Uprawnienia administracji delegowanej

  • Artykuł

Odpowiednie role: Administracja agent | Agent pomocy technicznej

Delegowane uprawnienia administracyjne (DAP) umożliwiają partnerowi zarządzanie usługą lub subskrypcją klienta w ich imieniu.

Klient musi udzielić partnerowi uprawnień, zanim partner będzie mógł korzystać z delegowanych uprawnień administracyjnych.

Aby uzyskać delegowane uprawnienia administratora od klienta, wyślij wiadomość e-mail na adres Żądanie relacji odsprzedawcy z klientem.

Po zatwierdzeniu żądania przez klienta agent Administracja partnera lub agent pomocy technicznej może zalogować się do portalu administracyjnego usługi i zarządzać usługą w imieniu klienta. Na przykład partner może:

  • Użyj uprawnień agenta pomocy technicznej, aby zapewnić obsługę klienta.
  • Użyj uprawnień agenta Administracja, aby wykonać pracę w imieniu klienta.
Narzędzie do monitorowania języka DAP

Narzędzie do monitorowania języka DAP przechwytuje, w jaki sposób agenci partnerów uzyskują dostęp do dzierżaw klientów we wszystkich dzierżawach klientów za pośrednictwem języka DAP.

Agenci Administracja partnerów mogą używać narzędzia do monitorowania języka DAP do przeprowadzania inspekcji języka DAP u swoich klientów. Partnerzy mogą następnie przeglądać dane użycia i usuwać połączenia DAP, które nie są używane. Ta funkcja samoobsługowego usuwania pomaga zwiększyć bezpieczeństwo, kontrolując dostęp.

Usuwanie języka DAP: konsekwencje

Jakie możliwości utracą partner, gdy usługa DAP zostanie usunięta, a usługa GDAP nie jest włączona?

Wyłączanie dostępu daP dla klienta:

  • Kończy uprawnienia do zarządzania możliwościami w dzierżawie klienta.

    • Aby można było ponownie włączyć funkcje zarządzania, należy ponownie włączyć język DAP.

  • Kończy możliwość tworzenia żądań pomocy technicznej dla klienta.

    • Aby przywrócić możliwość tworzenia biletów pomocy technicznej dla klienta, musisz ponownie włączyć usługę DAP.

  • Wpływa na subskrypcje platformy Microsoft 365 w następujący sposób:

    • Nie można uaktualnić subskrypcji, ponieważ posiadanie języka DAP jest wymaganiem wstępnym.

    • Nie można uzyskać stanu aprowizacji subskrypcji, ponieważ aprowizacja wymaga języka DAP.

      Aby można było ponownie włączyć możliwości subskrypcji platformy Microsoft 365, należy ponownie włączyć usługę DAP w dzierżawie klienta.

  • Wpływa na subskrypcje platformy Azure w następujący sposób:

    • Partnerzy tracą możliwość zarządzania subskrypcjami platformy Azure za pośrednictwem Centrum partnerskiego (ale mogą zarządzać subskrypcją platformy Azure z platformy Microsoft Azure).

    • Administratorzy partnerów nie widzą właścicieli ani nie przywracają żadnych właścicieli subskrypcji platformy Azure, które zostały aprowidowane po usunięciu języka DAP.

      Aby można było ponownie włączyć możliwości subskrypcji platformy Azure, należy ponownie włączyć usługę DAP w dzierżawie klienta.

  • Wpływa na odpowiedź odebraną z wywołania interfejsu API Uzyskiwanie klienta według identyfikatora .

    • Wywołanie interfejsu API Uzyskiwanie identyfikatora klienta nie zwróci następujących atrybutów, jeśli partner nie ma dostępu do dostawcy daP w dzierżawie klienta.

      • CompanyProfileAddress
      • CompanyProfileEmail
      • Domeny niestandardowe

  • Zatrzymuje partnerów zarabiających środki uzyskane przez partnerów (PEC), gdy kontrola dostępu oparta na rolach zostanie usunięta z istniejących nowych subskrypcji platformy Azure w handlu.

