Microsoft pilviympäristöjen hallintaoikeudet muuttuvat tietoturvallisemmaksi ja määräaikaiseksi. Käyttöön tulee uusi tapa raportoida, hallita ja luoda tarvittavia GDAP-käyttöoikeuksia. Tämä voi avata kumppaneille uusia mahdollisuuksia tietoturva-konsultoinnin alueella. Katso tästä ohjeet, miten siirrät asiakkaat Microsoft GDAP-hallintamalliin TD SYNNEXin avulla.
Sisältö:
- Mitä GDAP tarkoittaa?
- Vaikutus kumppaneille ja asiakkaille
- Mitä kumppanin kuuluu tehdä?
- Muutoksen aikataulu
- TD SYNNEX työkalut ja avut
Tietoturva pysyy edelleen kärjessä, kun mietitään nykyisen kaltaisen digiaikakauden haasteita. Turvallisen ja modernin tietoympäristön, on se sitten palvelu, yrityksen tietojärjestelmä tai mikä vaan laajempi ekosysteemi, luominen vaatii Zero Trust-ajatusmallin käyttöönottoa sekä investointia käyttäjien koulutukseen ja toimintatapoihin. Zero Trust-malli perustuu kolmeen perusperiaatteeseen: tarkista poikkeuksetta, käytä minimikäyttöoikeuksien periaatetta sekä oleta aina pahinta esimerkiksi tietomurtojen kohdalla. Modernin hybridityön aikakaudella perinteinen suojausmalli ei ole enää riittävä, vaan organisaatioiden on kyettävä toimimaan ja noudattamaan Zero Trust-mallia saavuttaakseen parhaan suojaustason liikkuvan työn aikakaudella.
Mitä GDAP tarkoittaa?
Osana Zero Trust-mallia Microsoft tuo lisää turvallisuutta CSP-ympäristöjen hallintaan. Aiempi ’Delegated Admin Priviledges (DAP)’ malli korvataan ’Granular Delegated Admin Priviledges (GDAP)’ mallilla muutamin uudistuksin. GDAP parantaa Zero Trust-mallin mukaisesti minimikäyttöoikeuksien periaatetta ja tuo erityisesti tähän kohtaan tarkemman tason, jolla oikeuksia voi kumppaneiden osalta hallita. Aiemman mallin rajattomasti voimassa olevat Owner- tai Admin-oikeudet muuttuvat aikarajoitteisiksi. Lisäksi uudella mallilla voidaan tarkemmin määritellä asiakas-, palvelu-, subscription-kohtaisia rooleja, tähän viittaa tuo uuden mallin Granular-määre mallin nimessä.
Puutteena aiemmassa DAP-mallissa on ollut esimerkiksi se, että mahdollistaakseen kumppanilleen CSP-mallin mukaisen asiakasympäristön hallinnan, tulee CSP-kumppanille, tässä tapauksessa TD SYNNEXille CSP-tukkurina, automaattisesti Admin-tason rooli asiakkaan tenanttiin tai tenantteihin. Puutteena DAP-mallissa on myös se, että roolimäärityksiä ei voida eriyttää käyttäjäkohtaisesti, asiakaskohtaisesti tai palvelukohtaisesti, eikä rooleille voi määrätä voimassaoloaikaa.
Nämä on korjattu GDAP-mallissa, jossa käyttöoikeuksia voidaan määrittää joustavasti poistaen edellä mainitut rajoitukset. Siten voidaan taata Zero Trust-mallin mukainen minimi-käyttäjäoikeuksien periaate. Uudistuksen yhteydessä myös kannustetaan välttämään Global Admin-tyyppisiä hallintaoikeuksia etenkin, jos niiden tarve kyseiseen rooliin on vähäinen.
Muutoksen vaikutukset kumppaneille ja asiakkaille?
