分享方式:

委派的系統管理權限 (DAP) 常見問題

  • 文章

適當的角色:管理員 代理程式 |技術服務人員代理程式

委派的系統管理許可權 (DAP) 可讓合作夥伴代表他們管理客戶的服務或訂用帳戶。

客戶必須先授與合作夥伴許可權,合作夥伴才能使用委派的系統管理許可權。

若要從客戶取得委派的系統管理員許可權,請傳送電子郵件給 要求與客戶的轉銷商關係。

客戶核准要求之後,合作夥伴的 管理員 代理程式或技術支持人員可以登入服務的系統管理入口網站,並代表客戶管理服務。 例如,合作夥伴可以:

  • 使用技術服務人員代理程式許可權來為客戶提供支援。
  • 使用 管理員 代理程序許可權代表客戶執行工作。
DAP 監視工具

DAP 監視工具會擷取合作夥伴代理程式如何透過 DAP 存取其所有客戶租使用者之間的客戶租使用者。

合作夥伴 管理員 代理程式可以使用 DAP 監視工具來稽核 DAP 與其客戶。 合作夥伴接著可以檢閱使用量數據,並移除未使用中的 DAP 連線。 這項自助移除功能可透過控制存取來協助改善安全性。

拿掉 DAP:後果

拿掉 DAP 且未啟用 GDAP 時,合作夥伴會遺失哪些功能?

停用客戶的 DAP 存取:

  • 結束在客戶租使用者上管理功能的許可權。

    • 若要重新提供管理功能,您必須重新設定 DAP。

  • 結束為客戶建立支援要求的能力。

    • 若要重新允許為客戶建立支援票證的能力,您必須重新建立 DAP。

  • 以下列方式影響 Microsoft 365 訂閱:

    • 無法升級訂用帳戶,因為具有 DAP 是必要條件。

    • 無法 取得訂用帳戶布建狀態 ,因為布建需要 DAP。

      若要重新授權 Microsoft 365 訂閱功能,您必須在客戶租使用者上重新建立 DAP。

  • 以下列方式影響 Azure 訂用帳戶:

    • 合作夥伴無法透過合作夥伴中心管理 Azure 訂用帳戶(但可以從 Microsoft Azure 管理 Azure 用帳戶)。

    • 合作夥伴系統管理員看不到擁有者,或恢復在 DAP 移除所布建之 Azure 訂用帳戶的任何擁有者。

      • 不過,客戶全域系統管理員可以恢復所有 Azure 訂用帳戶的擁有者存取權,並將角色指派給客戶租使用者中的其他代理程式。 若要深入瞭解,請參閱 恢復 Azure CSP 的系統管理員許可權。

      若要重新建立 Azure 訂用帳戶功能,您必須在客戶租使用者上重新建立 DAP。

  • 影響從 標識元 API 呼叫取得客戶的回應。

    • 如果合作夥伴沒有客戶租使用者的 DAP 存取權,取得客戶識別碼 API 呼叫將不會傳回下列屬性。

      • CompanyProfileAddress
      • CompanyProfileEmail
      • CustomDomains

  • 當現有新商務 Azure 訂用帳戶上移除 RBAC 時,停止合作夥伴獲得合作夥伴所獲得點數 (PEC)。

  • 不會影響現有新商務 Azure 訂用帳戶上的 PEC。

    (如需詳細資訊,請參閱 合作夥伴已獲得點數和 DAP 區段。

監視 DAP 活動

什麼是 DAP 監視(管理員 關聯性儀錶板)?

在合作夥伴中心,合作夥伴可以存取報告工具,以識別並顯示所有作用中委派的系統管理許可權連線,並協助組織探索非作用中的 DAP 連線。 報告會擷取合作夥伴代理程式如何透過這些許可權存取客戶租使用者,並讓合作夥伴移除未使用中的連線。 為了改善安全性,Microsoft 建議合作夥伴移除不再使用的 DAP 連線。

若要深入瞭解,請參閱 監視系統管理關聯性和自助式 DAP 移除

DAP 監視數據重新整理的頻率?

跨租使用者 (AOBO) 登入客戶租用戶的數據會每天重新整理。

DAP 監視數據可從 2021 年 12 月 7 日取得。

DAP 監視工具是否包含間接提供者的所有客戶,以及透過間接轉銷商的客戶?

是。 您會取得所有客戶和間接轉銷商的客戶。

何時可以使用 DAP 監視和自助式移除 API?

API 預計將在 2022 年第 1 季提供。

報告:DAP 活動

神秘 可以看到 DAP 活動報告(管理員 關聯性儀錶板)?

