代理管理特権 (DAP) に関する FAQ
対象ロール: 管理エージェント | ヘルプデスク エージェント
委任された管理特権 (DAP) を使用すると、パートナーは顧客の代わりに顧客のサービスまたはサブスクリプションを管理できます。
顧客は、パートナーが委任された管理特権を使用する前に、パートナーにアクセス許可を付与する必要があります。
顧客から委任された管理者アクセス許可を取得するには、 顧客とのリセラー関係を要求する電子メールを送信。
顧客が要求を承認すると、パートナーの管理エージェントまたはヘルプデスク エージェントは、サービスの管理ポータルにサインインし、顧客に代わってサービスを管理できます。 たとえば、パートナーは次のことができます。
- ヘルプデスク エージェント特権を使用して、顧客のサポートを提供します。
- 管理者エージェント特権を使用して、顧客に代わって作業を実行します。
DAP 監視ツール
DAP 監視ツールでは、パートナー エージェントが DAP を介してすべての顧客テナントの顧客テナントにアクセスする方法をキャプチャします。
パートナーの管理者エージェントは、DAP 監視ツールを使用して、顧客と共に DAP を監査できます。 その後、パートナーは使用状況データを確認し、使用されていない DAP 接続を削除できます。 このセルフサービスの削除機能は、アクセスを制御することでセキュリティを向上するのに役立ちます。
DAP の削除: 結果
DAP が削除され、GDAP が有効になっていないと、パートナーはどのような機能を失いますか?
顧客の DAP アクセスを無効にする:
顧客テナントの機能を管理するための特権を終了します。
- 管理機能を再び有効にするには、DAP を再び有効にする必要があります。
顧客のサポート要求を作成する機能を終了します。
- 顧客のサポート チケットを作成する機能を再び有効にするには、DAP を再度有効にする必要があります。
次の方法で Microsoft 365 サブスクリプションに影響します。
DAPが前提条件であるため、サブスクリプションをアップグレードできません。
プロビジョニングには DAP が必要であるためサブスクリプションのプロビジョニング状態をできません。
Microsoft 365 サブスクリプション機能を再び有効にするには、顧客テナントで DAP を再び有効にする必要があります。
次の方法で Azure サブスクリプションに影響します。
パートナーは、パートナー センターを通じて Azure サブスクリプションを管理する機能を失います (ただし、Azure サブスクリプションは Microsoft Azure から管理できます)。
パートナー管理者は、 DAP の削除後にプロビジョニングされた Azure サブスクリプションの所有者を表示したり、所有者を復元したりすることはできません。
- ただし、顧客のグローバル管理者は、すべての Azure サブスクリプションで所有者アクセスを再開し、顧客テナント内の他のエージェントにロールを割り当てることができます。 詳細については、「Azure CSP の管理者特権を復元する」を参照してください。
Azure サブスクリプション機能を再び有効にするには、顧客テナントで DAP を再び有効にする必要があります。
から受信した応答に影響します。ID API 呼び出しによって顧客を取得します。
パートナーが顧客テナントに対する DAP アクセス権を持っていない場合、Get Customer ID API 呼び出しは次の属性を返しません。
- CompanyProfileAddress
- CompanyProfileEmail
- CustomDomains
既存の新しいコマース Azure サブスクリプションで RBAC が削除されると、パートナー獲得クレジット (PEC) の獲得を停止します。
既存の新しいコマース Azure サブスクリプションの PEC には影響しません。
(詳細については、 を参照してください。パートナー獲得クレジットと DAP セクション)。
DAP アクティビティの監視
DAP 監視 (管理リレーションシップ ダッシュボード) とは
パートナー センターでは、パートナーは、アクティブなすべての委任された管理特権接続を識別して表示し、組織が非アクティブな DAP 接続を検出するのに役立つレポート ツールにアクセスできます。 このレポートでは、パートナー エージェントがこれらの特権を使用して顧客テナントにアクセスする方法をキャプチャし、パートナーが使用中ではない接続を削除できるようにします。 セキュリティを強化するために、使用されなくなった DAP 接続をパートナーが削除することをお勧めします。
詳細については、「管理関係の監視とセルフサービス DAP の削除」を参照してください。
DAP 監視データはどのくらいの頻度で更新されますか?
データは、顧客テナントへのクロステナント (AOBO) サインインのために毎日更新されます。
DAP 監視データは、2021 年 12 月 7 日から入手できます。
DAP 監視ツールには、間接リセラーを通じて顧客と共に間接プロバイダーのすべての顧客が含まれていますか?
はい。 すべての顧客と間接リセラーの顧客を取得します。
DAP 監視とセルフサービス削除用の API は、いつ使用できるようになりますか?