Microsoftin CSP-kanavamyyntimallissa (Cloud Solution Provider) on kolme osapuolta, joilla kaikilla on oma rooli GDAP-mallissa toimiessaan. TD SYNNEX toimiessaan Microsoft CSP-tukkurin roolissa tarvitsee tarvittavan tasoiset käyttöoikeudet taatakseen tuki- ja muun vastaavan palvelun loppuasiakkaille sekä varmistaakseen hallinta- ja ostoportaalien toiminnan. GDAP-uudistuksen yksi tavoite on varmistaa, että kumppaneilla ei ole rajoittamatonta käyttöoikeutta asiakkaiden ympäristöihin vaan että nämä ovat hallittuja sekä tarpeiden mukaisia toteuttaen Microsoftin minimioikeuksien periaatteen.
Jälleenmyyjän tehtävä on hallinnoida asiakkaiden ympäristöjä ja varmistaa että tarvittavat käyttöoikeudet ovat halutun mukaisia. Loppuasiakas päättää kenellä pääsy hänen ympäristöönsä on ja minkä tasoisia oikeuksia eri osapuolille myönnetään.
Uusi GDAP-malli mahdollistaa tarkemman kontrollin sekä aikasidonnaisen hallinnan asiakkaan työkuormiin ja applikaatioihin. Tämä tarkoittaa, että kumppanit voivat paremmin ja laajemmin palvella asiakkaitaan tietoturvahaasteiden osalta. Kumppaneille aukeaa mahdollisesti uusia liiketoimintamahdollisuuksia sekä mahdollisuus tarjota jatkuvia palveluja niiden asiakkaiden kohdalla, jotka haluavat hyödyntää uuden mallin mahdollistamaa tarkempaa pääsynhallintaa tai jotka esimerkiksi tiukempien lainsäädännöllisten vaatimusten vuoksi haluavat rajoittaa pääsyn mahdollisimman rajatulle käyttäjäkunnalle.
Kumppanit, jotka pystyvät kertomaan uudistuksesta sekä argumentoimaan muutoksen vaikutukset omille asiakkailleen, ovat tietenkin paremmassa asemassa kilpailijoihinsa nähden esiintyen näin asiakaskentässä luotettavana ja osaavana toimijana.
Tämäkin uudistus on sellainen, jonka myötä vanha käytäntö tulee poistumaan ja GDAP korvaa DAP-mallin siirtymäajan jälkeen. Tämä tulee siten osaltaan parantamaan Microsoftin ratkaisujen ja niitä käyttävien asiakkaiden tietoturvaa.
Jälleenmyyjän oikeudet asiakasympäristöihin määritellään Partner Centerissä asiakaskohtaisesti. Lisätietoa siitä, miten tämä tehdään, löydät Microsoftin ohjeesta täältä: Obtain granular admin permissions to manage a customer's service - Partner Center | Microsoft Learn
Jos käytössäsi on Microsoft 365 Lighthouse asiakkaiden ympäristöjen hallintaan, kumppanilla täytyy jatkossa olla tarvittavat GDAP-mukaiset oikeudet, jotta sinulla säilyy pääsy asiakkaidesi tenanteille. Tämä muutos tullaan tekemään jossain vaiheessa lähitulevaisuudessa, tarkempi aikataulu ei ole vielä tällä hetkellä selvillä.
Mitä kumppanin kuuluu tehdä?
Olemassa olevat Microsoft-asiakkaat ja tilaukset
Ei välttämättä mitään, ainoastaan olla tietoinen mitä GDAP merkitsee ja mitkä sen vaikutukset sekä mahdollisuudet ovat. Kuten edellä todettiin, tämä voi avata uusia mahdollisuuksia tietoturva-konsultoinnin alueella.
TD SYNNEX on ollut uudistuksessa mukana jo sen suunnitteluvaiheessa ja olemme tehneet tarvittavat muutokset työkaluihin ja prosesseihin. Me tulemme siirtämään kumppaneiden puolesta kaikki olemassa olevat Microsoft-asiakkaat uuteen GDAP-malliin suositeltujen roolimääritysten mukaisina tammi-helmikuun aikana. Tämä siirtymä ei vaadi toimenpiteitä loppuasiakkailta. Siirtoprojektin jälkeen sekä DAP- että GDAP-mallien mukaiset oikeudet ovat aktiivisena, ja DAP-linkitys poistetaan myöhemmin automaattisesti.
