(GDAP) API 的精细委派管理员权限概述
命名空间:microsoft.graph
作为Microsoft合作伙伴中心生态系统的一部分,云解决方案提供商、增值经销商或顾问计划中的Microsoft合作伙伴可以对其客户租户执行管理操作,以帮助管理客户的服务,例如,Microsoft Entra 和 Microsoft 365。 此功能以前允许合作伙伴无限期地在客户租户中担任全局管理员角色,从而造成潜在的安全风险并限制市场潜力。
根据零信任网络安全模型, (GDAP) 向合作伙伴提供对其客户租户的最低特权访问权限。 通过 GDAP,合作伙伴配置并请求对其客户环境的粒度和有时间限制的访问权限,并且客户必须显式授予对合作伙伴的这种最低特权访问权限。 此外,合作伙伴必须在一定时间内请求客户租户管理的特定角色。 此控制使合作伙伴无需在其客户的租户中拥有全局管理员角色,而是现在拥有的特权权限较低,而他们绝对需要委派管理任务的权限。
有关 GDAP 的详细信息,请参阅:
GDAP 工作流
GDAP 关系的生命周期
下图显示了委托的管理员关系转换的状态。
- 创建 delegatedAdminRelationship
- 更新 delegatedAdminRelationship
- 创建 delegatedAdminRelationshipRequest (操作:lockForApproval)
- 创建 delegatedAdminRelationshipRequest (操作:终止)
使用
lockForApproval操作运行 Create delegatedAdminRelationshipRequest API 后,使用以下 URI 模板生成客户邀请链接,其中 {adminRelationshipID} 是管理员关系请求的 ID。
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
将邀请链接发送给客户,让他们批准 GDAP 请求。 例如, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 是邀请链接,其中 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 是管理员关系请求 ID。 客户批准 GDAP 请求后,GDAP 关系将转换为活动状态。
若要完成代表 (AOBO) 管理客户租户启用管理员的工作流,请使用 创建 accessAssignments API 为委派的管理员关系创建新的访问分配。
GDAP 关系访问分配的生命周期
委派的管理员访问权限分配将经历下图所示的状态转换。
GDAP API 的用例
本部分介绍Microsoft合作伙伴如何使用 GDAP API 以编程方式管理其客户的委派管理员关系。
委派的管理员关系
| 用例 | API |
|---|---|
| 创建新的委派管理员关系以供任何客户批准 创建新的委派管理员关系以供特定客户批准 |
创建 delegatedAdminRelationship |
| 列出合作伙伴的所有委派管理员关系 列出特定客户的所有委派管理员关系 |
列出 delegatedAdminRelationships |
| 按 ID 获取委派的管理员关系 | 获取 delegatedAdminRelationship |
| 删除委派的管理员关系 | 删除 delegatedAdminRelationship |
委派的管理员关系请求
| 用例 | API |
|---|---|
| 创建委托的管理员关系请求,以锁定关系以供客户批准或终止现有关系。 | 创建请求 |
| 按 ID 获取委派的管理员关系请求 | 获取 delegatedAdminRelationshipRequest |
| 列出给定关系的所有委托管理员关系请求 | 列出请求 |
角色分配
| 用例 | API |
|---|---|
| 为委派的管理员关系创建新的委派管理员访问权限分配 | 创建 accessAssignments |
| 列出委派管理员关系的访问权限分配 | 列出 accessAssignments |
| 按 ID 获取委派的管理员关系访问权限分配 | 获取 delegatedAdminAccessAssignment |
| 删除委派管理员关系的访问权限分配 | 删除 delegatedAdminAccessAssignment |
| 更新委派的管理员关系访问分配的角色分配 | 更新 delegatedAdminAccessAssignment |
长时间运行的操作
| 用例 | API |
|---|---|
| 列出委托的管理员关系的所有长时间运行操作 | 列举操作 |
| 获取委托的管理员关系的长时间运行操作 | 获取 delegatedAdminRelationshipOperation |
委派的管理员客户
| 用例 | API |
|---|---|
| 列出所有委派的管理员客户 | List delegatedAdminCustomers |
| 按 ID 获取单个委派的管理员客户 | 获取 delegatedAdminCustomer |
| 获取委派管理员客户的服务管理详细信息 | 列出 serviceManagementDetails |
权限
若要管理委派的管理员关系,调用主体必须位于合作伙伴租户中,并被授予相应的 精细委派管理员权限。
零信任
此功能可帮助组织将其 标识 与零信任体系结构的三个指导原则保持一致:
- 显式验证
- 使用最低特权
- 假定漏洞
若要详细了解零信任以及使组织符合指导原则的其他方法,请参阅 零信任指导中心。