Soporte técnico de seguridad de Microsoft

Seguridad y cumplimiento normativo de Microsoft: GDAP frente a DAP.

Microsoft pondrá fin a los privilegios de administrador delegado (DAP) en favor de los privilegios de administrador delegado granulares (GDAP), más seguros, en agosto de 2023.
Mike Jones
Escrito por:
Mike Jones
Publicado el 23, 2023
Microsoft GDAP frente a DAP

Seguridad y cumplimiento normativo de Microsoft: GDAP frente a DAP

A medida que se implementa el modelo de seguridad Zero Trust en todos los productos, servicios y ecosistemas de socios de Microsoft, Microsoft está poniendo fin a los privilegios de administrador delegados (DAP) en favor de los privilegios de administrador delegados granulares (GDAP), que son más seguros.

Esto afecta a todos los socios de Microsoft a nivel mundial, pero es un cambio que beneficia a todos los clientes de Microsoft de forma universal.

Microsoft GDAP frente a DAP

¿Qué son los privilegios administrativos delegados granulares?

En primer lugar, y lo más importante, siguiendo el principio de verificación Zero Trust y utilizando el acceso con privilegios mínimos, GDAP ofrece funciones más explícitas y parámetros más sensibles al tiempo para el acceso de los socios a los entornos de los clientes que DAP.

El acceso está restringido a los inquilinos de los clientes a un nivel más profundo, lo que reduce el riesgo de seguridad entre los socios de Microsoft y sus clientes. Más concretamente, GDAP detalla el acceso a nivel de cliente, inquilino socio, usuario socio y carga de trabajo para diferentes servicios de Microsoft.

El GDAP está pensado como una medida de protección en torno al acceso a los datos de los clientes, al tiempo que ayuda a los socios a adaptarse a los requisitos normativos de los clientes para permitir solo el acceso con privilegios mínimos a los proveedores.

Cronología de la transición de DAP a GDAP

A finales de mayo de 2023, Microsoft realizó la transición de las relaciones DAP activas e inactivas a relaciones GDAP con roles limitados de Azure Active Directory (AAD).

Durante los siguientes 60 días, se eliminaron las relaciones DAP correspondientes. Las relaciones que pasaron de DAP a GDAP antes de mayo no se vieron afectadas, pero Microsoft ha desactivado todo el acceso DAP restante a finales de julio.

¿Cómo funciona el GDAP?

Los socios de Microsoft pueden asignar a sus usuarios a diferentes grupos de seguridad y roles asociados.

Estos grupos de seguridad tienen acceso a las cargas de trabajo de los clientes durante un periodo de tiempo determinado, de hasta dos años como máximo. Una vez finalizado ese periodo, el acceso se cancela automáticamente.

Mientras que las conexiones DAP nunca caducan, las conexiones GDAP caducan automáticamente para crear un entorno más seguro. Cuando una relación GDAP está a punto de caducar, tanto el socio como el cliente recibirán una notificación por correo electrónico 30 días, siete días y un día antes de la finalización. Los usuarios socios que fueron asignados a un grupo de seguridad para ese cliente ya no tendrán acceso ni podrán administrar servicios sin una renovación. Para renovar la duración del permiso de acceso, se deberá enviar una nueva solicitud GDAP al cliente.

Una mirada más profunda a las relaciones GDAP

Dado que GDAP tiene como objetivo reducir significativamente el riesgo para los clientes empresariales de Microsoft, ofrece soluciones de seguridad más detalladas que DAP.

Entre ellos se incluyen:

Nivel de acceso/Funciones
Las relaciones DAP le proporcionan funciones de administrador global y administrador del servicio de asistencia técnica de forma predeterminada, aunque no puede cambiarlas. GDAP permite un nivel más profundo de personalización de permisos que incluso se puede hacer único para cada cliente. Esto es importante si trabaja con un proveedor actualmente y no desea riesgos de terceros.

Cronología de la relación
Las relaciones DAP son permanentes. El cliente acepta el enlace de administrador delegado y esa relación es permanente, a menos que acceda a la configuración y elimine la relación manualmente. GDAP permite la creación de cronologías personalizadas para la duración de la relación, con un plazo máximo de dos años.

Enlace de invitación
Los enlaces de relación DAP son universales por región. Esto significa que se utiliza el mismo enlace DAP para todos los clientes que se incorporan al Centro de socios. GDAP ofrece diferentes niveles de acceso por cliente, lo que significa que cada invitación es única para cada cliente.

Asignación de grupos de seguridad
En las relaciones DAP, no hay niveles de asignación. Se concede el mismo nivel de acceso a todos los miembros de un entorno Partner Center que tienen acceso a los clientes. GDAP permite grupos de seguridad anidados dentro de roles separados, lo que ofrece un mayor grado de permisos diversificados.

Registros de actividad
Con DAP, no hay registros de actividad detallados que muestren cuándo se están aprovechando los permisos de acceso delegados desde el Centro de socios. Tampoco incluyen ninguna información sobre el ciclo de vida de una relación de administrador delegado, como cuándo se aceptó o se eliminó. GDAP proporciona una mayor visibilidad en los registros de actividad de AAD, tanto a nivel de proveedor como de cliente.

