相应的角色：对合作伙伴中心感兴趣的所有用户

Microsoft 将协助尚未开始从委托访问协议 (DAP) 过渡到粒度委派访问协议的 Jumpstart 合作伙伴， (GDAP) 。 此帮助将帮助合作伙伴转向使用安全最佳做法的帐户，包括使用有时间限制的最小权限安全合同，从而降低安全风险。

Microsoft 将于 2023 年 5 月 22 日开始 DAP 到 GDAP 的过渡。 6月将有一个停电期。 过渡将在7月之后恢复。

下表显示了概要摘要：

如果已创建 GDAP 关系，则 Microsoft 不会在 Microsoft 主导的过渡过程中创建 GDAP 关系。 相反，DAP 关系将在 2023 年 7 月删除。

在以下任何情况下，Microsoft Jump-Start 合作伙伴都可能有资格成为 Microsoft 主导的过渡的一部分：

合作伙伴及其业务是独一无二的。 通过 Microsoft 主导的过渡工具创建 GDAP 关系后，GDAP 优先于 DAP。

Microsoft 建议合作伙伴使用 Microsoft 主导的过渡工具中缺少的所需角色测试并创建新关系。 根据用例和业务要求创建 GDAP 关系默认角色，以确保从 DAP 顺利过渡到 GDAP。

管理员 代理安全组：

支持人员代理安全组：

不是。 通常作为 GDAP 转换的一部分传递给客户的所有电子邮件都会被禁止。

在 Microsoft 主导的过渡期间创建新的 GDAP 关系时，合作伙伴不会收到通知。 我们在转换期间禁止显示这些类型的通知，因为为每个更改发送电子邮件可能会产生大量电子邮件。 可以检查审核日志，以查看何时创建新的 GDAP 关系。

若要选择退出此转换，可以创建 GDAP 关系或删除现有的 DAP 关系。

是的，只要不删除 DAP 关系，合作伙伴就可以在未经客户同意的情况下使用批量工具创建 GDAP 关系。

创建 GDAP 关系 30 天后，Microsoft 将删除 DAP 关系。 如果已创建 GDAP 关系，Microsoft 将在 2023 年 7 月删除相应的 DAP 关系。

如果合作伙伴用户是 管理员 代理安全组的一部分，或者该用户是嵌套在 管理员 代理安全组中的安全组（例如 Azure Manager）的一部分， (Microsoft 推荐的最佳做法) ，则合作伙伴用户将能够使用最低特权目录读取者角色访问Azure 门户。 Directory-Reader角色是由 Microsoft 引导的转换工具创建的 GDAP 关系的默认角色之一。 作为 Microsoft 主导的从 DAP 到 GDAP 转换的一部分，此角色会自动分配给 管理员 代理安全组。

对于用户分配的管理员代理角色为“否”的方案 1 和 2，一旦合作伙伴用户加入管理员代理安全组 (SG) ，合作伙伴用户成员身份将更改为管理员代理角色。 此行为不是直接成员身份，而是通过作为 管理员 代理 SG 或嵌套在 管理员 代理 SG 下的安全组的一部分派生的。

请参阅 Azure 最佳做法 (GDAP) 精细委派管理员权限支持的工作负载 。 还可以重新配置现有合作伙伴用户的安全组，以遵循建议的流：

使用 Microsoft 主导的过渡工具创建新的 GDAP 关系时，你将找到名为 MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number)的关系。 该数字可确保关系在租户和客户租户中都是唯一的。 示例 GDAP 关系名称：“MLT_12abcd34_56cdef78_90abcd12”。

在合作伙伴中心门户中，打开“客户”工作区，选择“管理员关系”部分，然后选择客户。

可在此处找到 Azure AD 角色，并查找分配给 管理员 代理和支持人员代理安全组的 Azure AD 角色。

选择 “详细信息 ”列中的向下箭头以查看 Azure AD 角色。

客户可以在“设置”选项卡的“合作伙伴关系”部分中找到 Microsoft 主导的 GDAP 关系。

以下屏幕截图显示了通过 Microsoft 引导的转换创建 GDAP 关系后，客户租户中的审核日志的外观：

即使你有条件访问策略，Microsoft 也会创建新的 GDAP 关系。 GDAP 关系在 “活动” 状态下创建。

新的 GDAP 关系不会绕过客户设置的现有条件访问策略。 条件访问策略继续，合作伙伴继续拥有与 DAP 关系类似的体验。