什么是委托管理?
管理外部合作伙伴的权限是保障安全的一个关键部分。 我们已将功能添加到属于 Microsoft Entra 的 Microsoft Entra ID 中的管理员门户体验,以便管理员可查看其 Microsoft Entra 租户与可管理租户的 Microsoft 云服务提供商 (CSP) 之间的关系。 此权限模型称为委托管理。 在本文中,Microsoft Entra 管理员可了解旧的委托管理员权限 (DAP) 权限模型与新的精细委托管理员权限 (GDAP) 权限模型之间的关系。
委托管理关系
委托管理关系使 Microsoft CSP 的技术人员能够代表组织管理 Microsoft 365、Dynamics 365 和 Azure 等 Microsoft 服务。 这些技术人员使用与组织自己的管理员相同的角色和权限为你管理这些服务。 这些角色分配给 CSP 的 Microsoft Entra 租户中的安全组,因此 CSP 技术人员无需你的租户中的用户帐户可为你管理服务。
Azure 门户体验中会显示两种类型的委托管理关系。 在委托管理员关系中,较新的类型被称为精细委托管理员权限。 较旧的关系类型称为委托管理员权限。 如果登录到 Azure 门户,然后选择“委托管理”,就会看到两种类型的关系。
精细委托管理员权限
当 Microsoft CSP 为租户创建 GDAP 关系请求时,全局管理员需要批准该请求。 GDAP 关系请求指定:
- CSP 合作伙伴租户
- 合作伙伴需要委托给其技术人员的角色
- 到期日期
如果租户中有 GDAP 关系,Microsoft Entra 管理中心中的“委派管理”页上会显示通知横幅。 选择通知横幅,在 Microsoft 管理中心的“合作伙伴”页中查看和管理 GDAP 关系。
委托管理员权限
所有 DAP 关系使 CSP 能够将全局管理员和帮助台管理员角色委托给其技术人员。 与 GDAP 关系不同,DAP 关系会一直存在,直到你或 CSP 撤销该关系。
如果租户中存在任何 DAP 关系,则 Azure 门户中“委派管理”页上的列表中会显示这些关系。 若要删除 CSP 的 DAP 关系,请按照链接转到 Microsoft 管理中心的“合作伙伴”页。
后续步骤
如果你是管理员的入门 Microsoft Entra,请在 Microsoft Entra 基础知识中了解基础知识。