.
O esforço atrasado da Microsoft para garantir que seus parceiros não tenham acesso indevidamente privilegiado aos sistemas de seus clientes durará apenas nove dias, antes de parar por um mês.
Os parceiros do colosso de software baseado em Redmond contam historicamente com “privilégios administrativos delegados” (DAP) para gerenciar e monitorar os sistemas dos clientes e as compras de software.
Após ataques criminosos a provedores de serviços gerenciados e ao software que eles usam para atender seus clientes, a Microsoft decidiu que os privilégios DAP ofereciam acesso perigosamente extenso.
A empresa, portanto, criou privilégios administrativos delegados granulares (GDAP).
Como o nome indica, o GDPP limita os recursos e as permissões que os parceiros desfrutam ao conduzir os sistemas de seus clientes. Ele também adiciona princípios de confiança zero para reduzir ainda mais a probabilidade de um ataque a um parceiro significar dor para os clientes finais. Parceiros e clientes da Microsoft foram informados de que precisariam parar de usar DAPs e, em vez disso, mudar para GDAPs.
Até agora, tão sensato.
Mas também um pouco controverso, porque os parceiros podem criar perfis GDPP nas implementações do Active Directory dos clientes – os clientes não precisam dar permissão para a criação de perfis GDPP, mas precisam aprová-los.
A mudança do DAP para o GDPP tem sido lenta. A Microsoft definiu 31 de outubro de 2022 como a data em que descontinuaria o software que automatiza as migrações de DAP para GDAP e, em seguida, mudou essa data para 1º de março de 2023. Esses atrasos ocorreram depois que a ambição inicial de Redmondt era que o DAP morresse até o final de 2022.
A 15 de março de 2023 missiva da Microsoft para parceiros ofereceram uma atualização sobre a mudança de DAP para GDPP, que começará em 22 de maio.
“Para relacionamentos que foram transferidos de DAP para GDAP, removeremos os relacionamentos DAP correspondentes 30 dias depois”, afirma a postagem, antes de adicionar “No entanto, pausaremos a transição para o mês de junho de 2023 para oferecer suporte o encerramento do ano fiscal da Microsoft.”
O ano fiscal da Microsoft termina em 30 de junho. No final do ano fiscal, as empresas geralmente se esforçam para trazer cada centavo de receita possível.
A pausa de junho nas migrações do GDPP sugere, portanto, que a empresa fez de suas próprias preocupações uma prioridade maior do que esta transição.
Durante aqueles poucos dias de maio e, posteriormente, em julho, a Microsoft fará as seguintes alterações:
- Leitores de diretórios – podem ler informações básicas de diretórios; comumente usado para conceder acesso de leitura de diretório a aplicativos e convidados
- Escritores de diretórios – podem ler e gravar informações básicas de diretórios; para conceder acesso a aplicativos, não destinados a usuários
- Administrador de licenças – pode gerenciar licenças de produtos em usuários e grupos
- Administrador de suporte de serviço – pode ler informações de integridade do serviço e gerenciar tíquetes de suporte
- Administrador de usuários – pode gerenciar todos os aspectos de usuários e grupos, incluindo a redefinição de senhas para administradores limitados
- Administrador de função privilegiada – pode gerenciar atribuições de função no Azure AD e todos os aspectos do Privileged Identity Management (PIM)
- Administrador do Helpdesk – pode redefinir senhas para não administradores e administradores do Helpdesk
- Administrador de autenticação privilegiada – pode acessar visualizar, definir e redefinir as informações do método de autenticação para qualquer usuário (administrador ou não administrador)
As mudanças listadas acima devem melhorar a segurança, um resultado dos campeões da Microsoft – exceto, aparentemente, em junho, enquanto conta seu dinheiro. ®
.
