適切な役割: 管理エージェント
この記事では、クラウド ソリューション プロバイダー (CSP) パートナーがさまざまなロールベースのアクセス制御 (RBAC) オプションを使用して、顧客の Azure リソースの運用制御と管理を取得する方法について説明します。
顧客を Azure プランに移行すると、Azure の特権管理者権限 (既定では代理管理者 (AOBO) によるサブスクリプション所有者権限) が割り当てられます。
メモ
お客様は、サブスクリプション、リソース グループ、ワークロードのいずれかのレベルで管理者権限を削除できます。
CSP で顧客の Azure リソースを管理するために、パートナーはロールベースのアクセス制御 (RBAC) を使用できます。 この機能を使用すると、運用管理を維持し、管理タスクを継続的に監視できます。
代理管理者 - AOBOを利用すると、パートナー テナントの管理者エージェントロールを持つユーザーは、CSP プログラムを通じて作成した Azure サブスクリプションに対して、RBAC の所有者権限を持つことができます。
Azure Lighthouse: AOBO には、異なる顧客と連携する個別のグループを作成したり、グループまたはユーザーに対して異なるロールを有効にしたりする柔軟性はありません。 ただし、Azure Lighthouse を使用すると、異なる顧客またはロールに異なるグループを割り当てることができます。 ユーザーは Azure の委任されたリソース管理を通じて適切なレベルのアクセス権を持っているため、管理者エージェント ロールを持つ (したがって、完全な AOBO アクセス権を持つ) ユーザーの数を減らすことができます。 これにより、顧客のリソースへの不要なアクセスを制限することで、セキュリティを向上させることができます。 また、大規模な複数の顧客をより柔軟に管理できます。 詳細については、Azure Lighthouse と Cloud Solution Provider プログラムを参照してください。
ディレクトリ ユーザーまたはゲスト ユーザーまたはサービス プリンシパル: 顧客ディレクトリにユーザーを追加するか、ゲスト ユーザーを追加して特定の RBAC ロールを割り当てることで、CSP サブスクリプションへの詳細なアクセスを委任できます。
セキュリティプラクティスとして、Microsoft では、作業に必要な最小限のアクセス許可をユーザーに割り当てることをお勧めします。 詳細については、「Microsoft Entra Privileged Identity Management リソース」を参照してください。
PartnerID を資格情報にリンクして、顧客の Azure リソースを管理する
次の表に、PartnerID (旧称 MPN ID) をさまざまな RBAC アクセス オプションに関連付けるために使用する方法を示します。
| カテゴリ | シナリオ | PartnerID の関連付け |
|---|---|---|
| AOBO(アオボ) | CSP 直接パートナーまたは間接プロバイダーは、顧客のサブスクリプションを作成し、CSP 直接パートナーまたは間接プロバイダーを AOBO を使用してサブスクリプションの既定の所有者にします。 CSP 直接パートナーまたは間接プロバイダーは、AOBO を使用して間接リセラーにサブスクリプションへのアクセス権を付与します。 | 自動 (パートナーの作業は不要) |
| Azure Lighthouse | パートナーは、 Microsoft Marketplace で新しいマネージド サービス オファーを作成します。 オファーは CSP サブスクリプションで受け入れられ、パートナーは CSP サブスクリプションにアクセスできます。 | 自動 (パートナーの作業は不要) |
| Azure Lighthouse | パートナーが Azure サブスクリプションに Azure Resource Manager (ARM) テンプレートをデプロイする。 | パートナーは、PartnerID をパートナー テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「 PartnerID をリンクして、委任されたリソースへの影響を追跡する」を参照してください。 |
| ディレクトリまたはゲスト ユーザー | パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成し、ユーザーに CSP サブスクリプションへのアクセス権を付与します。 パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成します。 パートナーは、グループにユーザーを追加し、グループへの CSP サブスクリプションへのアクセス権を付与します。 | パートナーは、PartnerID を顧客テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「顧客管理に使用するアカウントにPartnerIDをリンクするリンク」を参照してください。 |
管理者アクセス権を持っていることを確認する
顧客のサービスを管理し、獲得クレジットを受け取るために管理者アクセス権が必要です。 獲得クレジットの詳細については、パートナー獲得クレジットを参照してください。
管理者アクセス権があるかどうかを判断するには、次の手順に従います。
- 毎日の使用状況ファイルを確認します: 1 日の使用状況ファイルの単価と有効単価を確認し、割引が適用されているかどうかを確認します。 割引を受け取っている場合は、管理者になります。
Azure Monitor のアラートを作成する
アクティビティ ログ Azure Monitor アラート を作成して、CSP サブスクリプションから自分の RBAC アクセスが削除された場合に通知を受け取ることができます。
Azure Monitor アラートを作成するには、次の手順に従います。
アラートを作成する。
アラートを実行するアクションの種類を選択します。
たとえば、電子メールが必要であることを指定した場合、ロールの割り当ての削除が発生した場合に通知する電子メールが届きます。
Azure ポータルでアラートを構成する際のスクリーンショット。AOBO アクセスの削除
お客様は、Azure portal で Access Control にアクセスすることで、サブスクリプションへのアクセスを管理できます。 ロールの割り当て タブから、アクセス権の削除を選ぶことができます。
