Övervaka administrativa relationer och dap-borttagning via självbetjäning
Lämpliga roller: Administratörsagent | Helpdesk-agent
Översikt
Delegerade administrationsprivilegier (DAP) ger möjlighet att hantera en kunds tjänst eller prenumeration för deras räkning. En kund måste bevilja en partner administratörsbehörighet för den tjänsten.
För att få delegerade administratörsbehörigheter från en kund skickar en partner e-post till Begäran om en återförsäljares relation med en kund. När kunden har godkänt begäran kan partnerns administratörsagent eller supportagent logga in på tjänstens administratörsportal och hantera tjänsten för kundens räkning. Med hjälp av supportavdelningens agentbehörigheter kan en partner till exempel leverera support till kunden, och med administratörsagentbehörigheter kan partnern utföra arbete åt kunden.
Partnerns administratörsagenter kan granska DAP med sina kunder. DAP-övervakningsverktyget visar hur partneragenter får åtkomst till kundklientorganisationer i alla sina kundklienter via DAP. Partner kan sedan granska och ta bort DAP-anslutningar som inte används. Den här självbetjäningsfunktionen ger partner en möjlighet att minska risken.
Berörda partner
Direktfaktureringspartner, indirekta leverantörer och indirekta återförsäljare påverkas av den här ändringen.
Viktigt!
DAP gör det möjligt för en partner att få åtkomst till kundklientorganisationen på följande sätt:
- Gruppen Administratörsagent tilldelas rollen Global administratör i kundens Microsoft Entra-klientorganisation.
- Supportavdelningens agentgrupp tilldelas rollen Supportadministratör i kundens Microsoft Entra-klientorganisation.
DAP-övervakningsdata samlas in från den 7 december 2021. Övervakning av administrativa relationer visar endast inloggningsaktiviteter mellan klientorganisationer (som agerar på uppdrag av AOBO) i kundklientorganisationen från och med den 7 december. Inloggningsåtgärder före den 7 december visas inte på instrumentpanelen för administrativa relationer.
DAP-vägledning för kundsäkerhet
För att förbättra säkerheten rekommenderar Microsoft att du tar bort delegerade administrativa privilegier som inte längre används eller som har varit inaktiva i mer än 60 dagar.
Kunder kan hantera sina egna DAP-privilegier i Microsoft Admin Center. Mer information finns i Kunder kan hantera en partners administratörsprivilegier.
Effekter av att ta bort DAP
Om du inaktiverar DAP-åtkomst för en kund inaktiveras både administratörsagentfunktionen och supportavdelningens agentbehörigheter.
- Om du inaktiverar DAP-åtkomst hindras inte partnerintjänad kredit (PEC) från att ackumuleras eftersom periodisering baseras på rollbaserade rbac-roller (åtkomstkontroll) i prenumerationen. Om dap inaktiveras tillåts inte partner att hantera sin kundklientorganisation från Partnercenter.
- Om du inaktiverar DAP-åtkomst hindras partner från att skapa tjänstförfrågningar för sina kunders räkning. Om partner behöver skapa tjänstbegäranden måste de begära DAP-åtkomst igen från kunden.
Mer information om konsekvenserna av att ta bort DAP finns i vanliga frågor och svar om DAP.
Kommentar
Integration sandbox-klientorganisationer kan inaktivera DAP, men de kan inte begära en återförsäljarrelation med testkunden för att återaktivera DAP.
DAP-övervakning och borttagning via självbetjäning
En inloggningsaktivitet är alla partneragenter som får åtkomst till en kundklientorganisation via inloggningar mellan klientorganisationer till valfri arbetsbelastning. Partneråtkomst till Partnercenter och AOBO till kundens klientorganisation eller partner som har åtkomst till API:et och utbyte av token för att få åtkomst till kundklientorganisationen anses vara aktiv DAP.
En aktiv relation mäts av alla inloggningsaktiviteter mellan klientorganisationer till alla arbetsbelastningar av alla partneragenter som har åtkomst till den specifika kundklientorganisationen under de senaste 90 dagarna.
En kundrelation klassificeras som inaktiv när det inte finns några inloggningsaktiviteter mellan klientorganisationer till någon arbetsbelastning av någon partneragent som har åtkomst till kundklientorganisationen på över 90 dagar. Partner ser en rekommendation på instrumentpanelen för att ta bort DAP om en kundrelation är inaktiv i mer än 90 dagar.
I Security Center i Partnercenter kan du övervaka inloggningsaktiviteter mellan klientorganisationer för administrativa privilegier och ta bort DAP om det är inaktivt. Security Center tillhandahåller även andra funktioner som är primära för att säkerställa ett säkrare ekosystem för partnerkunder, inklusive:
Partneradministratörsagenter kan komma åt Security Center för administrativa relationer.
Partner kan logga in på Security Center för administrativa relationer för att visa inloggningsaktiviteter.
Partner kan se inloggningsaktiviteter för alla sina kunder.
Partner kan se inloggningsaktiviteter under de senaste 30–60 dagarna, 61–90 dagarna och över 90 dagar för alla kunder som har aktiva DAP-relationer.
Om någon kund-DAP-relation är inaktiv i mer än 90 dagar representeras antalet inaktiva dagar som 90+.
Partner kan välja flera kunder åt gången för att inaktivera DAP.
Kunder kan meddelas via e-post när en partner inaktiverar DAP.
Kunder ser DAP-relationen uppdaterad i Microsoft Admin Center.
När DAP är inaktiverat kan det ta några minuter att se ändringen i Partnercenter.
Filterattribut
| Filtervillkor | beskrivning |
|---|---|
| Inaktiv i mer än 90 dagar | Visar antalet kunder vars DAP-relation är inaktiv i mer än 90 dagar. Partner rekommenderas att ta bort DAP om de är inaktiva i mer än 90 dagar. |
| Inaktiv i 60–90 dagar | Visar antalet kunder vars DAP-relation är inaktiv mellan 60 och 90 dagar. Partner rekommenderas att ta bort DAP om de är inaktiva i mer än 60 dagar. |
| Inaktiv i 30–60 dagar | Visar antalet kunder vars DAP-relation är inaktiv mellan 30 och 60 dagar. |
| Upprättad under de senaste sju dagarna | Visar antalet kunder vars DAP-relation har upprättats under de senaste sju dagarna. |
DAP-hanteringsattribut
| Fältnamn | beskrivning |
|---|---|
| Antal partneragenter som är inloggade | Antal unika partneragenter som loggat in på kundklientorganisationen under den senaste dagen. |
| Antal gånger partneragenter har loggat in | Antal gånger partneragenterna loggade in på kundens klientorganisation under den senaste dagen. |
| Dagar aktiverade | Antal dagar som DAP-relationen som upprättats mellan partnern och kunden har funnits. Om relationen har funnits i mer än 60 dagar visas över 60 . |
| Inaktiva dagar | Antal dagar som DAP-relationen har varit mellan partnern och kunden har varit inaktiv. Om det är mer än 60 dagar är värdet som visas 60+ eller ett exakt tal. Eftersom data endast är tillgängliga för aktiviteter mellan klientorganisationer sedan den 7 december 2021 kan det här attributet vara tomt om det inte finns någon aktivitet. |
| Rekommendation | En rekommendation om att inaktivera DAP görs om partneragenten inte har loggat in på någon av kundernas arbetsbelastningar under de senaste 60 dagarna. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för