Freigeben über


Übersicht über differenzierte delegierte Administratorrechte (GDAP)

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Als Teil des Microsoft Partner Center-Ökosystems können Microsoft-Partner im Cloud Solution Provider-, Value Added Reseller- oder Advisor-Programm administrative Vorgänge für ihre Kundenmandanten durchführen, um die Dienste des Kunden zu verwalten, z. B. Microsoft Entra ID und Microsoft 365. Diese Funktion ermöglichte es Partnern bisher, auf unbestimmte Zeit eine globale Administratorrolle im Kundenmandanten zu übernehmen, wodurch potenzielle Sicherheitsrisiken entstehen und das Marktpotenzial begrenzt wurde.

Differenzierte delegierte Administratorrechte (GDAP) bieten Partnern nach dem Zero Trust-Cybersicherheitsmodell zugriff auf ihre Kundenmandanten mit den geringsten Berechtigungen. Über GDAP konfigurieren und fordern Partner präzisen und zeitgebundenen Zugriff auf die Umgebungen ihrer Kunden an, und Kunden müssen diesen Zugriff mit den geringsten Rechten explizit partnern gewähren. Darüber hinaus müssen Partner bestimmte Rollen für die Verwaltung von Kundenmandanten für einen bestimmten Zeitraum anfordern. Durch diese Kontrolle müssen Partner nicht mehr über die Rolle "Globaler Administrator" im Mandanten ihres Kunden verfügen. Stattdessen verfügen sie jetzt über weniger privilegierte Berechtigungen, die sie für delegierte Verwaltungsaufgaben unbedingt benötigen.

Weitere Informationen zu GDAP finden Sie unter:

GDAP-Workflow

Lebenszyklus einer GDAP-Beziehung

Das folgende Diagramm zeigt den Status der Delegierten Administratorbeziehungsübergänge.

Diagramm zum Status des Status einer delegierten Administratorbeziehung

  1. Erstellen von delegatedAdminRelationship
  2. Aktualisieren von delegatedAdminRelationship
  3. Create delegatedAdminRelationshipRequest (action: lockForApproval)
  4. Erstellen von delegatedAdminRelationshipRequest (Aktion: terminate)

Nachdem Sie die CREATE delegatedAdminRelationshipRequest-API mit der lockForApproval-Aktion ausgeführt haben , erstellen Sie den Link zur Kundeneinladung mithilfe der folgenden URI-Vorlage, wobei {adminRelationshipID} die ID der Administratorbeziehungsanforderung ist.

https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}

Senden Sie den Einladungslink an den Kunden, damit er die GDAP-Anforderung genehmigt. Beispielsweise https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 ist ein Einladungslink, wobei 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 die Anforderungs-ID der Administratorbeziehung ist. Nachdem der Kunde die GDAP-Anforderung genehmigt hat, wechselt die GDAP-Beziehung in einen aktiven Zustand.

Um den Workflow zum Aktivieren des Administrators im Namen der Mandantenverwaltung (AOBO) des Kunden abzuschließen, erstellen Sie mithilfe der API accessAssignments erstellen eine neue Zugriffszuweisung für die delegierte Administratorbeziehung.

Lebenszyklus einer GDAP-Beziehungszugriffszuweisung

Die Zuweisung des delegierten Administratorzugriffs durchläuft die im folgenden Diagramm dargestellten Statusübergänge.

Diagramm zum Übergang zum Status der Zuweisung des delegierten Administrators

  1. Erstellen von delegatedAdminAccessAssignment
  2. DelegatedAdminAccessAssignment löschen

Anwendungsfälle für GDAP-APIs

In diesem Abschnitt wird beschrieben, wie Microsoft-Partner die GDAP-APIs verwenden können, um delegierte Administratorbeziehungen für ihre Kunden programmgesteuert zu verwalten.

Delegierte Administratorbeziehung

Anwendungsfälle APIs
Erstellen einer neuen delegierten Administratorbeziehung zur Genehmigung durch einen beliebigen Kunden
Erstellen einer neuen delegierten Administratorbeziehung zur Genehmigung durch einen bestimmten Kunden
Erstellen von delegatedAdminRelationship
Auflisten aller delegierten Administratorbeziehungen eines Partners
Auflisten aller delegierten Administratorbeziehungen für einen bestimmten Kunden
DelegatedAdminRelationships auflisten
Abrufen einer delegierten Administratorbeziehung nach ID Get delegatedAdminRelationship
Löschen einer delegierten Administratorbeziehung DelegatedAdminRelationship löschen

Delegierte Administratorbeziehungsanforderung

Anwendungsfälle APIs
Erstellen Sie eine Delegierte Administratorbeziehungsanforderung, um eine Beziehung zur Genehmigung durch den Kunden zu sperren oder eine vorhandene Beziehung zu beenden. Anforderungen erstellen
Abrufen einer Delegierten Administratorbeziehungsanforderung nach ID Abrufen von delegatedAdminRelationshipRequest
Auflisten aller Delegierten Administratorbeziehungsanforderungen für eine bestimmte Beziehung Auflisten von Anforderungen

Rollenzuweisungen

Anwendungsfälle APIs
Erstellen einer neuen delegierten Administratorzugriffszuweisung für eine delegierte Administratorbeziehung Erstellen von accessAssignments
Auflisten von Zugriffszuweisungen für eine delegierte Administratorbeziehung AccessAssignments auflisten
Abrufen der Zugriffszuweisung einer delegierten Administratorbeziehung nach ID Get delegatedAdminAccessAssignment
Löschen einer Zugriffszuweisung einer delegierten Administratorbeziehung DelegatedAdminAccessAssignment löschen
Aktualisieren von Rollenzuweisungen für eine Zugriffszuweisung für eine delegierte Administratorbeziehung Aktualisieren von delegatedAdminAccessAssignment

Vorgänge mit langer Ausführungsdauer

Anwendungsfälle APIs
Auflisten aller zeitintensiven Vorgänge einer delegierten Administratorbeziehung Vorgänge auflisten
Abrufen eines zeitintensiven Vorgangs einer delegierten Administratorbeziehung Get delegatedAdminRelationshipOperation

Kunden mit delegiertem Administrator

Anwendungsfälle APIs
Auflisten aller Delegierten Administratorkunden DelegatedAdminCustomers auflisten
Abrufen eines einzelnen delegierten Administratorkunden nach ID Get delegatedAdminCustomer
Abrufen von Dienstverwaltungsdetails für einen delegierten Administratorkunden Auflisten von serviceManagementDetails

Berechtigungen

Zum Verwalten delegierter Administratorbeziehungen muss sich der aufrufende Prinzipal im Partnermandanten befinden und die entsprechenden differenzierten delegierten Administratorberechtigungen erhalten.

Zero Trust

Dieses Feature hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:

  • Explizit verifizieren
  • Verwenden der geringsten Rechte
  • Gehe von einem Verstoß aus

Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.