  • Nie ma wpływu na pec dla istniejących nowych subskrypcji platformy Azure w handlu.

    (Aby uzyskać więcej informacji, zobacz Środki uzyskane przez partnerów i sekcja DAP ).

Monitorowanie działania języka DAP

Co to jest monitorowanie języka DAP (pulpit nawigacyjny relacji Administracja istracyjnych)?

W Centrum partnerskim partnerzy mają dostęp do narzędzia do raportowania, które identyfikuje i wyświetla wszystkie aktywne połączenia uprawnień administracyjnych delegowanych oraz pomaga organizacjom wykrywać nieaktywne połączenia daP. Raportowanie przechwytuje, w jaki sposób agenci partnerów uzyskują dostęp do dzierżaw klientów za pośrednictwem tych uprawnień i umożliwiają partnerom usuwanie połączeń, które nie są używane. Aby zwiększyć bezpieczeństwo, firma Microsoft zaleca, aby partnerzy usuwali połączenia DAP, które nie są już używane.

Aby dowiedzieć się więcej, zobacz Monitorowanie relacji administracyjnych i samoobsługowego usuwania języka DAP.

Jak często są odświeżane dane monitorowania języka DAP?

Dane są odświeżane codziennie w przypadku logowania między dzierżawami (AOBO) do dzierżawców klientów.

Dane monitorowania języka DAP są dostępne od 7 grudnia 2021 r.

Czy narzędzie do monitorowania języka DAP obejmuje wszystkich klientów dostawcy pośredniego wraz z klientami za pośrednictwem odsprzedawców pośrednich?

Tak. Otrzymasz wszystkich klientów i klientów odsprzedawców pośrednich.

Kiedy będzie dostępny interfejs API do monitorowania i samoobsługowego usuwania języka DAP?

Oczekuje się, że interfejs API będzie dostępny w kwartale 2022 r.

Raportowanie: działanie języka DAP

KtoTo można zobaczyć raportowanie aktywności języka DAP (pulpit nawigacyjny relacji Administracja istracyjnych)?

Partnerzy mogą zobaczyć pulpit nawigacyjny raportowania aktywności języka DAP/relacji administracyjnych w ustawieniach > konta Defender dla Chmury Administracja > relacje administracyjne.

Raportowanie działań daP jest dostępne w Centrum partnerskim dla partnerów w programie Dostawca rozwiązań w chmurze: partnerów rozliczanych bezpośrednio, dostawców pośrednich i odsprzedawców pośrednich.

Użytkownicy z rolą Centrum partnerskiego agenta Administracja mają dostęp do raportu aktywności języka DAP.

Ile dni działań związanych z logowaniem mogą zobaczyć partnerzy w raportowaniu języka DAP?

Partnerzy mogą wyświetlać dane od 7 grudnia 2021 r. we wszystkich swoich klientach. Jeśli od 7 grudnia 2021 r. w dzierżawie klienta wystąpiło działanie języka DAP przez użytkownika partnera, opcja Dni nieaktywne wyświetla wartość lub jest pusta. Jeśli jednak liczba dni nieaktywnych jest większa niż 90 dni, zostanie wyświetlony komunikat "90+" (co oznacza, że partner nie zalogował się do dzierżawy klienta przez ponad 90 dni).

Partnerzy z subskrypcją usługi Microsoft Entra ID P2 mogą również wyświetlać dzienniki logowania w identyfikatorze entra firmy Microsoft do 30 dni.

W ciągu ostatniego dnia są wyświetlane następujące atrybuty:

  • Liczba logujących się agentów
  • Liczba logowania agenta partnera

Uwaga

Oferujemy dostawcom CSP bezpłatną dwuletnią subskrypcję microsoft Entra ID P2 , aby ułatwić im dalsze zarządzanie uprawnieniami dostępu i uzyskiwanie do nich raportów.

Co partnerzy powinni zrobić z relacjami daP, które nie są już używane lub które były nieaktywne przez ponad 90 dni?

