Häufig gestellte Fragen zu delegierten Administratorrechten (DAP)

Geeignete Rollen: Administrator-Agent | Helpdesk-Agent

Delegierte Administratorrechte (Delegierte Administratorrechte, DAP) ermöglichen es einem Partner, den Dienst oder das Abonnement eines Kunden in seinem Auftrag zu verwalten.

Der Kunde muss eine Partnerberechtigung erteilen, bevor der Partner delegierte Administratorrechte verwenden kann.

Um delegierte Administratorberechtigungen von einem Kunden zu erhalten, senden Sie eine E-Mail, um eine Vertriebspartnerschaft mit dem Kunden anzufordern.

Nachdem der Kunde die Anforderung genehmigt hat, kann sich der Administrator-Agent oder Helpdesk-Agent des Partners beim Verwaltungsportal des Diensts anmelden und den Dienst im Namen des Kunden verwalten. Beispielsweise kann ein Partner:

• Verwenden Sie Helpdesk-Agent-Berechtigungen, um Support für den Kunden bereitzustellen.
• Verwenden Sie Administrator-Agent-Berechtigungen, um Arbeiten im Auftrag des Kunden auszuführen.

DAP-Überwachungstool

Das DAP-Überwachungstool erfasst, wie Partner-Agenten über DAP auf alle Kundenmandanten zugreifen.

Die Administrator-Agents von Partnern können das DAP-Überwachungstool verwenden, um DAP mit ihren Kunden zu überwachen. Partner können dann Nutzungsdaten überprüfen und DAP-Verbindungen entfernen, die nicht verwendet werden. Diese Self-Serve-Entfernungsfunktion trägt zur Verbesserung der Sicherheit bei, indem der Zugriff kontrolliert wird.

Entfernen von DAP: Folgen

Welche Funktionen verliert ein Partner, wenn DAP entfernt wird und GDAP nicht aktiviert ist?

Deaktivieren des DAP-Zugriffs für einen Kunden:

• Beendet Berechtigungen zum Verwalten von Funktionen für den Kundenmandanten.

  • Um die Verwaltungsfunktionen erneut zu nutzen, müssen Sie DAP erneut verwenden.

• Beendet die Möglichkeit, Supportanfragen für den Kunden zu erstellen.

  • Um die Möglichkeit zum Erstellen von Supporttickets für den Kunden erneut zu aktivieren, müssen Sie DAP erneut aktivieren.

• Betrifft Microsoft 365-Abonnements auf folgende Weise:

  • Ein Abonnement kann nicht aktualisiert werden, da DAP eine Voraussetzung ist.

  • Der Bereitstellungsstatus des Abonnements kann nicht abgerufen werden, da für die Bereitstellung DAP erforderlich ist.

    Um die Microsoft 365-Abonnementfunktionen wiederzuverwenden, müssen Sie DAP auf dem Kundenmandanten erneut aktivieren.

• Wirkt sich auf folgende Arten auf Azure-Abonnements aus:

  • Partner verlieren die Möglichkeit, Azure-Abonnements über das Partner Center zu verwalten (aber das Azure-Abonnement von Microsoft Azure verwalten können).

  • Partneradministratoren können keine Besitzer sehen oder besitzer für Azure-Abonnements, die nach dem Entfernen von DAP bereitgestellt wurden, erneut angeben.

    • Globale Kundenadministratoren können jedoch den Besitzerzugriff auf alle Azure-Abonnements neu festlegen und anderen Agents in den Kundenmandanten Rollen zuweisen. Weitere Informationen finden Sie unter Erneutes Festlegen von Administratorrechten für Azure CSP.

    Um die Azure-Abonnementfunktionen wiederzuverwenden, müssen Sie DAP auf dem Kundenmandanten erneut aktivieren.

• Wirkt sich auf die Antwort aus, die vom Aufruf der ID-API empfangen wurde.

  • Der Aufruf der Get Customer ID API gibt nicht die folgenden Attribute zurück, wenn der Partner keinen DAP-Zugriff auf den Kundenmandanten hat.

