擴展細緻的委派管理員權限
適當的角色:管理代理
合作夥伴可以識別已過期或即將到期的細微委派系統管理員許可權 (GDAP) 關聯性,並自動延長許可權。
先決條件
若要管理 GDAP Autoextend,您必須:
- 擁有角色:管理員代理
使用篩選識別過期的細微關聯性
使用篩選來尋找過期或即將在不同的時間範圍內到期的 GDAP 關聯性。
- 合作夥伴系統管理員代理程式可以在 30 天內、7 天、1 天和 30 天后檢視作用中的 GDAP 到期。 他們也可以檢視過去一年內到期的 GDAP。
- 即將過期 GDAP 關係的區塊(前四個)代表活躍 GDAP 和 GDAP 關係的數量與百分比。 過期的磁磚(最末磁磚)代表整體 GDAP 的數量和百分比。
- 每個圖格都代表整體 GDAP 的計數和百分比。
- 每個區塊會作為篩選器來表示,僅顯示對應的 GDAP。
- 使用 搜尋功能 以客戶名稱或管理員關係名稱進行搜尋。
- 使用 [下載] 選項來下載 GDAP。
注意
您無法還原過期的 GDAP,或啟用它們。
管理 GDAP 自動擴充
合作夥伴現在可以選取一或多個 GDAP(最多 25 個)來啟用或停用自動擴充。 當您針對 GDAP 啟用自動擴充時,自動擴充的持續時間會設定為是(Yes,六個月)。 具有自動擴充的 GDAP 不會在 GDAP 的最後一天到期。 它會自動向前推進六個月,因此合作夥伴不需要要求新的 GDAP、取得客戶同意或執行存取權指派。 針對 GDAP 停用 Autoextend 時,合作夥伴會在到期前 30 天、7 天和 1 天收到通知。
合作夥伴可以選取 GDAP,然後選擇 [ 啟用自動擴充 ] 以開啟自動擴充。
合作夥伴可以選取 GDAP,然後選擇 停用自動擴充 以關閉自動擴充。
合作夥伴可以一次選取多個 GDAP,以啟用或停用自動擴充。
不要使用全域管理員自動擴充 GDAP
若要配合零信任和最低許可權存取,您無法自動擴充具有 全域管理員Microsoft Entra 角色的 GDAP。
- 具有全域管理員角色的 GDAP 在 自動延長持續時間欄中顯示 NA。
拿掉全域管理員角色
合作夥伴可以使用具有全域管理員的新篩選器 來顯示具有全域管理員 角色的 GDAP。
使用下列步驟從 GDAP 移除全域管理員角色。
選取一或多個 GDAP 角色。 [移除全域管理員角色] 按鈕會啟動。
選取 [ 移除全域管理員角色]。
移除全域管理員角色後,相應的管理員關係就有資格 自動延展。
已移除與全域管理員角色相關聯的存取指派。![[過期細微關聯性] 頁面的螢幕快照。[移除全域管理員角色] 按鈕會高亮顯示。](../media/expiring-gdap-relationships/remove-granular-relationships.png)
![[過期細微關聯性] 頁面的螢幕快照。[移除全域管理員角色] 按鈕會高亮顯示。](../media/expiring-gdap-relationships/remove-granular-relationships.png#lightbox)
相關內容
- 依工作設置的最小權限角色
- 到期通知
- 如何結束關係 - 給合作夥伴
- 如何終止關係 — 適用於客戶