”工作区,然后选择“ 管理关系 ”部分,然后选择客户。
在此处,可以找到Microsoft Entra 角色,并找到分配给管理员代理和支持代理安全组Microsoft Entra 角色。
选择“ 详细信息 ”列中的向下箭头以查看Microsoft Entra 角色。
客户会在Microsoft管理中心(MAC)门户中找到通过Microsoft主导的转换创建的新 GDAP 关系?
客户可以在“设置”选项卡中的“合作伙伴关系”部分找到Microsoft主导的 GDAP 关系。
客户租户中的审核日志
以下屏幕截图显示了客户租户中的审核日志在通过Microsoft主导的转换创建 GDAP 关系后的外观:
审核日志在合作伙伴中心门户中如何查找 MS Led 创建的 GDAP 关系?
以下屏幕截图显示了合作伙伴中心门户中的审核日志在通过Microsoft主导的转换创建 GDAP 关系后的外观:
在客户的租户中创建的 Microsoft Entra GDAP 服务主体是什么?
| 名称 | 应用程序 ID |
|---|---|
| 合作伙伴客户委托管理 | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| 合作伙伴客户委托的脱机管理员处理器 | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
| 合作伙伴中心委派管理员迁移 | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
在此上下文中,“第一方”是指在 API 调用时通过Microsoft隐式提供同意,并且每次 API 调用上都会验证 OAuth 2.0 访问令牌,以强制实施对托管 GDAP 关系的调用标识的角色或权限。
283* 服务主体设置 XTAP“服务提供商”策略,并准备允许过期和角色管理的权限。 只有 GDAP SP 可以设置或修改服务提供商的 XTAP 策略。
GDAP 关系整个生命周期都需要 a34* 标识,并在最后一个 GDAP 关系结束时自动删除。 a34* 标识的主要权限和功能是管理 XTAP 策略和访问分配。 客户管理员不应尝试手动删除 a34* 标识。 a34* 标识实现受信任的过期和角色管理的函数。 客户查看或删除现有 GDAP 关系的建议方法是通过 admin.microsoft.com 门户。
b39* 服务主体需要批准作为Microsoft主导转换的一部分迁移的 GDAP 关系。 b39* 服务主体有权设置 XTAP“服务提供商”策略,并在客户租户中添加服务主体,以便仅迁移 GDAP 关系。 只有 GDAP SP 可以设置或修改服务提供商的 XTAP 策略。
条件性访问策略
Microsoft创建新的 GDAP 关系,即使已设置条件访问策略。 GDAP 关系以活动状态创建。
新的 GDAP 关系不会绕过客户设置的现有条件访问策略。 条件访问策略将继续,合作伙伴将继续具有与 DAP 关系类似的体验。
在某些情况下,尽管创建了 GDAP 关系,但Microsoft Entra 角色不会通过Microsoft主导的转换工具添加到安全组。 通常,由于客户设置的某些条件访问策略,Microsoft Entra 角色不会添加到安全组。 在这种情况下,请与客户协作完成设置。 查看客户 如何从条件访问策略中排除 CSP。
添加到 Microsoft Led 转换 GDAP 的全局读取者角色
2023 年 6 月收到合作伙伴反馈后,“全局读者”角色已添加到 MS Led 创建 GDAP。 从 2023 年 7 月开始,所有 MS Led 创建的 GDAP 都有全局读取者角色,使其成为总共 9 个Microsoft Entra 角色。