Compartilhar via

Perguntas frequentes sobre DAP (privilégios administrativos delegados)

  • Artigo

Funções apropriadas: agente administrativo | agente de assistência técnica

Observação

Com a migração das relações do DAP para GDAP (permissões de acesso delegado) globais, o Painel de Insights do DAP (Configurações de Contas –> Central de Segurança) será removido até 6 de setembro de 2024. URL afetado: https://partner.microsoft.com/dashboard/commerce2/securitycenter/administrativeRelationships

Os DAP (privilégios de administração delegada) permitem que um parceiro gerencie o serviço ou a assinatura de um cliente em seu nome.

O cliente deve conceder permissão a um parceiro antes que o parceiro possa usar privilégios de administração delegada.

Para obter permissões de administrador delegado de um cliente, envie um email para Solicitar uma relação de revendedor com o cliente.

Depois que o cliente aprovar a solicitação, o agente administrativo ou o agente de assistência técnica do parceiro poderá entrar no portal de administração do serviço e gerenciar o serviço em nome do cliente. Por exemplo, um parceiro pode:

  • Use os privilégios do agente de assistência técnica para fornecer suporte ao cliente.
  • Use os privilégios do agente administrador para executar o trabalho em nome do cliente.
Ferramenta de monitoramento DAP

A ferramenta de monitoramento de DAP captura como os agentes parceiros estão acessando locatários de clientes em todos os locatários de clientes deles por meio de DAP.

Os agentes administrativos dos parceiros podem usar a ferramenta de monitoramento DAP para auditar o DAP com seus clientes. Os parceiros podem revisar os dados de uso e remover as conexões DAP que não estão em uso. Esse recurso de remoção de autoatendimento ajuda a melhorar a segurança controlando o acesso.

Removendo DAP: Consequências

Quais recursos um parceiro perde quando o DAP é removido e o GDAP não está habilitado?

Desativando o acesso DAP para um cliente:

  • Encerra privilégios para gerenciar recursos no locatário do cliente.

    • Para reabilitar os recursos de gerenciamento, você deve reabilitar o DAP.

  • Encerra a capacidade de criar solicitações de suporte para o cliente.

    • Para reativar a capacidade de criar tíquetes de suporte para o cliente, você deve reativar o DAP.

  • Afeta as assinaturas do Microsoft 365 das seguintes maneiras:

    • Não é possível atualizar uma assinatura porque ter o DAP é um pré-requisito.

    • Não é possível obter o status de provisionamento de assinatura porque o provisionamento requer DAP.

      Para reabilitar os recursos de assinatura do Microsoft 365, você deve reabilitar o DAP no locatário do cliente.

  • Afeta as assinaturas do Azure das seguintes maneiras:

    • Os parceiros perdem a capacidade de gerenciar assinaturas do Azure por meio do Partner Center (mas podem gerenciar a assinatura do Azure do Microsoft Azure).

    • Os administradores de parceiros não podem ver os proprietários ou restabelecer os proprietários das assinaturas do Azure que foram provisionadas após a remoção do DAP.

      Para reabilitar os recursos de assinatura do Azure, você deve reabilitar o DAP no locatário do cliente.

  • Afeta a resposta recebida da chamada de API Obter um cliente por ID .

    • A chamada à API Obter ID do Cliente não retornará os atributos a seguir se o parceiro não tiver acesso DAP no locatário do cliente.

      • CompanyProfileAddress
      • CompanyProfileEmail
      • Domínios Personalizados

  • Impede que os parceiros ganhem PEC (Crédito Ganho pelo Parceiro) quando o RBAC é removido em novas assinaturas de comércio existentes do Azure.

  • Não afeta o PEC em assinaturas existentes do Azure de novo comércio.

    (Para obter mais informações, consulte o Crédito ganho pelo parceiro e seção DAP .)

Monitorando a atividade do DAP

O que é o monitoramento do DAP (o painel Relacionamentos Administrativos)?

No Partner Center, os parceiros têm acesso a uma ferramenta de relatório que identifica e exibe todas as conexões de privilégio administrativo delegado ativas e ajuda as organizações a descobrir conexões DAP inativas. O relatório captura como os agentes parceiros estão acessando locatários do cliente por meio desses privilégios e permite que os parceiros removam conexões que não estão em uso. Para melhorar a segurança, a Microsoft recomenda que os parceiros removam conexões dos DAP que não estão mais em uso.

Para saber mais, consulte Monitoramento de relações administrativas e remoção dos DAP por autoatendimento.

Com que frequência os dados de monitoramento do DAP são atualizados?

Os dados são atualizados diariamente para entrada entre locatários (AOBO) para locatários do cliente.

Os dados de monitoramento do DAP estão disponíveis a partir de 7 de dezembro de 2021.

A ferramenta de monitoramento DAP inclui todos os clientes de um provedor indireto, juntamente com clientes por meio de revendedores indiretos?

Sim. Você obtém todos os seus clientes e os clientes de seus revendedores indiretos.

Quando a API para monitoramento dos DAP e a remoção de autoatendimento estarão disponíveis?

