Aktualizováno: 24.3.2022, Vytvořeno: 23.3.2022 | V kategorii:

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP

Klientské účty Microsoft 365 jejich správci zabezpečují směrem k uživatelům, konkrétním přístupovým rolím skupin i jednotlivců. Ale co doposud nemohli udělat je nastavit přesné role pro přístup svých dodavatelů licencí Microsoft, tedy distributora a prodejce. Jedinou volbou byla doposud možnost udělit partnerské organizaci přístup formou "vzdálené správy", která jeho zaměstnancům umožnila pohybovat se v účtu klienta prakticky na úrovni role globálního správce. Microsoft nyní přichází s inovovanou verzí této služby, která umožňuje Správcům mít pod kontrolou i detailní role přístupů poskytovaných svým partnerům. Přináší to samozřejmě potřebu rozhodování o úrovních přístupu a opakování této procedury každé 2 roky (minimálně). Celkově ovšem výhody zabezpečení jednoznačně převažují nad dalším nastavením, se kterým se budete muset jako správci vypořádat. 

  • DAP (Delegated Admin Privileges) je vzdálená správa klientského účtu Microsoft 365, díky které zvolený partner může přistupovat do účtu klienta a na jeho pokyn poskytovat (téměř) všechny služby správce. Výhodou je, že klient nepotřebuje znalosti nutné pro administrátorské úkony. Nevýhodou je zde samozřejmě nutná naprostá důvěra k partnerovi a jeho dodržování bezpečnostních pravidel. svých partnerů a potencionálně mohou být napadeni prostřednictvím jeho zaměstnanců, kteří mají přístup ke správě klientů.
  • GDAP (Granular Delegated Admin Privileges) je vylepšená verze vzdálené správy poskytující model detailní zásady oprávnění pro řízení přístupu. Základní změny jsou následující:
Staré DAPNové GDAP
Úroveň přístupu / bezpečnostní roleGlobální správce a správce HelpDesku MicrosoftVolitelná
Doba trvání partnerstvíNeomezenáVolitelná (max 2 roky)
Pozvánka od partneraStejná pro všechny klientyJedinečná podle dohody s konkrétním klientem
Přiřazení skupiny zabezpečeníNEANO
Záznamy o činnostech (logy)NEANO
Přístup do Centra zabezpečení a shodyNEANO
Podpora správy privilegovaných identit (PIM)NEANO

Novinky v GDAP podrobněji:

Úroveň přístupu / bezpečnostní role umožňuje vybrat v rámci Azure AD z následujících:

  • Spolupráce
    • Editor vyhledávání
    • Obchodní vedoucí Insights
    • Specialista podpory komunikace v Teams
    • Správa znalostí
    • Správce aplikací Office
    • Správce Azure DevOps
    • Správce Cloud App Security
    • Správce Dynamics 365
    • Správce Exchange
    • Správce Identity Governance
    • Správce Insights
    • Správce Kaizala
    • Správce komunikace Teams
    • Správce nasazení služby Windows Update
    • Správce Power BI
    • Správce Power Platform
    • Správce příjemců Exchange
    • Správce SharePointu
    • Správce skupin
    • Správce Skypu pro firmy
    • Správce sítě
    • Správce Teams
    • Správce vyhledávání
    • Správce zařízení Teams
    • Správce znalostí
    • Technik podpory komunikace v Teams
  • Zařízení
    • Místní správce zařízení připojeného do Azure AD
    • Správce cloudových zařízení
    • Správce Desktop Analytics
    • Správce Intune
    • Správce tiskáren
    • Technik tiskárny
  • Globální
    • Globální správce
  • Identita
    • Odesílatel pozvánek hostům        
    • Privilegovaný správce ověřování        
    • Správce aplikací        
    • Správce cloudových aplikací        
    • Správce externího zprostředkovatele identit        
    • Správce hesel        
    • Správce hybridních identit        
    • Správce licencí        
    • Správce ověřování        
    • Správce podmíněného přístupu        
    • Správce privilegovaných rolí        
    • Správce technické podpory        
    • Správce uživatelů        
    • Vývojář aplikací        
  • Jiné
    • Správce fakturace        
    • Správce názvu domény        
    • Správce podpory služeb        
  • Jen pro čtení
    • Globální čtenář
    • Uživatelé s oprávněním ke čtení adresářů
    • Čtenář Centra zpráv
    • Čtenář ochrany osobních údajů Centra zpráv
    • Čtenář sestav
    • Čtenář souhrnných sestav o využití
    • Čtenář zabezpečení
  • Zabezpečení a dodržování předpisů
    • Autor datové části útoku
    • Operátor zabezpečení
    • Schvalovatel přístupu ke Customer LockBoxu
    • Správce dat dodržování předpisů
    • Správce dodržování předpisů
    • Správce simulace útoku
    • Správce služby Azure Information Protection
    • Správce zabezpečení
    • Správce zásad ověřování

Doba trvání partnerství GDAP lze vybrat na 1 den až 730 dní. Nelze nastavit neomezeně z důvodu bezpečnostních zásad. Až vztah GDAP vyprší, je třeba vztah GDAP znovu vytvořit. V současné době neprobíhá žádný proces automatického obnovení.

Pozvánka od partnera je reakcí na požadavek klienta. Ten by měl sdělit nebo domluvit se svým partnerem parametry (úroveň přístupu a doba trvání). Partner mu pak v partnerském centru společnosti Microsoft vygeneruje jedinečnou pozvánku, kterou mu odešle. Pozvánka obsahuje následující informace:

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 1
Ukázka pozvánky

Kliknutím na odkaz v pozvánce se klient dostane k přehledu, kde může zkontrolovat parametry přístupu partnera (v tomto případě globálního správce):

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 3
Schválení přístupových práv partnera v Microsoft 365 admin centru.

Po odsouhlasení nových přístupových práv odeberte:

  1. možnost staré správy DAP distributorovi,
  2. možnost staré správy DAP partnerovi, kterému jste již přidělili oprávnění GDAP.
Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 5
Odebrání starých oprávnění vzdálené správy v účtu Microsoft 365.

Výsledek by měl vypadat následovně:

Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP 7
Správně nastavená oprávnění pro dodavatele a správce Microsoft 365 v účtu klienta.

Závěrem

GDAP není povinné a bude koexistovat vedle stávajícího DAP jako volitelná funkce pro klienty, kteří chtějí řídit služby svých partnerů na podrobné úrovni. My jej vřele doporučujeme!

Zdroje:

Máte nějaké dotazy nebo připomínky? Zanechte komentář a neváhejte se s námi spojit na facebooku!