Assistance technique Microsoft Security

Sécurité et conformité Microsoft : GDAP vs DAP.

Microsoft mettra fin aux privilèges d'administration délégués (DAP) au profit des privilèges d'administration délégués granulaires (GDAP), plus sécurisés, d'ici août 2023.
Mike Jones
Écrit par :
Mike Jones
Publié le 23, 2023
Microsoft GDAP vs DAP

Sécurité et conformité Microsoft : GDAP vs DAP

À mesure que le modèle de sécurité Zero Trust est mis en œuvre dans tous les produits, services et écosystèmes partenaires de Microsoft, Microsoft met fin aux privilèges d'administration délégués (DAP) au profit des privilèges d'administration délégués granulaires (GDAP), plus sécurisés.

Cela a un impact sur tous les partenaires Microsoft à l'échelle mondiale, mais il s'agit d'un changement qui profite à tous les clients Microsoft de manière universelle.

Microsoft GDAP vs DAP

Que sont les privilèges d'administration délégués granulaires ?

Tout d'abord, et surtout, conformément au principe de vérification Zero Trust et à l'utilisation d'un accès avec privilèges minimaux, le GDAP offre des rôles plus explicites et des paramètres temporels plus stricts pour l'accès des partenaires aux environnements clients que le DAP.

L'accès est restreint aux locataires clients à un niveau plus approfondi, ce qui réduit les risques de sécurité entre les partenaires Microsoft et leurs clients. Plus précisément, le GDAP détaille l'accès au niveau du client, du locataire partenaire, de l'utilisateur partenaire et de la charge de travail pour différents services Microsoft.

Le GDAP est conçu comme une mesure de protection concernant l'accès aux données des clients, tout en aidant les partenaires à répondre aux exigences réglementaires des clients qui souhaitent n'accorder qu'un accès minimal aux fournisseurs.

Calendrier de transition du DAP au GDAP

À la fin du mois de mai 2023, Microsoft a transféré les relations DAP actives et inactives vers des relations GDAP avec des rôles Azure Active Directory (AAD) limités.

Au cours des 60 jours suivants, les relations DAP correspondantes ont été supprimées. Les relations transférées de DAP vers GDAP avant mai n'ont pas été affectées, mais Microsoft a désactivé tous les accès DAP restants à la fin du mois de juillet.

Comment fonctionne le GDAP ?

Les partenaires Microsoft peuvent affecter leurs utilisateurs à différents groupes de sécurité et rôles associés.

Ces groupes de sécurité ont accès aux charges de travail des clients pendant une durée déterminée, pouvant aller jusqu'à deux ans maximum. Une fois cette durée écoulée, l'accès est automatiquement résilié.

Alors que les connexions DAP n'expirent jamais, les connexions GDAP expirent automatiquement afin de créer un environnement plus sécurisé. Lorsqu'une relation GDAP est sur le point d'expirer, le partenaire et le client reçoivent une notification par e-mail 30 jours, 7 jours et 1 jour avant la résiliation. Les utilisateurs partenaires qui ont été affectés à un groupe de sécurité pour ce client n'auront plus accès aux services et ne pourront plus les administrer sans renouvellement. Pour renouveler la durée de l'autorisation d'accès, une nouvelle demande GDAP devra être envoyée au client.

Une analyse approfondie des relations GDAP

Étant donné que le GDAP vise à réduire considérablement les risques pour les clients professionnels de Microsoft, il offre des solutions de sécurité plus granulaires que le DAP.

Il s'agit notamment :

Niveau d'accès/rôles
Les relations DAP vous attribuent par défaut les rôles d'administrateur global et d'administrateur du service d'assistance, mais vous ne pouvez pas les modifier. GDAP permet une personnalisation plus poussée des autorisations, qui peut même être unique pour chaque client. Cela est important si vous travaillez actuellement avec un fournisseur et que vous ne souhaitez pas courir de risques liés à des tiers.

Chronologie des relations
Les relations DAP sont permanentes. Le client accepte le lien d'administration délégué, et cette relation est permanente, sauf si vous accédez aux paramètres et supprimez manuellement la relation. GDAP permet de créer des chronologies personnalisées pour la durée des relations, avec une durée maximale de deux ans.

Lien d'invitation
Les liens relationnels DAP sont universels par région. Cela signifie que vous utilisez le même lien DAP pour chaque client intégré au Centre des partenaires. GDAP offre différents niveaux d'accès par client, ce qui signifie que chaque invitation est unique pour chaque client.


des affectations aux groupes de sécurité Dans les relations DAP, il n'y a pas de niveaux d'affectation. Le même niveau d'accès est accordé à tous les membres d'un environnement Partner Center qui ont accès aux clients. GDAP autorise les groupes de sécurité imbriqués dans des rôles distincts, offrant ainsi un plus grand degré de diversification des autorisations.


des journaux d'activité Avec DAP, il n'existe pas de journaux d'activité granulaires indiquant quand les autorisations d'accès déléguées sont utilisées à partir du Centre des partenaires. Ils ne contiennent pas non plus d'informations sur le cycle de vie d'une relation d'administration déléguée, telles que la date à laquelle elle a été acceptée ou supprimée. GDAP offre une meilleure visibilité dans les journaux d'activité AAD, tant au niveau du fournisseur que du client.

Accès au centre S&C
Le programme DAP ne vous permet pas d'accéder à certains portails d'administration au nom de clients via les centres partenaires. Le programme GDAP offre une plus grande flexibilité et est plus intuitif que son prédécesseur.

Prise en charge PIM
Privilege Identity Management (PIM) est un service Microsoft qui permet des niveaux d'accès « juste à temps ». Il vous permet essentiellement d'élever temporairement votre rôle afin d'effectuer certaines tâches d'administration. PIM est associé à GDAP pour permettre aux fournisseurs d'élever les privilèges dans certains groupes de sécurité qui ont des rôles spécifiques dans les environnements clients, améliorant ainsi la sécurité en permettant une réponse rapide à des problèmes spécifiques.

GDAP pour tous

Le GDAP est accessible à tous les partenaires Microsoft, y compris les CSP et les MSP.

Comme indiqué précédemment, ces changements sont en vigueur depuis mai 2023. Tous les utilisateurs qui utilisaient encore le DAP sont désormais passés à une relation GDAP, et la relation DAP a pris fin à la fin du mois de juillet.

Auparavant, les distributeurs tels que les CSP Tier 1 et les MSP tels que les revendeurs indirects avaient établi des accords de distribution (DAP) avec tous leurs clients en aval. Cela permettait aux distributeurs d'octroyer des licences aux clients et de fournir une assistance, tout en permettant aux MSP et aux partenaires de fournir une assistance et une gestion via le Centre des partenaires.

Désormais, les fournisseurs disposent d'un meilleur contrôle sur l'accès granulaire et limité dans le temps aux charges de travail des clients, ce qui leur permet de répondre plus facilement aux préoccupations de ces derniers en matière de sécurité. Les CSP, MSP et partenaires bénéficient désormais d'une aide accrue pour répondre aux préoccupations relatives à la sécurité des données, réduisant ainsi le risque d'incidents de sécurité à l'avenir. Ces entités peuvent également rendre compte de la manière dont les équipes des fournisseurs accèdent aux locataires d'entreprise.

Les fournisseurs peuvent restreindre l'accès de vos employés qui gèrent les services et les environnements de vos clients. Ils peuvent également désactiver ou réduire les connexions GDAP ou DAP inutilisées afin d'atténuer les risques et d'améliorer la sécurité.

Mike Jones
Mike Jones
Mike Jones est une autorité reconnue dans le domaine des solutions d'entreprise Microsoft. Il a été désigné par Gartner comme l'un des meilleurs experts mondiaux en matière de contrats Microsoft Enterprise Agreements (EA) et Unified (anciennement Premier) Support. La vaste expérience de Mike dans les secteurs privé, public et des partenaires lui permet d'identifier et de répondre avec expertise aux besoins spécifiques des environnements Microsoft des entreprises du classement Fortune 500. Sa connaissance inégalée des offres Microsoft fait de lui un atout inestimable pour toute organisation cherchant à optimiser son environnement technologique.

Articles connexes

Vous souhaitez en savoir plus ? Les articles ci-dessous sont liés au contenu que vous venez de lire.
GCC High Readiness pour Microsoft Copilot : un guide pour un lancement sécurisé

GCC High Readiness pour Microsoft Copilot : un guide pour un lancement sécurisé

Publié le 16, 2025
Microsoft Copilot est désormais disponible pour GCC High. Découvrez comment le lancer en toute sécurité, préparer vos données et bénéficier d'une assistance Microsoft conforme à moindre coût.
Mise à jour de Microsoft Teams pour connecter les utilisateurs non Microsoft : comment les équipes informatiques peuvent garantir la sécurité de la collaboration

Mise à jour de Microsoft Teams pour connecter les utilisateurs non Microsoft : comment les équipes informatiques peuvent garantir la sécurité de la collaboration

Publié le 25, 2025
À partir de novembre 2025, les membres de Microsoft Teams pourront discuter ou appeler toute personne disposant d'une adresse e-mail. Voici pourquoi cela améliore la productivité et renforce la sécurité.
Obtenez un devis auprès de US Cloud pour que Microsoft réduise ses tarifs d'assistance Unified.

Ne négociez pas à l'aveuglette avec Microsoft

Dans 91 % des cas, les entreprises qui soumettent une estimation du cloud américain à Microsoft bénéficient immédiatement de remises et de concessions plus rapides.

Même si vous ne changez jamais, une estimation US Cloud vous donne :

  • Les prix réels du marché remettent en question la position « à prendre ou à laisser » de Microsoft
  • Objectifs d'économies concrets: nos clients économisent 30 à 50 % par rapport à Unified.
  • Négocier les munitions – prouver que vous disposez d'une alternative légitime
  • Renseignements sans risque – aucune obligation, aucune pression

 

« US Cloud nous a permis de réduire notre facture Microsoft de 1,2 million de dollars. »
— Fortune 500, directeur informatique