Microsoft-Sicherheitsunterstützung

Microsoft-Sicherheit und Compliance: GDAP vs. DAP.

Microsoft wird bis August 2023 die delegierten Administratorrechte (DAP) zugunsten der sichereren granularen delegierten Administratorrechte (GDAP) abschaffen.
Mike Jones
Verfasst von:
Mike Jones
Veröffentlicht am 23, 2023
Microsoft GDAP vs. DAP

Microsoft-Sicherheit und Compliance: GDAP vs. DAP

Da das Zero-Trust-Sicherheitsmodell in allen Microsoft-Produkten, -Diensten und -Partner-Ökosystemen implementiert wird, beendet Microsoft die delegierten Administratorrechte (DAP) zugunsten der sichereren granularen delegierten Administratorrechte (GDAP).

Dies betrifft alle Microsoft-Partner weltweit, ist jedoch eine Änderung, von der alle Microsoft-Kunden allgemein profitieren.

Microsoft GDAP vs. DAP

Was sind granular delegierte Administratorrechte?

In erster Linie und vor allem bietet GDAP im Einklang mit dem Zero-Trust-Prinzip der Verifizierung und der Verwendung von Zugriffsrechten mit geringsten Privilegien explizitere Rollen und zeitkritische Parameter für den Zugriff von Partnern auf Kundenumgebungen als DAP.

Der Zugriff ist auf Kundenmandanten auf einer tieferen Ebene beschränkt, wodurch das Sicherheitsrisiko zwischen Microsoft-Partnern und ihren Kunden verringert wird. Genauer gesagt, GDAP beschreibt den Zugriff auf Kunden-, Partnermandanten-, Partnerbenutzer- und Workload-Ebene für verschiedene Microsoft-Dienste.

GDAP dient als Schutzmaßnahme für den Zugriff auf Kundendaten und unterstützt Partner gleichzeitig dabei, Kunden bei der Einhaltung gesetzlicher Vorschriften zu unterstützen, die nur einen Zugriff mit minimalen Berechtigungen auf Anbieter zulassen.

Zeitplan für den Übergang von DAP zu GDAP

Ende Mai 2023 hat Microsoft sowohl aktive als auch inaktive DAP-Beziehungen auf GDAP-Beziehungen mit eingeschränkten Azure Active Directory (AAD)-Rollen umgestellt.

In den folgenden 60 Tagen wurden die entsprechenden DAP-Beziehungen entfernt. Beziehungen, die vor Mai von DAP zu GDAP umgestellt wurden, waren davon nicht betroffen, aber Microsoft hat Ende Juli alle verbleibenden DAP-Zugriffe deaktiviert.

Wie funktioniert GDAP?

Microsoft-Partner können ihre Benutzer verschiedenen Sicherheitsgruppen und zugehörigen Rollen zuweisen.

Diese Sicherheitsgruppen erhalten für einen festgelegten Zeitraum von maximal zwei Jahren Zugriff auf Kunden-Workloads. Nach Ablauf dieses Zeitraums wird der Zugriff automatisch beendet.

Während DAP-Verbindungen niemals ablaufen, werden GDAP-Verbindungen automatisch beendet, um eine sicherere Umgebung zu schaffen. Wenn eine GDAP-Beziehung kurz vor dem Ablauf steht, erhalten sowohl der Partner als auch der Kunde 30 Tage, sieben Tage und einen Tag vor Ablauf eine E-Mail-Benachrichtigung. Partnerbenutzer, die einer Sicherheitsgruppe für diesen Kunden zugewiesen wurden, haben ohne Verlängerung keinen Zugriff mehr und können keine Dienste mehr verwalten. Um die Dauer der Zugriffsberechtigung zu verlängern, muss eine neue GDAP-Anfrage an den Kunden gesendet werden.

Ein tieferer Einblick in GDAP-Beziehungen

Da GDAP darauf abzielt, das Risiko für Microsoft-Unternehmenskunden erheblich zu reduzieren, bietet es detailliertere Sicherheitslösungen als DAP.

