代理管理特権 (DAP) に関する FAQ
対象ロール: 管理エージェント | ヘルプデスク エージェント
委任された管理特権 (DAP) を使用すると、パートナーは顧客の代わりに顧客のサービスまたはサブスクリプションを管理できます。
顧客は、パートナーが委任された管理特権を使用する前に、パートナーにアクセス許可を付与する必要があります。
顧客から委任された管理者のアクセス許可を取得するには、顧客とのリセラー関係を要求する メールを送信します。
顧客が要求を承認すると、パートナーの管理 エージェントまたはヘルプデスク エージェントは、サービスの管理ポータルにサインインし、顧客の代わりにサービスを管理できます。 たとえば、パートナーは次のことができます。
- ヘルプデスク エージェント特権を使用して、顧客のサポートを提供します。
- 管理 エージェント特権を使用して、顧客に代わって作業を実行します。
DAP 監視ツール
DAP 監視ツールでは、パートナー エージェントが DAP を介してすべての顧客テナントの顧客テナントにアクセスする方法をキャプチャします。
パートナーの管理エージェントは、DAP 監視ツールを使用して、顧客と共に DAP を監査できます。 その後、パートナーは使用状況データを確認し、使用されていない DAP 接続を削除できます。 このセルフサービスの削除機能は、アクセスを制御することでセキュリティを向上するのに役立ちます。
DAP の削除: 結果
DAP が削除され、GDAP が有効になっていないと、パートナーはどのような機能を失いますか?
顧客の DAP アクセスを無効にする:
顧客テナントの機能を管理するための特権を終了します。
- 管理機能を再び有効にするには、DAP を再び有効にする必要があります。
顧客のサポート要求を作成する機能を終了します。
- 顧客のサポート チケットを作成する機能を再び有効にするには、DAP を再度有効にする必要があります。
次の方法で Microsoft 365 サブスクリプションに影響します。
DAP が前提条件であるため、サブスクリプションをアップグレードできません。
プロビジョニングには DAP が必要なため、サブスクリプションのプロビジョニング状態を取得できません。
Microsoft 365 サブスクリプション機能を再び有効にするには、顧客テナントで DAP を再び有効にする必要があります。
次の方法で Azure サブスクリプションに影響します。
パートナーは、パートナー センターを使用して Azure サブスクリプションを管理する機能を失います (ただし、Microsoft Azure から Azure サブスクリプションを管理することはできます)。
パートナー管理者は、DAP の削除後にプロビジョニングされた Azure サブスクリプションの所有者を表示したり、所有者を復元したりすることはできません。
- ただし、顧客のグローバル管理者は、すべての Azure サブスクリプションで所有者アクセスを再開し、顧客テナント内の他のエージェントにロールを割り当てることができます。 詳細については、「Azure CSP の管理者特権を復元する」を参照してください。
Azure サブスクリプション機能を再び有効にするには、顧客テナントで DAP を再び有効にする必要があります。
ID API による顧客の取得呼び出しから受信した応答に影響します。
パートナーが顧客テナントに対する DAP アクセス権を持っていない場合、Get Customer ID API 呼び出しは次の属性を返しません。
- CompanyProfileAddress
- CompanyProfileEmail
- CustomDoメインs
既存の新しいコマース Azure サブスクリプションで RBAC が削除されると、パートナー獲得クレジット (PEC) の獲得を停止します。
既存の新しいコマース Azure サブスクリプションの PEC には影響しません。
(詳細については、 パートナー獲得クレジットと DAP セクション)。
DAP アクティビティの監視
DAP 監視 (管理のリレーションシップ ダッシュボード) とは
パートナー センターでは、パートナーは、アクティブなすべての委任された管理特権接続を識別して表示し、組織が非アクティブな DAP 接続を検出するのに役立つレポート ツールにアクセスできます。 このレポートでは、パートナー エージェントがこれらの特権を使用して顧客テナントにアクセスする方法をキャプチャし、パートナーが使用中ではない接続を削除できるようにします。 セキュリティを強化するために、使用されなくなった DAP 接続をパートナーが削除することをお勧めします。
詳細については、「管理関係の監視とセルフサービス DAP の削除」を参照してください。
DAP 監視データはどのくらいの頻度で更新されますか?
データは、顧客テナントへのクロステナント (AOBO) サインインのために毎日更新されます。
DAP 監視データは、2021 年 12 月 7 日から入手できます。
DAP 監視ツールには、間接リセラーを通じて顧客と共に間接プロバイダーのすべての顧客が含まれていますか?
はい。 すべての顧客と間接リセラーの顧客を取得します。
DAP 監視とセルフサービス削除用の API は、いつ使用できるようになりますか?
API は 2022 年第 1 四半期には使用できるようになる予定です。
レポート: DAP アクティビティ
DAP アクティビティ レポート (管理リレーションシップ ダッシュボード) を確認できるのは誰ですか?
