延长精细委派管理员权限
相应的角色:管理员代理
合作伙伴可以识别已过期或即将过期的精细委派管理员权限(GDAP)关系,并自动扩展权限。
先决条件
若要管理 GDAP 自动扩展,必须:
- 具有角色: 管理员代理
使用筛选器标识过期的精细关系
使用筛选器在不同时间范围内查找过期或即将过期的 GDAP 关系。
- 合作伙伴管理员代理可查看将在 30 天内、7 天内、1 天内,以及超过 30 天后过期的活动 GDAP。 他们还可查看在过去一年内过期的 GDAP。
- 将要过期的 GDAP 关系磁贴(前四个)表示活动 GDAP 和 GDAP 关系的计数和百分比。 过期的磁贴(最后一个磁贴)表示总体 GDAP 的计数和百分比。
- 每个磁贴表示总体 GDAP 的计数和百分比。
- 每个磁贴被表示为一个筛选器,只显示相应的 GDAP。
- 使用 搜索 按客户名称、管理员关系名称进行搜索。
- 使用“下载”选项来下载 GDAP。
注意
无法还原过期的 GDAP 或使其处于活动状态。
管理 GDAP 自动扩展
合作伙伴现在可以选择一个或多个 GDA(最多 25 个),以启用或禁用自动扩展。 针对 GDAP 启用“自动延期”时,“自动延长持续时间”设置为“是”(6 个月)。 自动扩展的 GDAP 不会在 GDAP 的最后一天过期。 它将延长六个月,因此合作伙伴无需请求新的 GDAP、获取客户同意或执行权限分配。 当针对 GDAP 禁用 Autoextend 时,合作伙伴会在过期前 30 天、7 天和 1 天收到通知。
合作伙伴可以选择 GDAP,然后选择“ 启用自动扩展 ”以启用自动扩展。
合作伙伴可选择一个 GDAP 并选择“禁用自动延期”以关闭自动延期。
合作伙伴可以一次选择多个 GDA,以启用或禁用自动扩展。
请勿使用全局管理员自动延长 GDAP
若要与零信任和最小特权访问保持一致,不能自动延长具有 Microsoft Entra 角色“全局管理员”的 GDAP。
- 具有“全局管理员”角色的 GDAP 在列“自动延长持续时间”下显示“NA”。
删除全局管理员角色
合作伙伴可以使用具有全局管理员的新筛选器 来显示具有全局管理员 角色的 GDAP。
使用以下步骤从 GDAP 中删除全局管理员角色。
选择一个或多个 GDAP 角色。 “删除全局管理员角色”按钮激活。
选择“ 删除全局管理员角色”。
删除“全局管理员”角色后,相应的管理员关系就有资格进行“自动延期”。
删除与全局管理员角色关联的访问分配。
