委派管理权限 (DAP) 常见问题解答

  • 项目

相应的角色:管理员代理 | 支持人员代理

委派管理特权 (DAP) 提供代表客户管理其服务或订阅的功能。 客户必须授予合作伙伴对该服务的管理权限。 若要从客户获得委派的管理员权限,合作伙伴会向客户发送一封电子邮件,以请求与客户建立经销商关系。 客户批准请求后,合作伙伴的管理员代理或支持人员代理可以登录到服务的管理门户,并代表客户管理服务。 例如,借助支持人员代理特权,合作伙伴可为客户提供支持。 借助管理员代理权限,合作伙伴可代表客户执行工作。

合作伙伴的管理员代理可以与客户审核 DAP。 DAP 监视工具将捕获合作伙伴代理如何通过 DAP 跨所有客户租户访问客户租户。 然后,合作伙伴可以查看和删除空闲的 DAP 连接。 这一自助删除功能使合作伙伴能够缓解爆炸半径。

什么是 DAP 监视(管理关系仪表板)?

在合作伙伴中心,合作伙伴现在可以访问一个报告工具,该工具可以识别和显示所有活动的委派管理特权连接,并帮助组织发现不活动的 DAP 连接。 报告捕获合作伙伴代理如何通过这些特权访问客户租户,并允许合作伙伴删除未使用的连接。 为了提高安全性,Microsoft 建议合作伙伴删除不再使用的 DAP 连接。

若要了解详细信息,请参阅监视管理关系和自助 DAP 删除

谁可以查看 DAP 活动报告(管理关系仪表板)?

合作伙伴现在可以在“帐户设置 → Defender for Cloud →管理关系”中查看 DAP 活动报告/管理关系仪表板。

DAP 活动报告在合作伙伴中心提供给云解决方案提供商计划中的合作伙伴,包括直接账单合作伙伴、间接提供商和间接经销商。 这些合作伙伴中心角色有权访问 DAP 活动报告:管理员代理。

数据刷新的频率如何?

DAP 监视数据从 2021 年 12 月 7 日开始捕获。 监视管理关系仅显示从 12 月 7 日开始的客户租户中的跨租户登录活动 (AOBO)。 12 月 7 日之前的登录操作不会显示在管理关系仪表板上。

跨租户登录 (AOBO) 客户租户的数据每天刷新。

合作伙伴可以在 DAP 报告中看到多少天的登录活动?

合作伙伴将看到 2021 年 12 月 7 日以来所有客户的数据。 如果客户租户中的合作伙伴用户在 12 月 7 日之后有 DAP 活动,则“不活动天数”将显示该值,否则将为空白。 但是,如果不活动天数超过 60 天,则将显示 60+(这意味着合作伙伴超过 60 天没有登录客户租户)。

如果合作伙伴订阅了 Azure Active Directory 高级计划 2,合作伙伴还可以查看 Azure Active Directory 中登录日志以查看最长 30 天的登录日志。

以下属性将具有最后一天的计数。

  • “代理登录数”
  • “合作伙伴代理登录次数”

我们为 CSP 提供为期两年的 Azure Active Directory 高级计划 2 免费订阅,以进一步帮助他们管理和获取有关访问特权的报告。 已注册的合作伙伴可以登录到合作伙伴中心以利用此产品/服务。 Azure AD Premium 计划 2 提供对登录日志,以及 Azure AD 特权标识管理 (PIM) 和基于风险的条件访问功能等高级功能的扩展访问权限,以强化安全控制。

合作伙伴应如何处理不再使用或闲置超过 60 天的 DAP 关系?

为了提高安全性,Microsoft 建议合作伙伴删除不再使用或处于非活动状态 60 天或更长时间的委派管理特权。 此处介绍了使用 DAP 报告和自助删除的指南。

如果删除 DAP,合作伙伴将损失哪些功能?

下面是以下受到的影响和缓解措施。

  • 禁用客户的 DAP 访问权限会关闭合作伙伴管理客户租户上的功能的管理员权限。 如果需要,合作伙伴将需要恢复 DAP 权限。

  • 为客户禁用 DAP 访问会禁用为客户创建支持票证的能力。 合作伙伴必须恢复 DAP 权限才能代表客户创建支持票证。

  • 禁用 DAP 会影响 Microsoft 365 订阅的以下方案。 合作伙伴需要恢复客户租户的 DAP 权限才能解锁这些方案:

