擴充細粒度的委派系統管理員許可權(GDAP)
適當的角色:系統管理代理程式
合作夥伴可以識別已過期或即將到期的細微委派系統管理員許可權 (GDAP) 關聯性,並自動延長許可權。
先決條件
若要管理 GDAP Autoextend,您必須:
- 擁有角色: 系統管理員代理程式
使用篩選識別過期的細微關聯性
使用篩選來尋找過期或即將在不同的時間範圍內到期的 GDAP 關聯性。
- 合作夥伴系統管理員代理程式可以在 30 天內、7 天、1 天和 30 天后檢視作用中的 GDAP 到期。 他們也可以檢視過去一年內到期的 GDAP。
- 即將過期 GDAP 關係的區塊(前四個)代表活躍 GDAP 和 GDAP 關係的數量與百分比。 過期的磁磚(最末磁磚)代表整體 GDAP 的數量和百分比。
- 每個圖格都代表整體 GDAP 的計數和百分比。
- 每個區塊會作為篩選器來表示,僅顯示對應的 GDAP。
- 使用 搜尋功能 以客戶名稱或管理員關係名稱進行搜尋。
- 使用 [下載] 選項來下載 GDAP。
注意
您無法還原過期的 GDAP,或啟用它們。
管理 GDAP 自動擴充
合作夥伴現在可以選取一或多個 GDAP(最多 25 個)來啟用或停用自動擴充。 當您針對 GDAP 啟用自動擴充時,自動擴充的持續時間會設定為是 (六個月)。 具有自動擴充的 GDAP 不會在 GDAP 的最後一天到期。 它會自動向前推進六個月,因此合作夥伴不需要要求新的 GDAP、取得客戶同意或執行存取權指派。 針對 GDAP 停用 Autoextend 時,合作夥伴會在到期前 30 天、7 天和 1 天收到通知。
合作夥伴可以選取 GDAP,然後選擇 [ 啟用自動擴充 ] 以開啟自動擴充。
合作夥伴可以選取 GDAP,然後選擇 停用自動擴充 以關閉自動擴充。
合作夥伴可以一次選取多個 GDAP,以啟用或停用自動擴充。
![[過期細微關聯性] 頁面的螢幕快照。一次選取多個客戶。](../media/expiring-gdap-relationships/selecting-granular-relationships.png)
![[過期細微關聯性] 頁面的螢幕快照。一次選取多個客戶。](../media/expiring-gdap-relationships/selecting-granular-relationships.png#lightbox)
不要使用全域管理員自動擴充 GDAP
若要配合零信任和最低許可權存取,您無法自動擴充具有 全域管理員Microsoft Entra 角色的 GDAP。
- 具有全域管理員角色的 GDAP 在 自動延長持續時間欄中顯示 NA。
拿掉全域管理員角色
合作夥伴可以使用具有全域管理員的新篩選器 來顯示具有全域管理員 角色的 GDAP。
使用下列步驟從 GDAP 移除全域管理員角色。
選取一或多個 GDAP 角色。 [移除全域管理員角色] 按鈕會啟動。
選取 [ 移除全域管理員角色]。
移除全域管理員角色後,相應的管理員關係就有資格 自動延展。
已移除與全域管理員角色相關聯的存取指派。![[過期細微關聯性] 頁面的螢幕快照。[移除全域管理員角色] 按鈕會高亮顯示。](../media/expiring-gdap-relationships/remove-granular-relationships.png)
![[過期細微關聯性] 頁面的螢幕快照。[移除全域管理員角色] 按鈕會高亮顯示。](../media/expiring-gdap-relationships/remove-granular-relationships.png#lightbox)