API は 2022 年第 1 四半期には使用できるようになる予定です。
レポート: DAP アクティビティ
DAP アクティビティ レポート (管理リレーションシップ ダッシュボード) を確認できるのは誰ですか?
パートナーは、Defender for Cloud > 管理リレーションシップAccount 設定> DAP アクティビティ レポート/管理リレーションシップ ダッシュボードを表示できます。
DAP アクティビティ レポートは、パートナー センターで、直接請求パートナー、間接プロバイダー、間接リセラーなど、クラウド ソリューション プロバイダー プログラムのパートナーに提供されます。
Admin エージェントのパートナー センター ロールを持つユーザーはDAP アクティビティ レポートにアクセスできます。
DAP レポートにパートナーが表示できるサインイン アクティビティの日数はどれくらいですか?
パートナーは、2021 年 12 月 7 日以降、すべての顧客のデータを確認できます。 2021 年 12 月 7 日以降、顧客テナントのパートナー ユーザーによる DAP アクティビティがある場合、 Days Inactive はその値を表示するか、空白になります。 ただし、 Days Inactive が 90 日を超える場合は、"90+" と表示されます (つまり、パートナーは 90 日を超える間、顧客テナントにログインしていません)。
Microsoft Entra ID P2 のサブスクリプションを持つパートナーは、Microsoft Entra ID で サインイン ログ 最大 30 日間表示することもできます。
次の属性は、過去 1 日間のカウントを表示します。
- エージェントのサインインの数
- パートナー エージェントがサインインした回数
Note
MICROSOFT では、
使用されなくなった、または 90 日を超える非アクティブな DAP リレーションシップに対して、パートナーは何を行う必要がありますか?
セキュリティを強化するために、パートナーは、使用されなくなった、または 90 日以上非アクティブになっている委任された管理特権を削除することをお勧めします。 DAP レポートとセルフサービス削除の使用に関するガイダンスについては、「 管理関係の監視とセルフサービス DAP の削除を参照してください。
レポート: ユーザーのフィルター処理
間接プロバイダーは、DAP レポートで間接リセラーによって顧客をフィルター処理できますか?
いいえ。 このようなフィルター処理は DAP レポートでは使用できませんが、今後のリリースでその機能を追加するかどうかを評価しています。
Azure と DAP
パートナーは、DAP を削除した後に新しい最新の Azure プランを購入できますか?
はい。 パートナーは、最新の Azure プランを引き続き処理できます。 DAP は取引を行う必要はありません。
DAP が削除された後、パートナーは新しいコマース Azure プランとサブスクリプションに対する所有者の権利をどのように回復できますか?
所有者の権利を回復するには、パートナーが新しい DAP 関係を要求する必要があります。 ただし、顧客のグローバル管理者は、すべての Azure サブスクリプションの所有者アクセスを再開し、顧客テナント内の他のエージェントにロールを割り当てることができます。 詳細については、「Azure CSP の管理者特権を復元する」を参照してください。
パートナー獲得クレジットと DAP
パートナー獲得クレジットの詳細については、「 パートナー獲得クレジット: CSP の新しいコマース エクスペリエンスでの動作の概要を参照してください。
パートナーは、DAP が削除された後に追加された新しい Azure サブスクリプションで PEC を引き続き獲得しますか?
はい。 パートナーは、DAP が削除された後も追加された新しい Azure サブスクリプションで PEC を引き続き獲得します。
DAP または GDAP が削除されたときに PEC は影響を受けますか?
- パートナーのお客様が DAP のみを持っていて、DAP が削除された場合、PEC は失われません。
- パートナーのお客様が DAP を持っていて、Office と Azure の GDAP に同時に移行し、DAP が削除された場合、PEC は失われません。
- パートナーのお客様が DAP を持っていて、GDAP for Office に移行しても、Azure をそのまま保持している (つまり、GDAP に移行しない) 場合、DAP は削除されますが、PEC は失われませんが、Azure サブスクリプションへのアクセスは失われます
- RBAC ロールが削除されると、PEC は失われます。 (GDAP を削除しても RBAC は削除されません)。
コンピテンシーと DAP
Microsoft コンピテンシーの詳細については、「 Microsoft コンピテンシーを取得してビジネスを認証するを参照してください。
DAP を無効にするか、GDAP に移行すると、レガシ コンピテンシーの特典またはソリューション パートナーの指定に影響しますか?
DAP と GDAP は、ソリューション パートナーの指定の対象となる関連付けの種類ではなく、DAP から GDAP への無効化または移行は、ソリューション パートナーの指定の達成には影響しません。 レガシ コンピテンシー特典またはソリューション パートナー特典の更新も影響を受けなくなります。
パートナー センター ソリューション パートナーの指定に移動して、ソリューション パートナーの指定の対象となるその他のパートナー関連付けの種類を確認します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示