Článek napsal Tomáš Sýkora
Zakladatel společnosti Innovative Business, která se zabývá smysluplným využitím technologií pro podnikání. Mimo jiné provozuje tento portál Bestonline.cz nabízející osvědčené cloudové technologie. Dále portál Business Robots pronajímající softwarové roboty a službu Robolytix pro optimalizaci firemních procesů.
Aktualizováno: 24.3.2022, Vytvořeno: 23.3.2022 | V kategorii:

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP

Klientské účty Microsoft 365 jejich správci zabezpečují směrem k uživatelům, konkrétním přístupovým rolím skupin i jednotlivců. Ale co doposud nemohli udělat je nastavit přesné role pro přístup svých dodavatelů licencí Microsoft, tedy distributora a prodejce. Jedinou volbou byla doposud možnost udělit partnerské organizaci přístup formou "vzdálené správy", která jeho zaměstnancům umožnila pohybovat se v účtu klienta prakticky na úrovni role globálního správce. Microsoft nyní přichází s inovovanou verzí této služby, která umožňuje Správcům mít pod kontrolou i detailní role přístupů poskytovaných svým partnerům. Přináší to samozřejmě potřebu rozhodování o úrovních přístupu a opakování této procedury každé 2 roky (minimálně). Celkově ovšem výhody zabezpečení jednoznačně převažují nad dalším nastavením, se kterým se budete muset jako správci vypořádat. 

  • DAP (Delegated Admin Privileges) je vzdálená správa klientského účtu Microsoft 365, díky které zvolený partner může přistupovat do účtu klienta a na jeho pokyn poskytovat (téměř) všechny služby správce. Výhodou je, že klient nepotřebuje znalosti nutné pro administrátorské úkony. Nevýhodou je zde samozřejmě nutná naprostá důvěra k partnerovi a jeho dodržování bezpečnostních pravidel. svých partnerů a potencionálně mohou být napadeni prostřednictvím jeho zaměstnanců, kteří mají přístup ke správě klientů.
  • GDAP (Granular Delegated Admin Privileges) je vylepšená verze vzdálené správy poskytující model detailní zásady oprávnění pro řízení přístupu. Základní změny jsou následující:
Staré DAPNové GDAP
Úroveň přístupu / bezpečnostní roleGlobální správce a správce HelpDesku MicrosoftVolitelná
Doba trvání partnerstvíNeomezenáVolitelná (max 2 roky)
Pozvánka od partneraStejná pro všechny klientyJedinečná podle dohody s konkrétním klientem
Přiřazení skupiny zabezpečeníNEANO
Záznamy o činnostech (logy)NEANO
Přístup do Centra zabezpečení a shodyNEANO
Podpora správy privilegovaných identit (PIM)NEANO

Novinky v GDAP podrobněji:

Úroveň přístupu / bezpečnostní role umožňuje vybrat v rámci Azure AD z následujících:

  • Spolupráce
    • Editor vyhledávání
    • Obchodní vedoucí Insights
    • Specialista podpory komunikace v Teams
    • Správa znalostí
    • Správce aplikací Office
    • Správce Azure DevOps
    • Správce Cloud App Security
    • Správce Dynamics 365
    • Správce Exchange
    • Správce Identity Governance
    • Správce Insights
    • Správce Kaizala
    • Správce komunikace Teams
    • Správce nasazení služby Windows Update
    • Správce Power BI
    • Správce Power Platform
    • Správce příjemců Exchange
    • Správce SharePointu
    • Správce skupin
    • Správce Skypu pro firmy
    • Správce sítě
    • Správce Teams
    • Správce vyhledávání
    • Správce zařízení Teams
    • Správce znalostí
    • Technik podpory komunikace v Teams
  • Zařízení
    • Místní správce zařízení připojeného do Azure AD
    • Správce cloudových zařízení
    • Správce Desktop Analytics
    • Správce Intune
    • Správce tiskáren
    • Technik tiskárny
  • Globální
    • Globální správce
  • Identita
    • Odesílatel pozvánek hostům        
    • Privilegovaný správce ověřování        
    • Správce aplikací        
    • Správce cloudových aplikací        
    • Správce externího zprostředkovatele identit        
    • Správce hesel        
    • Správce hybridních identit        
    • Správce licencí        
    • Správce ověřování        
    • Správce podmíněného přístupu        
    • Správce privilegovaných rolí        
    • Správce technické podpory        
    • Správce uživatelů        
    • Vývojář aplikací        
  • Jiné
    • Správce fakturace        
    • Správce názvu domény        
    • Správce podpory služeb        
  • Jen pro čtení
    • Globální čtenář
    • Uživatelé s oprávněním ke čtení adresářů
    • Čtenář Centra zpráv
    • Čtenář ochrany osobních údajů Centra zpráv
    • Čtenář sestav
    • Čtenář souhrnných sestav o využití
    • Čtenář zabezpečení
  • Zabezpečení a dodržování předpisů
    • Autor datové části útoku
    • Operátor zabezpečení
    • Schvalovatel přístupu ke Customer LockBoxu
    • Správce dat dodržování předpisů
    • Správce dodržování předpisů
    • Správce simulace útoku
    • Správce služby Azure Information Protection
    • Správce zabezpečení
    • Správce zásad ověřování

Doba trvání partnerství GDAP lze vybrat na 1 den až 730 dní. Nelze nastavit neomezeně z důvodu bezpečnostních zásad. Až vztah GDAP vyprší, je třeba vztah GDAP znovu vytvořit. V současné době neprobíhá žádný proces automatického obnovení.

Pozvánka od partnera je reakcí na požadavek klienta. Ten by měl sdělit nebo domluvit se svým partnerem parametry (úroveň přístupu a doba trvání). Partner mu pak v partnerském centru společnosti Microsoft vygeneruje jedinečnou pozvánku, kterou mu odešle. Pozvánka obsahuje následující informace:

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 1
Ukázka pozvánky

Kliknutím na odkaz v pozvánce se klient dostane k přehledu, kde může zkontrolovat parametry přístupu partnera (v tomto případě globálního správce):

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 3
Schválení přístupových práv partnera v Microsoft 365 admin centru.

Po odsouhlasení nových přístupových práv odeberte:

  1. možnost staré správy DAP distributorovi,
  2. možnost staré správy DAP partnerovi, kterému jste již přidělili oprávnění GDAP.
Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 5
Odebrání starých oprávnění vzdálené správy v účtu Microsoft 365.

Výsledek by měl vypadat následovně:

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 7
Správně nastavená oprávnění pro dodavatele a správce Microsoft 365 v účtu klienta.

Závěrem

GDAP není povinné a bude koexistovat vedle stávajícího DAP jako volitelná funkce pro klienty, kteří chtějí řídit služby svých partnerů na podrobné úrovni. My jej vřele doporučujeme!

Zdroje:

Máte nějaké dotazy nebo připomínky? Zanechte komentář a neváhejte se s námi spojit na facebooku!
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram