GDAP: Rollen- und Rechtekonzept für die Verwaltung von Microsoft-Umgebungen
Häufig gestellte Fragen und Antworten zum neuen Rechte- und Rollenkonzept von Microsoft und wie das Konzept im Telekom-Kundenservice umgesetzt wird
GDAP: Rollen- und Rechtekonzept für die Verwaltung von Microsoft-Umgebungen
Die wichtigsten Fragen und Antworten zum Thema GDAP
DAP steht für Delegated Administrator Privileges (delegierte Administrationsrechte). Mithilfe von DAP kann Ihr Microsoft CSP Partner über die Rolle eines globalen Administrators auf Ihre Microsoft-Umgebung zugreifen. Damit erhält der CSP-Partner die Möglichkeit, schnell Probleme zu identifizieren, Lösungen zu qualifizieren und somit schnell Hilfe zu leisten.
GDAP steht für Granular Delegated Administrator Privileges (differenzierte delegierte Administrationsrechte). Über GDAP kann der Zugang auf eine Microsoft-Umgebung funktional und zeitlich eingeschränkt werden. Damit hat der Kundenservice nur Zugriff auf die Bereiche, die für die Problembehebung benötigt werden. Außerdem kann dieser Zugriff auch zeitlich begrenzt werden.
Wenn die Telekom für Sie Lizenzen über den Telekom Cloud Marktplatz bucht, hat der Kundenservice erstmal pauschal via DAP Zugriff auf Ihre Kundenumgebung. Durch diese Berechtigung ist es möglich, schnell und effizient Support zu leisten.
Diesen Zugriff können Sie über Ihr Admin Center auch wieder entziehen. Wenn Sie dies tun, kann Ihnen der Kundenservice allerdings nicht mehr effizient bei möglichen Problemen helfen. Dann könnten zum Beispiel keine Supporttickets mehr eingestellt werden. Daher wird eine Umstellung auf GDAP empfohlen, sodass ein Basisservice weiterhin geleistet werden kann.
Für die unterschiedlichen Tätigkeiten, die innerhalb einer Microsoft-Umgebung ausgeführt werden können, stehen unterschiedlichste Azure Active Directory (AAD)-Rollen zur Verfügung. Damit der Telekom-Kundenservice Sie effizient unterstützen kann, werden folgende GDAP-Rollen benötigt:
- Dienstsupportadministrator (Service support administrator): Diese Rolle hat die Rechte, Service Health-Informationen lesen und Support-Tickets zu verwalten.
Nur Ihr CSP-Partner ist aktuell in der Lage, über Ihre Kundenumgebung Support-Tickets in Richtung Microsoft anzulegen. Dafür benötigt der Telekom-Kundenservice die Rolle des Service-Support-Administrators. Ohne diese Rolle kann der Kundenservice keine Entstörungen angehen, die innerhalb der Microsoft-Umgebung ihren Ursprung haben. Gerade bei zeitkritischen Fehlern ist es erforderlich, bestehende Probleme schnell in Richtung Microsoft zu adressieren, um den Prozess der Fehlerbehebung nicht unnötig zu verzögern. - Benutzeradministrator (User administrator): Diese Rolle kann alle Aspekte von Benutzenden und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administrator:innen.
- Lizenzadministrator (Licence administrator): Die Rolle hat die Möglichkeit zum Zuweisen, Entfernen und Aktualisieren von Lizenzzuweisungen.
Für Buchungen durch den Telekom-Kundenservice über den Telekom Cloud Marketplace (TCMP) im Auftrag des Kunden (Sales Support-Rolle im TCMP) ist es wichtig, diese Berechtigungen zu haben. Ohne diese Berechtigung können nicht alle Aktivitäten über den Telekom Cloud Marketplace reibungslos durchgeführt werden. Zum Beispiel könnten ohne die Rolle nach einem Upgrade die Benutzenden nicht automatisch den neuen Lizenzen zugeordnet werden. - Globaler Leser (Global reader): Diese Rolle hat die gleichen Leseberechtigungen wie ein globaler Administrator, kann jedoch keine Aktualisierungen durchführen.
- Verzeichnisleseberechtigte (Directory readers): Diese Rolle kann grundlegende Verzeichnisinformationen lesen und wird häufig zum Gewähren von Verzeichnislesezugriff für Anwendungen und Gäste verwendet.
Der globale Leser erlaubt einen lesenden Zugriff auf Ihre Microsoft 365- bzw. Office 365-Umgebung, um mögliche Störungsursachen schnell identifizieren zu können. Der Verzeichnisleser wird benötigt, um eine Microsoft Azure Subscription einsehen zu können, um schnelle Hilfe bei Problemen mit Microsoft Azure leisten zu können. Zusätzlich wird diese Rolle für eine reibungslose Integration mit dem Telekom Cloud Marketplace benötigt.
Diese lesenden Rollen haben, wie der Name schon vermittelt, keinerlei Schreibrechte und können somit keine Änderungen in der Umgebung vornehmen. Sie sind außerdem in der Einsicht eingeschränkt. E-Mail- oder OneDrive-Inhalte können beispielsweise mit diesen Rechten nicht eingesehen werden. - Administrator für privlegierter Authentifizierung (Privileged authentication administrator): Diese Rolle kann ein Passwort-Reset des Administrierenden der Kundenumgebung durchführen.