Dazu gehören:

Zugriffsebene/Rollen
DAP-Beziehungen bieten Ihnen standardmäßig die Rollen „Global Admin“ und „Helpdesk Admin“, die Sie jedoch nicht ändern können. GDAP ermöglicht eine tiefere Ebene der Berechtigungskundigmachung, die sogar für jeden Kunden individuell angepasst werden kann. Dies ist wichtig, wenn Sie derzeit mit einem Anbieter zusammenarbeiten und keine Risiken durch Dritte eingehen möchten.

Beziehungszeitachse
DAP-Beziehungen sind dauerhaft. Der Kunde akzeptiert den delegierten Admin-Link, und diese Beziehung bleibt bestehen, bis Sie in den Einstellungen die Beziehung manuell entfernen. GDAP ermöglicht die Erstellung benutzerdefinierter Zeitachsen für die Beziehungsdauer mit einem maximalen Zeitrahmen von zwei Jahren.

Einladungslink
DAP-Beziehungslinks sind regional universell. Das bedeutet, dass Sie für jeden Kunden, der im Partner Center registriert ist, denselben DAP-Link verwenden. GDAP bietet unterschiedliche Zugriffsebenen pro Kunde, sodass jede Einladung für jeden Kunden einzigartig ist.

Zuweisung von Sicherheitsgruppen
In DAP-Beziehungen gibt es keine Zuweisungsebenen. Alle Mitglieder in einer Partner Center-Umgebung, die Zugriff auf Kunden haben, erhalten denselben Zugriffslevel. GDAP ermöglicht verschachtelte Sicherheitsgruppen innerhalb separater Rollen und bietet so ein höheres Maß an diversifizierten Berechtigungen.

Aktivitätsprotokolle
Mit DAP gibt es keine detaillierten Aktivitätsprotokolle, aus denen hervorgeht, wann delegierte Zugriffsberechtigungen aus dem Partner Center genutzt werden. Sie enthalten auch keine Informationen zum Lebenszyklus einer delegierten Administratorbeziehung, z. B. wann sie akzeptiert oder entfernt wurde. GDAP bietet eine bessere Übersicht in den AAD-Aktivitätsprotokollen sowohl auf Anbieter- als auch auf Kundenebene.

Zugriff auf das S&C Center
Mit DAP können Sie bestimmte Admin-Portale nicht im Namen von Kunden über Partner-Center aufrufen. GDAP bietet mehr Flexibilität und ist intuitiver als sein Vorgänger.

PIM-Unterstützung
Privilege Identity Management (PIM) ist ein Microsoft-Dienst, der „Just-in-Time”-Zugriffsebenen ermöglicht. Im Wesentlichen können Sie damit Ihre Rolle vorübergehend erweitern, um bestimmte Verwaltungsaufgaben auszuführen. PIM wird mit GDAP gekoppelt, damit Anbieter Berechtigungen für bestimmte Sicherheitsgruppen mit bestimmten Rollen in Kundenumgebungen erweitern können, wodurch die Sicherheit durch eine schnelle Reaktion auf bestimmte Probleme weiter verbessert wird.

GDAP für alle

GDAP steht allen Microsoft-Partnern zur Verfügung, einschließlich CSPs und MSPs.

Diese Änderungen sind, wie bereits erwähnt, seit Mai 2023 in Kraft. Alle Nutzer, die noch DAP verwenden, wurden vollständig auf eine GDAP-Beziehung umgestellt, und die DAP-Beziehung wurde bis Ende Juli beendet.

Zuvor hatten sowohl Distributoren wie CSP Tier 1s als auch MSPs wie Indirect Resellers DAP mit allen nachgelagerten Kunden eingerichtet. Dadurch konnten Distributoren Kundenmandanten lizenzieren und Support leisten, während MSPs und Partner gleichzeitig die Möglichkeit hatten, Support und Verwaltung über das Partner Center anzubieten.

