BESTONLINE.cz 🌩️ Blog 🌩️ Návody 🌩️ Pusťte Microsoft Partnera jen kam chcete: Řízení přístupu delegovaných správců s GDAP
Klientské účty Microsoft 365 jejich správci zabezpečují směrem k uživatelům, konkrétním přístupovým rolím skupin i jednotlivců. Ale co doposud nemohli udělat je nastavit přesné role pro přístup svých dodavatelů licencí Microsoft, tedy distributora a prodejce. Jedinou volbou byla doposud možnost udělit partnerské organizaci přístup formou "vzdálené správy", která jeho zaměstnancům umožnila pohybovat se v účtu klienta prakticky na úrovni role globálního správce. Microsoft nyní přichází s inovovanou verzí této služby, která umožňuje Správcům mít pod kontrolou i detailní role přístupů poskytovaných svým partnerům. Přináší to samozřejmě potřebu rozhodování o úrovních přístupu a opakování této procedury každé 2 roky (minimálně). Celkově ovšem výhody zabezpečení jednoznačně převažují nad dalším nastavením, se kterým se budete muset jako správci vypořádat.
Staré DAP | Nové GDAP | |
---|---|---|
Úroveň přístupu / bezpečnostní role | Globální správce a správce HelpDesku Microsoft | Volitelná |
Doba trvání partnerství | Neomezená | Volitelná (max 2 roky) |
Pozvánka od partnera | Stejná pro všechny klienty | Jedinečná podle dohody s konkrétním klientem |
Přiřazení skupiny zabezpečení | NE | ANO |
Záznamy o činnostech (logy) | NE | ANO |
Přístup do Centra zabezpečení a shody | NE | ANO |
Podpora správy privilegovaných identit (PIM) | NE | ANO |
Novinky v GDAP podrobněji:
Úroveň přístupu / bezpečnostní role umožňuje vybrat v rámci Azure AD z následujících:
Doba trvání partnerství GDAP lze vybrat na 1 den až 730 dní. Nelze nastavit neomezeně z důvodu bezpečnostních zásad. Až vztah GDAP vyprší, je třeba vztah GDAP znovu vytvořit. V současné době neprobíhá žádný proces automatického obnovení.
Pozvánka od partnera je reakcí na požadavek klienta. Ten by měl sdělit nebo domluvit se svým partnerem parametry (úroveň přístupu a doba trvání). Partner mu pak v partnerském centru společnosti Microsoft vygeneruje jedinečnou pozvánku, kterou mu odešle. Pozvánka obsahuje následující informace:
Kliknutím na odkaz v pozvánce se klient dostane k přehledu, kde může zkontrolovat parametry přístupu partnera (v tomto případě globálního správce):
Po odsouhlasení nových přístupových práv odeberte:
Výsledek by měl vypadat následovně:
Závěrem
GDAP není povinné a bude koexistovat vedle stávajícího DAP jako volitelná funkce pro klienty, kteří chtějí řídit služby svých partnerů na podrobné úrovni. My jej vřele doporučujeme!
Zdroje:
To vás bude konkurence milovat 🙂