顧客がお客様のアクセス権を削除した場合は、次のことができます。
顧客と話し、管理者アクセス権を回復できるかどうかを確認します。
ロールベースのアクセス制御 (RBAC) を介して付与されたアクセス権を使用します。
Azure Lighthouse を介して付与されたアクセス権を使用します。
ロールベースのアクセス権は、管理者アクセス権とは異なります。 ロールでは、できることと実行できないことが明確に分かれています。 管理者アクセス権の方が広範囲です。
Azure プランを中断して再アクティブ化する
パートナーは、Azure プランの詳細ページからパートナー センターで直接 Azure プランを中断または再アクティブ化できます。
- パートナー センターの [顧客] で、顧客アカウントを選択します
- 顧客の [Azure サブスクリプション] に移動します
- Azure プランを選択する
- [状態: Suspended を選択し、 Submit を選択して Azure プランを中断します。
- 状態: Active を選択し、 Submit を選択して Azure プランを再アクティブ化します。
既存の Azure プランに関連付けられているアクティブな使用状況資産 (Azure 使用状況サブスクリプションや Azure 予約など) がなくなった場合にのみ、中断できます。
パートナーは、特定のリセラーと顧客の組み合わせごとに 1 つの Azure プランのみを購入できます。 リセラーの顧客が中断されたプランを持っている場合、その顧客は新しいプランを購入できません。 Azure プランでは取り消しを使用できません。
API による Azure プランの一時停止については、「サブスクリプションの一時停止 - パートナー アプリ開発者」を参照してください。
API による Azure プランの再アクティブ化については、「一時停止されたサブスクリプションの再アクティブ化 - パートナー アプリ開発者」を参照してください。
Azure サブスクリプションを取り消す
顧客の Azure プラン サブスクリプションが侵害された場合、パートナーはパートナー センターから Azure サブスクリプションを取り消すことができます。 Azure サブスクリプションを取り消すには、パートナーにグローバル管理者特権と管理者エージェント ロールが必要です。 取り消すには:
- 顧客リストから Customer を選択します
- 顧客の [Azure サブスクリプション] に移動します
- サブスクリプションが含まれているAzure プランを選択します。
- Azure プランの詳細ページで、キャンセルする Azure サブスクリプションを選択します
- サブスクリプションをキャンセルして変更を送信する
このプロセスでは、選択した Azure サブスクリプションのみが取り消されます。 Azure サブスクリプションにアクセスできるお客様は、Azure プランがまだアクティブな場合、サブスクリプションを再アクティブ化できます。 再アクティブ化を停止するには、パートナーはすべての Azure サブスクリプションを取り消してから、Azure プラン自体を取り消す必要があります。
パートナーはサブスクリプションを複数選択できますが、一度に 10 個を超えるサブスクリプションを取り消すことはできません。 パートナーは、アクティブな Azure サブスクリプションがない場合に Azure プランを取り消すことができます。 このプロセスにより、パートナーは、不適切なアクターが RBAC アクセス許可を削除した場合でも、侵害される可能性のある Azure プランとサブスクリプションをシャットダウンできます。
パートナーは、パートナー センター ポータルまたは API を使用して、Azure サブスクリプションを取り消すことができます。 API の詳細については、「Azure サブスクリプションの取り消し」を参照し、実際に試す場合は、「Azure の支出 - Azure エンタイトルメントの取り消し - REST API」を参照してください。
Azure サブスクリプションの取り消しの詳細については、「サブスクリプションの取り消し後はどうなるか」を参照してください
Azure サブスクリプションを再アクティブ化する
パートナーは、[非アクティブな Azure サブスクリプション] タブを使用して、Azure プランの詳細ページから、顧客の侵害により取り消された Azure サブスクリプションを再アクティブ化できます。Azure サブスクリプションを再アクティブ化するには、パートナーにグローバル管理者特権と管理者エージェント ロールが必要です。 再アクティブ化するには:
- 顧客リストから Customer を選択します
- 顧客の [Azure サブスクリプション] に移動します
- サブスクリプションが含まれているAzure プランを選択します。
- Azure プランの詳細ページの Azure サブスクリプション セクションで、 Inactive タブを選択します。
- 再アクティブ化する Azure サブスクリプションを選択する
- [サブスクリプションの再アクティブ化] を選択して変更を送信
選択した Azure サブスクリプションのみが再アクティブ化されます。 パートナーはサブスクリプションを複数選択できますが、一度に 10 個を超えるサブスクリプションを再アクティブ化することはできません。 Azure サブスクリプションを再アクティブ化するには、関連付けられている Azure プランがアクティブである必要があります。 Azure プランを再アクティブ化するには、まずパートナー センターの Azure プランの詳細ページに移動します。 次に、プランの状態をアクティブに戻します。
サブスクリプションを再アクティブ化するには、Azure portal でサブスクリプションを取り消した顧客または課金所有者に問い合わせてください。 サインインして再アクティブ化プロセスを完了する必要があります。
API による再アクティブ化については、「Azure サブスクリプションの再アクティブ化 - パートナー アプリ開発者」を参照してください。 実際に試す場合は、「Azure の支出 - Azure エンタイトルメントの再アクティブ化」を参照してください。
Azure サブスクリプションの再アクティブ化の詳細については、「Azure のドキュメント」を参照してください。