Share via

Domande frequenti sui privilegi amministrativi delegati

  • Articolo

Ruoli appropriati: agente Amministrazione | Agente helpdesk

I privilegi di amministrazione delegata consentono a un partner di gestire il servizio o la sottoscrizione di un cliente per loro conto.

Il cliente deve concedere un'autorizzazione partner prima che il partner possa usare privilegi di amministrazione delegati.

Per ottenere le autorizzazioni di amministratore delegato da un cliente, inviare un messaggio di posta elettronica a Richiedere una relazione di rivenditore con il cliente.

Dopo che il cliente approva la richiesta, l'agente del partner Amministrazione o l'agente helpdesk può accedere al portale di amministrazione del servizio e gestire il servizio per conto del cliente. Ad esempio, un partner può:

  • Usare i privilegi dell'agente helpdesk per fornire supporto al cliente.
  • Usare Amministrazione privilegi dell'agente per eseguire operazioni per conto del cliente.
Strumento di monitoraggio DAP

Lo strumento di monitoraggio DAP acquisisce il modo in cui gli agenti partner accedono ai tenant dei clienti in tutti i tenant dei clienti tramite DAP.

Gli agenti Amministrazione dei partner possono usare lo strumento di monitoraggio DAP per controllare DAP con i clienti. I partner possono quindi esaminare i dati di utilizzo e rimuovere connessioni DAP che non sono in uso. Questa funzionalità di rimozione self-service consente di migliorare la sicurezza controllando l'accesso.

Rimozione di DAP: conseguenze

Quali funzionalità perde un partner quando viene rimosso DAP e GDAP non è abilitato?

Disabilitazione dell'accesso DAP per un cliente:

  • Termina i privilegi per gestire le funzionalità nel tenant del cliente.

    • Per riabilitare le funzionalità di gestione, è necessario riabilitare DAP.

  • Termina la possibilità di creare richieste di supporto per il cliente.

    • Per riabilitare la possibilità di creare ticket di supporto per il cliente, è necessario riabilitare DAP.

  • Influisce sulle sottoscrizioni di Microsoft 365 nei modi seguenti:

    • Non è possibile aggiornare una sottoscrizione perché la presenza di DAP è un prerequisito.

    • Non è possibile ottenere lo stato di provisioning della sottoscrizione perché il provisioning richiede DAP.

      Per riabilitare le funzionalità di sottoscrizione di Microsoft 365, è necessario riabilitare DAP nel tenant del cliente.To reenable Microsoft 365 subscription capabilities, you must reenable DAP on the customer tenant.

  • Influisce sulle sottoscrizioni di Azure nei modi seguenti:

    • I partner perdono la possibilità di gestire le sottoscrizioni di Azure tramite il Centro per i partner ( ma possono gestire la sottoscrizione di Azure da Microsoft Azure).

    • Gli amministratori partner non possono visualizzare i proprietari o reintegrare i proprietari per le sottoscrizioni di Azure di cui è stato effettuato il provisioning dopo la rimozione di DAP.

      Per riabilitare le funzionalità di sottoscrizione di Azure, è necessario riabilitare DAP nel tenant del cliente.To reenable Azure subscription capabilities, you must reenable DAP on the customer tenant.

  • Influisce sulla risposta ricevuta dalla chiamata API Get a customer by ID (Ottieni un cliente in base all'API ID ).

    • La chiamata ALL'API Get Customer ID non restituisce gli attributi seguenti se il partner non ha accesso DAP nel tenant del cliente.

      • CompanyProfileAddress
      • CompanyProfileEmail
      • CustomDomains

  • Arresta i partner che guadagnano credito ottenuto dai partner quando il controllo degli accessi in base al ruolo viene rimosso nelle nuove sottoscrizioni di Azure commerciali esistenti.

  • Non influisce sulla pec sulle nuove sottoscrizioni di Azure commerciali esistenti.

    Per altre informazioni, vedere Sezione Credito ottenuto dai partner e DAP .

Monitoraggio dell'attività DAP

Che cos'è il monitoraggio DAP (dashboard relazioni Amministrazione istrative)?

Nel Centro per i partner i partner hanno accesso a uno strumento di creazione di report che identifica e visualizza tutte le connessioni con privilegi amministrativi delegati attivi e consente alle organizzazioni di individuare connessioni DAP inattive. La creazione di report acquisisce il modo in cui gli agenti partner accedono ai tenant dei clienti tramite tali privilegi e consente ai partner di rimuovere le connessioni che non sono in uso. Per migliorare la sicurezza, Microsoft consiglia ai partner di rimuovere le connessioni DAP non più in uso.

Per altre informazioni, vedere Monitoraggio delle relazioni amministrative e rimozione di DAP self-service.

Con quale frequenza vengono aggiornati i dati di monitoraggio DAP?

I dati vengono aggiornati ogni giorno per l'accesso tra tenant (AOBO) ai tenant dei clienti.

I dati di monitoraggio DAP sono disponibili dal 7 dicembre 2021.

Lo strumento di monitoraggio DAP include tutti i clienti di un provider indiretto insieme ai clienti tramite rivenditori indiretti?

Sì. Si ottengono tutti i clienti e i clienti dei rivenditori indiretti.

Quando sarà disponibile l'API per il monitoraggio daP e la rimozione self-service?

