GDAP: Rollen- und Rechtekonzept für die Verwaltung von Microsoft-Umgebungen

DAP steht für Delegated Administrator Privileges (delegierte Administrationsrechte). Mithilfe von DAP kann Ihr Microsoft CSP Partner über die Rolle eines globalen Administrators auf Ihre Microsoft-Umgebung zugreifen. Damit erhält der CSP-Partner die Möglichkeit, schnell Probleme zu identifizieren, Lösungen zu qualifizieren und somit schnell Hilfe zu leisten. 

GDAP steht für Granular Delegated Administrator Privileges (differenzierte delegierte Administrationsrechte). Über GDAP kann der Zugang auf eine Microsoft-Umgebung funktional und zeitlich eingeschränkt werden. Damit hat der Kundenservice nur Zugriff auf die Bereiche, die für die Problembehebung benötigt werden. Außerdem kann dieser Zugriff auch zeitlich begrenzt werden.

Wenn die Telekom für Sie Lizenzen über den Telekom Cloud Marktplatz gebucht hatte, konnte der Kundenservice bisher (bis 31.10.2023) pauschal via DAP-Zugriff auf Ihre Kundenumgebung zugreifen. Durch diese Berechtigung war es möglich, schnell und effizient Support zu leisten.

Bis auf einige wenige Ausnahmen wurden alle Bestandskunden der Telekom bis zum 1. November 2023 auf GDAP umgestellt, sofern davor DAP-Berechtigungen vorhanden waren. Damit wurde gewährleistet, dass Ihr Zugriff unter dem aktuell besten Sicherheitskonzept läuft und dass der Kundenservice in gewohnter Qualität für Sie da sein kann.

Bestandskunden: Wenn die Telekom für Sie Lizenzen über den Telekom Cloud Marketplace bucht, hat der Kundenservice im Normalfall bereits eine GDAP-Beziehung. Dieser GDAP-Beziehung sind Rollen zugeordnet. Diese Rollen haben standardmäßig weniger und granularer Rechte als in der Vergangenheit mit DAP.

Neukunden: Wenn die Telekom zum ersten Mal für Sie Lizenzen über den Telekom Cloud Marketplace bucht, erhalten Sie zusätzlich zur Auftragsbestätigung eine Mail, in der Sie über einen Link ins Admincenter zur Zustimmung für die Vergabe von GDAP-Rechten gebeten werden. Diese Zustimmung muss über ein Administrator-Konto durchgeführt werden. Anschließend ist die GDAP-Beziehung erstellt.

Für die unterschiedlichen Tätigkeiten, die innerhalb einer Microsoft-Umgebung ausgeführt werden können, stehen vielfältige Microsoft Entra-ID-Rollen zur Verfügung. Damit der Telekom-Kundenservice Sie effizient unterstützen kann, werden bei der ersten Buchung eines Microsoft Produkts automatisch folgende GDAP-Rollen für unseren Kundenservice aktiv für Sie zugeordnet:

• Dienstsupportadministrator (Service support administrator): Diese Rolle hat die Rechte, Service Health-Informationen lesen und Support-Tickets zu verwalten.
  
  Nur Ihr CSP-Partner ist aktuell in der Lage, über Ihre Kundenumgebung Support-Tickets in Richtung Microsoft anzulegen. Dafür benötigt der Telekom-Kundenservice die Rolle des Service-Support-Administrators. Ohne diese Rolle kann der Kundenservice keine Entstörungen angehen, die innerhalb der Microsoft-Umgebung ihren Ursprung haben. Gerade bei zeitkritischen Fehlern ist es erforderlich, bestehende Probleme schnell in Richtung Microsoft zu adressieren, um den Prozess der Fehlerbehebung nicht unnötig zu verzögern.
• Benutzeradministrator (User administrator): Diese Rolle kann alle Aspekte von Benutzenden und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administrator:innen.
• Lizenzadministrator (Licence administrator): Die Rolle hat die Möglichkeit zum Zuweisen, Entfernen und Aktualisieren von Lizenzzuweisungen.
  
  Für Buchungen durch den Telekom-Kundenservice über den Telekom Cloud Marketplace (TCMP) im Auftrag des Kunden (Sales Support-Rolle im TCMP) ist es wichtig, diese Berechtigungen zu haben. Ohne diese Berechtigung können nicht alle Aktivitäten über den Telekom Cloud Marketplace reibungslos durchgeführt werden. Zum Beispiel könnten ohne die Rolle nach einem Upgrade die Benutzenden nicht automatisch den neuen Lizenzen zugeordnet werden. 
• Globaler Leser (Global reader): Diese Rolle hat die gleichen Leseberechtigungen wie ein globaler Administrator, kann jedoch keine Aktualisierungen durchführen.
• Verzeichnisleseberechtigte (Directory readers): Diese Rolle kann grundlegende Verzeichnisinformationen lesen und wird häufig zum Gewähren von Verzeichnislesezugriff für Anwendungen und Gäste verwendet.
  
  Der globale Leser erlaubt einen lesenden Zugriff auf Ihre Microsoft 365- bzw. Office 365-Umgebung, um mögliche Störungsursachen schnell identifizieren zu können. Der Verzeichnisleser wird benötigt, um eine Microsoft Azure Subscription einsehen zu können, um schnelle Hilfe bei Problemen mit Microsoft Azure leisten zu können. Zusätzlich wird diese Rolle für eine reibungslose Integration mit dem Telekom Cloud Marketplace benötigt.
  
