Часто задаваемые вопросы о делегированных правах администратора (DAP)

  • Статья

Соответствующие роли: агент Администратор | Агент helpdesk

Делегированные права администрирования (DAP) позволяют партнеру управлять службой или подпиской клиента от их имени.

Клиент должен предоставить партнеру разрешение, прежде чем партнер сможет использовать делегированные права администрирования.

Чтобы получить делегированные разрешения администратора от клиента, отправьте сообщение электронной почты, чтобы запросить связь торгового посредника с клиентом.

После утверждения запроса агент Администратор партнера или агент helpdesk может войти на портал администрирования службы и управлять службой от имени клиента. Например, партнер может:

  • Используйте привилегии агента Helpdesk для предоставления поддержки клиенту.
  • Используйте привилегии агента Администратор для выполнения работы от имени клиента.
Средство мониторинга DAP

Средство мониторинга DAP определяет, как агенты партнеров получают доступ к клиентам клиентов во всех клиентах через DAP.

Агенты Администратор партнеров могут использовать средство мониторинга DAP для аудита DAP со своими клиентами. Затем партнеры могут просматривать данные об использовании и удалять подключения DAP, которые не используются. Эта возможность самостоятельного удаления помогает повысить безопасность путем управления доступом.

Удаление DAP: последствия

Какие возможности теряются у партнера при удалении DAP и GDAP не включены?

Отключение доступа DAP для клиента:

  • Заканчивает привилегии для управления возможностями клиента.

    • Для повторной обработки возможностей управления необходимо повторно создать DAP.

  • Заканчивает возможность создавать запросы на поддержку для клиента.

    • Чтобы повторно создать запросы в службу поддержки для клиента, необходимо повторно включить DAP.

  • Влияет на подписки Microsoft 365 следующим образом:

    • Не удается обновить подписку, так как наличие DAP является обязательным условием.

    • Не удается получить состояние подготовки подписки, так как для подготовки требуется DAP.

      Чтобы повторно использовать возможности подписки Microsoft 365, необходимо повторно включить DAP в клиенте клиента.

  • Влияет на подписки Azure следующим образом:

    • Партнеры теряют возможность управлять подписками Azure через Центр партнеров (но могут управлять подпиской Azure из Microsoft Azure).

    • Администраторы партнеров не могут видеть владельцев или восстановить владельцев подписок Azure, подготовленных после удаления DAP.

      • Однако глобальные администраторы клиентов могут восстановить доступ владельца ко всем подпискам Azure и назначать роли другим агентам в клиентах клиента. Дополнительные сведения см. в статье "Восстановление прав администратора" для Azure CSP.

      Для повторной активации возможностей подписки Azure необходимо повторно включить DAP в клиенте клиента.

  • Влияет на ответ, полученный от вызова API получения клиента по идентификатору .

    • Вызов API get Customer ID не возвращает следующие атрибуты, если у партнера нет доступа DAP к клиенту клиента.

      • CompanyProfileAddress
      • CompanyProfileEmail
      • Пользовательские домены

  • Останавливает партнеров, получая партнерский заработанный кредит (PEC), когда RBAC удаляется в существующих новых подписках Azure для коммерческой торговли.

  • Не влияет на PEC в существующих подписках Azure для новой коммерции.

    (Дополнительные сведения см. в разделе Раздел "Заработанный кредит партнера" и DAP .)

Мониторинг действий DAP

Что такое мониторинг DAP (панель мониторинга Администратор istrative Relationships)?

В Центре партнеров партнеры имеют доступ к средству создания отчетов, который определяет и отображает все активные делегированные административные привилегии и помогает организациям обнаруживать неактивные подключения DAP. В отчете показано, как агенты партнеров получают доступ к клиентам клиентов через эти привилегии и позволяют партнерам удалять подключения, которые не используются. Чтобы повысить безопасность, корпорация Майкрософт рекомендует партнерам удалять подключения DAP, которые больше не используются.

Дополнительные сведения см. в разделе "Мониторинг административных связей" и самостоятельное удаление DAP.

Как часто обновляются данные мониторинга DAP?

Данные обновляются ежедневно для входа между клиентами (AOBO).

Данные мониторинга DAP доступны с 7 декабря 2021 г.

Включает ли средство мониторинга DAP всех клиентов косвенного поставщика вместе с клиентами через косвенных торговых посредников?

Да. Вы получаете всех клиентов и непрямых торговых посредников.

Когда будет доступен API для мониторинга DAP и самостоятельного удаления?

Ожидается, что API будет доступен в период 1-го года 2022 года.

