Überwachen administrativer Beziehungen und Self-Service-DAP-Entfernung
Geeignete Rollen: Administrator-Agent | Helpdesk-Agent
Überblick
Delegierte Verwaltungsrechte (Delegated Administration Privileges, DAP) bieten die Möglichkeit, den Dienst oder das Abonnement eines Kunden in seinem Auftrag zu verwalten. Ein Kunde muss einem Partner Administratorberechtigungen für diesen Dienst erteilen.
Um delegierte Administratorberechtigungen von einem Kunden zu erhalten, sendet ein Partner sie per E-Mail an eine Vertriebspartnerschaft mit einem Kunden. Nachdem der Kunde die Anforderung genehmigt hat, kann sich der Administrator-Agent oder Helpdesk-Agent des Partners beim Verwaltungsportal des Diensts anmelden und den Dienst im Namen des Kunden verwalten. Beispielsweise kann ein Partner mithilfe von Helpdesk-Agent-Berechtigungen Support für den Kunden bereitstellen und Administrator-Agent-Berechtigungen verwenden, der Partner kann im Auftrag des Kunden arbeiten.
Die Administrator-Agents von Partnern können DAP mit ihren Kunden überwachen. Das DAP-Überwachungstool erfasst, wie Partner-Agenten über DAP auf alle Kundenmandanten zugreifen. Partner können dann DAP-Verbindungen überprüfen und ungenutzte Verbindungen entfernen. Diese Self-Serve-Entfernungsfunktion bietet Partnern die Möglichkeit, das Risiko zu verringern.
Betroffene Partner
Direkte Bill-Partner, indirekte Anbieter und indirekte Wiederverkäufer sind durch diese Änderung betroffen.
Wichtig
DAP ermöglicht es einem Partner, auf folgende Weise auf Kundenmandanten zuzugreifen:
- Die Administrator-Agent-Gruppe wird der Rolle "Globaler Administrator" im Microsoft Entra-Mandanten des Kunden zugewiesen.
- Die Helpdesk-Agentgruppe wird der Helpdesk-Administratorrolle im Microsoft Entra-Mandanten des Kunden zugewiesen.
DAP-Überwachungsdaten werden seit dem 7. Dezember 2021 erfasst. Die Überwachung administrativer Beziehungen zeigt nur Mandantenübergreifende Anmeldeaktivitäten (im Auftrag von AOBO) im Kundenmandanten ab dem 7. Dezember an. Anmeldeaktionen vor dem 7. Dezember werden nicht im Dashboard für administrative Beziehungen angezeigt.
DAP-Anleitungen für die Kundensicherheit
Um die Sicherheit zu verbessern, empfiehlt Microsoft, delegierte Administratorrechte zu entfernen, die nicht mehr verwendet werden oder seit mehr als 60 Tagen inaktiv sind.
Kunden können ihre eigenen DAP-Berechtigungen im Microsoft Admin Center verwalten. Weitere Informationen finden Sie unter Kunden, die Administratorrechte eines Partners verwalten können.
Auswirkungen des Entfernens von DAP
Durch Deaktivieren des DAP-Zugriffs für einen Kunden werden sowohl die Administrator-Agent-Funktion als auch die Helpdesk-Agent-Berechtigungen deaktiviert.
- Durch das Deaktivieren des DAP-Zugriffs werden Partnerguthaben (PEC) nicht mehr abgerechnet, da die Fälligkeit auf rollenbasierten Zugriffssteuerungsrollen (RBAC) im Abonnement basiert. Durch das Deaktivieren von DAP können Partner ihren Kundenmandanten nicht über Partner Center verwalten.
- Durch das Deaktivieren des DAP-Zugriffs werden Partner daran gehindert, Dienstanforderungen im Namen ihrer Kunden zu erstellen. Wenn Partner Serviceanfragen erstellen müssen, müssen sie den DAP-Zugriff erneut von ihrem Kunden anfordern.
Weitere Informationen zu den Folgen des Entfernens von DAP finden Sie in den häufig gestellten Fragen des DAP.
Hinweis
Integrations-Sandkastenmandanten können DAP deaktivieren, aber sie können keine Händlerbeziehung mit dem Testkunden anfordern, DAP erneut zu aktivieren.
DAP-Überwachung und Self-Service-Entfernung
Eine Anmeldeaktivität ist jeder Partner-Agent, der über mandantenübergreifende Anmeldungen an einen Kundenmandanten zu einer beliebigen Arbeitsauslastung zugreift. Partner, die auf Partner Center und AOBO zugreifen, in den Kundenmandanten ODER Partner, die auf API zugreifen und Token für den Zugriff auf den Kundenmandanten austauschen, werden als active DAP betrachtet.
