Übersicht über differenzierte delegierte Administratorrechte (GDAP)
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta
Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Als Teil des Microsoft Partner Center-Ökosystems können Microsoft-Partner im Cloud Solution Provider-, Value Added Reseller- oder Advisor-Programm administrative Vorgänge für ihre Kundenmandanten durchführen, um die Dienste des Kunden zu verwalten, z. B. Microsoft Entra ID und Microsoft 365. Diese Funktion ermöglichte es Partnern bisher, auf unbestimmte Zeit eine globale Administratorrolle im Kundenmandanten zu übernehmen, wodurch potenzielle Sicherheitsrisiken entstehen und das Marktpotenzial begrenzt wurde.
Differenzierte delegierte Administratorrechte (GDAP) bieten Partnern nach dem Zero Trust-Cybersicherheitsmodell zugriff auf ihre Kundenmandanten mit den geringsten Berechtigungen. Über GDAP konfigurieren und fordern Partner präzisen und zeitgebundenen Zugriff auf die Umgebungen ihrer Kunden an, und Kunden müssen diesen Zugriff mit den geringsten Rechten explizit partnern gewähren. Darüber hinaus müssen Partner bestimmte Rollen für die Verwaltung von Kundenmandanten für einen bestimmten Zeitraum anfordern. Durch diese Kontrolle müssen Partner nicht mehr über die Rolle "Globaler Administrator" im Mandanten ihres Kunden verfügen. Stattdessen verfügen sie jetzt über weniger privilegierte Berechtigungen, die sie für delegierte Verwaltungsaufgaben unbedingt benötigen.
Weitere Informationen zu GDAP finden Sie unter:
- Einführung in granulare delegierte Administratorrechte (GDAP)
- Rollen mit den geringsten Rechten nach Aufgabe
GDAP-Workflow
Lebenszyklus einer GDAP-Beziehung
Das folgende Diagramm zeigt den Status der Delegierten Administratorbeziehungsübergänge.
- Erstellen von delegatedAdminRelationship
- Aktualisieren von delegatedAdminRelationship
- Create delegatedAdminRelationshipRequest (action: lockForApproval)
- Erstellen von delegatedAdminRelationshipRequest (Aktion: terminate)
Nachdem Sie die CREATE delegatedAdminRelationshipRequest-API mit der lockForApproval-Aktion ausgeführt haben , erstellen Sie den Link zur Kundeneinladung mithilfe der folgenden URI-Vorlage, wobei {adminRelationshipID} die ID der Administratorbeziehungsanforderung ist.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Senden Sie den Einladungslink an den Kunden, damit er die GDAP-Anforderung genehmigt. Beispielsweise https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836
ist ein Einladungslink, wobei 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836
die Anforderungs-ID der Administratorbeziehung ist. Nachdem der Kunde die GDAP-Anforderung genehmigt hat, wechselt die GDAP-Beziehung in einen aktiven Zustand.
Um den Workflow zum Aktivieren des Administrators im Namen der Mandantenverwaltung (AOBO) des Kunden abzuschließen, erstellen Sie mithilfe der API accessAssignments erstellen eine neue Zugriffszuweisung für die delegierte Administratorbeziehung.
Lebenszyklus einer GDAP-Beziehungszugriffszuweisung
Die Zuweisung des delegierten Administratorzugriffs durchläuft die im folgenden Diagramm dargestellten Statusübergänge.
Anwendungsfälle für GDAP-APIs
In diesem Abschnitt wird beschrieben, wie Microsoft-Partner die GDAP-APIs verwenden können, um delegierte Administratorbeziehungen für ihre Kunden programmgesteuert zu verwalten.
Delegierte Administratorbeziehung
Anwendungsfälle | APIs |
---|---|
Erstellen einer neuen delegierten Administratorbeziehung zur Genehmigung durch einen beliebigen Kunden Erstellen einer neuen delegierten Administratorbeziehung zur Genehmigung durch einen bestimmten Kunden |
Erstellen von delegatedAdminRelationship |
Auflisten aller delegierten Administratorbeziehungen eines Partners Auflisten aller delegierten Administratorbeziehungen für einen bestimmten Kunden |
DelegatedAdminRelationships auflisten |
Abrufen einer delegierten Administratorbeziehung nach ID | Get delegatedAdminRelationship |
Löschen einer delegierten Administratorbeziehung | DelegatedAdminRelationship löschen |
Delegierte Administratorbeziehungsanforderung
Anwendungsfälle | APIs |
---|---|
Erstellen Sie eine Delegierte Administratorbeziehungsanforderung, um eine Beziehung zur Genehmigung durch den Kunden zu sperren oder eine vorhandene Beziehung zu beenden. | Anforderungen erstellen |
Abrufen einer Delegierten Administratorbeziehungsanforderung nach ID | Abrufen von delegatedAdminRelationshipRequest |
Auflisten aller Delegierten Administratorbeziehungsanforderungen für eine bestimmte Beziehung | Auflisten von Anforderungen |
Rollenzuweisungen
Anwendungsfälle | APIs |
---|---|
Erstellen einer neuen delegierten Administratorzugriffszuweisung für eine delegierte Administratorbeziehung | Erstellen von accessAssignments |
Auflisten von Zugriffszuweisungen für eine delegierte Administratorbeziehung | AccessAssignments auflisten |
Abrufen der Zugriffszuweisung einer delegierten Administratorbeziehung nach ID | Get delegatedAdminAccessAssignment |
Löschen einer Zugriffszuweisung einer delegierten Administratorbeziehung | DelegatedAdminAccessAssignment löschen |
Aktualisieren von Rollenzuweisungen für eine Zugriffszuweisung für eine delegierte Administratorbeziehung | Aktualisieren von delegatedAdminAccessAssignment |
Vorgänge mit langer Ausführungsdauer
Anwendungsfälle | APIs |
---|---|
Auflisten aller zeitintensiven Vorgänge einer delegierten Administratorbeziehung | Vorgänge auflisten |
Abrufen eines zeitintensiven Vorgangs einer delegierten Administratorbeziehung | Get delegatedAdminRelationshipOperation |
Kunden mit delegiertem Administrator
Anwendungsfälle | APIs |
---|---|
Auflisten aller Delegierten Administratorkunden | DelegatedAdminCustomers auflisten |
Abrufen eines einzelnen delegierten Administratorkunden nach ID | Get delegatedAdminCustomer |
Abrufen von Dienstverwaltungsdetails für einen delegierten Administratorkunden | Auflisten von serviceManagementDetails |
Berechtigungen
Zum Verwalten delegierter Administratorbeziehungen muss sich der aufrufende Prinzipal im Partnermandanten befinden und die entsprechenden differenzierten delegierten Administratorberechtigungen erhalten.
Zero Trust
Dieses Feature hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.