合作夥伴可以在帳戶設定中查看 DAP 活動報告/系統管理關聯性儀錶板,適用於雲端的 Defender > 管理員 關聯性。>

DAP 活動報告可在合作夥伴中心提供給 雲端解決方案提供者 計劃的合作夥伴:直接計費合作夥伴、間接提供者和間接轉銷商。

具有 管理員 代理程式合作夥伴中心角色的使用者可以存取 DAP 活動報告。

合作夥伴可以在 DAP 報告中看到多少天的登入活動?

合作夥伴可看到自 2021 年 12 月 7 日起,所有客戶的數據。 如果客戶租使用者中的合作夥伴使用者自 2021 年 12 月 7 日起已有 DAP 活動, 則 Days Inactive 會顯示該值或空白。 不過,如果 Days Inactive 大於 90 天,則會顯示 “90+” (這表示合作夥伴尚未登入客戶租用戶超過 90 天)。

訂閱 Microsoft Entra ID P2 的合作夥伴也可以在 Microsoft Entra ID 中檢視最多 30 天的登入記錄。

下列屬性會顯示過去一天的計數:

  • 代理程式登入的數目
  • 合作夥伴代理程式登入的次數

注意

我們會為 CSP 提供 Microsoft Entra ID P2 的免費兩年訂用帳戶,以協助他們進一步管理及取得有關訪問許可權的報告。

合作夥伴應該對不再使用或已使用超過90天的 DAP 關聯性執行什麼動作?

為了改善安全性,Microsoft 建議合作夥伴移除不再使用或已停用 90 天以上之委派的系統管理許可權。 如需使用 DAP 報表和自助式移除的指引,請參閱 監視系統管理關聯性和自助式 DAP 移除

報告:篩選使用者

間接提供者是否可以依 DAP 報告中的間接轉銷商篩選客戶?

否。 DAP 報告不提供這類篩選功能,但我們正在評估是否要在未來的版本中新增該功能。

Azure 和 DAP

合作夥伴是否可以在移除 DAP 之後購買新的新式 Azure 方案?

是。 合作夥伴仍然可以交易新式 Azure 方案。 不需要 DAP 才能交易。

拿掉 DAP 之後,合作夥伴將如何恢復新商務 Azure 方案和訂用帳戶的擁有者許可權?

若要恢復擁有者權利,合作夥伴必須要求新的 DAP 關聯性。 不過,客戶全域管理員可以恢復所有 Azure 訂用帳戶的擁有者存取權,並將角色指派給客戶租使用者中的其他代理程式。 若要深入瞭解,請參閱 恢復 Azure CSP 的系統管理員許可權。

合作夥伴獲得點數和 DAP

若要深入瞭解合作夥伴所獲得點數,請參閱 合作夥伴所獲得點數:CSP 中新商務體驗中運作方式的概觀。

合作夥伴是否繼續在移除 DAP 之後新增的新 Azure 訂用帳戶上賺取 PEC?

是。 在移除 DAP 之後,合作夥伴會繼續在新增的 Azure 訂用帳戶上賺取 PEC。

當 DAP 或 GDAP 移除時,PEC 是否受到影響?
  • 如果合作夥伴客戶只有 DAP 且 DAP 已移除,則 PEC 不會遺失。
  • 如果合作夥伴客戶有 DAP,且他們同時移至適用於 Office 和 Azure 的 GDAP,且會移除 DAP,則不會遺失 PEC。
  • 如果合作夥伴客戶有 DAP,且他們移至 Office 的 GDAP,但保留 Azure 的身分(也就是說,他們不會移至 GDAP),而且 DAP 會遭到移除,PEC 將不會遺失,但 Azure 訂用帳戶存取權將會遺失
  • 如果移除 RBAC 角色,PEC 就會遺失。 (移除 GDAP 不會移除 RBAC。)

專長認證和 DAP

若要深入瞭解 Microsoft 專長認證,請參閱 透過取得 Microsoft 專長認證來區分您的業務。

停用 DAP 或轉換至 GDAP 會影響我已達到的舊版專長認證權益或解決方案合作夥伴指定嗎?

DAP 和 GDAP 不符合解決方案合作夥伴指定資格的關聯類型,而且停用或從 DAP 轉換至 GDAP 將不會影響您對解決方案合作夥伴的指定。 您續約舊版專長認證權益或解決方案合作夥伴權益也不會受到影響。

移至 合作夥伴中心解決方案合作夥伴指定 ,以檢視其他合作夥伴關聯類型是否符合解決方案合作夥伴指定資格。