Aby zwiększyć bezpieczeństwo, firma Microsoft zaleca, aby partnerzy usuwali delegowane uprawnienia administracyjne, które nie są już używane lub które były nieaktywne przez 90 dni lub więcej. Aby uzyskać wskazówki dotyczące korzystania z raportu DAP i samoobsługowego usuwania, zobacz Monitorowanie relacji administracyjnych i samoobsługowego usuwania języka DAP.

Raportowanie: filtrowanie użytkowników

Czy dostawcy pośredni mogą filtrować klientów według odsprzedawców pośrednich w raportowaniu języka DAP?

L.p. Tego rodzaju filtrowanie nie jest dostępne w raportowaniu języka DAP, ale oceniamy, czy dodać tę funkcję w przyszłej wersji.

Azure i DAP

Czy partnerzy mogą zakupić nowe nowoczesne plany platformy Azure po usunięciu języka DAP?

Tak. Partnerzy mogą nadal wykonywać nowoczesne plany platformy Azure. Język DAP nie jest wymagany do transakcji.

Jak partner będzie mógł przywrócić prawa właściciela do nowego planu i subskrypcji platformy Azure w nowym handlu po usunięciu języka DAP?

Aby przywrócić prawa właściciela, partner musi zażądać nowej relacji daP. Jednak administrator globalny klienta może przywrócić dostęp właściciela do wszystkich subskrypcji platformy Azure i przypisać role innym agentom w dzierżawach klienta. Aby dowiedzieć się więcej, zobacz Przywracanie uprawnień administratora dla programu Azure CSP.

Środki uzyskane przez partnerów i DAP

Aby dowiedzieć się więcej na temat środków uzyskanych przez partnerów, zobacz Środki uzyskane przez partnerów: omówienie sposobu jej działania w nowym środowisku handlowym w programie CSP.

Czy partnerzy nadal zarabiają na nowych subskrypcjach platformy Azure dodanych po usunięciu dap?

Tak. Partnerzy nadal zdobywają środki pieniężne na nowych subskrypcjach platformy Azure dodanych po usunięciu języka DAP.

Czy pec ma wpływ na usunięcie dap lub GDAP?
  • Jeśli klient partnerski ma tylko daP, a daP zostanie usunięty, pec nie zostanie utracony.
  • Jeśli klient partnerski ma język DAP i jednocześnie przechodzi do usługi GDAP dla pakietu Office i platformy Azure, a platforma DAP zostanie usunięta, pec nie zostanie utracony.
  • Jeśli klient partnerski ma język DAP i przechodzi do usługi GDAP dla pakietu Office, ale zachować platformę Azure w stanie takim, w jakim jest (oznacza to, że nie przechodzą do GDAP), a program DAP zostanie usunięty, pec nie zostanie utracony, ale dostęp do subskrypcji platformy Azure zostanie utracony
  • Jeśli rola RBAC zostanie usunięta, pec zostanie utracony. (Usunięcie GDAP nie powoduje usunięcia kontroli dostępu opartej na rolach).

Kompetencje i daP

Aby dowiedzieć się więcej na temat kompetencji firmy Microsoft, zobacz Rozróżnianie firmy przez uzyskanie kompetencji firmy Microsoft.

Czy wyłączenie języka DAP lub przejście do aplikacji GDAP wpłynie na moje starsze korzyści z kompetencji lub oznaczenia partnerów rozwiązań, które uzyskałem?

DaP i GDAP nie kwalifikują się do typów skojarzeń dla oznaczeń partnerów rozwiązań, a wyłączenie lub przejście z daP do GDAP nie wpłynie na osiągnięcie poziomu oznaczeń partnerów rozwiązań. Twoje odnawianie starszych korzyści z kompetencji lub korzyści partnerów rozwiązań również nie będzie miało wpływu.

Przejdź do pozycji Oznaczenia partnerów w Centrum partnerskim, aby wyświetlić, jakie inne typy skojarzeń partnerów kwalifikują się do oznaczeń partnerów rozwiązań.