Suppression du monitoring et du libre-service des privilèges administratifs délégués
Rôles appropriés : Agent d’administration | Agent du support technique
Vue d’ensemble
Les privilèges d’administrateur délégué (DAP) permettent de gérer le service ou l’abonnement d’un client en son nom. Un client doit accorder des autorisations d’administration de partenaire pour ce service.
Pour obtenir des autorisations d’administrateur déléguées auprès d’un client, un partenaire les envoie par e-mail pour demander une relation de revendeur avec un client. Une fois la demande approuvée par le client, l’agent Administration du partenaire ou l’agent du support technique peut se connecter au portail d’administration du service et gérer le service au nom du client. Par exemple, à l’aide de privilèges d’agent de support technique, un partenaire peut fournir un support pour le client et utiliser des privilèges d’agent Administration, le partenaire peut effectuer un travail pour le compte du client.
Les agents Administration des partenaires peuvent auditer DAP avec leurs clients. L’outil de supervision DAP capture la façon dont les agents partenaires accèdent aux locataires clients sur tous leurs locataires clients via les privilèges DAP. Les partenaires pourront alors consulter et supprimer les connexions DAP inutilisées. Cette fonctionnalité de suppression en libre-service permet aux partenaires d’atténuer le risque.
Partenaires impactés
Les partenaires à facturation directe, les fournisseurs indirects et les revendeurs indirects sont affectés par cette modification.
Important
DAP permet à un partenaire d’accéder au locataire client de la manière suivante :
- Le groupe d’agents Administration est affecté au rôle Global Administration istrator dans le locataire Microsoft Entra du client.
- Le groupe d’agents du support technique est affecté au rôle d’administrateur du support technique dans le locataire Microsoft Entra du client.
Les données de supervision DAP sont capturées à compter du 7 décembre 2021. Le suivi des relations administratives ne montre que les activités de connexion entre locataires (agissant pour le compte de, AOBO) dans le locataire client à partir du 7 décembre. Les actions de connexion avant le 7 décembre ne sont pas affichées dans le tableau de bord des relations administratives.
Conseils DAP pour la sécurité des clients
Pour améliorer la sécurité, Microsoft vous recommande de supprimer les privilèges d’administration délégués qui ne sont plus en cours d’utilisation ou qui ont été inactifs depuis plus de 60 jours.
Les clients peuvent gérer leurs propres privilèges DAP dans le Centre d’administration Microsoft. Pour plus d’informations, consultez Les clients peuvent gérer les privilèges d’administrateur d’un partenaire.
Impacts de la suppression de DAP
La désactivation de l’accès DAP pour un client désactive à la fois la fonctionnalité de l’agent d’administration et les privilèges de l’agent de support technique.
- La désactivation de l’accès DAP n’empêche pas le crédit partenaires (PEC) de s’accumuler, car l’accumulation est basée sur les rôles de contrôle d’accès en fonction du rôle (RBAC) sur l’abonnement. La désactivation de DAP n’autorise pas les partenaires à gérer leur locataire client à partir de l’Espace partenaires.
- La désactivation de l’accès DAP empêche les partenaires de créer des demandes de service pour le compte de leurs clients. Si les partenaires doivent créer des demandes de service, ils doivent demander à nouveau l’accès DAP auprès de leur client.
Pour plus d’informations sur les conséquences de la suppression de DAP, consultez les questions fréquemment posées sur le DAP.
Remarque
Les locataires de bac à sable d’intégration peuvent désactiver DAP, mais ils ne peuvent pas demander une relation de revendeur avec le client de test pour réactiver DAP.
Surveillance du DAP et suppression en libre-service
Une activité de connexion est n’importe quel agent partenaire accédant à un locataire client via des connexions entre locataires à n’importe quelle charge de travail. Les partenaires accédant à l’Espace partenaires et AOBO dans le locataire client OU partenaires qui accèdent à l’API et échangent des jetons pour accéder au locataire client sont considérés comme actifs DAP.
Une relation active est mesurée par toute activité de connexion entre locataires à n’importe quelle charge de travail par n’importe quel agent partenaire accédant au locataire client spécifique au cours des 90 derniers jours.
Une relation client est classifiée comme inactive lorsqu’il n’existe aucune activité de connexion entre locataires à une charge de travail par n’importe quel agent partenaire accédant à ce locataire client en plus de 90 jours. Les partenaires voient une recommandation sur le tableau de bord pour supprimer DAP si une relation client est inactive pendant plus de 90 jours.
Dans l’Espace partenaires de Security Center , vous pouvez surveiller les activités de connexion entre locataires pour obtenir des privilèges d’administration et supprimer DAP en cas d’inactivité. Security Center fournit également d’autres fonctions, qui sont principales pour garantir un écosystème partenaire-client plus sécurisé, notamment :
Les agents Administration partenaires peuvent accéder à Security Center pour les relations administratives.
Les partenaires peuvent se connecter au Centre de sécurité pour les relations administratives afin d’afficher les activités de connexion.
Les partenaires peuvent voir les activités de connexion sur tous leurs clients.
Les partenaires peuvent voir les activités de connexion au cours des 30-60 derniers jours, 61 à 90 jours et 90 jours pour tous leurs clients qui ont des relations DAP actives.
Si une relation DAP client est inactive pendant plus de 90 jours, le nombre de jours inactifs est représenté par 90 + .
Les partenaires peuvent sélectionner plusieurs clients à la fois pour désactiver DAP.
Les clients peuvent être avertis par e-mail lorsqu’un partenaire désactive DAP.
Les clients voient la relation DAP mise à jour sur le Centre d’administration Microsoft.
Lorsque DAP est désactivé, la modification dans l’Espace partenaires peut prendre quelques minutes.
Attributs de filtre
| Condition de filtre | Description |
|---|---|
| Inactif pendant plus de 90 jours | Affiche le nombre de clients dont la relation DAP est inactive pendant plus de 90 jours. Les partenaires sont recommandés de supprimer DAP s’ils sont inactifs pendant plus de 90 jours. |
| Inactif pendant 60-90 jours | Affiche le nombre de clients dont la relation DAP est inactive entre 60-90 jours. Les partenaires sont recommandés de supprimer DAP s’ils sont inactifs pendant plus de 60 jours. |
| Inactif pendant 30-60 jours | Affiche le nombre de clients dont la relation DAP est inactive entre 30-60 jours. |
| Établi au cours des sept derniers jours | Affiche le nombre de clients dont la relation DAP a été établie au cours des sept derniers jours. |
Attributs de gestion DAP
| Nom du champ | Description |
|---|---|
| Nombre d’agents partenaires connectés | Nombre d’agents partenaires uniques connectés au locataire du client au cours du dernier jour. |
| Nombre de fois où les agents partenaires se sont connectés | Nombre de fois où les agents partenaires se sont connectés au locataire du client au cours du dernier jour. |
| Jours activés | Nombre de jours pendant lesquels la relation DAP établie entre le partenaire et le client existe. Si la relation existe depuis plus de 60 jours, 60+ s’affichent. |
| Jours inactifs | Nombre de jours pendant lesquels la relation DAP a été entre le partenaire et le client a été inactive. Si cette valeur est supérieure à 60 jours, la valeur affichée est 60+ ou un nombre exact. Étant donné que les données sont uniquement disponibles pour l’activité interlocataire depuis le 7 décembre 2021, cet attribut peut être vide s’il n’y a aucune activité. |
| Recommandation | Une recommandation pour désactiver DAP est faite si l’agent partenaire n’a pas connecté à l’une des charges de travail des clients au cours des 60 derniers jours. |
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour