管理関係の監視とセルフサービス DAP の削除

対象ロール: 管理エージェント | ヘルプデスク エージェント

概要

代理管理特権 (DAP) では、顧客のサービスまたはサブスクリプションを代理で管理する機能を提供します。 顧客は、そのサービスのパートナー管理アクセス許可を付与する必要があります。

顧客から委任された管理者アクセス許可を取得するには、パートナーから顧客とのリセラー関係を要求するように 電子メールで送信されます。 顧客が要求を承認すると、パートナーの管理 エージェントまたはヘルプデスク エージェントは、サービスの管理ポータルにサインインし、顧客の代わりにサービスを管理できます。 たとえば、ヘルプデスク エージェントの権限を使用すると、パートナーは顧客のサポートを提供でき、管理 エージェント特権を使用して、パートナーは顧客に代わって作業を実行できます。

パートナーの管理エージェントは、顧客と共に DAP を監査できます。 DAP 監視ツールでは、パートナー エージェントが DAP を介してすべての顧客テナントの顧客テナントにアクセスする方法をキャプチャします。 その後、パートナーは、使用されていない DAP 接続を確認して削除できます。 このセルフ サービスの削除機能により、パートナーはリスクを軽減できます。

影響を受けるパートナー

直接請求パートナー、間接プロバイダー、間接リセラーは、この変更の影響を受けます。

重要

DAP を使用すると、パートナーは、次の方法で顧客テナントにアクセスできます。

  • 管理 エージェント グループは、顧客の Microsoft Entra テナントのグローバル 管理istrator ロールに割り当てられます。
  • ヘルプデスク エージェント グループは、顧客の Microsoft Entra テナントのヘルプデスク管理者ロールに割り当てられます。

DAP 監視データは、2021 年 12 月 7 日からキャプチャされます。 管理関係の監視では、12 月 7 日からの顧客テナントへのクロス テナント サインイン アクティビティ (代行、AOBO) だけが表示されます。 12 月 7 日より前のサインイン アクションは、管理リレーションシップ ダッシュボードには表示されません。

DAP での顧客のセキュリティに関するガイダンス

セキュリティを強化するために、Microsoft では、60 日より長い期間使用されていない、または非アクティブである代理管理特権については削除することをお勧めします。

顧客は、DAP 特権を Microsoft 管理センターで管理できます。 詳細については、顧客がパートナーの管理者特権を管理できることを示すページを参照してください。

DAP の削除による影響

顧客に対する DAP アクセスを無効にすると、管理エージェント機能とヘルプデスク エージェント特権の両方が無効になります。

  • 計上はサブスクリプションのロールベースのアクセス制御 (RBAC) ロールに基づいているため、DAP アクセスを無効にしても、パートナー獲得クレジット (PEC) の計上は停止しません。 DAP を無効にすると、パートナーはパートナー センターから顧客テナントを管理できなくなります。
  • DAP アクセスを無効にすると、パートナーは顧客に代わってサービス要求を作成できなくなります。 パートナーがサービス要求を作成する必要がある場合は、顧客に DAP アクセスを再度要求する必要があります。

DAP の削除の結果の詳細については、DAP に関してよく寄せられる質問を参照してください。

Note

統合サンドボックス テナントは DAP を無効にできますが、DAP を再度有効にするようにテスト 顧客とのリセラー関係を要求することはできません。

DAP の監視とセルフ サービスによる削除

サインイン アクティビティとは、ワークロードへのクロス テナント サインインを介して顧客テナントにアクセスするパートナー エージェントです。 顧客テナントにパートナー センターと AOBO にアクセスするパートナー、または API にアクセスし、顧客テナントにアクセスするためのトークンを交換するパートナーは、アクティブな DAP と見なされます。

アクティブな 関係 は、過去 90 日間に特定の顧客テナントにアクセスするすべてのパートナー エージェントによって、テナント間のサインイン アクティビティによって、任意のワークロードに対して測定されます。

顧客関係は、90 日を超えてその顧客テナントにアクセスするパートナー エージェントによって、ワークロードへのテナント間サインイン アクティビティがない場合に非アクティブとして分類されます。 パートナーには、顧客関係が 90 日を超えて非アクティブな場合に DAP を削除するための推奨事項がダッシュボードに表示されます。

パートナー センターの Security Center では、テナント間サインイン アクティビティの管理特権を監視し、非アクティブな場合は DAP を削除できます。 Security Center には他の機能も用意されています。これは、次のような、より安全なパートナーと顧客のエコシステムを確保するための主要な機能です。

  • パートナー 管理 エージェントは、管理関係のために Security Center にアクセスできます。
  • パートナーは、管理関係のセキュリティ センターにサインインして、サインイン アクティビティを表示できます。
  • パートナーは、すべての顧客に関するサインイン アクティビティを表示できます。

Shows the DAP enabled customers screen.

  • パートナーは、アクティブな DAP 関係を持つすべての顧客について、過去 30 ~ 60 日間、61 日から 90 日、90 日以上のサインイン アクティビティを確認できます。
  • 顧客の DAP 関係が 90 日より長い期間非アクティブである場合、非アクティブな日数は 90+ と表示されます。
  • パートナーは、DAP を無効にする場合、一度に複数の顧客を選択できます。

Shows the disable D A P screen.

  • パートナーが DAP を無効にすると、顧客は電子メールで通知を受け取ることができます。

Shows the disable DAP confirmation screen.

  • お客様には、Microsoft 管理センターで更新された DAP 関係が表示されます。
  • DAP が無効になっている場合、パートナー センターで変更が表示されるまでに数分かかる場合があります。

フィルター属性

フィルターの条件 説明
90 日より長い期間非アクティブ DAP 関係が 90 日より長い期間非アクティブである顧客の数が表示されます。 90 日より長い期間非アクティブである場合、パートナーは DAP を削除することをお勧めします。
60 から 90 日間非アクティブ DAP 関係が 60 から 90 日間非アクティブである顧客の数が表示されます。 60 日より長い期間非アクティブである場合、パートナーは DAP を削除することをお勧めします。
30 から 60 日間非アクティブ DAP 関係が 30 から 60 日間非アクティブである顧客の数が表示されます。
過去 7 日間に確立 過去 7 日間に DAP 関係が確立された顧客の数が表示されます。

DAP 管理属性

フィールド名 説明
サインインしているパートナー エージェントの数 過去 1 日間に、顧客テナントにサインインした一意のパートナー エージェントの数。
パートナー エージェントがサインインした回数 過去 1 日間に、パートナー エージェントが顧客テナントにサインインした回数。
有効な日数 パートナーと顧客の間に DAP 関係が確立された日数。 リレーションシップが 60 日を超える間存在している場合は、 60 以上 が表示されます。
非アクティブな日数 パートナーと顧客の間で DAP 関係が非アクティブになった日数。 これが 60 日を超える場合、表示される値は 60+ または正確な数値となります。 このデータは、2021 年 12 月 7 日以降、クロス テナント アクティビティにのみ使用できます。アクティビティがない場合は、この属性は空白になる可能性があります。
推奨事項 パートナー エージェントが過去 60 日間に顧客のワークロードにサインインしていない場合は、DAP を無効にすることをお勧めします。