委派管理权限 (DAP) 常见问题解答

  • 项目

相应的角色:管理员代理 | 支持人员代理

委派的管理特权(DAP)使合作伙伴能够代表他们管理客户的服务或订阅。

客户必须先授予合作伙伴权限,然后合作伙伴才能使用委派的管理权限。

若要从客户获取委派的管理员权限,请发送电子邮件以 请求与客户的经销商关系。

客户批准请求后,合作伙伴的管理员代理或支持人员代理可以登录到服务的管理门户,并代表客户管理服务。 例如,合作伙伴可以:

  • 使用支持人员代理特权为客户提供支持。
  • 使用管理员代理特权代表客户执行工作。
DAP 监视工具

DAP 监视工具将捕获合作伙伴代理如何通过 DAP 跨所有客户租户访问客户租户。

合作伙伴的管理员代理可以使用 DAP 监视工具来审核其客户的 DAP。 然后,合作伙伴可以查看使用情况数据,并删除未使用的 DAP 连接。 这种自助删除功能有助于通过控制访问来提高安全性。

删除 DAP:后果

删除 DAP 且未启用 GDAP 时,合作伙伴会丢失哪些功能?

禁用客户的 DAP 访问:

  • 结束对客户租户的功能的特权。

    • 若要重新启用管理功能,必须重新启用 DAP。

  • 结束为客户创建支持请求的功能。

    • 若要重新启用为客户创建支持票证的功能,必须重新启用 DAP。

  • 通过以下方式影响 Microsoft 365 订阅:

    • 无法升级订阅,因为拥有 DAP 是先决条件。

    • 无法 获取订阅预配状态 ,因为预配需要 DAP。

      若要重新启用 Microsoft 365 订阅功能,必须在客户租户上重新启用 DAP。

  • 通过以下方式影响 Azure 订阅:

    • 合作伙伴无法通过合作伙伴中心管理 Azure 订阅(但可以从 Microsoft Azure 管理 Azure 订阅)。

    • 合作伙伴管理员看不到所有者或恢复 DAP 删除预配的 Azure 订阅的任何所有者。

      • 但是,客户全局管理员可以恢复所有 Azure 订阅的所有者访问权限,并将角色分配给客户租户中的其他代理。 若要了解详细信息,请参阅恢复 Azure CSP 的管理员特权

      若要重新启用 Azure 订阅功能,必须在客户租户上重新启用 DAP。

  • 影响通过 ID API 调用从“获取客户”收到的响应。

    • 如果合作伙伴在客户租户上没有 DAP 访问权限,则获取客户 ID API 调用不会返回以下属性。

      • CompanyProfileAddress
      • CompanyProfileEmail
      • CustomDomains

  • 在现有商业 Azure 订阅上删除 RBAC 时,停止合作伙伴赚取的合作伙伴赚取的额度(PEC)。

  • 不会影响现有新商业 Azure 订阅上的 PEC。

    (有关详细信息,请参阅 合作伙伴赚取的信用额度和 DAP 部分。

监视 DAP 活动

什么是 DAP 监视(管理员关系仪表板)?

在合作伙伴中心,合作伙伴有权访问报告工具,该工具标识并显示所有活动的委派管理特权连接,并帮助组织发现非活动 DAP 连接。 报告捕获合作伙伴代理如何通过这些特权访问客户租户,并使合作伙伴能够删除未使用的连接。 为了提高安全性,Microsoft 建议合作伙伴删除不再使用的 DAP 连接。

若要了解详细信息,请参阅监视管理关系和自助 DAP 删除

DAP 监视数据刷新的频率是多少?

每天刷新数据,以便跨租户(AOBO)登录到客户租户。

DAP 监视数据从 2021 年 12 月 7 日可用。

DAP 监视工具是否包括间接提供商的所有客户以及通过间接经销商的客户?

是的。 你可以获取所有客户和间接经销商的客户。

何时可以提供用于 DAP 监视和自助删除的 API?

预计将在 2022 年第 1 季度提供这种 API。

报告:DAP 活动

谁可以查看 DAP 活动报告(管理关系仪表板)?

合作伙伴可以在帐户设置 > Defender for Cloud > 管理员istrative 关系查看 DAP 活动报告/管理关系仪表板。

DAP 活动报告在合作伙伴中心向云解决方案提供商计划的合作伙伴提供:直接计费合作伙伴、间接提供商和间接经销商。

具有管理员代理合作伙伴中心角色的用户有权访问 DAP 活动报告。

合作伙伴可以在 DAP 报告中看到多少天的登录活动?

合作伙伴可以查看自 2021 年 12 月 7 日以来的所有客户的数据。 如果自 2021 年 12 月 7 日起,客户租户中的合作伙伴用户已存在 DAP 活动, 则“非活动 日期”将显示该值或为空。 但是,如果 “非活动 天数”大于 90 天,则会显示“90+”(这意味着合作伙伴尚未登录到客户租户超过 90 天)。

订阅 Microsoft Entra ID P2 的合作伙伴还可以在 Microsoft Entra ID 中查看最长 30 天的登录日志。

以下属性显示过去一天的计数:

  • 代理登录数
  • 合作伙伴代理登录的次数

注意

我们向 CSP 提供免费的 两年 Microsoft Entra ID P2 订阅,帮助他们进一步管理和获取有关访问特权的报告。

合作伙伴应该对不再使用或已处于非活动状态超过 90 天的 DAP 关系执行哪些操作?

为了提高安全性,Microsoft 建议合作伙伴删除不再使用或已停用 90 天或更长时间的委派管理特权。 有关使用 DAP 报表和自助删除的指导,请参阅 监视管理关系和自助 DAP 删除

报告:筛选用户

间接提供商是否可以按 DAP 报告中的间接经销商筛选客户?

错误。 此类筛选在 DAP 报告中不可用,但我们正在评估是否在将来的版本中添加该功能。

Azure 和 DAP

合作伙伴是否可以在删除 DAP 后购买新的新式 Azure 计划?

是的。 合作伙伴仍然可以交易新式 Azure 计划。 无需 DAP 即可进行交易。

删除 DAP 后,合作伙伴将如何恢复新商业 Azure 计划和订阅的所有者权限?

若要恢复所有者权限,合作伙伴必须请求新的 DAP 关系。 但是,客户全局管理员可以恢复所有 Azure 订阅的所有者访问权限,并将角色分配给客户租户中的其他代理。 若要了解详细信息,请参阅恢复 Azure CSP 的管理员特权

合作伙伴赚取的信用额度和 DAP

若要了解有关合作伙伴赚取的信用额度的详细信息,请参阅 合作伙伴赚取的信用额度:概述它在云解决方案提供商的新商业体验中的工作方式。

合作伙伴是否继续在删除 DAP 后添加的新 Azure 订阅上赚取 PEC?

是的。 删除 DAP 后,合作伙伴将继续在添加的新 Azure 订阅上赚取 PEC。

删除 DAP 或 GDAP 时,PEC 是否受到影响?
  • 如果合作伙伴客户只有 DAP,并且删除了 DAP,则 PEC 不会丢失。
  • 如果合作伙伴客户具有 DAP,并且他们同时迁移到 办公室 和 Azure 的 GDAP,并且删除 DAP,则 PEC 不会丢失。
  • 如果合作伙伴客户具有 DAP,并且他们迁移到 GDAP 进行办公室但保留 Azure 原样(也就是说,他们不会迁移到 GDAP),并且 DAP 被删除,PEC 不会丢失,但 Azure 订阅访问权限将丢失
  • 如果删除了 RBAC 角色,则 PEC 将丢失。 (删除 GDAP 不会删除 RBAC。)

能力与 DAP

若要了解有关 Microsoft 能力的详细信息,请参阅 通过获得 Microsoft 能力来区分业务。

禁用 DAP 或过渡到 GDAP 是否会影响我取得的旧能力权益或解决方案合作伙伴指定?

DAP 和 GDAP 不符合解决方案合作伙伴指定条件的关联类型,并且禁用或从 DAP 转换到 GDAP 不会影响你实现解决方案合作伙伴指定。 你的旧能力权益或解决方案合作伙伴权益的续订也不会受到影响。

转到 合作伙伴中心解决方案合作伙伴指定 ,查看其他合作伙伴关联类型是否符合解决方案合作伙伴指定条件。