Forståelse af GDAP prædefinerede roller: Komplet guide til Azure Entra-tilladelser til partneradministration

Ved opsætning af Granular Delegated Admin Privileges (GDAP) forhold med kundelejere skal Cloud Factory-partnere anmode om relevante Azure Entra-roller. Microsoft tilbyder 13 prædefinerede roller specifikt designet til partneradministrationsscenarier. At forstå, hvad hver rolle kan gøre, er kritisk for at implementere mindstprivilegium-adgang, samtidig med at operationel effektivitet opretholdes.

Hvad er GDAP prædefinerede roller?

GDAP erstatter den gamle Delegated Admin Privileges (DAP) med en moderne, granulær tilladelsesmodel. I stedet for at tildele Global Administrator-adgang til kundelejere anmoder du om specifikke roller, der er i overensstemmelse med dine operationelle behov. De 13 prædefinerede roller dækker almindelige partnerscenarier: fra brugeradministration til licensadministration til sikkerhedsoperationer.

De 13 GDAP prædefinerede roller

1. Global Reader

Hvad det gør: Skrivebeskyttet adgang til alt, som en Global Administrator kan se, men kan ikke foretage ændringer.

Use case: Revision, compliance-rapportering og synlighed i kundekonfiguration.

Vigtigste tilladelser:

- Læs alle mappeindstillinger, brugere, grupper og roller
- Se lejerkonfiguration og politikker
- Få adgang til revisionsloggene og rapporter

Bedst til: Compliance-officerer, revisorer og skrivebeskyttede overvågningsroller.

2. Security Reader

Hvad det gør: Få vist sikkerhedsoplysninger og risikorapporter på tværs af Microsoft 365.

Use case: Overvåg sikkerhedsposition, truselregistrering og hændelsesrapporter.

Vigtigste tilladelser:

- Læs sikkerhedsalarmer i Microsoft Defender
- Få adgang til risikodetektioner og risikouserrapporter
- Se Azure AD-sikkerhedskonfiguration

Bedst til: Sikkerhedsovervågning og truselsvurdering uden afhjælpningsevne.

3. User Administrator

Hvad det gør: Fuldt ledelse af brugerkonti og grupper (undtagen adgangskodegenskab for administratorer).

Use case: Onboarding, offboarding, brugerlyclusadministration og gruppeadministration.

Vigtigste tilladelser:

- Opret, opdater og slet brugere og grupper
- Administrer gruppmedlemskab
- Nulstil adgangskoder for ikke-administratorbrugere
- Administrer brugerlicentser (med License Administrator)

Bedst til: HR-forbundne operationer, employee lifecycle management.

4. Helpdesk Administrator

Hvad det gør: Begrænset brugeradministration med fokus på adgangskodegenskab og support.

Use case: Tier-1/Tier-2 supportteams, der yder adgangskodestøtte.

Vigtigste tilladelser:

- Nulstil adgangskoder for ikke-administratorer
- Invalidér genopfriskningstoken (tving sign-out)
- Se begrænset brugeroplysninger

Bedst til: Support desk-teams, der kun håndterer adgangskodegenskab.

5. License Administrator

Hvad det gør: Administrer produktlicentser på brugere og grupper.

Use case: Licensering, compliance og omkostningsoptimering.

Vigtigste tilladelser:

- Tildel, fjern og modificer brugerlicentser
- Administrer gruppebasseret licensering
- Se licensudnyttelse og compliance-rapporter

Bedst til: IT-aktivledelse, licensoperationer og omkostningskontrol.

6. Application Administrator

Hvad det gør: Opret og administrer alle appregistreringer og enterprise-apps (fuld kontrol).

Use case: SaaS-integration, brugerdefinerede applikationer og identitetsføderation.

Vigtigste tilladelser:

- Opret og slet appregistreringer
- Administrer indstillinger for applikationsproxy
- Konfigurer enterprise-appintegrationer
- Opdater applikationstilladelser og samtykkepolitikker

Bedst til: Integrationsengineers, identitetsarkitekter, appdistributionsteams.

