(GDAP) API 的精细委派管理员权限概述

命名空间:microsoft.graph

作为Microsoft合作伙伴中心生态系统的一部分,云解决方案提供商、增值经销商或顾问计划中的Microsoft合作伙伴可以对其客户租户执行管理操作,以帮助管理客户的服务,例如,Microsoft Entra和Microsoft 365。 此功能以前允许合作伙伴无限期地在客户租户中担任全局管理员角色,从而造成潜在的安全风险并限制市场潜力。

根据零信任网络安全模型 (GDAP) 向合作伙伴提供对其客户租户的最低特权访问权限。 通过 GDAP,合作伙伴配置并请求对其客户环境的粒度和有时间限制的访问权限,并且客户必须显式授予对合作伙伴的这种最低特权访问权限。 此外,合作伙伴必须在一定时间内请求客户租户管理的特定角色。 此控制使合作伙伴无需在其客户的租户中拥有全局管理员角色,而是现在拥有的特权权限较低,而他们绝对需要委派管理任务的权限。

有关 GDAP 的详细信息,请参阅:

GDAP 工作流

GDAP 关系的生命周期

下图显示了委托管理员关系转换的状态。

委托管理员关系状态转换关系图

  1. 创建 delegatedAdminRelationship
  2. 更新 delegatedAdminRelationship
  3. 创建 delegatedAdminRelationshipRequest (操作:lockForApproval)
  4. 创建 delegatedAdminRelationshipRequest (操作:终止)

使用lockForApproval操作运行 Create delegatedAdminRelationshipRequest API 后,使用以下 URI 模板生成客户邀请链接,其中 {adminRelationshipID} 是管理员关系请求的 ID。

https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}

将邀请链接发送给客户,让他们批准 GDAP 请求。 例如, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 是邀请链接,其中 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 是管理员关系请求 ID。 客户批准 GDAP 请求后,GDAP 关系将转换为活动状态。

若要完成代表 (AOBO) 管理客户租户启用管理员的工作流,请使用 创建 accessAssignments API 为委派的管理员关系创建新的访问分配。

GDAP 关系访问分配的生命周期

委派的管理员访问权限分配将经历下图所示的状态转换。

委派管理员访问权限分配状态转换关系图

  1. 创建 delegatedAdminAccessAssignment
  2. 删除 delegatedAdminAccessAssignment

GDAP API 的用例

本部分介绍Microsoft合作伙伴如何使用 GDAP API 以编程方式管理其客户的委派管理员关系。

委派的管理员关系

用例 API
创建新的委派管理员关系以供任何客户批准
创建新的委派管理员关系以供特定客户批准
创建 delegatedAdminRelationship
列出合作伙伴的所有委派管理员关系
列出特定客户的所有委派管理员关系
列出 delegatedAdminRelationships
按 ID 获取委派的管理员关系 获取 delegatedAdminRelationship
删除委派的管理员关系 删除 delegatedAdminRelationship

委派的管理员关系请求

用例 API
创建委托的管理员关系请求,以锁定关系以供客户批准或终止现有关系。 创建请求
按 ID 获取委派的管理员关系请求 获取 delegatedAdminRelationshipRequest
列出给定关系的所有委托管理员关系请求 列出请求

角色分配

用例 API
为委派的管理员关系创建新的委派管理员访问权限分配 创建 accessAssignments
列出委派管理员关系的访问权限分配 列出 accessAssignments
按 ID 获取委派的管理员关系访问权限分配 获取 delegatedAdminAccessAssignment
删除委派管理员关系的访问权限分配 删除 delegatedAdminAccessAssignment
更新委派的管理员关系访问分配的角色分配 更新 delegatedAdminAccessAssignment

长时间运行的操作

用例 API
列出委托的管理员关系的所有长时间运行操作 列举操作
获取委托的管理员关系的长时间运行操作 获取 delegatedAdminRelationshipOperation

委派的管理员客户

用例 API
列出所有委派的管理员客户 List delegatedAdminCustomers
按 ID 获取单个委派的管理员客户 获取 delegatedAdminCustomer
获取委派管理员客户的服务管理详细信息 列出 serviceManagementDetails

权限

若要管理委派的管理员关系,调用主体必须位于合作伙伴租户中,并被授予相应的 精细委派管理员权限

零信任

此功能可帮助组织使其租户与零信任体系结构的三个指导原则保持一致:

  • 显式验证
  • 使用最低特权
  • 假定漏洞

若要详细了解零信任和其他使组织符合指导原则的方法,请参阅零信任指导中心