    • CompanyProfileAddress
    • CompanyProfileEmail
    • CustomDo Standard s

• Stoppt Partner, die Partner Earned Credit (PEC) verdienen, wenn RBAC für vorhandene neue Commerce Azure-Abonnements entfernt wird.

• Wirkt sich nicht auf PEC für vorhandene neue Commerce Azure-Abonnements aus.

  (Weitere Informationen finden Sie unter Partner earned Credit and DAP section.)

Überwachen der DAP-Aktivität

Was ist DAP-Überwachung (das Dashboard für administrative Beziehungen)?

In Partner Center haben Partner Zugriff auf ein Berichterstellungstool, das alle aktiven delegierten Administratorberechtigungsverbindungen identifiziert und anzeigt und Organisationen hilft, inaktive DAP-Verbindungen zu ermitteln. Die Berichterstellung erfasst, wie Partner-Agents über diese Berechtigungen auf Kundenmandanten zugreifen und es Partnern ermöglicht, Verbindungen zu entfernen, die nicht verwendet werden. Um die Sicherheit zu verbessern, empfiehlt Microsoft, dass Partner DAP-Verbindungen entfernen, die nicht mehr verwendet werden.

Weitere Informationen finden Sie unter Überwachen von administrativen Beziehungen und Self-Service-DAP-Entfernung.

Wie oft werden DAP-Überwachungsdaten aktualisiert?

Die Daten werden täglich für die AOBO-Anmeldung (Cross-Tenant) bei Kundenmandanten aktualisiert.

DAP-Überwachungsdaten sind ab dem 7. Dezember 2021 verfügbar.

Umfasst das DAP-Überwachungstool alle Kunden eines indirekten Anbieters zusammen mit Kunden über indirekte Wiederverkäufer?

Ja. Sie erhalten alle Ihre Kunden und die indirekten Wiederverkäufer.You get all your customers and your indirect resellers's customers.

Wann ist die API für die DAP-Überwachung und die Self-Serve-Entfernung verfügbar?

Die API wird voraussichtlich während Q1 in 2022 verfügbar sein.

Berichterstellung: DAP-Aktivität

Wer kann DAP-Aktivitätsberichte (Dashboard für administrative Beziehungen) lesen?

Partner können das Dashboard für DAP-Aktivitätsberichte/administrative Beziehungen in den Kontoeinstellungen > Defender für Cloud > administrative Beziehungen anzeigen.

DAP-Aktivitätsberichte sind im Partner Center für Partner im Programm für Cloud-Lösungsanbieter verfügbar: Direktrechnungspartner, indirekte Anbieter und indirekte Wiederverkäufer.

Benutzer mit der Rolle Partner Center des Admin-Agents haben Zugriff auf den DAP-Aktivitätsbericht.

Wie viele Tage Anmeldeaktivitäten können Partner in der DAP-Berichterstellung sehen?

Partner können daten seit dem 7. Dezember 2021 für alle ihre Kunden anzeigen. Wenn seit dem 7. Dezember 2021 DAP-Aktivitäten von einem Partnerbenutzer in einem Kundenmandanten vorhanden sind, zeigt Days Inactive diesen Wert an oder ist leer. Wenn "Days Inactive " jedoch größer als 90 Tage ist, wird "90+" angezeigt (was bedeutet, dass der Partner seit mehr als 90 Tagen nicht beim Kundenmandanten angemeldet ist).

Partner mit einem Abonnement für Microsoft Entra ID P2 können auch Anmeldeprotokolle in Microsoft Entra ID bis zu 30 Tage anzeigen.

Die folgenden Attribute zeigen die Anzahl der letzten Tage an:

• Anzahl der Agents-Anmeldung
• Anzahl der Anmeldungen des Partner-Agents

Hinweis

Wir bieten CSPs ein kostenloses zweijähriges Abonnement für Microsoft Entra ID P2 an, um sie bei der weiteren Verwaltung und beim Abrufen von Berichten über Zugriffsberechtigungen zu unterstützen.

Was sollten Partner mit DAP-Beziehungen tun, die nicht mehr verwendet werden oder seit mehr als 90 Tagen inaktiv sind?

Um die Sicherheit zu verbessern, empfiehlt Microsoft Partnern, delegierte Administratorrechte zu entfernen, die nicht mehr verwendet werden oder 90 Tage oder mehr inaktiv sind. Anleitungen zur Verwendung des DAP-Berichts und der Self-Service-Entfernung finden Sie unter Monitoring administrative Beziehungen und Self-Service DAP Removal.

Berichterstellung: Filtern von Benutzern

Können indirekte Anbieter Kunden nach indirekten Wiederverkäufern in DER DAP-Berichterstellung filtern?

Nein Diese Art von Filterung ist in DAP-Berichten nicht verfügbar, aber wir bewerten, ob diese Funktion in einer zukünftigen Version hinzugefügt werden soll.

---

Azure und DAP

Können Partner neue moderne Azure-Pläne erwerben, nachdem DAP entfernt wurde?

Ja. Partner können weiterhin moderne Azure-Pläne durchführen. DAP sind für die Durchführung nicht erforderlich.

Nachdem DAP entfernt wurde, wie kann ein Partner die Besitzerrechte für den neuen Azure-Commerce-Plan und -Abonnements wieder aufnehmen?

Um besitzerrechte wieder einzulegen, muss ein Partner eine neue DAP-Beziehung anfordern. Ein globaler Kundeadministrator kann jedoch den Besitzerzugriff auf alle Azure-Abonnements erneut festlegen und anderen Agents in den Kundenmandanten Rollen zuweisen. Weitere Informationen finden Sie unter Erneutes Festlegen von Administratorrechten für Azure CSP.

---

Partner verdiente Gutschrift und DAP

Weitere Informationen zu Partner Earned Credit finden Sie unter "Partner verdiente Gutschrift": Eine Übersicht über die Funktionsweise in der neuen Commerce-Erfahrung in CSP.

Erhalten Partner weiterhin PEC für die neuen Azure-Abonnements, die nach dem Entfernen des DAP hinzugefügt wurden?

Ja. Partner erhalten weiterhin PEC für neue Azure-Abonnements, die hinzugefügt wurden, nachdem DAP entfernt wurde.

Ist PEC betroffen, wenn DAP oder GDAP entfernt werden?

• Wenn ein Partnerkunde nur DAP hat und DAP entfernt wird, geht PEC nicht verloren.
• Wenn ein Partnerkunde ÜBER DAP verfügt und er gleichzeitig zu GDAP für Office und Azure wechselt und DAP entfernt wird, geht PEC nicht verloren.
• Wenn ein Partnerkunde ÜBER DAP verfügt und er zu GDAP für Office wechselt, Azure jedoch beibehalten (d. h., er wechselt nicht zu GDAP), und DAP wird entfernt, PEC geht nicht verloren, aber der Azure-Abonnementzugriff geht verloren.
• Wenn eine RBAC-Rolle entfernt wird, geht PEC verloren. (Das Entfernen von GDAP entfernt RBAC nicht.)

---

Kompetenzen und DAP

Weitere Informationen zu Microsoft-Kompetenzen finden Sie unter Differenzieren Ihres Unternehmens durch Erreichen von Microsoft-Kompetenzen.

Wirkt sich die Deaktivierung von DAP oder der Übergang zu GDAP auf meine älteren Kompetenzvorteile oder die Von mir erworbenen Lösungen Partnerbezeichnungen aus?

DAP und GDAP sind keine geeigneten Zuordnungstypen für Solutions Partner-Bezeichnungen und das Deaktivieren oder Übergang von DAP zu GDAP wirken sich nicht auf Ihre Erreichung von Solutions Partner-Bezeichnungen aus. Ihre Erneuerung von Legacy-Kompetenzvorteilen oder Solutions Partner-Vorteilen wird ebenfalls nicht beeinträchtigt.

Wechseln Sie zu Partner Center Solutions Partner-Bezeichnungen , um anzuzeigen, welche anderen Partnerzuordnungstypen für Solutions Partner-Bezeichnungen berechtigt sind.