7. Cloud Application Administrator

Hvad det gør: Administrer cloud-apps og appregistreringer (udelukker App Proxy).

Use case: SaaS-distribution og cloud-applikationsstyring uden on-premises proxy.

Vigtigste tilladelser:

- Opret og administrer appregistreringer
- Konfigurer cloud enterprise-apps
- Administrer delegerede og applikationstilladelser
- Kan ikke administrere applikationsproxy

Bedst til: SaaS-first-miljøer, hvor on-premises-appproxy ikke er nødvendig.

8. Directory Readers

Hvad det gør: Læs grundlæggende mappeoplysninger for applikationer og gæster.

Use case: Service principals og applikationer, der har brug for mappesynlighed.

Vigtigste tilladelser:

- Læs bruger-, gruppe- og organisationsenhedsoplysninger
- Se grundlæggende mappeegenskaber
- Beregnet for applikationer, ikke menneskelige brugere

Bedst til: Servicekontotilladelser, appintegrationer, der kræver mappelæsning.

9. Directory Writers

Hvad det gør: Læs og skriv grundlæggende mappeoplysninger for applikationer.

Use case: Automatiseret approvisionering og mappesynkroniseringsværktøjer.

Vigtigste tilladelser:

- Læs og skriv bruger-, gruppe- og organisationsegenskaber
- Beregnet for applikationer og servicekonti
- Understøtter approvisioneringsworkflows

Bedst til: Azure AD Connect, approvisioneringsagenter og synkroniseringsværktøjer.

10. Privileged Role Administrator

Hvad det gør: Administrer rolletildelinger og Privileged Identity Management (PIM).

Use case: Administrativ adgangskontrol og just-in-time-privilegieelevering.

Vigtigste tilladelser:

- Tildel roller til brugere og grupper
- Administrer PIM-indstillinger og godkendelser
- Aktivér privilegieret adgang
- Se og administrer rolletilladelser

Bedst til: Identitetsstyring, administrativ adgangskontrol, compliance-rammer.

11. Privileged Authentication Administrator

Hvad det gør: Se og nulstil godkendelsesmetoder for enhver bruger (admin eller ikke-admin).

Use case: MFA-fejlfinding, adgangskodegenskab for alle brugere, herunder administratorer.

Vigtigste tilladelser:

- Se og nulstil godkendelsesmetodeoplysninger
- Tving sign-out ved at invalidere genopfriskningstoken
- Nulstil adgangskoder for alle brugere (herunder andre administratorer)
- Administrer MFA-indstillinger

Bedst til: Godkendelsessupportteams, helpdesk, der kræver bred adgangskoderesetuddel.

12. Domain Name Administrator

Hvad det gør: Administrer domænenavne i både cloud- og on-premises-mapper.

Use case: Domeneverifikation, DNS-styring og multi-tenant-domæneoperationer.

Vigtigste tilladelser:

- Tilføj og fjern domæner
- Administrer domæneegenskaber og verifikation
- Konfigurer domenefederationsindstillinger

Bedst til: IT-operationer, der administrerer flere kundedomæner, Azure AD Connect-miljøer.

13. Service Support Administrator

Hvad det gør: Læs tjenestestatus og administrer supportbilletter.

Use case: Overvågning af lejerstatus og styring af Microsoft-supportanmodninger.

Vigtigste tilladelser:

- Se Azure og Microsoft 365-servicestatus
- Opret og administrer supportbilletter
- Se servicehændelser og vejledninger

Bedst til: Operationsteams, der håndterer supportkoordinering og servicestatus-overvågning.

Kortlægning af roller til almindelige partnerscenarier

Scenario 1: Onboarding af nye ansatte

Roller nødvendigt: User Administrator, License Administrator

Hvorfor: Opret brugere, administrer gruppmedlemskab, tildel licentser—alt, hvad der er nødvendigt til medarbejderapprovisionering.

