Perguntas frequentes sobre DAP (privilégios administrativos delegados)

Funções apropriadas: agente administrativo | agente de assistência técnica

Os privilégios de administração delegada (DAP) permitem que um parceiro gerencie o serviço ou a assinatura de um cliente em seu nome.

O cliente deve conceder permissão a um parceiro antes que ele possa usar privilégios de administração delegada.

Para obter permissões de administrador delegado de um cliente, envie um email para Solicitar um relacionamento de revendedor com o cliente.

Depois que o cliente aprovar a solicitação, o agente Admin ou o agente de Helpdesk do parceiro poderá entrar no portal de administração do serviço e gerenciar o serviço em nome do cliente. Por exemplo, um parceiro pode:

• Use os privilégios do agente de Helpdesk para fornecer suporte ao cliente.
• Use privilégios de agente Admin para executar o trabalho em nome do cliente.

Ferramenta de monitoramento de DAP

A ferramenta de monitoramento de DAP captura como os agentes parceiros estão acessando locatários de clientes em todos os locatários de clientes deles por meio de DAP.

Os agentes administrativos dos parceiros podem usar a ferramenta de monitoramento de DAP para auditar o DAP com seus clientes. Os parceiros podem revisar os dados de uso e remover conexões DAP que não estão em uso. Esse recurso de remoção de autoatendimento ajuda a melhorar a segurança controlando o acesso.

Removendo DAP: Consequências

Quais recursos um parceiro perde quando o DAP é removido e o GDAP não está habilitado?

Desabilitando o acesso DAP para um cliente:

• Encerra privilégios para gerenciar recursos no locatário do cliente.

  • Para reativar os recursos de gerenciamento, você deve reativar o DAP.

• Encerra a capacidade de criar solicitações de suporte para o cliente.

  • Para reativar a capacidade de criar tíquetes de suporte para o cliente, você deve reativar o DAP.

• Afeta as assinaturas do Microsoft 365 das seguintes maneiras:

  • Não é possível atualizar uma assinatura porque ter DAP é um pré-requisito.

  • Não é possível obter o status de provisionamento de assinatura porque o provisionamento requer DAP.

    Para reativar os recursos de assinatura do Microsoft 365, você deve reativar o DAP no locatário do cliente.

• Afeta as assinaturas do Azure das seguintes maneiras:

  • Os parceiros perdem a capacidade de gerenciar assinaturas do Azure por meio do Partner Center (mas podem gerenciar a assinatura do Azure do Microsoft Azure).

  • Os administradores de parceiros não podem ver proprietários ou restabelecer proprietários para assinaturas do Azure que foram provisionadas após a remoção do DAP.

    • No entanto, os administradores globais do cliente podem restabelecer o acesso de proprietário em todas as assinaturas do Azure e atribuir funções a outros agentes nos locatários do cliente. Para saber mais, confira Restabelecer privilégios de administrador para o CSP do Azure.

    Para rehabilitar os recursos de assinatura do Azure, você deve reabilitar o DAP no locatário do cliente.

• Afeta a resposta recebida da chamada de API Obter um cliente por ID .

  • A chamada Get Customer ID API não retornará os seguintes atributos se o parceiro não tiver acesso DAP no locatário do cliente.

    • CompanyProfileAddress
    • CompanyProfileEmail
    • CustomDomains

• Impede que os parceiros ganhem Crédito Ganho pelo Parceiro (PEC) quando o RBAC é removido nas novas assinaturas existentes do Azure de comércio.

• Não afeta o PEC nas novas assinaturas existentes do Azure de comércio.

  (Para obter mais informações, consulte o Seção Crédito ganho pelo parceiro e DAP .)

Monitorando a atividade do DAP

O que é o monitoramento de DAP (o painel de Relações Administrativas)?

No Partner Center, os parceiros têm acesso a uma ferramenta de relatório que identifica e exibe todas as conexões de privilégios administrativos delegados ativos e ajuda as organizações a descobrir conexões DAP inativas. O relatório captura como os agentes parceiros estão acessando os locatários do cliente por meio desses privilégios e permite que os parceiros removam conexões que não estão em uso. Para melhorar a segurança, a Microsoft recomenda que os parceiros removam conexões dos DAP que não estão mais em uso.

Para saber mais, consulte Monitoramento de relações administrativas e remoção dos DAP por autoatendimento.

Com que frequência os dados de monitoramento de DAP são atualizados?

Os dados são atualizados diariamente para entrada entre locatários (AOBO) para locatários clientes.

Os dados de monitoramento do DAP estão disponíveis a partir de 7 de dezembro de 2021.

A ferramenta de monitoramento de DAP inclui todos os clientes de um provedor indireto, juntamente com os clientes por meio de revendedores indiretos?

Sim. Você obtém todos os seus clientes e os clientes de seus revendedores indiretos.

Quando a API para monitoramento dos DAP e a remoção de autoatendimento estarão disponíveis?