    • 升级订阅 - 订阅升级的部分先决条件是拥有 DAP

    • “获取订阅预配状态”需要 DAP

  • 禁用 DAP 会影响 Azure 订阅的这些方案。 合作伙伴需要恢复客户租户的 DAP 权限才能解锁这些方案。

    • 合作伙伴将无法通过合作伙伴中心管理 Azure 订阅,但可以从 Microsoft Azure 管理 Azure 订阅。

    • 合作伙伴管理员将无法查看所有者,也无法恢复在 DAP 删除后预配的 Azure 订阅的任何其他所有者。

      但是,客户全局管理员可以恢复对所有 Azure 订阅的所有者访问权限,并可将角色分配给客户租户中的其他代理。

  • 禁用 DAP 将影响从“根据 ID 获取客户”API 调用收到的响应。

    • 如果合作伙伴对客户租户没有 DAP 访问权限,则“根据 ID 获取客户”API 调用不会在响应中返回以下属性。 否则,它应返回响应示例中提到的所有属性。

    • CompanyProfileAddress

    • CompanyProfileEmail

    • CustomDomains

  • 在现有的新商务 Azure 订阅中删除 DAP 后,合作伙伴将继续获得合作伙伴赚取的返点 (PEC)。

  • 在现有的新商务 Azure 订阅中删除 RBAC 后,合作伙伴将不再赚取 PEC。

删除 DAP 后,合作伙伴可以购买新的新式 Azure 计划吗?

可以,合作伙伴仍然可以交易新式 Azure 计划。 无需 DAP 即可进行交易。

如果客户已经拥有了一项 Azure 计划,而且此计划是合作伙伴在删除 DAP 之前购买的,合作伙伴是否可以购买新的 Azure 订阅并将其添加到 Azure 计划?

可以,合作伙伴可以从 Azure 门户为客户添加 Azure 订阅,无需 DAP,并且可为客户预配资源

对于在删除了 DAP 之后添加的新 Azure 订阅,合作伙伴是否能继续赚取 EPC?

可以,在 DAP 被删除后,合作伙伴将继续在新 Azure 订阅上赚取 PEC。

删除 DAP 后,合作伙伴将如何恢复对客户旧版 Azure 订阅的所有者权利?

合作伙伴将需要申请新的 DAP 关系才能恢复所有者权限。 但是,客户全局管理员可以恢复对 Azure 订阅的所有者访问权限,并可将角色分配给客户租户中的其他代理。 若要了解详细信息,请参阅恢复 Azure CSP 的管理员特权

删除 DAP 后,合作伙伴将如何恢复对新商务 Azure 计划和订阅的所有者权利?

合作伙伴需要申请 DAP 关系才能恢复所有者权利。 但是,客户全局管理员可以恢复对所有 Azure 订阅的所有者访问权限,并可将角色分配给客户租户中的其他代理。 若要了解详细信息,请参阅恢复 Azure CSP 的管理员特权

删除 DAP 后,合作伙伴如何恢复对 Azure 订阅的所有权访问权限?

如需了解如何恢复对客户 Azure CSP 订阅的管理员权限,请查看恢复客户的 Azure CSP 订阅的管理员权限

DAP 监视 UX 是否包括间接提供商的所有客户以及经由间接经销商的客户?

是的,他们将获取其所有客户及其间接经销商的客户。

在 DAP 被删除后,合作伙伴的能力是否受到影响?

某些能力具有以下要求:委派的管理特权是可接受的合作伙伴-客户关联类型。 删除 DAP 可能会影响合作伙伴满足某些能力要求的能力。

是否会禁用 DAP 或转换为 GDAP 影响能力?

禁用 DAP 可能会影响你的能力。 在合作伙伴中心,可以查看 其他合作伙伴关联类型 有资格使用客户每月活动使用情况, (MAU) 进行性能阈值计算。 还可查看你当前有效的能力

删除 DAP/GDAP 时,PEC 是否会受到影响?

  • 如果合作伙伴客户只有 DAP 且 DAP 被删除,那么 PEC 不会丢失
  • 如果合作伙伴客户具有 DAP,同时对 Office 和 Azure 迁移到 GDAP,并且 DAP 被删除,那么 PEC 不会丢失
  • 如果合作伙伴客户具有 DAP,并且他们迁移到 GDAP 进行Office但保留 Azure 原样 (他们不会移动到 GDAP) 并且 DAP 被删除,PEC 不会丢失,但 Azure 订阅访问权限将丢失
  • 如果删除 RBAC 角色,PEC 将丢失;请注意,删除 GDAP 不会删除 RBAC

间接提供商是否可以按 DAP 报告中的间接经销商筛选客户?

DAP 报告中当前不支持此类筛选。 我们正在评估在将来的版本中增加此功能。

何时可以提供用于 DAP 监视和自助删除的 API?

预计将在 2022 年第 1 季度提供这种 API。