Supporto tecnico Microsoft Security

Sicurezza e conformità Microsoft: GDAP vs. DAP.

Microsoft eliminerà i privilegi amministrativi delegati (DAP) a favore dei privilegi amministrativi delegati granulari (GDAP), più sicuri, entro agosto 2023.
Mike Jones
Scritto da:
Mike Jones
Pubblicato il 23, 2023
Microsoft GDAP contro DAP

Sicurezza e conformità Microsoft: GDAP vs. DAP

Con l'implementazione del modello di sicurezza Zero Trust in tutti i prodotti, servizi ed ecosistemi dei partner Microsoft, Microsoft sta eliminando i privilegi di amministrazione delegati (DAP) a favore dei privilegi di amministrazione delegati granulari (GDAP), più sicuri.

Questo cambiamento ha un impatto su tutti i partner Microsoft a livello globale, ma è un cambiamento che va a vantaggio di tutti i clienti Microsoft in modo universale.

Microsoft GDAP contro DAP

Cosa sono i privilegi amministrativi delegati granulari?

In primo luogo, e soprattutto, in linea con il principio Zero Trust di verifica e utilizzando l'accesso con privilegi minimi, GDAP offre ruoli più espliciti e parametri sensibili al tempo per l'accesso dei partner agli ambienti dei clienti rispetto al DAP.

L'accesso è limitato ai tenant dei clienti a un livello più approfondito, riducendo i rischi per la sicurezza tra i partner Microsoft e i loro clienti. Più specificamente, GDAP descrive in dettaglio l'accesso a livello di cliente, tenant partner, utente partner e carico di lavoro per diversi servizi Microsoft.

Il GDAP è concepito come misura di protezione dell'accesso ai dati dei clienti, aiutando al contempo i partner a soddisfare i requisiti normativi dei clienti che consentono solo un accesso con privilegi minimi ai fornitori.

Tempistica della transizione da DAP a GDAP

Alla fine di maggio 2023, Microsoft ha trasferito sia le relazioni DAP attive che quelle inattive a relazioni GDAP con ruoli Azure Active Directory (AAD) limitati.

Nei 60 giorni successivi, le relazioni DAP corrispondenti sono state rimosse. Le relazioni trasferite da DAP a GDAP prima di maggio non sono state interessate, ma Microsoft ha disabilitato tutti gli accessi DAP rimanenti alla fine di luglio.

Come funziona il GDAP?

I partner Microsoft possono assegnare i propri utenti a diversi gruppi di sicurezza e ruoli associati.

A questi gruppi di sicurezza viene concesso l'accesso ai carichi di lavoro dei clienti per un periodo di tempo determinato, fino a un massimo di due anni. Una volta scaduto il periodo, l'accesso viene automaticamente interrotto.

Mentre le connessioni DAP non scadono mai, quelle GDAP scadono automaticamente per garantire un ambiente più sicuro. Quando una relazione GDAP sta per scadere, sia il partner che il cliente riceveranno una notifica via e-mail 30 giorni, sette giorni e un giorno prima della scadenza. Gli utenti partner che sono stati assegnati a un gruppo di sicurezza per quel cliente non avranno più accesso né potranno amministrare i servizi senza un rinnovo. Per rinnovare la durata dell'autorizzazione di accesso, sarà necessario inviare una nuova richiesta GDAP al cliente.

Un approfondimento sulle relazioni GDAP

Poiché GDAP ha lo scopo di ridurre significativamente i rischi per i clienti aziendali Microsoft, offre soluzioni di sicurezza più granulari rispetto a DAP.

Questi includono:

Livello di accesso/Ruoli
Le relazioni DAP forniscono di default i ruoli di Amministratore globale e Amministratore dell'helpdesk, che però non è possibile modificare. GDAP consente un livello più approfondito di personalizzazione delle autorizzazioni, che può essere reso unico per ogni cliente. Ciò è importante se si lavora attualmente con un fornitore e non si desidera alcun rischio legato a terze parti.

Cronologia delle relazioni
Le relazioni DAP durano per sempre. Il cliente accetta il link di amministrazione delegato e tale relazione è permanente, a meno che non si acceda alle impostazioni e la si rimuova manualmente. GDAP consente la creazione di cronologie personalizzate per la durata delle relazioni, con un periodo massimo di due anni.

Link di invito
I link di relazione DAP sono universali per regione. Ciò significa che è possibile utilizzare lo stesso link DAP per ogni cliente registrato nel Partner Center. GDAP offre diversi livelli di accesso per ogni cliente, il che significa che ogni invito è unico per ogni cliente.

Assegnazione dei gruppi di sicurezza
Nelle relazioni DAP non esistono livelli di assegnazione. Lo stesso livello di accesso viene concesso a tutti i membri dell'ambiente Partner Center che hanno accesso ai clienti. GDAP consente di creare gruppi di sicurezza nidificati all'interno di ruoli separati, offrendo un grado maggiore di diversificazione delle autorizzazioni.