Espera-se que a API esteja disponível durante o primeiro trimestre de 2022.

Relatórios: atividade de DAP

Quem pode ver o relatório de atividades dos DAP (painel Relações Administrativas)?

Os parceiros podem ver o painel de relatórios de atividades/relacionamentos administrativos do DAP em Configurações da > conta Defender for Cloud > Administrative Relationships.

O relatório de atividades de DAP está disponível no Partner Center para parceiros no programa Cloud Solution Provider: parceiros de cobrança direta, provedores indiretos e revendedores indiretos.

Os usuários com a função Partner Center de agente Admin têm acesso ao relatório de atividades do DAP.

Quantos dias de atividades de entrada os parceiros podem ver nos relatórios do DAP?

Os parceiros podem ver dados desde 7 de dezembro de 2021 em todos os seus clientes. Se houver atividade de DAP por um usuário parceiro em um locatário do cliente desde 7 de dezembro de 2021, Dias Inativo exibirá esse valor ou estará em branco. No entanto, se Dias Inativos for maior que 90 dias, "90+" será exibido (o que significa que o parceiro não fez login no locatário do cliente por mais de 90 dias).

Os parceiros com uma assinatura do Microsoft Entra ID P2 também podem exibir logs de entrada no Microsoft Entra ID por até 30 dias.

Os seguintes atributos exibem contagens para o último dia:

• Número de agentes que entram
• Número de vezes que o agente parceiro entrou

Observação

Estamos oferecendo aos CSPs uma assinatura gratuita de dois anos do Microsoft Entra ID P2 para ajudá-los a gerenciar e obter relatórios sobre privilégios de acesso.

O que os parceiros devem fazer com os relacionamentos DAP que não são mais usados ou que estão inativos há mais de 90 dias?

Para melhorar a segurança, a Microsoft recomenda que os parceiros removam privilégios administrativos delegados que não estejam mais em uso ou que estejam inativos há 90 dias ou mais. Para obter orientação sobre como usar o relatório DAP e a remoção de autoatendimento, consulte Monitorando relações administrativas e remoção de DAP de autoatendimento.

Relatórios: filtrando usuários

Os provedores indiretos podem filtrar clientes por revendedores indiretos em relatórios de DAP?

Não. Esse tipo de filtragem não está disponível nos relatórios de DAP, mas estamos avaliando se devemos adicionar esse recurso em uma versão futura.

---

Azure e DAP

Os parceiros podem comprar novos planos modernos do Azure depois de remover o DAP?

Sim. Os parceiros ainda podem transacionar planos modernos do Azure. Os DAP não são necessários para transação.

Depois que o DAP for removido, como um parceiro poderá restabelecer os direitos de proprietário no novo plano e assinaturas do Azure de comércio?

Para restabelecer os direitos de proprietário, um parceiro deve solicitar uma nova relação DAP. No entanto, um administrador global do cliente pode restabelecer o acesso de proprietário em todas as assinaturas do Azure e atribuir funções a outros agentes nos locatários do cliente. Para saber mais, confira Restabelecer privilégios de administrador para o CSP do Azure.

---

Crédito e DAP obtidos pelo parceiro

Para saber mais sobre o Crédito ganho pelo parceiro, consulte Crédito ganho pelo parceiro: uma visão geral de como ele funciona na nova experiência de comércio no CSP.

Os parceiros continuam a ganhar PEC nas novas assinaturas do Azure adicionadas depois que o DAP é removido?

Sim. Os parceiros continuam a ganhar PEC em novas assinaturas do Azure adicionadas após a remoção do DAP.

A PEC é afetada quando DAP ou GDAP são removidos?

• Se um cliente parceiro tiver apenas DAP e o DAP for removido, a PEC não será perdida.
• Se um cliente parceiro tiver DAP e ele mudar para o GDAP para Office e Azure simultaneamente, e o DAP for removido, o PEC não será perdido.
• Se um cliente parceiro tiver DAP e ele migrar para o GDAP for Office, mas mantiver o Azure como está (ou seja, não mover para o GDAP) e o DAP for removido, o PEC não será perdido, mas o acesso à assinatura do Azure será perdido
• Se uma função RBAC for removida, a PEC será perdida. (A remoção do GDAP não remove o RBAC.)

---

Competências e DAP

Para saber mais sobre as competências da Microsoft, consulte Diferenciar sua empresa obtendo as competências da Microsoft.

A desativação do DAP ou a transição para o GDAP afetará meus benefícios de competência herdados ou as designações de Parceiro de Soluções que alcancei?

DAP e GDAP não são tipos de associação qualificados para designações de Parceiros de Soluções e desabilitar ou fazer a transição de DAP para GDAP não afetará a obtenção de designações de Parceiros de Soluções. Sua renovação de benefícios de competência legados ou benefícios de parceiro de soluções também não será afetada.

Vá para Designações de parceiros de soluções do Partner Center para ver quais outros tipos de associação de parceiros são qualificados para designações de parceiros de soluções.