L'API dovrebbe essere disponibile durante il primo trimestre del 2022.

Creazione di report: attività DAP

Chi può visualizzare la creazione di report delle attività DAP (dashboard relazioni Amministrazione istrative)?

I partner possono visualizzare il dashboard relazioni amministrative/report attività DAP in Impostazioni > account Defender per il cloud > relazioni Amministrazione istrative.

La creazione di report sulle attività DAP è disponibile nel Centro per i partner nel programma Cloud Solution Provider: partner con fatturazione diretta, provider indiretti e rivenditori indiretti.

Gli utenti con il ruolo centro per i partner di Amministrazione agente hanno accesso al report attività DAP.

Quanti giorni di attività di accesso possono essere visualizzati dai partner nella creazione di report DAP?

I partner possono visualizzare i dati dal 7 dicembre 2021 in tutti i clienti. Se è stata eseguita un'attività DAP da un utente partner in un tenant del cliente dal 7 dicembre 2021, Days Inactive visualizza tale valore o è vuoto. Tuttavia, se Giorni inattivi è maggiore di 90 giorni, viene visualizzato "90+" (il che significa che il partner non ha eseguito l'accesso al tenant del cliente per più di 90 giorni).

I partner con una sottoscrizione a Microsoft Entra ID P2 possono anche visualizzare i log di accesso in Microsoft Entra ID fino a 30 giorni.

Gli attributi seguenti visualizzano i conteggi per l'ultimo giorno:

  • Numero di agenti di accesso
  • Numero di volte in cui l'agente partner ha eseguito l'accesso

Nota

Microsoft offre ai provider di servizi cloud una sottoscrizione gratuita di due anni a Microsoft Entra ID P2 per aiutarli a gestire ulteriormente e ottenere report sui privilegi di accesso.

Cosa devono fare i partner con le relazioni DAP che non vengono più usate o che sono state inattive per più di 90 giorni?

Per migliorare la sicurezza, Microsoft consiglia ai partner di rimuovere privilegi amministrativi delegati che non sono più in uso o che sono stati inattivi per 90 giorni o più. Per indicazioni sull'uso del report DAP e della rimozione self-service, vedere Monitoraggio delle relazioni amministrative e rimozione daP self-service.

Creazione di report: filtro degli utenti

I provider indiretti possono filtrare i clienti in base ai rivenditori indiretti nei report DAP?

No. Questo tipo di filtro non è disponibile nei report DAP, ma viene valutato se aggiungere tale funzionalità in una versione futura.

Azure e DAP

I partner possono acquistare nuovi piani di Azure moderni dopo la rimozione di DAP?

Sì. I partner possono comunque eseguire transazioni con i piani moderni di Azure. DAP non è necessario eseguire transazioni.

Dopo la rimozione di DAP, in che modo un partner sarà in grado di ripristinare i diritti di proprietario per i nuovi piani e le sottoscrizioni di Azure commerciali?

Per ripristinare i diritti di proprietario, un partner deve richiedere una nuova relazione DAP. Tuttavia, un amministratore globale del cliente può reintegrare l'accesso del proprietario in tutte le sottoscrizioni di Azure e assegnare ruoli ad altri agenti nei tenant del cliente. Per altre informazioni, vedere Reinstate admin privileges for Azure CSP (Reinstate admin privileges for Azure CSP).

Credito ottenuto dai partner e DAP

Per altre informazioni sul credito ottenuto dai partner, vedere Credito ottenuto dai partner: una panoramica del funzionamento nella nuova esperienza commerciale in CSP.

I partner continuano a ottenere la pec sulle nuove sottoscrizioni di Azure aggiunte dopo la rimozione del dap?

Sì. I partner continuano a ottenere la pec per le nuove sottoscrizioni di Azure aggiunte dopo la rimozione di DAP.

La pec è influenzata quando vengono rimossi DAP o GDAP?
  • Se un cliente partner ha solo DAP e DAP viene rimosso, la pec non viene persa.
  • Se un cliente partner dispone di DAP e passa a GDAP per Office e Azure contemporaneamente, e DAP viene rimosso, pec non andrà perso.
  • Se un cliente partner ha DAP e passa a GDAP per Office, ma mantiene Azure così com'è (ovvero non si sposta in GDAP) e DAP viene rimosso, la pec non andrà persa, ma l'accesso alla sottoscrizione di Azure andrà perso
  • Se viene rimosso un ruolo controllo degli accessi in base al ruolo, il pec viene perso. La rimozione di GDAP non rimuove il controllo degli accessi in base al ruolo.

Competenze e DAP

Per altre informazioni sulle competenze Microsoft, vedere Differenziare l'azienda ottenendo competenze Microsoft.

La disabilitazione di DAP o la transizione a GDAP influisce sui vantaggi di competenza legacy o sulle designazioni dei partner soluzioni ottenute?

DAP e GDAP non sono tipi di associazione idonei per le designazioni dei partner soluzioni e la disabilitazione o la transizione da DAP a GDAP non influiranno sul raggiungimento delle designazioni dei partner soluzioni. Anche il rinnovo dei vantaggi di competenza legacy o dei vantaggi dei partner soluzioni non sarà interessato.

Passare a Designazioni partner del Centro per i partner per visualizzare quali altri tipi di associazione partner sono idonei per le designazioni dei partner soluzioni.