أمن Microsoft والامتثال: GDAP مقابل DAP.

مع تطبيق نموذج الأمان Zero Trust على جميع منتجات Microsoft وخدماتها وأنظمة شركائها، تقرر Microsoft إنهاء امتيازات الإدارة المفوضة (DAP) لصالح امتيازات الإدارة المفوضة الأكثر أمانًا (GDAP).

يؤثر هذا على جميع شركاء Microsoft على مستوى العالم، ولكنه تغيير يعود بالفائدة على جميع عملاء Microsoft بشكل عام.

أولاً وقبل كل شيء، تماشياً مع مبدأ التحقق "الصفر ثقة" واستخدام الوصول الأقل امتيازاً، يوفر GDAP أدواراً أكثر وضوحاً ومعلمات حساسة للوقت لوصول الشركاء إلى بيئات العملاء مقارنةً بـ DAP.

يقتصر الوصول على المستأجرين من العملاء على مستوى أعمق، مما يقلل من المخاطر الأمنية بين شركاء Microsoft وعملائهم. وبشكل أكثر تحديدًا، توضح GDAP تفاصيل الوصول على مستوى العميل والمستأجر الشريك والمستخدم الشريك وحجم العمل لمختلف خدمات Microsoft.

يهدف GDAP إلى توفير تدابير حماية حول الوصول إلى بيانات العملاء، مع مساعدة الشركاء في الوقت نفسه على تلبية متطلبات العملاء التنظيمية التي تقضي بالسماح فقط بالوصول الأقل امتيازًا إلى المزودين.

في نهاية مايو 2023، قامت Microsoft بتحويل علاقات DAP النشطة وغير النشطة إلى علاقات GDAP ذات أدوار Azure Active Directory (AAD) محدودة.

خلال الـ 60 يوماً التالية، تمت إزالة علاقات DAP المقابلة. لم تتأثر أي علاقات انتقلت من DAP إلى GDAP قبل شهر مايو، لكن Microsoft قامت بتعطيل جميع عمليات الوصول المتبقية إلى DAP في نهاية شهر يوليو.

يمكن لشركاء Microsoft تعيين مستخدميهم إلى مجموعات أمان مختلفة وأدوار مرتبطة بها.

يتم منح هذه المجموعات الأمنية حق الوصول إلى أحمال عمل العملاء لفترة محددة، بحد أقصى عامين. وبمجرد انتهاء المدة، يتم إنهاء الوصول تلقائيًا.

في حين أن اتصالات DAP لا تنتهي صلاحيتها أبدًا، فإن اتصالات GDAP تنتهي صلاحيتها تلقائيًا لخلق بيئة أكثر أمانًا. عندما توشك علاقة GDAP على الانتهاء، سيتلقى كل من الشريك والعميل إشعارًا عبر البريد الإلكتروني قبل 30 يومًا وسبعة أيام ويوم واحد من انتهاء الصلاحية. لن يتمكن المستخدمون الشركاء الذين تم تعيينهم في مجموعة أمان لهذا العميل من الوصول إلى الخدمات أو إدارتها دون تجديد. لتجديد مدة إذن الوصول، يجب إرسال طلب GDAP جديد إلى العميل.

نظرًا لأن GDAP يهدف إلى تقليل المخاطر بشكل كبير لعملاء Microsoft من الشركات، فإنه يوفر حلول أمان أكثر تفصيلاً من DAP.

وتشمل هذه:

مستوى الوصول/الأدوار
توفر لك علاقات DAP أدوار المسؤول الإداري العام ومسؤول مكتب المساعدة بشكل افتراضي، على الرغم من أنه لا يمكنك تغييرها. يتيح GDAP مستوى أعمق من تخصيص الأذونات التي يمكن أن تكون فريدة لكل عميل. هذا أمر مهم إذا كنت تعمل مع مزود حاليًا ولا تريد أي مخاطر من أطراف ثالثة.