Uuden mallin mukaisesti, ja jos niin halutaan, kumppaneiden pääsyä asiakasympäristöihin voidaan rajoittaa tarpeen mukaisesti ja siten tehdä GDAP-siirtymä haluamallaan tavalla. Prosessi on lyhyesti kuvattu alla olevassa kuvassa sekä tarkemmin oheisessa linkissä: TD SYNNEX GDAP in CSP Guide to resellers
Uudet tilaukset
Aiemmin DAP-mallia käytettäessä StreamOne-alusta loi automaattisesti tarvittavat hallintaoikeudet sekä kumppanille että TD SYNNEXille. Tämä ei uuden GDAP-mallin mukaisesti ole enää mahdollista vaan kaikki muutokset ja oikeudet tulevat tietoisesti erikseen myöntää. Tämän takia uutta tenanttia luotaessa loppuasiakasta pyydetään myöntämään GDAP-mallin mukainen rooli kumppanille (tässä tapauksessa TD SYNNEX).
Kumppanin tehtäväksi jää siis huolehtia, että asiakas ymmärtää mistä on kyse tällaisen viestin saadessaan ja huolehtii että tarvittavat hyväksynnät tulevat tehdyksi. Tämä on tarpeen hallintaportaalin toimivuuden varmistamiseksi sekä CSP-mallin mukaisen tuen tarjoamiseksi.
GDAP siirtymän aikataulu (Päivitetty 16.2.2023)
- 1.6.2022
- Microsoftin GDAP lanseerattiin (General Availability). TD SYNNEX StreamOne platformiin tuotiin GDAP raportointi ja GDAP käyttöoikeuksien hallintamahdollisuus
- 17.1.2023
- Microsoft lopettaa DAP-muotoisten kumppani- ja asiakaslinkitysten luomisen uusille asiakkaille ja uusille CSP-kumppaneille. Kumppani-linkitykset päivitetään tukemaan ainoastaan GDAP-mallia
- Microsoft aloittaa sellaisten DAP-linkitysten poiston, joita ei ole käytetty viimeiseen 90 päivään
- Huhtikuu / Toukokuu 2023
- DAP-GDAP siirtymä aloitetaan TD SYNNEXin toimesta jo olemassa oleville asiakkaille. Tämän aikana poistetaan aiempi DAP-mallin linkitys ja se korvataan GDAP-linkityksellä. Nykyiset kumppanilinkitykset säilyvät ennallaan StreamOne platformissa.
- Toteutamme tämän omana TD SYNNEX-projektina ennen Microsoftin massasiirtymää (ks alla) jotta voimme tarjota kokonaisvaltaisen tuen GDAP-muutokselle oman StreamOne-platformimme kautta
- 22.5.2023
- Microsoft aloittaa olemassa olevien ja aktiivisten DAP-linkitysten siirron GDAP-mallin mukaisiksi rajoitetuin Azure AD-roolein, noudattaen minimikäyttöoikeuksien periaatetta. Kumppaneiden tehtäväksi jää viimeistellä roolien määrittely, jotta pääsy Azure-tilauksille säilyy. Katso lisätietoa Microsoft dokumentaatiosta alla olevasta linkistä:
- Näiden siirron aikana myönnettyjen GDAP-roolien avulla (Directory Reader, Global Reader, User Administrator, License Administrator, Service Support Administrator ja HelpDesk Administrator) voit jatkossa suorittaa ainostaan roolin mukaisia toimenpiteitä
TD SYNNEX avut ja työkalut
TD SYNNEX StreamOne-kauppapaikat tukevat GDAP-mallia kolmella alueella:
- Raportointi
- Käyttäjien hallinta
- Uusien tenantien luonti
Raportointi
Jälleenmyyjä näkee raportointitoiminteen avulla yhteenvedon TD SYNNEXin käyttöoikeuksista asiakkaidensa ympäristöihin. SCM-portaalissa löydät tämän Reseller Portaalista, kohdasta Insights -> GDAP Report, ks kuvakaappaus alla.
