Monitoraggio delle relazioni amministrative e rimozione daP self-service
Ruoli appropriati: agente Amministrazione | Agente helpdesk
Panoramica
I privilegi di amministrazione delegata (DAP) offrono la possibilità di gestire il servizio o la sottoscrizione di un cliente per loro conto. Un cliente deve concedere a un partner autorizzazioni amministrative per tale servizio.
Per ottenere le autorizzazioni di amministratore delegato da un cliente, un partner invia un messaggio di posta elettronica a Richiedere una relazione di rivenditore con un cliente. Dopo che il cliente approva la richiesta, l'agente del partner Amministrazione o l'agente helpdesk può accedere al portale di amministrazione del servizio e gestire il servizio per conto del cliente. Ad esempio, usando i privilegi dell'agente helpdesk, un partner può fornire supporto per il cliente e usando i privilegi dell'agente Amministrazione, il partner può eseguire il lavoro per conto del cliente.
Gli agenti Amministrazione dei partner possono controllare DAP con i clienti. Lo strumento di monitoraggio DAP acquisisce il modo in cui gli agenti partner accedono ai tenant dei clienti in tutti i tenant dei clienti tramite DAP. I partner possono quindi esaminare e rimuovere connessioni DAP che non sono in uso. Questa funzionalità di rimozione self-service offre ai partner la possibilità di attenuare il rischio.
Partner interessati
I partner con fatturazione diretta, i provider indiretti e i rivenditori indiretti sono interessati da questa modifica.
Importante
DAP consente a un partner di accedere al tenant del cliente nel modo seguente:
- Il gruppo di agenti Amministrazione viene assegnato al ruolo Amministrazione istrator globale nel tenant di Microsoft Entra del cliente.
- Il gruppo agente helpdesk viene assegnato al ruolo di amministratore del supporto tecnico nel tenant Microsoft Entra del cliente.
I dati di monitoraggio DAP vengono acquisiti dal 7 dicembre 2021. Il monitoraggio delle relazioni amministrative mostra solo le attività di accesso tra tenant (che agiscono per conto di, AOBO) nel tenant del cliente dal 7 dicembre. Le azioni di accesso precedenti al 7 dicembre non vengono visualizzate nel dashboard delle relazioni amministrative.
Linee guida daP per la sicurezza dei clienti
Per migliorare la sicurezza, Microsoft consiglia di rimuovere privilegi amministrativi delegati che non sono più in uso o che sono stati inattivi per più di 60 giorni.
I clienti possono gestire i propri privilegi DAP in Microsoft Amministrazione Center. Per altre informazioni, vedere Clienti che possono gestire i privilegi di amministratore di un partner.
Impatto della rimozione di DAP
La disabilitazione dell'accesso DAP per un cliente disattiva sia la funzionalità dell'agente Amministrazione che i privilegi dell'agente helpdesk.
- La disabilitazione dell'accesso DAP non impedisce all'attribuzione del credito ottenuto dai partner perché l'attribuzione è basata sui ruoli di controllo degli accessi in base al ruolo nella sottoscrizione. La disabilitazione di DAP non consentirà ai partner di gestire il tenant del cliente dal Centro per i partner.
- La disabilitazione dell'accesso DAP impedisce ai partner di creare richieste di servizio per conto dei clienti. Se i partner devono creare richieste di servizio, devono richiedere di nuovo l'accesso DAP al cliente.
Per altre informazioni sulle conseguenze della rimozione di DAP, vedere le domande frequenti su DAP.
Nota
I tenant sandbox di integrazione possono disabilitare DAP, ma non possono richiedere una relazione rivenditore con il cliente di test per riabilitare DAP.
Monitoraggio daP e rimozione self-service
Un'attività di accesso è qualsiasi agente partner che accede a un tenant del cliente tramite accessi tra tenant a qualsiasi carico di lavoro. I partner che accedono al Centro per i partner e ad AOBO nel tenant del cliente o ai partner che accedono all'API e scambiano token per accedere al tenant del cliente sono considerati DAP attivi.
