Übersicht über differenzierte delegierte Administratorrechte (GDAP)
Namespace: microsoft.graph
Als Teil des Microsoft Partner Center-Ökosystems können Microsoft-Partner im Cloud Solution Provider-, Value Added Reseller- oder Advisor-Programm administrative Vorgänge auf ihren Kundenmandanten durchführen, um die Verwaltung der Dienste des Kunden zu unterstützen, z. B. Microsoft Entra und Microsoft 365. Diese Funktion ermöglichte es Partnern bisher, auf unbestimmte Zeit eine globale Administratorrolle im Kundenmandanten zu übernehmen, wodurch potenzielle Sicherheitsrisiken entstehen und das Marktpotenzial begrenzt wurde.
Differenzierte delegierte Administratorrechte (GDAP) bieten Partnern nach dem Zero Trust-Cybersicherheitsmodell zugriff auf ihre Kundenmandanten mit den geringsten Berechtigungen. Über GDAP konfigurieren und fordern Partner präzisen und zeitgebundenen Zugriff auf die Umgebungen ihrer Kunden an, und Kunden müssen diesen Zugriff mit den geringsten Rechten explizit partnern gewähren. Darüber hinaus müssen Partner bestimmte Rollen für die Verwaltung von Kundenmandanten für einen bestimmten Zeitraum anfordern. Durch diese Kontrolle müssen Partner nicht mehr über die Rolle "Globaler Administrator" im Mandanten ihres Kunden verfügen. Stattdessen verfügen sie jetzt über weniger privilegierte Berechtigungen, die sie für delegierte Verwaltungsaufgaben unbedingt benötigen.
Weitere Informationen zu GDAP finden Sie unter:
- Einführung in granulare delegierte Administratorrechte (GDAP)
- Rollen mit den geringsten Rechten nach Aufgabe
GDAP-Workflow
Lebenszyklus einer GDAP-Beziehung
Das folgende Diagramm zeigt den Status der Delegierten Administratorbeziehungsübergänge.
- Erstellen von delegatedAdminRelationship
- Aktualisieren von delegatedAdminRelationship
- Create delegatedAdminRelationshipRequest (action: lockForApproval)
- Erstellen von delegatedAdminRelationshipRequest (Aktion: terminate)
Nachdem Sie die API delegierteAdminRelationshipRequest erstellen mit der
lockForApprovalAktion ausgeführt haben, erstellen Sie den Kundeneinladungslink mithilfe der folgenden URI-Vorlage, wobei {adminRelationshipID} die ID der Administratorbeziehungsanforderung ist.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Senden Sie den Einladungslink an den Kunden, damit er die GDAP-Anforderung genehmigt. Beispielsweise https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 ist ein Einladungslink, wobei 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 die Anforderungs-ID der Administratorbeziehung ist. Nachdem der Kunde die GDAP-Anforderung genehmigt hat, wechselt die GDAP-Beziehung in einen aktiven Zustand.
Um den Workflow zum Aktivieren des Administrators im Namen der Mandantenverwaltung (AOBO) des Kunden abzuschließen, erstellen Sie mithilfe der API accessAssignments erstellen eine neue Zugriffszuweisung für die delegierte Administratorbeziehung.
Lebenszyklus einer GDAP-Beziehungszugriffszuweisung
Die Zuweisung des delegierten Administratorzugriffs durchläuft die im folgenden Diagramm dargestellten Statusübergänge.
Anwendungsfälle für GDAP-APIs
In diesem Abschnitt wird beschrieben, wie Microsoft-Partner die GDAP-APIs verwenden können, um delegierte Administratorbeziehungen für ihre Kunden programmgesteuert zu verwalten.
Delegierte Administratorbeziehung
| Anwendungsfälle | APIs |
|---|---|
| Erstellen einer neuen delegierten Administratorbeziehung zur Genehmigung durch einen beliebigen Kunden Erstellen einer neuen delegierten Administratorbeziehung zur Genehmigung durch einen bestimmten Kunden |
Erstellen von delegatedAdminRelationship |
| Auflisten aller delegierten Administratorbeziehungen eines Partners Auflisten aller delegierten Administratorbeziehungen für einen bestimmten Kunden |
DelegatedAdminRelationships auflisten |
| Abrufen einer delegierten Administratorbeziehung nach ID | Get delegatedAdminRelationship |
| Löschen einer delegierten Administratorbeziehung | DelegatedAdminRelationship löschen |
Delegierte Administratorbeziehungsanforderung
| Anwendungsfälle | APIs |
|---|---|
| Erstellen Sie eine Delegierte Administratorbeziehungsanforderung, um eine Beziehung zur Genehmigung durch den Kunden zu sperren oder eine vorhandene Beziehung zu beenden. | Anforderungen erstellen |
| Abrufen einer Delegierten Administratorbeziehungsanforderung nach ID | Abrufen von delegatedAdminRelationshipRequest |
| Auflisten aller Delegierten Administratorbeziehungsanforderungen für eine bestimmte Beziehung | Auflisten von Anforderungen |
Rollenzuweisungen
| Anwendungsfälle | APIs |
|---|---|
| Erstellen einer neuen delegierten Administratorzugriffszuweisung für eine delegierte Administratorbeziehung | Erstellen von accessAssignments |
| Auflisten von Zugriffszuweisungen für eine delegierte Administratorbeziehung | AccessAssignments auflisten |
| Abrufen der Zugriffszuweisung einer delegierten Administratorbeziehung nach ID | Get delegatedAdminAccessAssignment |
| Löschen einer Zugriffszuweisung einer delegierten Administratorbeziehung | DelegatedAdminAccessAssignment löschen |
| Aktualisieren von Rollenzuweisungen für eine Zugriffszuweisung für eine delegierte Administratorbeziehung | Aktualisieren von delegatedAdminAccessAssignment |
Vorgänge mit langer Ausführungsdauer
| Anwendungsfälle | APIs |
|---|---|
| Auflisten aller zeitintensiven Vorgänge einer delegierten Administratorbeziehung | Vorgänge auflisten |
| Abrufen eines zeitintensiven Vorgangs einer delegierten Administratorbeziehung | Get delegatedAdminRelationshipOperation |
Kunden mit delegiertem Administrator
| Anwendungsfälle | APIs |
|---|---|
| Auflisten aller Delegierten Administratorkunden | DelegatedAdminCustomers auflisten |
| Abrufen eines einzelnen delegierten Administratorkunden nach ID | Get delegatedAdminCustomer |
| Abrufen von Dienstverwaltungsdetails für einen delegierten Administratorkunden | Auflisten von serviceManagementDetails |
Berechtigungen
Zum Verwalten delegierter Administratorbeziehungen muss sich der aufrufende Prinzipal im Partnermandanten befinden und die entsprechenden differenzierten delegierten Administratorberechtigungen erhalten.
Zero Trust
Dieses Feature hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.