Käyttäjien hallinta
StreamOne SCM-portaalissa voit hallita käyttäjiä, resetoida heidän salasanansa ja määritellä käytettävissä olevat lisenssit. Löydät tämän kohdasta Reseller Portal -> Digital Locker -> Manage Tenant. Jos tarvittavia GDAP-mallin oikeuksia ei ole määritelty, saat alla olevan kuvakaappauksen mukaisen kyselyn, jonka avulla GDAP-oikeudet voidaan myöntää loppuasiakkaan käyttäjän toimesta.
Huomaa, että asiakkaan yhteyshenkilö täytyy olla sellainen käyttäjä jolla on kyseiseen tenanttiin admin-tasoiset oikeudet.
Jos et ole varma onko GDAP-pyyntö jo lähetetty, voit varmistaa tämän painamalla ’Manage Users’-linkkiä. Jos pyyntöä ei ole vielä hyväksytty, näet alla olevan ilmoituksen. Huomaathan että ennen loppuasiakkaan GDAP-hyväksyntää et näe etkä voi hallinnoida asiakkaan puolesta heidän käyttäjätietojaan. Kun asiakas hyväksyy pyynnön, näet siitä ilmoittavan sähköpostin.
Uusien tenanttien luonti
Jos olet luomassa uutta M365-tenanttia niin GDAP-mallin mukaisesti käyttäjältä pyydetään valtuutus GDAP-roolien määrittämistä varten. Olemme määrittäneet kaksi oletusarvoa roolimäärittelyä varten, jotka ovat:
GDAP Recommended access (suositus – oletus):
- Mahdollistaa TD SYNNEXn roolin tarjota teknistä tukea kumppanille CSP-mallin mukaisesti. On vaatimus TD SYNNEX CSS Elite ja Basic-tukea varten (technical break&fix-mukainen tukipalvelu)
- Voimassaoloaika 2 vuotta. Uusittaessa vaatii asiakkaan uuden hyväksynnän GDAP-pyynnölle
- Roolit, jotka myönnetään TD SYNNEXille, ovat seuraavat:
Global administrator, License administrator, Billing administrator, Global reader, Helpdesk administrator, Intune administrator, Priviledged authentication administrator, Security administrator, Service support administrator, User administrator, Directory reader
GDAP Limited access:
- Mahdollistaa ainoastaan sen, että TD SYNNEX voi avata tukitikettejä kumppanin puolesta. Rajoitettu platform-toiminnallisuus
- Voimassaoloaika 2 vuotta
- Roolit, jotka myönnetään TD SYNNEXille, ovat seuraavat:
Directory reader, Service support administrator
TD SYNNEXin suositus on noudattaa GDAP Recommended access-roolia aina kun se vain on mahdollista. Tämä sen takia että pystymme tukemaan kumppaneitamme sekä asiakkaita haluamallamme tavalla.
Roolimääritys luodaan uuden tenantin määrittelyssä seuraavalla tavalla:
Guest User-roolin käyttö GDAP-mallissa
Väliaikaista käyttöä varten on mahdollista hyödyntää Guest User-määrittelyä. Tämä voi olla tarpeen esimerkiksi tukipalvelun tai lyhytaikaisen projektin yhteydessä, ja voidaan ottaa käyttöön nopeasti sekä poistaa tarpeen poistuttua välittömästi.
Guest User-määrittelyn avulla voidaan myös määritellä väliaikaiselle käytölle rooleja, jotka eivät ole edellä mainituissa GDAP Recommended access tai GDAP Limited access-malleissa oletusarvoisesti mukana.
Voit määritellä Guest User-käyttäjän alla olevan ohjeen avulla:
Lisätietoa löydät oheisen linkin Microsoft-ohjeesta: Quickstart: Add a guest user and send an invitation
Lisätietoa ja linkit:
Microsoft Granular Delegated Admin Privileges (GDAP) StreamOne Cloud Marketplace (SCM)
Granular Delegated Admin Privileges (GDAP) in Cloud Solution Provider (CSP)