الجدول الزمني للعلاقة
تستمر علاقات DAP إلى الأبد. يقبل العميل رابط الإدارة المفوض، وتكون هذه العلاقة دائمة ما لم تدخل إلى الإعدادات وتقوم بإزالة العلاقة يدويًا. يتيح GDAP إنشاء جداول زمنية مخصصة لمدة العلاقة، بحد أقصى مدته سنتان.

رابط الدعوة
روابط علاقات DAP عالمية لكل منطقة. وهذا يعني أنك تستخدم نفس رابط DAP لكل عميل يتم تسجيله في مركز الشركاء. يوفر GDAP مستويات مختلفة من الوصول لكل عميل، مما يعني أن كل دعوة فريدة لكل عميل.

تعيين مجموعة الأمان
في علاقات DAP، لا توجد طبقات للتعيين. يتم منح نفس مستوى الوصول إلى كل عضو في بيئة مركز الشركاء الذي لديه حق الوصول إلى العملاء. يتيح GDAP مجموعات أمان متداخلة ضمن أدوار منفصلة، مما يوفر درجة أكبر من الأذونات المتنوعة.

سجلات الأنشطة
مع DAP، لا توجد سجلات أنشطة تفصيلية توضح متى يتم الاستفادة من أذونات الوصول المفوضة من مركز الشركاء. كما أنها لا تتضمن أي معلومات حول دورة حياة علاقة المسؤول المفوض، مثل متى تم قبولها أو إزالتها. يوفر GDAP رؤية أكبر في سجلات أنشطة AAD على مستوى المزود والعميل.

الوصول إلى مركز S&C
لا يسمح لك DAP بالدخول إلى بعض بوابات الإدارة نيابة عن العملاء من خلال مراكز الشركاء. يوفر GDAP مرونة أكبر ويتميز بكونه أكثر سهولة في الاستخدام من سابقه.

دعم PIM
إدارة الهوية المميزة (PIM) هي خدمة من Microsoft تتيح مستويات وصول "في الوقت المناسب". وهي تتيح لك بشكل أساسي رفع دورك مؤقتًا لأداء مهام إدارية معينة. تقترن PIM بـ GDAP للسماح للمزودين برفع الامتيازات إلى بعض مجموعات الأمان التي لها أدوار معينة في بيئات العملاء، مما يحسن الأمان بشكل أكبر من خلال السماح بالاستجابة السريعة لمشكلات محددة.

GDAP متاح لجميع شركاء Microsoft بما في ذلك CSPs و MSPs.

هذه التغييرات، كما ذكرنا سابقًا، سارية المفعول منذ مايو 2023، حيث انتقل جميع المستخدمين الذين ما زالوا يستخدمون DAP بالكامل إلى علاقة GDAP، وتم إنهاء علاقة DAP بحلول نهاية يوليو.

في السابق، كان كل من الموزعين مثل CSP Tier 1s و MSPs مثل الموزعين غير المباشرين قد أنشأوا DAP مع جميع العملاء النهائيين. وقد سمح ذلك للموزعين بترخيص العملاء المستأجرين وتقديم الدعم لهم، بينما سمح في الوقت نفسه لـ MSPs والشركاء بتقديم الدعم والإدارة من خلال مركز الشركاء.

الآن، يتمتع المزودون بقدر أكبر من التحكم في الوصول التفصيلي والمحدد زمنياً لأعباء عمل العملاء، بحيث يمكنهم معالجة مخاوف العملاء الأمنية بسهولة أكبر. أصبح لدى مزودي خدمات السحابة (CSP) ومزودي خدمات إدارة الأنظمة (MSP) والشركاء الآن مساعدة أكبر في معالجة المخاوف المتعلقة بأمن البيانات، مما يقلل من احتمالية وقوع حوادث أمنية في المستقبل. يمكن لهذه الكيانات أيضاً الإبلاغ عن كيفية وصول فرق المزودين إلى مستأجري المؤسسات.

يمكن للمزودين تقييد وصول موظفيك الذين يديرون خدمات عملائك وبيئاتك، كما يمكنهم إيقاف أو تقليل اتصالات GDAP أو DAP غير المستخدمة لتقليل المسؤولية وتحسين الأمان.