Degemer / Blog / General / GDAP para MSPs: Gerenciamento preciso de usuários do Microsoft 365

GDAP para MSPs: Gerenciamento preciso de usuários do Microsoft 365

A delegação segura não é apenas um recurso, é uma necessidade, especialmente em um ambiente em cloud tão vasto quanto o Microsoft 365. Seja você um MSP que presta suporte a dezenas de tenants de clientes ou uma empresa que confia seu ambiente digital a um MSP, os riscos relacionados à identidade, ao acesso e ao controle administrativo estão maiores do que nunca.

Os MSPs precisam gerenciar vários tenants com eficiência, garantindo que nenhum dado seja confundido, ao mesmo tempo em que mantêm a confiança do cliente em cada etapa. Enquanto isso, os clientes enfrentam um equilíbrio delicado: conceder acesso demais e arriscar a exposição; conceder acesso de menos e comprometer a eficiência.

Para enfrentar esse desafio, o Microsoft Entra ID introduziu os privilégios de administração delegados granulares (GDAP). O GDAP oferece aos MSPs acesso direcionado aos ambientes dos clientes — sem mais permissões genéricas, sem mais delegação do tipo “tudo ou nada”. Para os clientes, isso significa uma supervisão mais rigorosa. Para os MSPs, isso sinaliza uma mudança em direção a um gerenciamento mais responsável e baseado em funções.

Mas entender como o GDAP funciona e como ele se encaixa no seu modelo operacional pode ser um desafio. Neste blog, exploraremos o que é o GDAP e como ele redefine a confiança entre MSPs e clientes por meio de uma visão geral de sua configuração e de como essa abordagem pode ser aprimorada.

O que é o GDAP e como ele é útil para os MSPs?

O GDAP permite que os MSPs solicitem funções específicas — como Administrador de Usuários, Administrador de Helpdesk ou Leitor de Diretório — e as apliquem apenas aos clientes e usuários que gerenciam. O resultado é o acesso com privilégios mínimos: os parceiros recebem exatamente as permissões de que precisam sobre os tenants de seus clientes, nem mais, nem menos.

Isso beneficia ambas as partes:

Os clientes agora podem verificar quais funções estão atribuídas, por quanto tempo e a quem. Eles não precisam entregar o controle total sobre seus tenants a terceiros.
Os MSPs se beneficiam de um acesso preciso e restrito a funções em vários tenants de clientes. Os limites da delegação são claramente definidos, reduzindo o risco de abuso. Até mesmo a escalada não intencional de privilégios é evitada pela separação rigorosa de funções.

O GDAP se integra à estrutura de identidade mais ampla da Microsoft. As funções são definidas e atribuídas por meio do Microsoft Entra ID, e o acesso é gerenciado pelo Microsoft Partner Center usando um workflow seguro e baseado em convites.

Como o GDAP funciona nos bastidores

O GDAP aprimora a forma como os MSPs interagem com os tenants dos clientes por meio de acesso restrito a funções, separação de identidades e workflows de consentimento explícito.

Cada relação GDAP é estabelecida por meio de uma oferta de delegação, enviada por meio do Microsoft Partner Center. Uma vez aceita, um grupo de segurança no tenant do parceiro recebe funções específicas do Microsoft Entra ID, restritas exclusivamente ao tenant do cliente em questão. Essas funções são atribuídas por meio do Microsoft Entra ID e regidas por um sistema RBAC.

Esses grupos de segurança vinculados ao GDAP estão incorporados no grupo de agentes Admin, que a Microsoft usa para mapear o acesso dos parceiros em todos os serviços. Isso concede permissões de Proprietário em todas as assinaturas do Azure associadas ao locatário do cliente. O acesso ao GDAP pode ser configurado para expirar, permitindo permissões com prazo determinado que reduzem a exposição a longo prazo. Os MSPs podem gerenciar vários relacionamentos GDAP simultaneamente, cada um com escopos e duração diferentes para cada cliente.

Os clientes mantêm o controle administrativo sobre essas relações. Eles podem visualizar as atribuições do GDAP no Microsoft Entra Admin Center, revisar os escopos das funções e revogar o acesso a qualquer momento — sem a intervenção do parceiro. Isso reforça a transparência do acesso como um padrão técnico e operacional.

Como configurar o GDAP para sua organização

A configuração do GDAP requer coordenação entre o MSP e o tenant do cliente, além de alinhamento com o ecossistema de parceiros da Microsoft. O processo abrange tanto o Microsoft Partner Center quanto o Microsoft Entra ID e deve ser repetido para cada cliente e cada configuração de função. Aqui estão as etapas para configurar um relacionamento GDAP entre um MSP e o tenant de um cliente.

Solicitar um relacionamento GDAP
Obter a aprovação do cliente
Atribuir funções a grupos de segurança
Configurar a expiração e a prorrogação automática do GDAP
Auditar os registros de atividades do GDAP

Solicitar um relacionamento GDAP

O MSP começa criando uma oferta de delegação para o tenant do cliente de destino. Essa oferta inclui uma lista das funções do Entra que estão sendo solicitadas, uma duração de acesso definida e um link de aprovação. As funções solicitadas devem refletir as necessidades operacionais dos técnicos do MSP, como Administrador de Helpdesk, Administrador de Usuários ou Leitor de Diretório.

A oferta permanece inativa até que o cliente a aprove manualmente. A Microsoft não notifica o cliente; o MSP precisa compartilhar o link da solicitação manualmente com seus clientes.

Aprovação do cliente

O cliente abre o link da solicitação e se autentica usando uma conta de Administrador Global. São apresentados a ele os escopos exatos das funções, a duração do acesso e os metadados da relação. Uma vez aprovada, a relação GDAP torna-se ativa e visível em ambos os tenants.

Se o cliente não concordar com as funções mencionadas no link, a oferta não poderá ser editada para incluir essas funções e deverá ser recusada. O MSP deverá então criar uma nova oferta de delegação com base nos requisitos do cliente.

Atribuir funções a grupos de segurança

Após a aprovação, o MSP deve atribuir as funções aprovadas aos grupos de segurança em seu próprio tenant do Microsoft Entra. Cada função está vinculada a um grupo específico, e somente os membros desse grupo herdam o acesso delegado ao operar dentro do escopo do tenant do cliente.

Esses grupos de segurança estão aninhados sob o grupo “Admin agent”, que define o limite de acesso para operações relacionadas ao GDAP. As atribuições de funções só entram em vigor quando essa estrutura estiver configurada corretamente.

Configurar a validade e a renovação automática do GDAP

As relações GDAP são configuradas com datas de validade para garantir que o acesso seja revisado periodicamente. Por padrão, a Microsoft define uma validade de dois anos para as relações, mas é possível definir uma duração personalizada no momento da oferta.

Os parceiros também têm a opção de ativar a prorrogação automática, que renova o acesso pouco antes do vencimento. Sem isso, todas as permissões expirarão, a menos que sejam renovadas manualmente, e o acesso ao tenant do cliente será revogado.

Auditar os registros de atividades do GDAP

Todos os eventos relacionados ao GDAP são registrados e podem ser acessados pelos MSPs por meio do Partner Center. Isso inclui eventos de criação de relacionamento, aprovação, atribuição de funções e expiração. Os registros de atividades podem ser exportados para fins de auditoria, solução de problemas ou análise interna.

O registro de atividades exibe as seguintes colunas:

Data e hora: a data e a hora da ação
Cliente afetado: o nome da empresa do cliente
Ação: a ação GDAP realizada, como Criar contrato, Relação de administrador granular aprovada, Relação de administrador granular encerrada e muito mais.
Executado por: o parceiro associado à atividade

Os desafios do GDAP para MSPs

O GDAP representa um avanço em relação ao DAP tradicional. Ele traz clareza, aplica o princípio do privilégio mínimo e se alinha às práticas modernas de Zero Trust. No entanto, para MSPs que gerenciam vários tenants de clientes, escalar o GDAP acarreta custos operacionais reais.

Configuração manual e repetitiva

Cada relação GDAP deve ser criada individualmente. Para cada cliente, o MSP precisa definir funções, gerar links de aprovação, aguardar a aceitação manual e mapear funções para grupos de segurança. Esse processo precisa ser repetido para cada tenant ou para novas funções e permissões.