Espera-se que a API esteja disponível durante o primeiro trimestre de 2022.

Relatórios: atividade DAP

Quem pode ver o relatório de atividades dos DAP (painel Relações Administrativas)?

Os parceiros podem ver o painel de relatórios de atividades/relações administrativas do DAP em Configurações >da conta Relações administrativas do Defender para Nuvem>.

O relatório de atividades do DAP está disponível no Partner Center para parceiros no programa Provedor de Soluções na Nuvem: parceiros de cobrança direta, provedores indiretos e revendedores indiretos.

Os usuários com a função do Partner Center de agente administrador têm acesso ao relatório de atividades do DAP.

Quantos dias de atividades de entrada os parceiros podem ver nos relatórios do DAP?

Os parceiros podem ver dados desde 7 de dezembro de 2021 em todos os seus clientes. Se houver atividade do DAP por um usuário parceiro em um locatário do cliente desde 7 de dezembro de 2021, Dias Inativos exibirá esse valor ou estará em branco. No entanto, se Dias Inativos for maior que 90 dias, "90+" será exibido (o que significa que o parceiro não fez logon no locatário do cliente por mais de 90 dias).

Os parceiros com uma assinatura da ID P2 do Microsoft Entra também podem exibir logs de entrada na ID do Microsoft Entra por até 30 dias.

Os seguintes atributos exibem contagens para o último dia:

  • Número de agentes que entram
  • Número de vezes que o agente parceiro entrou

Observação

Estamos oferecendo aos CSPs uma assinatura gratuita de dois anos do Microsoft Entra ID P2 para ajudá-los a gerenciar e obter relatórios sobre privilégios de acesso.

O que os parceiros devem fazer com os relacionamentos DAP que não são mais usados ou que estão inativos há mais de 90 dias?

Para melhorar a segurança, a Microsoft recomenda que os parceiros removam os privilégios administrativos delegados que não estão mais em uso ou que estão inativos há 90 dias ou mais. Para obter diretrizes sobre como usar o relatório DAP e a remoção de autoatendimento, consulte Monitorando relações administrativas e remoção de DAP de autoatendimento.

Relatórios: Filtrando usuários

Os provedores indiretos podem filtrar clientes por revendedores indiretos nos relatórios do DAP?

Não. Esse tipo de filtragem não está disponível nos relatórios do DAP, mas estamos avaliando se devemos adicionar esse recurso em uma versão futura.

Azure e DAP

Os parceiros podem comprar novos planos modernos do Azure após a remoção do DAP?

Sim. Os parceiros ainda podem fazer transações com planos modernos do Azure. Os DAP não são necessários para transação.

Depois que o DAP for removido, como um parceiro poderá restabelecer os direitos de proprietário no novo plano e nas assinaturas do Azure para novos comércios?

Para restabelecer os direitos de proprietário, um parceiro deve solicitar uma nova relação DAP. No entanto, um administrador global do cliente pode restabelecer o acesso de proprietário em todas as assinaturas do Azure e atribuir funções a outros agentes nos locatários do cliente. Para saber mais, confira Restabelecer privilégios de administrador para o CSP do Azure.

Crédito ganho pelo parceiro e DAP

Para saber mais sobre o Crédito Ganho pelo Parceiro, consulte Crédito ganho pelo parceiro: uma visão geral de como ele funciona na nova experiência de comércio no CSP.

Os parceiros continuam a ganhar PEC nas novas assinaturas do Azure adicionadas depois que o DAP é removido?

Sim. Os parceiros continuam a ganhar PEC em novas assinaturas do Azure adicionadas após a remoção do DAP.

O PEC é afetado quando o DAP ou o GDAP são removidos?
  • Se um cliente parceiro tiver apenas DAP e o DAP for removido, o PEC não será perdido.
  • Se um cliente parceiro tiver o DAP e ele migrar para o GDAP para Office e Azure simultaneamente, e o DAP for removido, o PEC não será perdido.
  • Se um cliente parceiro tiver o DAP e ele migrar para o GDAP para Office, mas mantiver o Azure no estado em que se encontra (ou seja, não for movido para o GDAP) e o DAP for removido, o PEC não será perdido, mas o acesso à assinatura do Azure será perdido
  • Se uma função RBAC for removida, o PEC será perdido. (Remover o GDAP não remove o RBAC.)

Competências e DAP

Para saber mais sobre as competências da Microsoft, consulte Diferenciar sua empresa obtendo competências da Microsoft.

A desativação do DAP ou a transição para o GDAP afetará meus benefícios de competência legados ou designações de Parceiro de Soluções que obtive?

DAP e GDAP não são tipos de associação qualificados para designações de Parceiro de Soluções e desabilitar ou fazer a transição do DAP para o GDAP não afetará a obtenção de designações de Parceiro de Soluções. Sua renovação de benefícios de competência legada ou benefícios de Parceiro de Soluções também não será afetada.

Acesse Designações de parceiros de soluções do Partner Center para exibir quais outros tipos de associação de parceiros estão qualificados para designações de parceiros de soluções.