Privilégios de administração delegados (DAP) FAQ

  • Artigo
  • 8 minutos para ler

Funções adequadas: | agente Administração Agente helpdesk

Os privilégios de administração delegados (DAP) fornecem a capacidade de gerir o serviço ou subscrição de um cliente em seu nome. O cliente deve conceder ao parceiro permissões administrativas para esse serviço. Para obter permissões de administrador delegada de um cliente, o parceiro envia-lhes um Pedido de relacionamento com um cliente. Após o cliente aprovar o pedido, o agente administrativo ou agente de ajuda do parceiro pode entrar no portal de administração do serviço e gerir o serviço em nome do cliente. Por exemplo, utilizando privilégios do Helpdesk Agent, o parceiro pode fornecer suporte ao cliente. Utilizando privilégios Administração Agente, o parceiro pode realizar trabalho em nome do cliente.

Os agentes administrativos dos parceiros podem auditar o DAP com os seus clientes. A ferramenta de monitorização da DAP irá capturar a forma como os agentes parceiros estão a aceder aos inquilinos dos clientes através do DAP. Os parceiros podem então rever e remover as ligações DAP que não estão a ser utilizadas. Esta capacidade de remoção de self-serve proporcionará aos parceiros a capacidade de mitigar o raio de explosão.

O que é a monitorização do DAP (Painel de Relacionamento Administrativo)?

No Partner Center, os parceiros têm agora acesso a uma ferramenta de reporte que identifica e exibe todas as ligações de privilégios administrativos delegados ativos e ajuda as organizações a descobrir ligações DAP inativas. O relatório capta a forma como os agentes parceiros estão a aceder aos inquilinos dos clientes através desses privilégios e permite que os parceiros removam as ligações que não estão a ser utilizadas. Para melhorar a segurança, a Microsoft recomenda que os parceiros removam as ligações DAP que já não estão a ser utilizadas.

Para saber mais, consulte monitorizar as relações administrativas e a remoção do DAP de autosserviço.

Quem pode ver relatórios de atividades do DAP (Painel de Relações Administrativas)?

Os parceiros podem agora ver o painel de reporte/relações administrativas do DAP na Definição de Conta → Defender para a Cloud → Relações Administrativas.

O reporte de atividades da DAP está disponível no Partner Center para parceiros no programa Fornecedor de Soluções em Nuvem – parceiros de conta direta, fornecedores indiretos e revendedores indiretos. Estas funções do Partner Center têm acesso ao relatório de atividades do DAP: Administração Agentes.

Com que frequência os dados são atualizados?

Os dados de monitorização do DAP são capturados a partir de 7 de dezembro de 2021. A monitorização das relações administrativas só mostrará atividades de inscrição cruzada de inquilinos (AOBO) no arrendatário do cliente a partir de 7 de dezembro. As ações de inscrição antes de 7 de dezembro não serão mostradas no painel de relações administrativas.

Os dados são atualizados para o insusimento do inquilino cruzado (AOBO) para os inquilinos do cliente diariamente.

Quantos dias de atividades de inscrição podem ver os parceiros no relatório do DAP?

Os parceiros verão os dados a partir de 7 de dezembro de 2021 em todos os seus clientes. Se houver atividade do DAP por um utilizador parceiro num inquilino de cliente após 7 de dezembro, a Days Inative mostrará o valor ou ficará em branco. No entanto, se a Days Inative for superior a 60 dias, apresentará "60+" (o que significa que o parceiro não tem acedido ao cliente há mais de 60 dias).

Os parceiros também podem iniciar sessão de login em Azure Ative Directory para ver registos de inscrição até 30 dias se os parceiros tiverem Azure Ative Directory Premium subscrição do Plano 2.

Os seguintes atributos terão as contagens para o último dia.

  • "Número de agentes a iniciar sing-in"
  • "Número de vezes que o agente parceiro assinou"

Estamos a oferecer aos CSPs uma assinatura gratuita de dois anos do Plano 2 Azure Ative Directory Premium para os ajudar a gerir e obter relatórios sobre privilégios de acesso. Os parceiros registados podem inscrever-se no Partner Center para tirar partido desta oferta. Azure AD Premium Plano 2 proporciona um acesso alargado a registos de inscrição e funcionalidades premium, tais como Azure AD Privileged Identity Management (PIM) e capacidades de acesso condicional baseadas em riscos, para reforçar os controlos de segurança.

O que devem os parceiros fazer com relações DAP que já não são usadas ou inativas por mais de 60 dias?

Para melhorar a segurança, a Microsoft recomenda que os parceiros removam privilégios administrativos delegados que já não estejam em uso ou que estejam inativos há 60 dias ou mais. A orientação para a utilização do relatório DAP e da remoção do autosserviço está aqui.

Que capacidades um parceiro perderá se o DAP for removido?

Aqui estão os seguintes impactos e mitigações.

  • O acesso incapacitante do DAP a um cliente desliga os privilégios de administrador de um parceiro para gerir as capacidades do cliente. Se necessário, os parceiros terão de restabelecer permissões do DAP.

  • O desativar o acesso do DAP a um cliente desliga a capacidade de criar bilhetes de apoio para os clientes. Os parceiros devem restabelecer permissões do DAP para criar bilhetes de apoio em nome dos clientes.

  • O DEsativação do DAP tem impacto nos seguintes cenários para Microsoft 365 Subscrições. Os parceiros terão de repor as permissões do DAP no arrendatário do cliente para desbloquear estes cenários:

    • Subscrição de upgrade – parte do pré-requisito para a atualização de subscrição é ter DAP.

