監視系統管理關聯性和自助式 DAP 移除
適當的角色:管理員 代理程式 |技術服務人員代理程式
概觀
委派的系統管理許可權 (DAP) 可代表他們管理客戶的服務或訂用帳戶。 客戶必須授與該服務的合作夥伴系統管理許可權。
若要從客戶取得委派的系統管理員許可權,合作夥伴會將他們電子郵件傳送給 要求與客戶的轉銷商關係。 客戶核准要求之後,合作夥伴的 管理員 代理程式或技術支持人員可以登入服務的系統管理入口網站,並代表客戶管理服務。 例如,使用 Helpdesk 代理程式許可權,合作夥伴可以為客戶提供支援,並使用 管理員 代理程式許可權,合作夥伴可以代表客戶執行工作。
合作夥伴 管理員 代理程式可以與客戶稽核 DAP。 DAP 監視工具會擷取合作夥伴代理程式如何透過 DAP 存取其所有客戶租使用者之間的客戶租使用者。 合作夥伴接著可以檢閱並移除未使用中的 DAP 連線。 此自助移除功能可讓合作夥伴降低風險。
受影響的合作夥伴
直接計費合作夥伴、間接提供者和間接轉銷商會受到這項變更的影響。
重要
DAP 可讓合作夥伴以下列方式存取客戶租使用者:
- 管理員 代理程式群組會指派給客戶 Microsoft Entra 租使用者中的全域 管理員 istrator 角色。
- Helpdesk 代理程式群組會指派給客戶 Microsoft Entra 租使用者中的 Helpdesk 系統管理員角色。
DAP 監視數據會從 2021 年 12 月 7 日擷取。 監視系統管理關聯性只會顯示從 12 月 7 日代理 AOBO 到客戶租使用者的跨租使用者登入活動。 12 月 7 日前的登入動作不會顯示在系統管理關聯性儀錶板上。
客戶安全性的 DAP 指引
為了改善安全性,Microsoft 建議您移除不再使用或已停用超過 60 天的委派系統管理許可權。
客戶可以在 Microsoft 管理員 中心管理自己的 DAP 許可權。 如需詳細資訊,請參閱 客戶可以管理合作夥伴的系統管理員許可權。
拿掉 DAP 的影響
停用客戶的 DAP 存取會關閉 管理員 代理程式和技術支援人員代理程序許可權。
- 停用 DAP 存取並不會阻止合作夥伴獲得信用額度 (PEC),因為累算是以訂用帳戶上的角色型訪問控制 (RBAC) 角色為基礎。 停用 DAP 不允許合作夥伴從合作夥伴中心管理其客戶租使用者。
- 停用 DAP 存取會阻止合作夥伴代表其客戶建立服務要求。 如果合作夥伴需要建立服務要求,他們必須再次向客戶要求 DAP 存取權。
如需移除 DAP 後果的詳細資訊,請參閱 DAP 常見問題。
注意
整合沙箱租使用者可以停用 DAP,但無法要求與測試客戶建立經銷商關係,以重新啟用 DAP。
DAP 監視和自助式移除
登入活動是透過跨租使用者登入存取任何工作負載之客戶租使用者的任何合作夥伴代理程式。 合作夥伴將合作夥伴中心和 AOBO 存取客戶租使用者或存取 API 的合作夥伴交換令牌以存取客戶租使用者,會被視為作用中 DAP。
作用中關聯性是由過去 90 天記憶體取特定客戶租使用者的任何合作夥伴代理程式,測量任何跨租使用者登入活動與任何工作負載。
當任何合作夥伴代理程式在90天記憶體取該客戶租使用者的任何工作負載沒有任何跨租使用者登入活動時,客戶關係會分類為 非作用 中。 如果客戶關係處於非使用中狀態超過90天,合作夥伴會在儀錶板上看到移除 DAP 的建議。
在 合作夥伴中心的資訊安全中心 ,您可以監視系統管理許可權的跨租使用者登入活動,並在非使用中時移除 DAP。 資訊安全中心也提供其他功能,這是確保更安全的合作夥伴-客戶生態系統的主要功能,包括:
合作夥伴 管理員 代理程式可以存取資訊安全中心以取得系統管理關聯性。
合作夥伴可以登入資訊安全中心,以檢視登入活動,以檢視登入活動。
合作夥伴可以看到所有客戶的登入活動。
合作夥伴可查看過去 30-60 天、61-90 天和 90 天以上的所有客戶登入活動,這些客戶都有作用中的 DAP 關聯性。
如果任何客戶 DAP 關聯性處於非使用中狀態超過 90 天,則非作用中的天數會以 90+ 表示。
合作夥伴可以一次選取多個客戶來停用 DAP。
當合作夥伴停用 DAP 時,客戶可以透過電子郵件收到通知。
客戶會在 Microsoft 管理員 中心看到更新的 DAP 關聯性。
停用 DAP 時,可能需要幾分鐘的時間才能在合作夥伴中心查看變更。
篩選屬性
| 篩選條件 | 描述 |
|---|---|
| 非使用中90天以上 | 顯示 DAP 關聯性為非使用中 90 天的客戶數目。 如果非使用中 90 天以上,建議合作夥伴移除 DAP。 |
| 非使用中 60-90 天 | 顯示 DAP 關聯性在 60-90 天之間非使用中的客戶數目。 如果非使用中 60 天以上,建議合作夥伴移除 DAP。 |
| 非使用中 30-60 天 | 顯示 DAP 關聯性在 30-60 天之間非使用中的客戶數目。 |
| 在過去七天內建立 | 顯示過去七天內建立 DAP 關聯性的客戶數目。 |
DAP 管理屬性
| 欄位名稱 | 描述 |
|---|---|
| 已登入的合作夥伴代理程式數目 | 過去一天登入客戶租使用者的唯一合作夥伴代理程式數目。 |
| 合作夥伴代理程式登入的次數 | 過去一天合作夥伴代理程式登入客戶租用戶的次數。 |
| 已啟用天數 | 合作夥伴與客戶之間建立 DAP 關聯性的天數。 如果關聯性已存在超過 60 天, 則會顯示 60+ 。 |
| 非使用中的天數 | DAP 關聯性在合作夥伴與客戶之間已處於非作用中的天數。 如果超過 60 天,則顯示的值為 60+ 或確切的數位。 由於數據僅適用於自 2021 年 12 月 7 日以來的跨租用戶活動,因此如果沒有活動,此屬性可能會是空白的。 |
| 建議 | 如果合作夥伴代理程式在過去 60 天內未登入任何客戶的工作負載,則會建議停用 DAP。 |
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: