Granular Delegated Admin Privileges (GDAP)
Wie berechtigen wir uns sicher beim Kunden-Tenant?
GDAP vs. DAP
| DAP (alt) | GDAP (Standard) | |
|---|---|---|
| Berechtigungen | Global Admin | Granular pro Rolle |
| Zeitbegrenzung | Unbegrenzt | Max. 730 Tage |
| Sicherheit | Hoch-riskant | Least Privilege |
| Status | Deprecated | Concat Standard |
Standard GDAP-Rollen für Concat
| Sicherheitsgruppe (Concat) | Entra ID Rolle (Kunde) | Zweck |
|---|---|---|
| SG-GDAP-IntuneAdmins | Intune Administrator | Geräte- und App-Verwaltung |
| SG-GDAP-SecurityReaders | Security Reader | Monitoring und Reporting |
| SG-GDAP-HelpdeskOps | Helpdesk Administrator | Passwort-Reset, Basis-Support |
| SG-GDAP-UserAdmins | User Administrator | Benutzerverwaltung |
| SG-GDAP-CAAdmins | Conditional Access Admin | CA-Policy-Verwaltung |
Setup-Prozess
- GDAP-Beziehung im Partner Center erstellen
- Rollen zuweisen (siehe Tabelle oben)
- Laufzeit festlegen (Standard: 365 Tage)
- Kunde genehmigt die Beziehung
- Sicherheitsgruppen in Concat-Tenant zuweisen
Caution
Nie Global Admin über GDAP anfordern. Falls temporaer benötigt, direkt im Kunden-Tenant ein Admin-Konto anfordern.
Last updated on