Zakladatel společnosti Innovative Business, která se zabývá smysluplným využitím technologií pro podnikání. Mimo jiné provozuje tento portál Bestonline.cz nabízející osvědčené cloudové technologie. Dále portál Business Robots pronajímající softwarové roboty a službu Robolytix pro optimalizaci firemních procesů.
Aktualizováno: 24.3.2022, Vytvořeno: 23.3.2022 | V kategorii: Návody
Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP
Klientské účty Microsoft 365 jejich správci zabezpečují směrem k uživatelům, konkrétním přístupovým rolím skupin i jednotlivců. Ale co doposud nemohli udělat je nastavit přesné role pro přístup svých dodavatelů licencí Microsoft, tedy distributora a prodejce. Jedinou volbou byla doposud možnost udělit partnerské organizaci přístup formou "vzdálené správy", která jeho zaměstnancům umožnila pohybovat se v účtu klienta prakticky na úrovni role globálního správce. Microsoft nyní přichází s inovovanou verzí této služby, která umožňuje Správcům mít pod kontrolou i detailní role přístupů poskytovaných svým partnerům. Přináší to samozřejmě potřebu rozhodování o úrovních přístupu a opakování této procedury každé 2 roky (minimálně). Celkově ovšem výhody zabezpečení jednoznačně převažují nad dalším nastavením, se kterým se budete muset jako správci vypořádat.
DAP (Delegated Admin Privileges) je vzdálená správa klientského účtu Microsoft 365, díky které zvolený partner může přistupovat do účtu klienta a na jeho pokyn poskytovat (téměř) všechny služby správce. Výhodou je, že klient nepotřebuje znalosti nutné pro administrátorské úkony. Nevýhodou je zde samozřejmě nutná naprostá důvěra k partnerovi a jeho dodržování bezpečnostních pravidel. svých partnerů a potencionálně mohou být napadeni prostřednictvím jeho zaměstnanců, kteří mají přístup ke správě klientů.
GDAP (Granular Delegated Admin Privileges) je vylepšená verze vzdálené správy poskytující model detailní zásady oprávnění pro řízení přístupu. Základní změny jsou následující:
Staré DAP
Nové GDAP
Úroveň přístupu / bezpečnostní role
Globální správce a správce HelpDesku Microsoft
Volitelná
Doba trvání partnerství
Neomezená
Volitelná (max 2 roky)
Pozvánka od partnera
Stejná pro všechny klienty
Jedinečná podle dohody s konkrétním klientem
Přiřazení skupiny zabezpečení
NE
ANO
Záznamy o činnostech (logy)
NE
ANO
Přístup do Centra zabezpečení a shody
NE
ANO
Podpora správy privilegovaných identit (PIM)
NE
ANO
Novinky v GDAP podrobněji:
Úroveň přístupu / bezpečnostní role umožňuje vybrat v rámci Azure AD z následujících:
Spolupráce
Editor vyhledávání
Obchodní vedoucí Insights
Specialista podpory komunikace v Teams
Správa znalostí
Správce aplikací Office
Správce Azure DevOps
Správce Cloud App Security
Správce Dynamics 365
Správce Exchange
Správce Identity Governance
Správce Insights
Správce Kaizala
Správce komunikace Teams
Správce nasazení služby Windows Update
Správce Power BI
Správce Power Platform
Správce příjemců Exchange
Správce SharePointu
Správce skupin
Správce Skypu pro firmy
Správce sítě
Správce Teams
Správce vyhledávání
Správce zařízení Teams
Správce znalostí
Technik podpory komunikace v Teams
Zařízení
Místní správce zařízení připojeného do Azure AD
Správce cloudových zařízení
Správce Desktop Analytics
Správce Intune
Správce tiskáren
Technik tiskárny
Globální
Globální správce
Identita
Odesílatel pozvánek hostům
Privilegovaný správce ověřování
Správce aplikací
Správce cloudových aplikací
Správce externího zprostředkovatele identit
Správce hesel
Správce hybridních identit
Správce licencí
Správce ověřování
Správce podmíněného přístupu
Správce privilegovaných rolí
Správce technické podpory
Správce uživatelů
Vývojář aplikací
Jiné
Správce fakturace
Správce názvu domény
Správce podpory služeb
Jen pro čtení
Globální čtenář
Uživatelé s oprávněním ke čtení adresářů
Čtenář Centra zpráv
Čtenář ochrany osobních údajů Centra zpráv
Čtenář sestav
Čtenář souhrnných sestav o využití
Čtenář zabezpečení
Zabezpečení a dodržování předpisů
Autor datové části útoku
Operátor zabezpečení
Schvalovatel přístupu ke Customer LockBoxu
Správce dat dodržování předpisů
Správce dodržování předpisů
Správce simulace útoku
Správce služby Azure Information Protection
Správce zabezpečení
Správce zásad ověřování
Doba trvání partnerství GDAP lze vybrat na 1 den až 730 dní. Nelze nastavit neomezeně z důvodu bezpečnostních zásad. Až vztah GDAP vyprší, je třeba vztah GDAP znovu vytvořit. V současné době neprobíhá žádný proces automatického obnovení.
Pozvánka od partnera je reakcí na požadavek klienta. Ten by měl sdělit nebo domluvit se svým partnerem parametry (úroveň přístupu a doba trvání). Partner mu pak v partnerském centru společnosti Microsoft vygeneruje jedinečnou pozvánku, kterou mu odešle. Pozvánka obsahuje následující informace:
Ukázka pozvánky
Kliknutím na odkaz v pozvánce se klient dostane k přehledu, kde může zkontrolovat parametry přístupu partnera (v tomto případě globálního správce):
Schválení přístupových práv partnera v Microsoft 365 admin centru.
Po odsouhlasení nových přístupových práv odeberte:
možnost staré správy DAP distributorovi,
možnost staré správy DAP partnerovi, kterému jste již přidělili oprávnění GDAP.
Odebrání starých oprávnění vzdálené správy v účtu Microsoft 365.
Výsledek by měl vypadat následovně:
Správně nastavená oprávnění pro dodavatele a správce Microsoft 365 v účtu klienta.
Závěrem
GDAP není povinné a bude koexistovat vedle stávajícího DAP jako volitelná funkce pro klienty, kteří chtějí řídit služby svých partnerů na podrobné úrovni. My jej vřele doporučujeme!