监视管理关系和自助 DAP 删除

相应的角色：管理员代理 | 支持人员代理

概述

委派管理特权 (DAP) 提供代表客户管理其服务或订阅的功能。客户必须授予合作伙伴对该服务的管理权限。

若要从客户获得委派的管理员权限，合作伙伴会向客户发送一封电子邮件，以请求与客户建立经销商关系。客户批准请求后，合作伙伴的管理员代理或支持人员代理可以登录到服务的管理门户，并代表客户管理服务。例如，使用支持人员代理特权，合作伙伴可以为客户提供支持；使用管理员代理特权，合作伙伴可以代表客户执行工作。

合作伙伴的管理员代理可以与客户审核 DAP。 DAP 监视工具将捕获合作伙伴代理如何通过 DAP 跨所有客户租户访问客户租户。然后，合作伙伴可以查看和删除空闲的 DAP 连接。这种自助删除功能让合作伙伴能够降低风险。

直接账单合作伙伴、间接提供商和间接经销商会受到此更改的影响。

重要

DAP 使合作伙伴能够通过以下方式访问客户租户：

DAP 监视数据从 2021 年 12 月 7 日开始捕获。监视管理关系仅显示从 12 月 7 日开始的客户租户中的跨租户登录活动（代理，简称 AOBO）。 12 月 7 日之前的登录操作不会显示在管理关系仪表板上。

为提高安全性，Microsoft 建议合作伙伴删除不再使用或处于非活动状态超过 60 天的委派管理特权。

客户可以在 Microsoft 管理中心中管理自己的 DAP 特权。有关详细信息，请参阅客户可以管理合作伙伴的管理特权。

禁用客户的 DAP 访问权限会同时关闭管理员代理功能和支持人员代理特权。

禁用 DAP 访问不会阻止合作伙伴赚取的返点 (PEC) 的累积，因为累积是基于对订阅的基于角色的访问控制 (RBAC) 角色。禁用 DAP 将不允许合作伙伴从合作伙伴中心管理其客户租户。
禁用 DAP 访问将阻止合作伙伴代表其客户创建服务请求。如果合作伙伴需要创建服务请求，他们将需要再次向客户请求 DAP 访问权限。

有关删除 DAP 造成的后果的更多信息，请参阅 DAP 常见问题。

注意

集成沙盒租户可以禁用 DAP，但无法请求与测试客户建立经销商关系以重新启用 DAP。

登录活动是通过跨租户登录任何工作负载访问客户租户的任何合作伙伴代理。访问合作伙伴门户的合作伙伴、以 AOBO 方式登录客户租户的合作伙伴，或者是访问 API 和交换令牌来访问客户租户的合作伙伴都将被视为活动的 DAP。

活动关系的衡量方法是在过去 60 天内访问特定客户租户的任何合作伙伴代理对任何工作负载的任何跨租户登录活动。

如果访问某个客户租户的任何合作伙伴代理超过 60 天没有进行任何工作负载的跨租户登录活动，则客户关系被归类为“不活动”。如果客户关系处于非活动状态超过 60 天，合作伙伴会在仪表板上看到删除 DAP 的建议。

在合作伙伴中心门户上的安全中心中，你可以监视跨租户登录活动以获得管理特权，如果 DAP 处于非活动状态，则可以将其删除。安全中心还提供其他功能，这些功能对于确保更安全的合作伙伴/客户生态系统至关重要，包括：

筛选条件	说明
超过 90 天不活动	显示 DAP 关系处于非活动状态超过 90 天的客户数量。如果超过 90 天不活动，建议合作伙伴移除 DAP。
处于非活动状态达 60 到 90 天	显示 DAP 关系在 60 到 90 天之间处于非活动状态的客户数量。如果超过 60 天不活动，建议合作伙伴移除 DAP。
处于非活动状态达 30 到 60 天	显示 DAP 关系在 30 到 60 天之间处于非活动状态的客户数量。
在过去七天内建立	显示过去 7 天内建立 DAP 关系的客户数量。

字段名称	说明
错误。已登录的合作伙伴代理数量	过去一天内登录了客户租户的唯一合作伙伴代理的数量。
否。合作伙伴代理登录次数	合作伙伴代理在过去一天内登录客户租户的次数。
已启用天数	合作伙伴与客户之间建立 DAP 关系距今的天数。如果超过 60 天，则会显示为 60+，否则你将看到一个绝对数字。
不活动天数	合作伙伴与客户之间 DAP 关系变为不活动状态距今的天数。如果超过 60 天，则显示的值为 60+，否则会显示确切数字。由于数据仅适用于 2021 年 12 月 7 日以来的跨租户活动，因此如果没有活动，此属性可能为空。
建议	如果合作伙伴代理在过去 60 天内未登录任何客户的工作负载，则系统会建议禁用 DAP。