Acceso al Centro S&C
DAP no permite acceder a determinados portales de administración en nombre de los clientes a través de los centros de socios. GDAP ofrece mayor flexibilidad y es más intuitivo que su predecesor.

Soporte PIM
Privilege Identity Management (PIM) es un servicio de Microsoft que permite niveles de acceso «justo a tiempo». Básicamente, le permite elevar su rol temporalmente para realizar ciertas tareas administrativas. PIM se combina con GDAP para permitir a los proveedores elevar privilegios en algunos grupos de seguridad que tienen ciertos roles en entornos de clientes, lo que mejora aún más la seguridad al permitir una respuesta rápida para problemas específicos.

GDAP para todos

GDAP está disponible para todos los socios de Microsoft, incluidos los CSP y los MSP.

Estos cambios, como se ha indicado anteriormente, están en vigor desde mayo de 2023, y todos los usuarios que aún utilizan DAP han pasado a tener una relación GDAP, mientras que la relación DAP ha finalizado a finales de julio.

Anteriormente, tanto los distribuidores, como los CSP Tier 1, como los MSP, como los revendedores indirectos, habían establecido DAP con todos los clientes descendentes. Esto permitía a los distribuidores conceder licencias a los inquilinos de los clientes y proporcionarles asistencia, al tiempo que permitía a los MSP y a los socios proporcionar asistencia y gestión a través del Centro de socios.

Ahora, los proveedores tienen un mayor control sobre el acceso granular y limitado en el tiempo a las cargas de trabajo de los clientes, por lo que pueden abordar más fácilmente las preocupaciones de estos en materia de seguridad. Los CSP, MSP y socios cuentan ahora con una mayor ayuda para abordar las preocupaciones sobre la seguridad de los datos, lo que reduce la posibilidad de que se produzcan incidentes de seguridad en el futuro. Estas entidades también pueden informar sobre cómo los equipos de proveedores acceden a los inquilinos empresariales.

Los proveedores pueden restringir el acceso de los empleados que gestionan los servicios y entornos de sus clientes, y también pueden desactivar o reducir las conexiones GDAP o DAP que no se utilicen para mitigar la responsabilidad y mejorar la seguridad.

Mike Jones
Mike Jones
Mike Jones destaca como una autoridad líder en soluciones empresariales de Microsoft y ha sido reconocido por Gartner como uno de los principales expertos mundiales en acuerdos empresariales (EA) y contratos de soporte unificado (antes Premier) de Microsoft. La amplia experiencia de Mike en los sectores privado, público y de socios le permite identificar y abordar de forma experta las necesidades únicas de los entornos Microsoft de las empresas de la lista Fortune 500. Su incomparable conocimiento de las ofertas de Microsoft lo convierte en un activo inestimable para cualquier organización que desee optimizar su panorama tecnológico.

Artículos relacionados

¿Quieres saber más? Las siguientes publicaciones están relacionadas con el contenido que acabas de leer.
Alta preparación de GCC para Microsoft Copilot: un manual de lanzamiento seguro

Alta preparación de GCC para Microsoft Copilot: un manual de lanzamiento seguro

Publicado el 16, 2025
Microsoft Copilot ya está disponible para GCC High. Descubra cómo iniciar el servicio de forma segura, preparar sus datos y obtener asistencia técnica de Microsoft que cumple con la normativa a un coste menor.
Actualización de Microsoft Teams para conectar a usuarios que no son de Microsoft: cómo los equipos de TI pueden mantener la seguridad de la colaboración

Actualización de Microsoft Teams para conectar a usuarios que no son de Microsoft: cómo los equipos de TI pueden mantener la seguridad de la colaboración

Publicado el 25, 2025
A partir de noviembre de 2025, los miembros de Microsoft Teams podrán chatear o llamar a cualquier persona que tenga una dirección de correo electrónico. A continuación explicamos por qué esto aumenta la productividad y las preocupaciones en materia de seguridad.
Solicite un presupuesto a US Cloud para que Microsoft reduzca el precio de su soporte técnico unificado.

No negocies a ciegas con Microsoft

En el 91 % de los casos, las empresas que presentan un presupuesto de US Cloud a Microsoft obtienen descuentos inmediatos y concesiones más rápidas.

Incluso si nunca cambia, una estimación de US Cloud le ofrece:

  • Los precios reales del mercado desafían la postura de «lo tomas o lo dejas» de Microsoft.
  • Objetivos de ahorro concretos: nuestros clientes ahorran entre un 30 % y un 50 % en comparación con Unified.
  • Negociar munición: demuestra que tienes una alternativa legítima.
  • Inteligencia sin riesgos: sin obligaciones, sin presiones.

 

«US Cloud fue la palanca que necesitábamos para reducir nuestra factura de Microsoft en 1,2 millones de dólares».
— Fortune 500, director de informática