Monitoramento de relações administrativas e remoção de DAP por autoatendimento
Funções apropriadas: agente administrativo | agente de assistência técnica
Visão geral
Os DAP (privilégios administrativos delegados) fornecem a capacidade de gerenciar o serviço ou a assinatura de um cliente em nome dele. Um cliente deve conceder a um parceiro permissões administrativas para esse serviço.
Para obter permissões de administrador delegadas de um cliente, um parceiro envia um e-mail para Solicitar um relacionamento de revendedor com um cliente. Depois que o cliente aprovar a solicitação, o agente Admin ou o agente de Helpdesk do parceiro poderá entrar no portal de administração do serviço e gerenciar o serviço em nome do cliente. Por exemplo, usando privilégios de agente de suporte técnico, um parceiro pode fornecer suporte para o cliente e, usando privilégios de agente de administrador, o parceiro pode executar o trabalho em nome do cliente.
Os agentes administrativos dos parceiros podem auditar o DAP com seus clientes. A ferramenta de monitoramento de DAP captura como os agentes parceiros estão acessando locatários de clientes em todos os locatários de clientes deles por meio de DAP. Os parceiros podem, então, examinar e remover conexões DAP que não estão em uso. Essa funcionalidade de remoção por autoatendimento fornece aos parceiros a capacidade de atenuar o risco.
Parceiros afetados
Os parceiros de cobrança direta, provedores indiretos e revendedores indiretos são afetados por essa alteração.
Importante
Os DAP permitem que um parceiro acesse o locatário do cliente da seguinte maneira:
- O grupo de agentes Admin é atribuído à função de Administrador Global no locatário do Microsoft Entra do cliente.
- O grupo de agentes do Helpdesk é atribuído à função de administrador do Helpdesk no locatário do Microsoft Entra do cliente.
Os dados de monitoramento dos DAP são capturados a partir de 7 de dezembro de 2021. O monitoramento de relações administrativas mostra apenas as atividades de entrada entre locatários (atuando em nome da AOBO) no locatário do cliente a partir de 7 de dezembro. As ações de entrada antes de 7 de dezembro não são mostradas no painel de relacionamentos administrativos.
Diretrizes de DAP para a segurança do cliente
Para melhorar a segurança, a Microsoft recomenda que você remova privilégios administrativos delegados que não estejam mais em uso ou que estejam inativos há mais de 60 dias.
Os clientes podem gerenciar os próprios privilégios de DAP no Centro de Administração da Microsoft. Para obter mais informações, confira Os clientes podem gerenciar os privilégios de administrador de um parceiro.
Impactos da remoção de DAP
Desabilitar o acesso do DAP para um cliente desativa o recurso do agente administrativo e os privilégios do agente de assistência técnica.
- Desabilitar o acesso aos DAP não impedirá que o PEC (crédito obtido por parceiro) seja acumulado porque o acréscimo se baseia em funções de RBAC (controle de acesso baseado em função) na assinatura. Desabilitar os DAP não permitirá que os parceiros gerenciem o locatário do cliente pelo Partner Center.
- Desabilitar o acesso aos DAP impedirá que os parceiros criem solicitações de serviço em nome dos clientes. Se os parceiros precisarem criar solicitações de serviço, eles precisarão solicitar acesso DAP novamente de seus clientes.
Para obter mais informações sobre as consequências da remoção de DAP, confira as Perguntas frequentes sobre DAP.
Observação
Os locatários da área restrita de integração podem desabilitar o DAP, mas não podem solicitar um relacionamento de revendedor com o cliente de teste para reativar o DAP.
Monitoramento de DAP e remoção de autoatendimento
Uma atividade de entrada é qualquer agente parceiro que acessa um locatário do cliente por meio de entradas entre locatários em qualquer carga de trabalho. Parceiro acessando Partner Center e AOBO no locatário do cliente OU Parceiros acessando API e trocando tokens para acessar locatário do cliente são considerados DAP Ativo.
Um relacionamento ativo é medido por qualquer atividade de entrada entre locatários para qualquer carga de trabalho de qualquer agente parceiro acessando o locatário do cliente específico nos últimos 90 dias.
Um relacionamento com o cliente é classificado como inativo quando não há atividades de entrada entre locatários para qualquer carga de trabalho por qualquer agente parceiro acessando esse locatário do cliente em mais de 90 dias. Os parceiros veem uma recomendação no painel para remover o DAP se um relacionamento com o cliente estiver inativo por mais de 90 dias.
Na Central de Segurança no Partner Center, você pode monitorar as atividades de entrada entre locatários para obter privilégios administrativos e remover o DAP se estiver inativo. A Central de Segurança também fornece outras funções, que são primárias para garantir um ecossistema de parceiro e cliente mais seguro, incluindo:
Os agentes de administração de parceiros podem acessar a Central de Segurança para relacionamentos administrativos.
Os parceiros podem entrar na Central de Segurança para tratar de relações administrativas a fim de visualizar atividades de entrada.
Os parceiros podem ver atividades de entrada em todos os clientes.
Os parceiros podem ver as atividades de entrada nos últimos 30-60 dias, 61-90 dias e 90+ dias em todos os seus clientes que têm relacionamentos DAP ativos.
Se qualquer relação de DAP do cliente estiver inativa por mais de 90 dias, o número de dias inativos será representado como 90+.
Os parceiros podem selecionar vários clientes por vez para desabilitar os DAP.
Os clientes podem ser notificados por email quando um parceiro desabilita os DAP.
Os clientes veem a relação de DAP atualizada no Centro de Administração da Microsoft.
Quando o DAP está desabilitado, pode levar alguns minutos para ver a alteração no Partner Center.
Atributos de filtro
| Condição de filtro | Descrição |
|---|---|
| Inativo por mais de 90 dias | Exibe o número de clientes cuja relação de DAP está inativa por mais de 90 dias. É recomendável que os parceiros removam os DAP se estiverem inativos por mais de 90 dias. |
| Inativo por 60-90 dias | Exibe o número de clientes cuja relação de DAP está inativa entre 60 e 90 dias. É recomendável que os parceiros removam os DAP se estiverem inativos por mais de 60 dias. |
| Inativo por 30-60 dias | Exibe o número de clientes cuja relação de DAP está inativa entre 30-60 dias. |
| Estabelecido nos últimos sete dias | Exibe o número de clientes cuja relação de DAP foi estabelecida nos últimos sete dias. |
Atributos de gerenciamento de DAP
| Nome do campo | Descrição |
|---|---|
| Número de agentes parceiros conectados | Número de agentes parceiros exclusivos que entraram no locatário do cliente no último dia. |
| Número de vezes que os agentes parceiros iniciaram sessão | Número de vezes que os agentes parceiros entraram no locatário do cliente no último dia. |
| Dias habilitados | Número de dias em que a relação DAP estabelecida entre o parceiro e o cliente existiu. Se a relação existir por mais de 60 dias, 60+ será exibido. |
| Dias de inatividade | Número de dias em que a relação DAP esteve entre o parceiro e o cliente esteve inativa. Se for mais de 60 dias, o valor exibido será 60+ ou um número exato. Como os dados só estão disponíveis para atividade entre locatários desde 7 de dezembro de 2021, esse atributo poderá ficar em branco se não houver atividade. |
| Recomendação | Uma recomendação para desabilitar os DAP será feita se o agente parceiro não tiver entrado em nenhuma das cargas de trabalho dos clientes nos últimos 60 dias. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de