    • Obter estatuto de Provisionamento de Assinatura requer DAP.

  • A desativação do DAP tem impacto nestes cenários para as subscrições do Azure. Os parceiros terão de repor as permissões do DAP no arrendatário do cliente para desbloquear estes cenários.

    • Os parceiros perderão a capacidade de gerir as subscrições do Azure através do Partner Center, mas podem gerir a subscrição do Azure a partir de Microsoft Azure.

    • Parceiro Administração não poderá ver proprietários ou reintegrar quaisquer outros proprietários para subscrições Azure provisões post da remoção do DAP.

      No entanto, os Admins Globais do cliente podem restabelecer o acesso do proprietário em todas as subscrições da Azure e atribuir funções a outros agentes nos inquilinos do cliente.

  • O DAP incapacitante irá afetar a resposta recebida da Chamada API do Cliente Por ID.

    • A chamada de API do Get Customer ID não devolverá os seguintes atributos na resposta se o Parceiro não tiver acesso ao DAP no cliente. Caso contrário, deverá devolver todos os atributos mencionados na amostra de resposta.

    • EmpresaProfileAddress

    • EmpresaProfileEmail

    • CustomDomains

  • Os parceiros continuarão a ganhar crédito adquirido (PEC) quando o DAP for removido nas assinaturas Azure de novo comércio existentes.

  • Os parceiros deixarão de ganhar PEC quando o RBAC for removido nas subscrições existentes do Novo Comércio Azure.

Depois de remover o DAP, os parceiros podem comprar novos planos Modern Azure?

Sim, o parceiro ainda pode transacionar planos modernos do Azure. O DAP não é obrigado a negociar.

Se o cliente já tiver um plano Azure que o parceiro adquiriu antes de remover o DAP, pode o parceiro comprar e adicionar novas assinaturas Azure ao plano Azure?

Sim, os parceiros podem adicionar subscrições Azure para clientes a partir do portal do Azure sem DAP e recursos de fornecimento para o cliente.

Os parceiros continuarão a ganhar PEC nas novas assinaturas Azure que foram adicionadas após a remoção do DAP?

Sim, os parceiros continuarão a ganhar PEC nas novas subscrições do Azure após a remoção do DAP.

Quando o DAP for removido, como é que o parceiro vai restabelecer os direitos dos proprietários nas assinaturas Azure do legado de um cliente?

Os parceiros terão de solicitar uma nova relação com o DAP para restabelecer os direitos dos proprietários. No entanto, a Global Administração de um cliente pode restabelecer o acesso do proprietário nas subscrições Azure e atribuir funções a outros agentes nos seus inquilinos. Para saber mais, consulte os privilégios de administração da Reinstate para a Azure CSP.

Quando o DAP for removido, como é que o parceiro vai restabelecer os direitos dos proprietários sobre o novo plano e subscrições do novo comércio Azure?

Os parceiros terão de solicitar uma relação da DAP para poder restabelecer os direitos dos proprietários. No entanto, um cliente Global Administração pode restabelecer o acesso do proprietário em todas as subscrições do Azure e atribuir funções a outros agentes nos inquilinos do cliente. Para saber mais, consulte os privilégios de administração da Reinstate para a Azure CSP.

Quando o DAP é removido, como é que os parceiros podem restabelecer o acesso à propriedade nas subscrições do Azure?

A informação sobre a reinstauração de privilégios administrativos para as subscrições Azure CSP do cliente está nos privilégios de administração da Reinstate para as assinaturas Azure CSP de um cliente.

O DAP de monitorização UX inclui todos os clientes de um fornecedor indireto, juntamente com os clientes através de revendedores indiretos?

Sim, vão ter todos os seus clientes e clientes indiretos.

As competências de um parceiro são afetadas quando o DAP é removido?

Algumas competências têm requisitos em que os privilégios administrativos delegados são um tipo de associação parceiro-cliente aceite. A remoção do DAP pode afetar a capacidade de um parceiro de satisfazer alguns requisitos de competência.

Irá desativar o DAP ou transitar para as competências de impacto do GDAP que atingi?

A sua competência pode ser afetada pela desativação do DAP. No Partner Center, pode ver que outros tipos de associação de parceiros são elegíveis para uso ativo mensal do cliente (MAU) para o cálculo do limiar de desempenho. Também pode ver as suas competências atualmente ativas.

O PEC é impactado quando o DAP/GDAP é removido?

  • Se o cliente parceiro tiver apenas DAP e o DAP for removido, o PEC não perdeu
  • Se o cliente parceiro tiver DAP, e se mudarem para GDAP para Office e Azure simultaneamente, e o DAP for removido, o PEC não perdeu
  • Se o cliente parceiro tiver DAP, e se mudarem para o GDAP para Office mas manter o Azure como está (eles não se mudam para GDAP) e o DAP for removido, o PEC não será perdido, mas o acesso à subscrição do Azure será perdido.
  • Se o papel do RBAC for removido, perde-se o PEC; notar que remover o GDAP não removerá o RBAC

Os fornecedores indiretos podem filtrar os clientes por revendedores indiretos no relatório DAP?

Este tipo de filtragem não está atualmente disponível em relatórios do DAP. Estamos a avaliar a adição desta capacidade numa futura libertação.

Quando estará disponível a API para monitorização e remoção do autosserviço?

A API deverá estar disponível durante o 1º trimestre de 2022.