Vue d’ensemble de l’API GDAP (Granular Delegated Admin Privileges)
Espace de noms: microsoft.graph
Dans le cadre de l’écosystème de l’Espace partenaires Microsoft, les partenaires Microsoft des programmes Fournisseur de solutions cloud, Revendeur à valeur ajoutée ou Advisor peuvent effectuer des opérations administratives sur leurs locataires clients pour aider à gérer les services du client, par exemple Microsoft Entra et Microsoft 365. Cette fonctionnalité permettait aux partenaires d’assumer indéfiniment un rôle d’administrateur général dans le locataire client, ce qui créait des risques potentiels de sécurité et limitait le potentiel du marché.
Les privilèges d’administrateur délégué granulaires (GDAP) fournissent aux partenaires l’accès le moins privilégié à leurs locataires clients en suivant le modèle de cybersécurité Confiance Zéro. Par le biais de GDAP, les partenaires configurent et demandent un accès précis et limité dans le temps aux environnements de leurs clients, et les clients doivent accorder explicitement cet accès aux privilèges minimum aux partenaires. En outre, les partenaires doivent demander des rôles spécifiques pour l’administration du locataire client pendant un laps de temps défini. Ce contrôle élimine la nécessité pour les partenaires d’avoir le rôle Administrateur général dans le locataire de leur client, mais ils disposent désormais d’autorisations privilégiées moins importantes dont ils ont absolument besoin pour les tâches d’administration déléguées.
Pour plus d’informations sur GDAP, consultez :
- Présentation des privilèges d’administrateur délégué granulaires (GDAP)
- Rôles avec privilèges minimum par tâche
Flux de travail GDAP
Cycle de vie d’une relation GDAP
Le diagramme suivant montre l’état des transitions de relation Administrateur délégué.
- Créer delegatedAdminRelationship
- Mettre à jour delegatedAdminRelationship
- Create delegatedAdminRelationshipRequest (action : lockForApproval)
- Create delegatedAdminRelationshipRequest (action : terminate)
Après avoir exécuté l’API Create delegatedAdminRelationshipRequest avec l’action
lockForApproval, générez le lien d’invitation client à l’aide du modèle d’URI suivant, où {adminRelationshipID} est l’ID de la demande de relation d’administrateur.
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
Envoyez le lien d’invitation au client pour qu’il approuve la demande GDAP. Par exemple, https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 est un lien d’invitation, où 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 est l’ID de demande de relation administrateur. Une fois que le client a approuvé la demande GDAP, la relation GDAP passe à un état actif.
Pour finaliser le flux de travail d’activation de la gestion administrateur au nom de (AOBO) du locataire du client, créez une attribution d’accès pour la relation d’administrateur délégué à l’aide de l’API Create accessAssignments .
Cycle de vie d’une attribution d’accès à une relation GDAP
L’attribution d’accès administrateur délégué passe par les transitions d’état indiquées dans le diagramme suivant.
Cas d’usage des API GDAP
Cette section décrit les façons dont les partenaires Microsoft peuvent utiliser les API GDAP pour gérer par programmation les relations d’administration déléguées pour leurs clients.
Relation d’administrateur délégué
| Cas d'utilisation | API |
|---|---|
| Créer une relation d’administrateur délégué pour approbation par n’importe quel client Créer une relation d’administrateur délégué pour approbation par un client spécifique |
Créer delegatedAdminRelationship |
| Répertorier toutes les relations d’administration déléguées d’un partenaire Répertorier toutes les relations d’administrateur délégué pour un client spécifique |
Répertorier delegatedAdminRelationships |
| Obtenir une relation d’administrateur délégué par ID | Obtenir delegatedAdminRelationship |
| Supprimer la relation d’administrateur délégué | Supprimer delegatedAdminRelationship |
Demande de relation d’administrateur délégué
| Cas d'utilisation | API |
|---|---|
| Créez une demande de relation d’administrateur délégué pour verrouiller une relation en vue de l’approbation du client ou mettre fin à une relation existante. | Créer des demandes |
| Obtenir une demande de relation d’administrateur délégué par ID | Get delegatedAdminRelationshipRequest |
| Répertorier toutes les demandes de relation d’administrateur délégué pour une relation donnée | Répertorier les demandes |
Attributions de rôle
| Cas d'utilisation | API |
|---|---|
| Créer une attribution d’accès administrateur délégué pour une relation d’administrateur délégué | Créer des accessAssignments |
| Répertorier les attributions d’accès pour une relation d’administrateur délégué | Répertorier accessAssignments |
| Obtenir une attribution d’accès à une relation administrateur déléguée par ID | Get delegatedAdminAccessAssignment |
| Supprimer une attribution d’accès d’une relation d’administrateur délégué | Supprimer delegatedAdminAccessAssignment |
| Mettre à jour les attributions de rôles pour une attribution d’accès de relation administrateur déléguée | Mettre à jour delegatedAdminAccessAssignment |
Opérations de longue durée
| Cas d'utilisation | API |
|---|---|
| Répertorier toutes les opérations de longue durée d’une relation d’administrateur délégué | Répertorier les opérations |
| Obtenir une opération longue d’une relation d’administrateur délégué | Get delegatedAdminRelationshipOperation |
Clients administrateurs délégués
| Cas d'utilisation | API |
|---|---|
| Répertorier tous les clients administrateurs délégués | Répertorier delegatedAdminCustomers |
| Obtenir un seul client administrateur délégué par ID | Get delegatedAdminCustomer |
| Obtenir les détails de la gestion des services pour un client administrateur délégué | Répertorier serviceManagementDetails |
Autorisations
Pour gérer les relations d’administrateur délégué, le principal appelant doit se trouver dans le locataire partenaire et disposer des autorisations d’administrateur délégués granulaires appropriées.
Confiance Zéro
Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance Zéro :
- Vérifiez explicitement.
- Utiliser le privilège minimum
- Supposez une violation.
Pour en savoir plus sur la Confiance Zéro et d’autres façons d’aligner votre organisation sur les principes directeurs, consultez le Centre d’aide confiance zéro.