Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP
Klientské účty Microsoft 365 jejich správci zabezpečují směrem k uživatelům, konkrétním přístupovým rolím skupin i jednotlivců. Ale co doposud nemohli udělat je nastavit přesné role pro přístup svých dodavatelů licencí Microsoft, tedy distributora a prodejce. Jedinou volbou byla doposud možnost udělit partnerské organizaci přístup formou "vzdálené správy", která jeho zaměstnancům umožnila pohybovat se v účtu klienta prakticky na úrovni role globálního správce. Microsoft nyní přichází s inovovanou verzí této služby, která umožňuje Správcům mít pod kontrolou i detailní role přístupů poskytovaných svým partnerům. Přináší to samozřejmě potřebu rozhodování o úrovních přístupu a opakování této procedury každé 2 roky (minimálně). Celkově ovšem výhody zabezpečení jednoznačně převažují nad dalším nastavením, se kterým se budete muset jako správci vypořádat.
- DAP (Delegated Admin Privileges) je vzdálená správa klientského účtu Microsoft 365, díky které zvolený partner může přistupovat do účtu klienta a na jeho pokyn poskytovat (téměř) všechny služby správce. Výhodou je, že klient nepotřebuje znalosti nutné pro administrátorské úkony. Nevýhodou je zde samozřejmě nutná naprostá důvěra k partnerovi a jeho dodržování bezpečnostních pravidel. svých partnerů a potencionálně mohou být napadeni prostřednictvím jeho zaměstnanců, kteří mají přístup ke správě klientů.
- GDAP (Granular Delegated Admin Privileges) je vylepšená verze vzdálené správy poskytující model detailní zásady oprávnění pro řízení přístupu. Základní změny jsou následující:
Staré DAP | Nové GDAP | |
---|---|---|
Úroveň přístupu / bezpečnostní role | Globální správce a správce HelpDesku Microsoft | Volitelná |
Doba trvání partnerství | Neomezená | Volitelná (max 2 roky) |
Pozvánka od partnera | Stejná pro všechny klienty | Jedinečná podle dohody s konkrétním klientem |
Přiřazení skupiny zabezpečení | NE | ANO |
Záznamy o činnostech (logy) | NE | ANO |
Přístup do Centra zabezpečení a shody | NE | ANO |
Podpora správy privilegovaných identit (PIM) | NE | ANO |
Novinky v GDAP podrobněji:
Úroveň přístupu / bezpečnostní role umožňuje vybrat v rámci Azure AD z následujících:
- Spolupráce
- Editor vyhledávání
- Obchodní vedoucí Insights
- Specialista podpory komunikace v Teams
- Správa znalostí
- Správce aplikací Office
- Správce Azure DevOps
- Správce Cloud App Security
- Správce Dynamics 365
- Správce Exchange
- Správce Identity Governance
- Správce Insights
- Správce Kaizala
- Správce komunikace Teams
- Správce nasazení služby Windows Update
- Správce Power BI
- Správce Power Platform
- Správce příjemců Exchange
- Správce SharePointu
- Správce skupin
- Správce Skypu pro firmy
- Správce sítě
- Správce Teams
- Správce vyhledávání
- Správce zařízení Teams
- Správce znalostí
- Technik podpory komunikace v Teams
- Zařízení
- Místní správce zařízení připojeného do Azure AD
- Správce cloudových zařízení
- Správce Desktop Analytics
- Správce Intune
- Správce tiskáren
- Technik tiskárny
- Globální
- Globální správce
- Identita
- Odesílatel pozvánek hostům
- Privilegovaný správce ověřování
- Správce aplikací
- Správce cloudových aplikací
- Správce externího zprostředkovatele identit
- Správce hesel
- Správce hybridních identit
- Správce licencí
- Správce ověřování
- Správce podmíněného přístupu
- Správce privilegovaných rolí
- Správce technické podpory
- Správce uživatelů
- Vývojář aplikací
- Jiné
- Správce fakturace
- Správce názvu domény
- Správce podpory služeb
- Jen pro čtení
- Globální čtenář
- Uživatelé s oprávněním ke čtení adresářů
- Čtenář Centra zpráv
- Čtenář ochrany osobních údajů Centra zpráv
- Čtenář sestav
- Čtenář souhrnných sestav o využití
- Čtenář zabezpečení
- Zabezpečení a dodržování předpisů
- Autor datové části útoku
- Operátor zabezpečení
- Schvalovatel přístupu ke Customer LockBoxu
- Správce dat dodržování předpisů
- Správce dodržování předpisů
- Správce simulace útoku
- Správce služby Azure Information Protection
- Správce zabezpečení
- Správce zásad ověřování
Doba trvání partnerství GDAP lze vybrat na 1 den až 730 dní. Nelze nastavit neomezeně z důvodu bezpečnostních zásad. Až vztah GDAP vyprší, je třeba vztah GDAP znovu vytvořit. V současné době neprobíhá žádný proces automatického obnovení.
Pozvánka od partnera je reakcí na požadavek klienta. Ten by měl sdělit nebo domluvit se svým partnerem parametry (úroveň přístupu a doba trvání). Partner mu pak v partnerském centru společnosti Microsoft vygeneruje jedinečnou pozvánku, kterou mu odešle. Pozvánka obsahuje následující informace:
Kliknutím na odkaz v pozvánce se klient dostane k přehledu, kde může zkontrolovat parametry přístupu partnera (v tomto případě globálního správce):
Po odsouhlasení nových přístupových práv odeberte:
- možnost staré správy DAP distributorovi,
- možnost staré správy DAP partnerovi, kterému jste již přidělili oprávnění GDAP.
Výsledek by měl vypadat následovně:
Závěrem
GDAP není povinné a bude koexistovat vedle stávajícího DAP jako volitelná funkce pro klienty, kteří chtějí řídit služby svých partnerů na podrobné úrovni. My jej vřele doporučujeme!
Zdroje: