GDAP & least-privilege

Damit kjello Geräte einrichten, Software bereitstellen und im Support helfen kann, braucht hagel IT einen kontrollierten Zugang zu eurer Microsoft-365-Umgebung. Wie dieser Zugang aussieht, ist eine Vertrauensfrage — und kjello beantwortet sie mit zwei klaren Prinzipien: GDAP und least-privilege.

least-privilege: so wenig Rechte wie möglich

„least-privilege“ heißt so wenig Berechtigungen wie nötig. Statt eines Generalschlüssels, der jede Tür öffnet, bekommt kjello nur genau die Rechte, die für eine bestimmte Aufgabe gebraucht werden — nicht mehr. Wer nur Geräte verwalten soll, kann nicht auch Postfächer lesen.

Der Vorteil ist einfach: Was niemand kann, kann auch nicht missbraucht werden — weder versehentlich noch durch einen Angreifer, der einen Zugang kapert.

GDAP: Zugang auf Zeit

GDAP steht für Granular Delegated Admin Privileges — auf Deutsch etwa „fein abgestufte, delegierte Administrationsrechte“. Microsoft hat dieses Modell geschaffen, damit IT-Dienstleister Kunden betreuen können, ohne dauerhaft allmächtige Administratoren zu sein.

Drei Eigenschaften machen GDAP sicher:

Eigenschaft	Was sie bedeutet
Fein abgestuft	Nur einzelne, klar benannte Rollen — kein „Globaler Administrator“.
Zeitlich begrenzt	Der Zugang läuft nach einer festgelegten Frist automatisch ab.
Pro Kunde getrennt	Jede Kundenumgebung hat ihre eigene Beziehung — keine Vermischung.

Läuft eine GDAP-Beziehung aus, wird sie bewusst erneuert — ein dauerhafter Standzugriff entsteht nie von selbst.

Was das konkret heißt

Kein Standing Global Admin. Niemand bei hagel IT hat dauerhaft uneingeschränkten Vollzugriff auf eure Umgebung.
Zugriff nach Bedarf. Rechte sind an Aufgaben gebunden und enden mit ihnen.
Nachvollziehbar. Wichtige Aktionen werden protokolliert — wer wann was getan hat, lässt sich später belegen (siehe DSGVO & Compliance).
Trennung der Mandanten. Eure Daten bleiben strikt von denen anderer Kunden getrennt.