Общие сведения об API детализированных делегированных прав администратора (GDAP)
Пространство имен: microsoft.graph
Важно!
API версии /beta
в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
В рамках экосистемы Центра партнеров Майкрософт партнеры Майкрософт в программах "Поставщик облачных решений", "Дополнительный торговый посредник" или "Помощник" могут выполнять административные операции со своими клиентами для управления службами клиентов, например Microsoft Entra ID и Microsoft 365. Ранее эта возможность позволяла партнерам принимать на себя роль глобального администратора в клиенте клиента на неопределенный срок, создавая потенциальные риски безопасности и ограничивая рыночный потенциал.
Детализированные делегированные права администратора (GDAP) предоставляют партнерам минимальный привилегированный доступ к клиентам клиентов в соответствии с моделью кибербезопасности "Никому не доверяй". Через GDAP партнеры настраивают и запрашивают детализированный и ограниченный по времени доступ к средам своих клиентов, и клиенты должны явно предоставить партнерам этот доступ с наименьшими привилегиями. Кроме того, партнеры должны запрашивать определенные роли для администрирования клиента в течение определенного периода времени. Этот элемент управления устраняет необходимость в том, чтобы партнеры имели роль глобального администратора в клиенте клиента, но теперь у них меньше привилегированных разрешений, которые им абсолютно необходимы для делегированных административных задач.
Дополнительные сведения о GDAP см. в разделе:
- Общие сведения о детализированных делегированных правах администратора (GDAP)
- Роли с наименьшими привилегиями по задачам
Рабочий процесс GDAP
Жизненный цикл связи GDAP
На следующей схеме показано состояние переходов отношений делегированного администратора.
- Создание delegatedAdminRelationship
- Обновление delegatedAdminRelationship
- Создание delegatedAdminRelationshipRequest (действие: lockForApproval)
- Create delegatedAdminRelationshipRequest (action: terminate)
После запуска API Create delegatedAdminRelationshipRequest с действиемlockForApproval создайте ссылку на приглашение клиента с помощью следующего шаблона URI, где {adminRelationshipID} — это идентификатор запроса на связь с администратором.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Отправьте клиенту ссылку на приглашение, чтобы он утвердил запрос GDAP. Например, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836
— это ссылка с приглашением, где 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836
— идентификатор запроса связи с администратором. После утверждения клиентом запроса GDAP отношение GDAP перейдет в активное состояние.
Чтобы завершить рабочий процесс включения администратора от имени (AOBO) управления клиентом клиента, создайте новое назначение доступа для отношений делегированного администратора с помощью API Create accessAssignments .
Жизненный цикл назначения доступа к связи GDAP
Назначение делегированного административного доступа проходит через переходы состояния, показанные на следующей схеме.
Варианты использования API GDAP
В этом разделе описаны способы, которыми партнеры Майкрософт могут использовать API GDAP для программного управления делегированными отношениями администратора для своих клиентов.
Отношение делегированного администратора
Варианты использования | Интерфейсы API |
---|---|
Создание новых отношений делегированного администратора для утверждения любым клиентом Создание нового отношения делегированного администратора для утверждения конкретным клиентом |
Создание delegatedAdminRelationship |
Список всех делегированных отношений администратора партнера Список всех делегированных отношений администратора для конкретного клиента |
Перечисление делегированныхАдминреляций |
Получение отношения делегированного администратора по идентификатору | Получение delegatedAdminRelationship |
Удаление отношения делегированного администратора | Удаление delegatedAdminRelationship |
Запрос отношений делегированного администратора
Варианты использования | Интерфейсы API |
---|---|
Создайте запрос на отношения делегированного администратора, чтобы заблокировать связь для утверждения клиентом или прекратить существующее отношение. | Создание запросов |
Получение запроса на отношения делегированного администратора по идентификатору | Получение delegatedAdminRelationshipRequest |
Перечисление всех запросов делегированных отношений администратора для данной связи | Перечисление запросов |
Назначения ролей
Варианты использования | Интерфейсы API |
---|---|
Создание нового назначения делегированного доступа администратора для отношений делегированного администратора | Создание accessAssignments |
Перечисление назначений доступа для отношений делегированного администратора | Вывод списка accessAssignments |
Получение назначения доступа к делегированным отношениям администратора по идентификатору | Получение делегированногоAdminAccessAssignment |
Удаление назначения доступа для отношения делегированного администратора | Удаление delegatedAdminAccessAssignment |
Обновление назначений ролей для назначения доступа к делегированным отношениям администратора | Обновление delegatedAdminAccessAssignment |
Длительные операции
Варианты использования | Интерфейсы API |
---|---|
Список всех длительных операций делегированного отношения администратора | Операции со списком |
Получение длительной операции делегированного отношения администратора | Получение delegatedAdminRelationshipOperation |
Клиенты с делегированным администратором
Варианты использования | Интерфейсы API |
---|---|
Список всех клиентов делегированных администраторов | Список делегированныхадминистраторов |
Получение одного клиента делегированного администратора по идентификатору | Получение delegatedAdminCustomer |
Получение сведений об управлении службой для клиента с делегированным администратором | Перечисление serviceManagementDetails |
Разрешения
Для управления отношениями делегированного администратора вызывающий субъект должен находиться в клиенте партнера и иметь соответствующие детализированные делегированные разрешения администратора.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".