Отчеты: действие DAP

Кто можно просмотреть отчеты о действиях DAP (панель мониторинга Администратор istrative Relationships)?

Партнеры могут просматривать панель мониторинга отчетов о действиях DAP и административных связей в параметрах > учетной записи Defender для облака Администратор > исторативных связей.

Отчеты о действиях DAP доступны в Центре партнеров партнерам в программе поставщик облачных решений: партнеры с прямым выставлением счетов, косвенные поставщики и косвенные торговые посредники.

Пользователи с ролью Центра партнеров агента Администратор имеют доступ к отчету о действиях DAP.

Сколько дней действий входа могут видеть партнеры в отчетах DAP?

Партнеры могут просматривать данные с 7 декабря 2021 г. на всех своих клиентах. Если в клиенте клиента с 7 декабря 2021 года существовало действие DAP, в днях неактивно отображается это значение или пустое значение. Однако если неактивные дни больше 90 дней, отображается значение "90+" (это означает, что партнер не вошел в клиент клиента более 90 дней).

Партнеры с подпиской на Microsoft Entra ID P2 также могут просматривать журналы входа в Microsoft Entra ID до 30 дней.

Следующие атрибуты отображают счетчики за последний день:

  • Количество агентов входа
  • Количество попыток входа агента партнера

Примечание.

Мы предлагаем поставщики УСЛУГ бесплатной двухлетней подписки на Microsoft Entra ID P2 , чтобы помочь им в дальнейшем управлять и получать отчеты о привилегиях доступа.

Какие партнеры должны делать с отношениями DAP, которые больше не используются или неактивны в течение более 90 дней?

Чтобы повысить безопасность, корпорация Майкрософт рекомендует партнерам удалять делегированные административные привилегии, которые больше не используются или неактивны в течение 90 дней или более. Рекомендации по использованию отчета DAP и самостоятельного удаления см. в разделе "Мониторинг административных связей" и самостоятельного удаления DAP.

Отчеты: фильтрация пользователей

Могут ли косвенные поставщики фильтровать клиентов по косвенным торговым посредникам в отчетах DAP?

№ Этот тип фильтрации недоступен в отчетах DAP, но мы оцениваем, следует ли добавлять эти возможности в будущий выпуск.

Azure и DAP

Могут ли партнеры приобрести новые современные планы Azure после удаления DAP?

Да. Партнеры по-прежнему могут выполнять транзакции с современными планами Azure. DAP не требуется для транзакций.

После удаления DAP партнер сможет восстановить права владельца на новые коммерческие планы и подписки Azure?

Чтобы восстановить права владельца, партнер должен запросить новую связь DAP. Однако глобальный администратор клиента может восстановить доступ владельца ко всем подпискам Azure и назначить роли другим агентам в клиентах клиента. Дополнительные сведения см. в статье "Восстановление прав администратора" для Azure CSP.

Партнерский заработанный кредит и DAP

Дополнительные сведения о партнерских заработанных кредитах см. в статье "Партнерский заработанный кредит": обзор того, как он работает в новом коммерческом интерфейсе в CSP.

Продолжают ли партнеры получать PEC в новых подписках Azure, добавленных после удаления DAP?

Да. Партнеры продолжают получать PEC в новых подписках Azure, добавленных после удаления DAP.

Влияет ли PEC при удалении DAP или GDAP?
  • Если клиент партнера имеет только DAP и DAP удаляется, PEC не теряется.
  • Если у клиента-партнера есть DAP, и они перемещаются в GDAP для Office и Azure одновременно, а DAP удаляется, PEC не теряется.
  • Если у клиента-партнера есть DAP, и они переходят в GDAP для Office, но сохраняют Azure как есть (то есть они не перемещаются в GDAP), а DAP удаляется, PEC не будет потерян, но доступ к подписке Azure будет потерян.
  • Если роль RBAC удалена, PEC теряется. (Удаление GDAP не удаляет RBAC.)

Компетенции и DAP

Дополнительные сведения о компетенциях Майкрософт см. в статье "Отличить бизнес путем достижения компетенций Майкрософт".

Отключает ли DAP или переход на GDAP влияет на мои устаревшие преимущества компетенции или обозначения партнеров решений, которые я достиг?

DAP и GDAP не являются допустимыми типами ассоциаций для назначений партнеров решений и отключения или перехода с DAP на GDAP не повлияет на достижение назначений партнеров решений. Продление устаревших преимуществ компетенций или преимуществ партнеров по решениям также не повлияет.

Перейдите к обозначениям партнеров По решениям Центра партнеров, чтобы просмотреть, какие другие типы ассоциаций партнеров имеют право на назначение партнеров решений.