管理外部合作伙伴的权限是保障安全的一个关键部分。 Microsoft Entra ID 中的管理员门户体验(Microsoft Entra 的一部分)现在包括功能,以便管理员可以查看其Microsoft Entra 租户与可管理租户的 Microsoft 云服务提供商(CSP)的关系。 此权限模型称为委托管理。 在本文中,Microsoft Entra 管理员可了解旧的委托管理员权限 (DAP) 权限模型与新的精细委托管理员权限 (GDAP) 权限模型之间的关系。
委托管理关系
委托管理关系使 Microsoft CSP 的技术人员能够代表组织管理 Microsoft 365、Dynamics 365 和 Azure 等 Microsoft 服务。 这些技术人员使用与组织自己的管理员相同的角色和权限为你管理这些服务。 这些角色分配给 CSP 的 Microsoft Entra 租户中的安全组,因此 CSP 技术人员无需你的租户中的用户帐户可为你管理服务。
Azure 门户体验中会显示两种类型的委托管理关系。 较新类型的委托管理员关系被称为精细委托管理员权限。 较旧的关系类型称为委托管理员权限。 如果登录到 Azure 门户,然后选择“委托管理”,就会看到两种类型的关系。
细粒度委托管理员权限
当 Microsoft CSP 为租户创建 GDAP 关系请求时,全局管理员需要批准该请求。 GDAP 关系请求指定:
- CSP 合作伙伴租户
- 合作伙伴需要分配给其技术人员的角色
- 到期日期
如果租户中有 GDAP 关系,Microsoft Entra 管理中心中的“委派管理”页上会显示通知横幅。 选择通知横幅,在 Microsoft 管理中心的“合作伙伴”页中查看和管理 GDAP 关系。
委托管理员权限
所有 DAP 关系使 CSP 能够将全局管理员和帮助台管理员角色委托给其技术人员。 与 GDAP 关系不同,DAP 关系会一直存在,直到你或 CSP 撤销该关系。
如果租户中有任何 DAP 关系,可以在 Azure 门户的 “委派管理 ”页上的列表中看到它们。 若要删除 CSP 的 DAP 关系,请遵循Microsoft管理中心中“ 合作伙伴 ”页的链接。
后续步骤
如果你是 Microsoft Entra 的新手管理员,请在 Microsoft Entra 基础知识中掌握基本常识。