Scenario 2: Support Desk-operationer

Roller nødvendigt: Helpdesk Administrator, Privileged Authentication Administrator (hvis administratoradgangskodegenskab er nødvendigt)

Hvorfor: Håndter adgangskodegenskab og grundlæggende brugersøgninger uden fuld brugeradministrationsmuligheder.

Scenario 3: Applikationsintegration (SaaS)

Roller nødvendigt: Cloud Application Administrator, Directory Readers

Hvorfor: Registrer apps, konfigurer integrationer, og tillad apps at læse mappe til approvisionering.

Scenario 4: Sikkerhed og compliance

Roller nødvendigt: Global Reader, Security Reader, Privileged Role Administrator

Hvorfor: Overvåg sikkerhedsposition, se alle konfigurationer og administrer administrativ adgang uden at foretage ændringer.

Scenario 5: Multi-tenant-operationer

Roller nødvendigt: Global Reader, License Administrator, Domain Name Administrator, Service Support Administrator

Hvorfor: Administrer licentser på tværs af kunder, håndter domæner og overvåg servicestatus.

Hvorfor granulære roller betyder noget for GDAP

Skiftet fra DAP til GDAP er grundlæggende: i stedet for at tildele bred Global Administrator-adgang anmoder du kun om, hvad du har brug for. Denne tilgang:

- Reducerer risiko: Begrænsede tilladelser betyder mindre potentiel skade fra kompromitterede konti
- Forbedrer revisionsslæber: Specifikke roller gør det nemmere at spore, hvem der gjorde hvad
- Giver kundefortrolighed: Lejere føler sig sikrere med mindstprivilegium-adgang
- Forenkler delegation: Hvert teammedlem får præcis det, de har brug for

Best practices til anmodning om GDAP-roller

1. Start med minimale tilladelser

Anmod om det mindste sæt roller, der er nødvendigt for din use case. Du kan altid tilføje flere senere, men over-approvisionering skaber sikkerhedsgæld.

2. Separer pligter

Tildel forskellige roller til forskellige mennesker:

- Brugeradministration til HR-forbundne medarbejdere
- Sikkerhedsovervågning til sikkerhedsteam
- Support til helpdesk
- Licensadministration til indkøb/IT-operationer

3. Dokumentér dine anmodninger

For hver kunde skal du dokumentere, hvorfor du anmoder om hver rolle. Dette hjælper under revisioner og når nye teammedlemmer skal introduceres.

4. Overvåg og gennemgå

Revision regelmæssigt, hvem der har hvilke roller, og bekræft, at de stadig aktivt bruger dem. Fjern roller, der ikke længere er nødvendige.

5. Brug PIM til forhøjede roller

For meget følsomme roller som Privileged Role Administrator bør du overveje at bruge Privileged Identity Management (PIM) til at kræve godkendelse til aktivering i stedet for permanente tildelinger.

TL;DR

- GDAP tilbyder 13 prædefinerede roller, der er skræddersyet til partneradministrationsscenarier
- Global Reader = skrivebeskyttet adgang til alt
- User/License/Domain Administrators = operationelle ledelsesroller
- Application/Cloud Application Administrators = integration og SaaS-styring
- Security/Privileged Role/Helpdesk Administrators = support- og sikkerhedsoperationer
- Directory Readers/Writers = servicekonto- og applikationstilladelser
- Anmod roller ved hjælp af mindstprivilegium-princippet: Anmod kun om, hvad du har brug for
- Separer pligter: Forskellige teammedlemmer håndterer forskellige funktioner
- Regulær gennemgang: Audit-tilladelser kvartalsvis og fjern ubrugte roller
- Brug PIM: Overvej just-in-time-elevering for meget følsomme roller

Næste trin: Gennemgå Cloud Factorys GDAP-anmodningsworkflow og kortlæg dine teamfunktioner til de relevante prædefinerede roller. Start med minimale tilladelser og udvid efter behov.