Gerade bei kleineren Kunden kommt es häufig vor, dass das Administrator-Passwort nicht mehr bekannt ist. Damit der Kundenservice in der Lage ist, dieses für Sie zurückzusetzen, wird diese Rolle benötigt. Ist diese Rolle nicht vorhanden, ist es leider nur über einen sehr langwierigen Support-Prozess möglich, das Administratorpasswort wiederherzustellen. Ohne den Zugang zu Ihrem Admin-Account können administrative Aufgaben, wie das Anlegen neuer Benutzer, die Zuweisung von Lizenzen oder das Entfernen von Benutzern nicht mehr ausgeführt werden. - Cloudanwendungsadministrator (Cloud application administrator): Diese Rolle kann sämtliche Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten.
Weitere Rollen
Für die Einrichtung Ihrer Kundenumgebung oder die Problembehebung benötigt der Telekom-Kundenservice in der Regel temporär auch höhere Rechte auf Ihrer Umgebung. Dabei wird Ihnen durch den Kundenservice eine individuelle Anfrage mit den benötigten Rollen und der benötigten Dauer gestellt. Erst nachdem Sie dieser zugestimmt haben, kann unser Service auf die angeforderten Bereiche zugreifen und den Service erbringen.
Auf der verlinkten Seite finden Sie eine Übersicht aller vorhandenen AAD-Rollen. Außerdem bietet Microsoft eine weitere Übersicht, in der die Aufgaben nach den entsprechenden AAD-Rollen dargestellt werden.
Zum aktuellen Zeitpunkt können GDAP-Rechte für die Dauer von einem bis zu 730 Tagen vergeben werden. anschließend ist eine aktive Erneuerung durch Sie notwendig.
Wenn Sie aktuell eine bestehende DAP-Beziehung mit der Telekom haben, wird diese bis voraussichtlich Ende des Jahres 2022 auf das beschriebene Rollen-Set umgestellt. Damit ist gewährleistet, dass auch Ihr Zugriff unter dem aktuell besten Sicherheitskonzept läuft und dass der Kundenservice in gewohnter Qualität für Sie da sein kann.
Nein, das passiert nicht. Für eine Umstellung auf GDAP ist eine Bestätigung durch Sie im Microsoft 365 Admincenter erforderlich. Die Empfehlung ist die Genehmigung eines minimalen Rollen-Sets für einen reibungslosen Ablauf des Kundenservice und der Buchungen. Es aber Ihre alleinige Entscheidung, wem Sie welchen Zugriff auf Ihre Umgebung gewähren.
Microsoft hat angekündigt bis Ende des Jahres 2022 inaktive DAP-Beziehungen (länger als 90 Tage nicht in Gebrauch) zu entfernen. Damit hätte der Kundenservice der Telekom erstmal keine Berechtigungen mehr. Es könnten dann zum Beispiel keine Supporttickets mehr eingestellt werden. Auch im Buchungsportal, dem Telekom Cloud Marketplace, könnten dann nicht mehr alle Aktivitäten durchgeführt werden. Aus diesem Grund wird die Telekom vorhandene DAP-Beziehungen auf das beschriebene Rollen-Set automatisch umstellen. Damit wird die Sicherheit für Ihre Umgebung erhöht.
Nein. Diese Rolle ist weiterhin Grundvoraussetzung für den Bezug von Microsoft Azure über die Telekom. Dies liegt am aktuellen Produktmodell von Microsoft. Eine Entfernung dieser Rolle führt zu einer Kündigung Ihrer Azure-Ressourcen durch die Telekom. Diese Regelung ist so auch in unseren Vertragsbedingungen festgehalten.
Um einen aktuellen Stand über die Zugriffsberechtigungen auf Ihre Microsoft-Umgebung einzusehen, loggen Sie sich mit Ihrem Administrator im Microsoft 365-Admincenter ein.
Dort können Sie auf der linken Seite unter dem Reiter „Einstellungen“ > „Partnerbeziehungen“ Ihre vorhandenen gewährten Zugriffe einsehen und verwalten.
Hinweis: Bevor Sie an dieser Stelle Berechtigungen entziehen, bedenken Sie bitte, welche Konsequenzen dies möglicherweise für Buchungsmöglichkeiten sowie die Erbringung unseres Kundenservices hat.
Jede Anfrage für eine Zugriffsberechtigung wird durch Ihren CSP-Partner erstellt, Sie können diese nicht selbst initiieren. Über den Link, der durch Ihren Partner zugesandt wird, können Sie eine neue GDAP-Beziehung in Ihrem Microsoft 365-Admincenter genehmigen.
Für einen Übergangszeitraum bestehen beide Beziehungen parallel. Die DAP-Beziehung kann in diesem Fall auch gerne selbstständig durch von Kundenseite im Microsoft 365 Admin Center entfernt werden.
Über Azure Active Directory und die Security-Funktionen von Microsoft 365 können Sie grundlegende Sicherheitsmaßnahmen aktivieren, wie zum Beispiel Multifaktor-Authentifizierung (MFA) oder Conditional Access Policies (bedingter Zugriff Richtlinien), um die Zugänge Ihrer Mitarbeiter besser abzusichern. Darüber hinaus besteht die Möglichkeit zusätzliche Lösungen von Microsoft zu erwerben, zum Beispiel Microsoft Defender for Business. Dieser bietet erweiterte Funktionen für eine bessere Endpunktsicherheit.
Außerdem unterstützen Sie die Expert:innen der Telekom rund um die Sicherheit Ihrer Microsoft Umgebung, zum Beispiel bei der Umsetzung Microsoft-spezifischer Sicherheitseinstellungen für Microsoft 365 Apps for Business, Basic und Standard und Office 365 Enterprise auf Basis eines regelmäßigen Sicherheitsreports oder beim IT-Richtlinienmanagement Ihrer Enterprise-Editionen.