パートナーは、アカウント設定 > Defender for Cloud > 管理istrative Relationships の DAP アクティビティ レポート/管理リレーションシップ ダッシュボードを表示できます。
DAP アクティビティ レポートは、パートナー センターで、直接請求パートナー、間接プロバイダー、間接リセラーなど、クラウド ソリューション プロバイダー プログラムのパートナーに提供されます。
管理 エージェントのパートナー センター ロールを持つユーザーは、DAP アクティビティ レポートにアクセスできます。
DAP レポートにパートナーが表示できるサインイン アクティビティの日数はどれくらいですか?
パートナーは、2021 年 12 月 7 日以降、すべての顧客のデータを確認できます。 2021 年 12 月 7 日以降、顧客テナントのパートナー ユーザーによる DAP アクティビティがあった場合、 非アクティブ 日にはその値が表示されるか空白になります。 ただし、非アクティブな日数が 90 日を超える場合は、"90+" と表示されます (つまり、パートナーは 90 日を超える間、顧客テナントにログインしていません)。
Microsoft Entra ID P2 のサブスクリプションを持つパートナーは、Microsoft Entra ID のサインイン ログを最大 30 日間表示することもできます。
次の属性は、過去 1 日間のカウントを表示します。
- エージェントのサインインの数
- パートナー エージェントがサインインした回数
Note
MICROSOFT では、CSP に Microsoft Entra ID P2 の 2 年間の無料サブスクリプションを提供しています。このサブスクリプションは、アクセス権限に関するレポートをさらに管理および取得するのに役立ちます。
使用されなくなった、または 90 日を超える非アクティブな DAP リレーションシップに対して、パートナーは何を行う必要がありますか?
セキュリティを強化するために、パートナーは、使用されなくなった、または 90 日以上非アクティブになっている委任された管理特権を削除することをお勧めします。 DAP レポートとセルフサービス削除の使用に関するガイダンスについては、管理関係の監視とセルフサービス DAP の削除を参照してください。
レポート: ユーザーのフィルター処理
間接プロバイダーは、DAP レポートで間接リセラーによって顧客をフィルター処理できますか?
いいえ。 このようなフィルター処理は DAP レポートでは使用できませんが、今後のリリースでその機能を追加するかどうかを評価しています。
Azure と DAP
パートナーは、DAP を削除した後に新しい最新の Azure プランを購入できますか?
はい。 パートナーは、最新の Azure プランを引き続き処理できます。 DAP は取引を行う必要はありません。
DAP が削除された後、パートナーは新しいコマース Azure プランとサブスクリプションに対する所有者の権利をどのように回復できますか?
所有者の権利を回復するには、パートナーが新しい DAP 関係を要求する必要があります。 ただし、顧客のグローバル管理者は、すべての Azure サブスクリプションの所有者アクセスを再開し、顧客テナント内の他のエージェントにロールを割り当てることができます。 詳細については、「Azure CSP の管理者特権を復元する」を参照してください。
パートナー獲得クレジットと DAP
パートナー獲得クレジットの詳細については、「パートナー獲得クレジット: CSP の新しいコマース エクスペリエンスでの動作の概要」を参照してください。
パートナーは、DAP が削除された後に追加された新しい Azure サブスクリプションで PEC を引き続き獲得しますか?
はい。 パートナーは、DAP が削除された後も追加された新しい Azure サブスクリプションで PEC を引き続き獲得します。
DAP または GDAP が削除されたときに PEC は影響を受けますか?
- パートナーのお客様が DAP のみを持っていて、DAP が削除された場合、PEC は失われません。
- パートナーのお客様が DAP を持っていて、Office と Azure の GDAP に同時に移行し、DAP が削除された場合、PEC は失われません。
- パートナーのお客様が DAP を持っていて、GDAP for Office に移行しても、Azure をそのまま保持している (つまり、GDAP に移行しない) 場合、DAP は削除されますが、PEC は失われませんが、Azure サブスクリプションへのアクセスは失われます
- RBAC ロールが削除されると、PEC は失われます。 (GDAP を削除しても RBAC は削除されません)。
コンピテンシーと DAP
Microsoft コンピテンシーの詳細については、「Microsoft コンピテンシーを取得してビジネスを差別化する」を参照してください。
DAP を無効にするか、GDAP に移行すると、レガシ コンピテンシーの特典またはソリューション パートナーの指定に影響しますか?
DAP と GDAP は、ソリューション パートナーの指定の対象となる関連付けの種類ではなく、DAP から GDAP への無効化または移行は、ソリューション パートナーの指定の達成には影響しません。 レガシ コンピテンシー特典またはソリューション パートナー特典の更新も影響を受けなくなります。
パートナー センター ソリューション パートナーの指定に 移動して、 ソリューション パートナーの指定の対象となるその他のパートナー関連付けの種類を表示します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示