Sem atribuição em massa

Não há suporte nativo para integração em massa ou automação do mapeamento de funções entre tenants. Sem scripts personalizados ou ferramentas de terceiros, gerenciar dezenas de relações GDAP se torna demorado e propenso a erros.

Dependência do Partner Center

Todos os fluxos de delegação estão vinculados ao Partner Center. Isso cria uma dependência do ecossistema de ferramentas da Microsoft — não apenas para a configuração, mas também para o gerenciamento contínuo. Os MSPs precisam manter o status de parceiro, a elegibilidade e a conformidade com a Microsoft apenas para manter o GDAP operacional.

Escopo estático de funções

Embora o GDAP ofereça mais controle aos seus MSPs, o escopo das funções ainda está vinculado às funções de administrador predefinidas do Microsoft Entra ID e às permissões personalizadas, que não são granulares. Os MSPs não podem definir permissões específicas para tarefas além desses limites — por exemplo, restringir um técnico a apenas redefinir senhas, mas não modificar atributos.

O GDAP é seguro — mas rígido. Para MSPs que gerenciam uma base de clientes em crescimento, sua estrutura adiciona complexidade onde muitas vezes é necessária flexibilidade. Modelos alternativos de delegação podem ajudar a reduzir essa sobrecarga — sem sacrificar o controle.

Além do GDAP: uma abordagem mais simples com o M365 Manager Plus

Para MSPs que buscam um controle mais granular do que o permitido pelas funções do GDAP, o ManageEngine M365 Manager Plus, uma solução administrativa abrangente para o Microsoft 365, é uma alternativa eficiente. Ele foi desenvolvido tanto para organizações individuais quanto para MSPs, combinando delegação granular, gerenciamento multitenant, geração automatizada de relatórios e auditoria detalhada em uma única interface unificada.

Seus recursos vão muito além do Partner Center e do Microsoft 365 Admin Center — permitindo que os parceiros provisionem usuários, executem tarefas, rastreiem alterações, gerem relatórios e imponham limites de funções sem depender do modelo de funções nativo da Microsoft ou dos fluxos de delegação.

Alguns desses recursos incluem:

Administração unificada de múltiplos tenants

O M365 Manager Plus oferece suporte à gestão de múltiplos tenants a partir de um único console, sem dependência do Microsoft Partner Center. Os MSPs podem integrar todos os tenants dos clientes de forma centralizada e gerenciá-los em paralelo — eliminando a necessidade de recriar fluxos de delegação tenant por tenant.

Delegação personalizada sem limites de funções do Entra

O modelo de delegação no M365 Manager Plus vai além das funções predefinidas do Microsoft Entra. Os administradores podem definir escopos personalizados com base em:

Usuários específicos
Ações (redefinir senhas, atribuir licenças, modificar atributos)
Tenants ou limites de tenants virtuais

Isso permite um controle preciso sobre o que cada técnico pode acessar e fazer — sem depender de funções fixas de administrador da Microsoft.

Tenants virtuais e acesso de técnicos com escopo

O M365 Manager Plus introduz o conceito de Tenants Virtuais: agrupamentos lógicos que permitem a delegação com escopo dentro ou entre tenants reais do Microsoft 365. Isso significa que os MSPs podem isolar cargas de trabalho, restringir a visibilidade e aplicar limites internos ou específicos do cliente — até o nível do usuário.

Auditoria e geração de relatórios integradas

Todas as ações realizadas pelos técnicos do M365 Manager Plus são registradas automaticamente e podem ser auditadas. Os MSPs podem rastrear quem fez o quê, onde e quando — em todos os tenants — sem precisar exportar registros de vários portais da Microsoft.

Sem dependências externas

O M365 Manager Plus é uma plataforma autônoma. Não requer o Microsoft Partner Center, ofertas do GDAP nem o Azure Lighthouse. Isso elimina barreiras de elegibilidade, atrasos no acesso e a necessidade de gerenciar a conformidade do Partner Center para cada relacionamento com o cliente.

Baixe a versão de avaliação gratuita de 30 dias do M365 Manager Plus para explorar esses recursos e funcionalidades por conta própria. Entre em contato conosco para uma demonstração gratuita e personalizada e descubra a melhor forma de proteger seu ambiente do Microsoft 365 usando esses recursos.

Artigo traduzido. Conteúdo original no blog ManageEngine.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil