Supervisión de relaciones administrativas y eliminación de autoservicio de DAP
Roles adecuados: agente de administración/agente del departamento de soporte técnico
Información general
Los privilegios de administración delegados (DAP) ofrecen la posibilidad de administrar el servicio o la suscripción de un cliente en su nombre. Un cliente debe conceder a un asociado permisos administrativos para ese servicio.
Para obtener permisos de administrador delegado de un cliente, un asociado los envía por correo electrónico para solicitar una relación de revendedor con un cliente. Después de que el cliente apruebe la solicitud, el agente de Administración del asociado o el agente del departamento de soporte técnico pueden iniciar sesión en el portal de administración del servicio y administrar el servicio en nombre del cliente. Por ejemplo, mediante privilegios del agente del departamento de soporte técnico, un asociado puede ofrecer soporte técnico al cliente y usar privilegios de agente Administración, el asociado puede realizar trabajos en nombre del cliente.
Los agentes de Administración asociados pueden auditar DAP con sus clientes. La herramienta de supervisión de DAP captura cómo los agentes de partners acceden a los inquilinos de los clientes mediante DAP. A continuación, los partners pueden revisar y quitar las conexiones DAP que no estén en uso. Esta funcionalidad de autoservicio de eliminación ofrece a los partners la posibilidad de mitigar el riesgo.
Partners afectados
Los partners de factura directa, los proveedores indirectos y los revendedores indirectos se ven afectados por este cambio.
Importante
DAP permite que un partner acceda al inquilino del cliente de la siguiente manera:
- El grupo de agentes de Administración se asigna al rol Global Administración istrator en el inquilino de Microsoft Entra del cliente.
- El grupo de agentes del departamento de soporte técnico se asigna al rol de administrador del departamento de soporte técnico en el inquilino de Microsoft Entra del cliente.
Los datos de supervisión de DAP se capturan desde el 7 de diciembre de 2021. La supervisión de relaciones administrativas solo muestra actividades de inicio de sesión entre inquilinos (que actúan en nombre de AOBO) en el inquilino del cliente a partir del 7 de diciembre. Las acciones de inicio de sesión anteriores al 7 de diciembre no se muestran en el panel de relaciones administrativas.
Guía de DAP para la seguridad del cliente
Para mejorar la seguridad, Microsoft recomienda retirar los privilegios administrativos delegados que ya no estén en uso o que hayan estado inactivos durante más de 60 días.
Los clientes pueden administrar sus propios privilegios de DAP en el Centro de administración de Microsoft. Para más información, consulte Los clientes pueden administrar los privilegios de administrador de un partner.
Efectos de la eliminación de DAP
Al deshabilitar el acceso DAP para un cliente, se desactiva tanto la característica de agente de administración como los privilegios del agente de departamento de soporte técnico.
- La deshabilitación del acceso DAP no impedirá la acumulación de créditos obtenidos por los partners (PEC) porque la acumulación se basa en los roles de control de acceso basado en rol (RBAC) de la suscripción. Al deshabilitar DAP, los partners no podrán administrar el inquilino de su cliente desde el Centro de partners.
- La deshabilitación del acceso DAP impedirá que los partners creen solicitudes de servicio en nombre de sus clientes. Si los partners necesitan crear solicitudes de servicio, deben volver a solicitar acceso DAP desde su cliente.
Para más información sobre las consecuencias de quitar DAP, consulte las preguntas frecuentes sobre DAP.
Nota:
Los inquilinos de espacio aislado de integración pueden deshabilitar DAP, pero no pueden solicitar una relación de revendedor con el cliente de prueba para volver a habilitar DAP.
Supervisión de DAP y autoservicio de eliminación
Una actividad de inicio de sesión es cualquier agente de partner que acceda a un inquilino del cliente a través de inicios de sesión entre inquilinos en cualquier carga de trabajo. El acceso de partners al Centro de partners y AOBO al inquilino del cliente O Asociados que acceden a la API y el intercambio de tokens para acceder al inquilino del cliente se consideran DAP activos.
Cualquier actividad de inicio de sesión entre inquilinos mide una relación activa en cualquier carga de trabajo por parte de cualquier agente asociado que acceda al inquilino de cliente específico en los últimos 90 días.
Una relación de cliente se clasifica como inactiva cuando no hay actividades de inicio de sesión entre inquilinos en ninguna carga de trabajo por parte de cualquier agente asociado que acceda a ese inquilino del cliente en más de 90 días. Los partners ven una recomendación en el panel para quitar DAP si una relación de cliente está inactiva durante más de 90 días.
En Security Center en el Centro de partners, puede supervisar las actividades de inicio de sesión entre inquilinos para obtener privilegios administrativos y quitar DAP si está inactivo. Security Center también proporciona otras funciones, que son principales para garantizar un ecosistema de asociados y clientes más seguro, entre las que se incluyen:
- Los agentes de Administración asociados pueden acceder a Security Center para las relaciones administrativas.
- Los partners pueden iniciar sesión en el Centro de seguridad para ver las relaciones administrativas y examinar las actividades de inicio de sesión.
- Los partners pueden ver las actividades de inicio de sesión de todos sus clientes.
- Los partners pueden ver las actividades de inicio de sesión en los últimos 30-60 días, de 61 a 90 días y de más de 90 días en todos sus clientes que tienen relaciones de DAP activas.
- Si alguna relación DAP de cliente está inactiva durante más de 90 días, el número de días de inactividad se representa como 90+.
- Los partners pueden seleccionar varios clientes a la vez para deshabilitar DAP.
- Los clientes pueden recibir notificaciones por correo electrónico cuando un partner deshabilita DAP.
- Los clientes ven la relación DAP actualizada en el Centro de administración de Microsoft.
- Cuando DAP está deshabilitado, puede tardar unos minutos en ver el cambio en el Centro de partners.
Atributos de filtro
| Condición de filtro | Descripción |
|---|---|
| Inactivo durante más de 90 días | Muestra el número de clientes cuya relación DAP está inactiva durante más de 90 días. Se recomienda que los partners quiten DAP si está inactivo durante más de 90 días. |
| Inactivo durante 60-90 días | Muestra el número de clientes cuya relación DAP está inactiva entre 60 y 90 días. Se recomienda que los partners quiten DAP si está inactivo durante más de 60 días. |
| Inactivo durante 30-60 días | Muestra el número de clientes cuya relación DAP está inactiva entre 30 y 60 días. |
| Establecido en los últimos siete días | Muestra el número de clientes cuya relación DAP se estableció en los últimos siete días. |
Atributos de administración de DAP
| Nombre del campo | Descripción |
|---|---|
| Número de agentes asociados que han iniciado sesión | Número de agentes de partners únicos que han iniciado sesión en el inquilino del cliente en el último día. |
| Número de veces que los agentes asociados han iniciado sesión | Número de veces que los agentes de partners han iniciado sesión en el inquilino del cliente en el último día. |
| Días habilitados | Número de días que ha existido la relación DAP establecida entre el asociado y el cliente. Si la relación ha existido durante más de 60 días, se muestra más de 60 días . |
| Días sin actividad | Número de días que la relación DAP ha estado entre el asociado y el cliente ha estado inactivo. Si es más de 60 días, el valor mostrado es 60+ o bien un número exacto. Dado que los datos solo están disponibles para la actividad entre inquilinos desde el 7 de diciembre de 2021, este atributo podría estar en blanco si no hay actividad. |
| Recomendación | Se recomienda deshabilitar DAP si el agente de partner no ha iniciado sesión en ninguna de las cargas de trabajo de los clientes en los últimos 60 días. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de