Eine aktive Beziehung wird von jeder mandantenübergreifenden Anmeldeaktivität an jede Workload durch einen Partner-Agent gemessen, der in den letzten 90 Tagen auf den jeweiligen Kundenmandanten zugreift.
Eine Kundenbeziehung wird als inaktiv klassifiziert, wenn es keine mandantenübergreifenden Anmeldeaktivitäten für eine Arbeitsauslastung durch einen Partner-Agent gibt, der in mehr als 90 Tagen auf diesen Kundenmandanten zugreift. Partner sehen eine Empfehlung auf dem Dashboard, DAP zu entfernen, wenn eine Kundenbeziehung länger als 90 Tage inaktiv ist.
Im Security Center im Partner Center können Sie mandantenübergreifende Anmeldeaktivitäten für Administratorrechte überwachen und DAP entfernen, wenn dies inaktiv ist. Das Security Center bietet auch andere Funktionen, die primär zur Sicherstellung eines sichereren Partner-Kunden-Ökosystems gehören:
- Partneradministrator-Agents können auf das Security Center für administrative Beziehungen zugreifen.
- Partner können sich beim Security Center für administrative Beziehungen anmelden, um Anmeldeaktivitäten anzuzeigen.
- Partner können Anmeldeaktivitäten für alle Ihre Kunden anzeigen.
- Partner können Anmeldeaktivitäten nach den letzten 30-60 Tagen, 61-90 Tagen und 90 Tagen in allen ihren Kunden sehen, die über aktive DAP-Beziehungen verfügen.
- Wenn eine DaP-Beziehung eines Kunden für mehr als 90 Tage inaktiv ist, wird die Anzahl der inaktiven Tage als 90+ dargestellt.
- Partner können mehrere Kunden gleichzeitig auswählen, um DAP zu deaktivieren.
- Kunden können per E-Mail benachrichtigt werden, wenn ein Partner DAP deaktiviert.
- Kunden sehen die DAP-Beziehung im Microsoft Admin Center aktualisiert.
- Wenn DAP deaktiviert ist, kann es einige Minuten dauern, bis die Änderung im Partner Center angezeigt wird.
Filterattribute
| Filter-Bedingung | Beschreibung |
|---|---|
| Inaktiv für mehr als 90 Tage | Zeigt die Anzahl der Kunden an, deren DAP-Beziehung mehr als 90 Tage inaktiv ist. Partner werden empfohlen, DAP zu entfernen, wenn sie mehr als 90 Tage inaktiv sind. |
| Inaktiv seit 60–90 Tagen | Zeigt die Anzahl der Kunden an, deren DAP-Beziehung mehr als 60–90 Tage inaktiv ist. Partner werden empfohlen, DAP zu entfernen, wenn sie mehr als 60 Tage inaktiv sind. |
| Inaktiv seit 30–60 Tagen | Zeigt die Anzahl der Kunden an, deren DAP-Beziehung mehr als 30–60 Tage inaktiv ist. |
| In den letzten sieben Tagen eingerichtet | Zeigt die Anzahl der Kunden an, deren DAP-Beziehung in den letzten sieben Tagen eingerichtet wurde. |
DAP-Verwaltungsattribute
| Feldname | Beschreibung |
|---|---|
| Anzahl der angemeldeten Partner-Agents | Die Anzahl eindeutiger Partner-Agents, die am letzten Tag beim Kundenmandanten angemeldet sind. |
| Anzahl der Angemeldeten Partner-Agents | Die Anzahl der beim Kundenmandanten angemeldeten Partner-Agents am letzten Tag. |
| Tage aktiviert | Die Anzahl der Tage, an denen die DAP-Beziehung zwischen dem Partner und dem Kunden hergestellt wurde. Wenn die Beziehung länger als 60 Tage vorhanden ist, wird 60+ angezeigt. |
| Tage der Inaktivität | Die Anzahl der Tage, an denen die DAP-Beziehung zwischen dem Partner und dem Kunden inaktiv war. Wenn dies mehr als 60 Tage ist, ist der angezeigte Wert 60+ oder eine genaue Zahl. Da Daten nur für mandantenübergreifende Aktivitäten seit dem 7. Dezember 2021 verfügbar sind, ist dieses Attribut möglicherweise leer, wenn keine Aktivität vorhanden ist. |
| Empfehlung | Es wird empfohlen, DAP zu deaktivieren, wenn sich der Partner-Agent in den letzten 60 Tagen nicht bei einer der Arbeitslasten der Kunden angemeldet hat. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für