Anbieter haben nun eine bessere Kontrolle über den detaillierten und zeitlich begrenzten Zugriff auf Kunden-Workloads, sodass sie leichter auf die Sicherheitsbedenken ihrer Kunden eingehen können. CSPs, MSPs und Partner erhalten nun mehr Unterstützung bei der Bewältigung von Bedenken hinsichtlich der Datensicherheit, wodurch das Risiko zukünftiger Sicherheitsvorfälle verringert wird. Diese Unternehmen können auch darüber berichten, wie die Teams der Anbieter auf Unternehmensmandanten zugreifen.

Anbieter können den Zugriff Ihrer Mitarbeiter, die die Dienste und Umgebungen Ihrer Kunden verwalten, einschränken und auch ungenutzte GDAP- oder DAP-Verbindungen deaktivieren oder reduzieren, um die Haftung zu mindern und die Sicherheit zu verbessern.

Mike Jones
Mike Jones
Mike Jones gilt als führender Experte für Microsoft-Unternehmenslösungen und wurde von Gartner als einer der weltweit besten Fachleute für Microsoft Enterprise Agreements (EA) und Unified (ehemals Premier) Support-Verträge ausgezeichnet. Dank seiner umfangreichen Erfahrung im privaten, partnerschaftlichen und staatlichen Sektor ist Mike in der Lage, die besonderen Anforderungen von Fortune-500-Microsoft-Umgebungen fachkundig zu identifizieren und zu erfüllen. Seine beispiellosen Kenntnisse der Microsoft-Angebote machen ihn zu einer unschätzbaren Bereicherung für jedes Unternehmen, das seine Technologielandschaft optimieren möchte.

Verwandte Beiträge

Möchten Sie mehr erfahren? Die folgenden Beiträge beziehen sich auf den Inhalt, den Sie gerade gelesen haben.
GCC-Bereitschaft für Microsoft Copilot: Ein Leitfaden für eine sichere Einführung

GCC-Bereitschaft für Microsoft Copilot: Ein Leitfaden für eine sichere Einführung

Veröffentlicht am Dezember 16, 2025
Microsoft Copilot ist jetzt für GCC High verfügbar. Erfahren Sie, wie Sie sicher starten, Ihre Daten vorbereiten und kostengünstigen, konformen Microsoft-Support erhalten.
Microsoft Teams-Update zur Verbindung von Nicht-Microsoft-Benutzern: Wie IT-Teams die Zusammenarbeit sicher gestalten können

Microsoft Teams-Update zur Verbindung von Nicht-Microsoft-Benutzern: Wie IT-Teams die Zusammenarbeit sicher gestalten können

Veröffentlicht am 25, 2025
Ab November 2025 können Mitglieder von Microsoft Teams mit jeder Person, die über eine E-Mail-Adresse verfügt, chatten oder telefonieren. Hier erfahren Sie, warum dies die Produktivität steigert und Sicherheitsbedenken aufwirft.
Fordern Sie einen Kostenvoranschlag von US Cloud an, damit Microsoft seine Preise für den Unified Support senkt.

Verhandeln Sie nicht blind mit Microsoft

In 91 % der Fälle erhalten Unternehmen, die Microsoft einen US-Cloud-Kostenvoranschlag vorlegen, sofortige Rabatte und schnellere Zugeständnisse.

Selbst wenn Sie nie wechseln, bietet Ihnen eine US-Cloud-Schätzung:

  • Reale Marktpreise als Herausforderung für Microsofts „Friss oder stirb“-Haltung
  • Konkrete Einsparungsziele – unsere Kunden sparen 30–50 % gegenüber Unified
  • Verhandeln Sie mit Munition – beweisen Sie, dass Sie eine legitime Alternative haben
  • Risikofreie Informationen – keine Verpflichtung, kein Druck

 

„US Cloud war der Hebel, den wir brauchten, um unsere Microsoft-Rechnung um 1,2 Millionen Dollar zu senken.“
— Fortune 500, CIO