Una relazione attiva viene misurata da qualsiasi attività di accesso tra tenant a qualsiasi carico di lavoro da qualsiasi agente partner che accede al tenant del cliente specifico negli ultimi 90 giorni.
Una relazione tra clienti viene classificata come inattiva quando non sono presenti attività di accesso tra tenant a qualsiasi carico di lavoro da parte di qualsiasi agente partner che accede al tenant del cliente in più di 90 giorni. I partner visualizzano una raccomandazione nel dashboard per rimuovere DAP se una relazione con un cliente è inattiva per più di 90 giorni.
Nel Centro sicurezza nel Centro per i partner è possibile monitorare le attività di accesso tra tenant per i privilegi amministrativi e rimuovere DAP se inattivo. Il Centro sicurezza fornisce anche altre funzioni, che sono principali per garantire un ecosistema partner-cliente più sicuro, tra cui:
Gli agenti Amministrazione partner possono accedere al Centro sicurezza per le relazioni amministrative.
I partner possono accedere al Centro sicurezza per le relazioni amministrative per visualizzare le attività di accesso.
I partner possono visualizzare le attività di accesso in tutti i clienti.
I partner possono visualizzare le attività di accesso degli ultimi 30-60 giorni, 61-90 giorni e 90 giorni in tutti i clienti con relazioni DAP attive.
Se una relazione DAP del cliente è inattiva per più di 90 giorni, il numero di giorni inattivi è rappresentato come 90+.
I partner possono selezionare più clienti alla volta per disabilitare DAP.
I clienti possono ricevere una notifica tramite posta elettronica quando un partner disabilita DAP.
I clienti visualizzano la relazione DAP aggiornata nel Centro Amministrazione Microsoft.
Quando DAP è disabilitato, potrebbero essere necessari alcuni minuti per visualizzare la modifica nel Centro per i partner.
Attributi di filtro
| Condizione di filtro | Descrizione |
|---|---|
| Inattivo per più di 90 giorni | Visualizza il numero di clienti la cui relazione DAP è inattiva per più di 90 giorni. I partner sono consigliati per rimuovere DAP se inattivi per più di 90 giorni. |
| Inattivo per 60-90 giorni | Visualizza il numero di clienti la cui relazione DAP è inattiva tra 60 e 90 giorni. I partner sono consigliati per rimuovere DAP se inattivi per più di 60 giorni. |
| Inattivo per 30-60 giorni | Visualizza il numero di clienti la cui relazione DAP è inattiva tra 30 e 60 giorni. |
| Stabilito negli ultimi sette giorni | Visualizza il numero di clienti la cui relazione DAP è stata stabilita negli ultimi sette giorni. |
Attributi di gestione DAP
| Nome del campo | Descrizione |
|---|---|
| Numero di agenti partner connessi | Numero di agenti partner univoci connessi al tenant del cliente nell'ultimo giorno. |
| Numero di volte in cui gli agenti partner hanno eseguito l'accesso | Numero di volte in cui gli agenti partner hanno eseguito l'accesso al tenant del cliente nell'ultimo giorno. |
| Giorni abilitati | Numero dei giorni in cui è stata stabilita la relazione DAP tra il partner e il cliente. Se la relazione esiste per più di 60 giorni, vengono visualizzati 60+ . |
| Giorni inattivi | Numero di giorni in cui la relazione DAP è stata tra il partner e il cliente è stata inattiva. Se si tratta di più di 60 giorni, il valore visualizzato è 60+ o un numero esatto. Poiché i dati sono disponibili solo per l'attività tra tenant dal 7 dicembre 2021, questo attributo potrebbe essere vuoto se non è presente alcuna attività. |
| Elemento consigliato | Se l'agente partner non ha eseguito l'accesso ad alcun carico di lavoro dei clienti negli ultimi 60 giorni, viene consigliato di disabilitare DAP. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per