Registri delle attività
Con DAP, non esistono registri delle attività granulari che mostrano quando vengono sfruttati i permessi di accesso delegati dal Partner Center. Inoltre, non includono alcuna informazione sul ciclo di vita di una relazione di amministrazione delegata, ad esempio quando è stata accettata o rimossa. GDAP offre una maggiore visibilità nei registri delle attività AAD sia a livello di provider che di cliente.

Accesso al Centro S&C
Il DAP non consente di accedere a determinati portali amministrativi per conto dei clienti tramite i centri partner. Il GDAP offre una maggiore flessibilità ed è più intuitivo rispetto al suo predecessore.

Supporto PIM
Privilege Identity Management (PIM) è un servizio Microsoft che consente livelli di accesso "just in time". In sostanza, consente di elevare temporaneamente il proprio ruolo per eseguire determinate attività amministrative. PIM è abbinato a GDAP per consentire ai provider di elevare i privilegi in alcuni gruppi di sicurezza che hanno determinati ruoli negli ambienti dei clienti, migliorando ulteriormente la sicurezza grazie alla possibilità di rispondere rapidamente a problemi specifici.

GDAP per tutti

GDAP è disponibile per tutti i partner Microsoft, inclusi CSP e MSP.

Queste modifiche, come indicato in precedenza, sono in vigore dal maggio 2023, con tutti gli utenti che utilizzano ancora il DAP completamente passati a un rapporto GDAP e il rapporto DAP terminato entro la fine di luglio.

In precedenza, sia i distributori come i CSP Tier 1 che gli MSP come i rivenditori indiretti avevano stabilito un DAP con tutti i clienti a valle. Ciò consentiva ai distributori di concedere licenze ai tenant dei clienti e fornire assistenza, consentendo al contempo agli MSP e ai partner di fornire assistenza e gestione tramite il Partner Center.

Ora i provider hanno un maggiore controllo sull'accesso granulare e limitato nel tempo ai carichi di lavoro dei clienti, quindi possono rispondere più facilmente alle loro preoccupazioni in materia di sicurezza. I CSP, gli MSP e i partner ora dispongono di un maggiore supporto per affrontare le preoccupazioni relative alla sicurezza dei dati, riducendo la possibilità di incidenti di sicurezza in futuro. Queste entità possono anche segnalare in che modo i team dei provider accedono ai tenant aziendali.

I provider possono limitare l'accesso dei dipendenti che gestiscono i servizi e gli ambienti dei clienti e possono anche disattivare o ridurre le connessioni GDAP o DAP inutilizzate per mitigare la responsabilità e migliorare la sicurezza.

Mike Jones
Mike Jones
Mike Jones è una figura di spicco nel campo delle soluzioni aziendali Microsoft ed è stato riconosciuto da Gartner come uno dei massimi esperti mondiali in materia di accordi aziendali Microsoft (EA) e contratti di assistenza Unified (precedentemente Premier). La vasta esperienza di Mike nei settori privato, dei partner e governativo gli consente di identificare e soddisfare con competenza le esigenze specifiche degli ambienti Microsoft delle aziende Fortune 500. La sua conoscenza senza pari delle offerte Microsoft lo rende una risorsa inestimabile per qualsiasi organizzazione che desideri ottimizzare il proprio panorama tecnologico.

Post correlati

Vuoi saperne di più? I post riportati di seguito sono correlati al contenuto che hai appena letto.
GCC High Readiness per Microsoft Copilot: un manuale per un lancio sicuro

GCC High Readiness per Microsoft Copilot: un manuale per un lancio sicuro

Pubblicato il 16, 2025
Microsoft Copilot è disponibile per GCC High. Scopri come avviare il servizio in modo sicuro, preparare i tuoi dati e ottenere un supporto Microsoft conforme a costi inferiori.
Aggiornamento di Microsoft Teams per connettere utenti non Microsoft: come i team IT possono garantire la sicurezza della collaborazione

Aggiornamento di Microsoft Teams per connettere utenti non Microsoft: come i team IT possono garantire la sicurezza della collaborazione

Pubblicato il 25, 2025
A partire da novembre 2025, i membri di Microsoft Teams potranno chattare o chiamare chiunque disponga di un indirizzo e-mail. Ecco perché ciò aumenta la produttività e le preoccupazioni in materia di sicurezza.
Richiedi un preventivo a US Cloud per ottenere da Microsoft una riduzione dei prezzi del supporto Unified.

Non negoziare alla cieca con Microsoft

Nel 91% dei casi, le aziende che presentano a Microsoft un preventivo relativo al cloud statunitense ottengono sconti immediati e concessioni più rapide.

Anche se non cambi mai, una stima di US Cloud ti offre:

  • Prezzi di mercato reali per sfidare la posizione intransigente di Microsoft
  • Obiettivi di risparmio concreti: i nostri clienti risparmiano dal 30 al 50% rispetto a Unified.
  • Negoziare le munizioni: dimostrare di avere un'alternativa legittima
  • Informazioni senza rischi: nessun obbligo, nessuna pressione

 

"US Cloud è stata la leva di cui avevamo bisogno per ridurre la nostra fattura Microsoft di 1,2 milioni di dollari"
— Fortune 500, CIO