  Diese lesenden Rollen haben, wie der Name schon vermittelt, keinerlei Schreibrechte und können somit keine Änderungen in der Umgebung vornehmen. Sie sind außerdem in der Einsicht eingeschränkt. E-Mail- oder OneDrive-Inhalte können beispielsweise mit diesen Rechten nicht eingesehen werden.
• Administrator für privilegierte Authentifizierung (Privileged authentication administrator): Diese Rolle kann ein Passwort-Reset des Administrierenden der Kundenumgebung durchführen.
  
  Gerade bei kleineren Kunden kommt es häufig vor, dass das Administrator-Passwort nicht mehr bekannt ist. Damit der Kundenservice in der Lage ist, dieses für Sie zurückzusetzen, wird diese Rolle benötigt. Ist diese Rolle nicht vorhanden, ist es leider nur über einen sehr langwierigen Support-Prozess möglich, das Administratorpasswort wiederherzustellen. Ohne den Zugang zu Ihrem Admin-Account können administrative Aufgaben, wie das Anlegen neuer Benutzer, die Zuweisung von Lizenzen oder das Entfernen von Benutzern nicht mehr ausgeführt werden.
• Cloudanwendungsadministrator (Cloud application administrator): Diese Rolle kann sämtliche Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten.

Weitere Rollen

Für die Einrichtung Ihrer Kundenumgebung oder die Problembehebung benötigt der Telekom-Kundenservice in der Regel temporär auch höhere Rechte auf Ihrer Umgebung. Dabei wird Ihnen durch den Kundenservice eine individuelle Anfrage mit den benötigten Rollen und der benötigten Dauer gestellt. Erst nachdem Sie dieser zugestimmt haben, kann unser Service auf die angeforderten Bereiche zugreifen und den Service erbringen.

Auf der verlinkten Seite finden Sie eine Übersicht aller vorhandenen Entra-Rollen. Außerdem bietet Microsoft eine weitere Übersicht, in der die Aufgaben nach den entsprechenden Entra-Rollen dargestellt werden.

Zum aktuellen Zeitpunkt können GDAP-Rechte für die Dauer von bis zu 730 Tagen vergeben werden. Für GDAP-Beziehungen wird automatisch die Funktion „Auto-Extend“ (automatische Verlängerung der GDAP-Beziehung) aktiviert. Damit werden auslaufenden GDAP-Beziehungen jeweils um 6 Monate verlängert. Die GDAP-Rechte können sowohl von Ihnen als auch über den Kundenservice beendet werden. Bitte beachten Sie dabei unbedingt den Punkt „Kann ich die GDAP-Beziehung entfernen?“ da eine Entfernung der GDAP-Beziehungen oder das Deaktivieren des Auto-Extend Auswirkungen auf die Unterstützung seitens Telekom hat.

Nein, das ist nicht passiert. Für eine Umstellung auf GDAP ist eine Bestätigung durch Sie im Microsoft 365 Admincenter erforderlich. Im Supportfall muss manuell gemeinsam mit Ihnen zuerst eine GDAP-Beziehung hergestellt werden. Die Empfehlung ist die Genehmigung eines minimalen Rollen-Sets für einen reibungslosen Ablauf des Kundenservice und der Buchungen.

Die GDAP-Beziehung wird für einen ordnungsgemäßen Betrieb des Telekom Cloud Marketplace und für den Support benötigt. Wenn Sie die Beziehung entfernen, kann Ihnen der Kundenservice nicht mehr effizient bei möglichen Problemen helfen. Dann könnten zum Beispiel keine Supporttickets mehr eingestellt werden. 

Für den Fall, dass Sie die GDAP-Berechtigung aus Versehen gelöscht oder entfernt haben, kontaktieren Sie bitte den Kundenservice, der mit Ihnen gemeinsam eine neue GDAP-Beziehung herstellen kann.

Um einen aktuellen Stand über die Zugriffsberechtigungen auf Ihre Microsoft-Umgebung einzusehen, loggen Sie sich mit Ihrer Administrator-Rolle im Microsoft 365-Admincenter ein.

Dort können Sie auf der linken Seite unter dem Reiter „Einstellungen“ > „Partnerbeziehungen“ Ihre vorhandenen gewährten Zugriffe einsehen und verwalten.

Hinweis: Bevor Sie an dieser Stelle Berechtigungen entziehen, bedenken Sie bitte, welche Konsequenzen dies möglicherweise für Buchungsmöglichkeiten sowie die Erbringung unseres Kundenservices hat.

Jede Anfrage für eine Zugriffsberechtigung wird durch Ihren CSP-Partner erstellt, Sie können diese nicht selbst initiieren. Über den Link, der durch Ihren Partner zugesandt wird, können Sie eine neue GDAP-Beziehung in Ihrem Microsoft 365-Admincenter genehmigen.

Über Microsoft Entra ID und die Security-Funktionen von Microsoft 365 können Sie grundlegende Sicherheitsmaßnahmen aktivieren, wie zum Beispiel Multifaktor-Authentifizierung (MFA) oder Conditional Access Policies (Richtlinien für bedingten Zugriff), um die Zugänge Ihrer Mitarbeitenden besser abzusichern. Darüber hinaus besteht die Möglichkeit zusätzliche Lösungen von Microsoft zu erwerben, zum Beispiel Microsoft Defender for Business. Dieser bietet erweiterte Funktionen für eine bessere Endpunktsicherheit.

Außerdem unterstützen Sie die Expert:innen der Telekom rund um die Sicherheit Ihrer Microsoft-Umgebung, zum Beispiel bei der Umsetzung Microsoft-spezifischer Sicherheitseinstellungen für Microsoft 365 Apps for Business, Basic und Standard und Office 365 Enterprise auf Basis eines regelmäßigen Sicherheitsreports oder beim IT-Richtlinienmanagement Ihrer Enterprise-Editionen.