Introducción a la API de privilegios de administrador delegados granulares (GDAP)
Espacio de nombres: microsoft.graph
Como parte del ecosistema del Centro de partners de Microsoft, los asociados de Microsoft en los programas Proveedor de soluciones en la nube, Revendedor de valor agregado o Advisor pueden realizar operaciones administrativas en sus inquilinos de clientes para ayudar a administrar los servicios del cliente, por ejemplo, Microsoft Entra y Microsoft 365. Esta funcionalidad permitía anteriormente a los asociados asumir un rol de administrador global en el inquilino del cliente indefinidamente, lo que creaba posibles exposiciones de seguridad y limitaba el potencial del mercado.
Los privilegios de administrador delegados pormenorizadas (GDAP) proporcionan a los asociados acceso con privilegios mínimos a sus inquilinos de cliente siguiendo el modelo de ciberseguridad confianza cero. A través de GDAP, los asociados configuran y solicitan acceso granular y con límite de tiempo a los entornos de sus clientes, y los clientes deben conceder explícitamente este acceso con privilegios mínimos a los asociados. Además, los asociados deben solicitar roles específicos para la administración de inquilinos del cliente durante un período de tiempo definido. Este control elimina la necesidad de que los asociados tengan el rol de administrador global en el inquilino de su cliente, pero, en su lugar, ahora tienen permisos con menos privilegios que necesitan absolutamente para las tareas administrativas delegadas.
Para obtener más información sobre GDAP, consulte:
- Introducción a los privilegios de administrador delegados pormenorizadas (GDAP)
- Roles con privilegios mínimos por tarea
Flujo de trabajo de GDAP
Ciclo de vida de una relación GDAP
En el diagrama siguiente se muestra el estado de las transiciones de la relación de administrador delegado.
- Creación de delegatedAdminRelationship
- Actualización de delegatedAdminRelationship
- Crear delegatedAdminRelationshipRequest (acción: lockForApproval)
- Creación de delegatedAdminRelationshipRequest (acción: finalizar)
Después de ejecutar la API Create delegatedAdminRelationshipRequest con la
lockForApprovalacción, compile el vínculo de invitación del cliente mediante la siguiente plantilla de URI, donde {adminRelationshipID} es el identificador de la solicitud de relación de administrador.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Envíe el vínculo de invitación al cliente para que apruebe la solicitud de GDAP. Por ejemplo, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 es un vínculo de invitación, donde 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 es el identificador de solicitud de relación de administrador. Una vez que el cliente apruebe la solicitud GDAP, la relación GDAP pasará a un estado activo.
Para finalizar el flujo de trabajo para habilitar la administración en nombre de (AOBO) del inquilino del cliente, cree una nueva asignación de acceso para la relación de administración delegada mediante la API Create accessAssignments .
Ciclo de vida de una asignación de acceso de relación GDAP
La asignación de acceso de administrador delegado pasa por las transiciones de estado que se muestran en el diagrama siguiente.
Casos de uso de las API de GDAP
En esta sección se describen las formas en que los asociados de Microsoft pueden usar las API de GDAP para administrar mediante programación las relaciones de administrador delegado para sus clientes.
Relación de administrador delegado
| Casos de uso | API |
|---|---|
| Creación de una nueva relación de administrador delegado para su aprobación por parte de cualquier cliente Creación de una nueva relación de administrador delegado para su aprobación por parte de un cliente específico |
Creación de delegatedAdminRelationship |
| Enumerar todas las relaciones de administrador delegado de un asociado Enumerar todas las relaciones de administración delegadas para un cliente específico |
Enumerar delegadoAdminRelationships |
| Obtención de una relación de administrador delegado por identificador | Obtener delegadoAdminRelationship |
| Eliminar relación de administrador delegado | Eliminación de delegatedAdminRelationship |
Solicitud de relación de administración delegada
| Casos de uso | API |
|---|---|
| Cree una solicitud de relación de administración delegada para bloquear una relación para la aprobación del cliente o finalizar una relación existente. | Crear solicitudes |
| Obtención de una solicitud de relación de administrador delegado por identificador | Get delegatedAdminRelationshipRequest |
| Enumerar todas las solicitudes de relación de administrador delegado para una relación determinada | Enumerar solicitudes |
Asignaciones de roles
| Casos de uso | API |
|---|---|
| Creación de una nueva asignación de acceso de administrador delegado para una relación de administrador delegado | Creación de accessAssignments |
| Enumeración de asignaciones de acceso para una relación de administración delegada | Enumeración de accessAssignments |
| Obtención de una asignación de acceso de relación de administrador delegado por identificador | Obtener delegadoAdminAccessAssignment |
| Eliminación de una asignación de acceso de una relación de administrador delegado | Eliminación de delegatedAdminAccessAssignment |
| Actualización de asignaciones de roles para una asignación de acceso de relación de administración delegada | Actualizar delegatedAdminAccessAssignment |
Operaciones de larga duración
| Casos de uso | API |
|---|---|
| Enumerar todas las operaciones de larga duración de una relación de administrador delegado | Operaciones de lista |
| Obtener una operación de larga duración de una relación de administrador delegado | Get delegatedAdminRelationshipOperation |
Clientes administradores delegados
| Casos de uso | API |
|---|---|
| Enumerar todos los clientes de administración delegados | Enumerar delegadoAdminCustomers |
| Obtención de un único cliente administrador delegado por identificador | Get delegatedAdminCustomer |
| Obtener detalles de administración de servicios para un cliente administrador delegado | Enumerar serviceManagementDetails |
Permissions
Para administrar las relaciones de administrador delegado, la entidad de seguridad que realiza la llamada debe estar en el inquilino del asociado y tener los permisos de administrador delegados pormenorizados adecuados.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de confianza cero.