Azure Lighthouse と Cloud Solution Provider プログラム

CSP (クラウド ソリューション プロバイダー) パートナーである場合、CSP プログラムを通じて顧客用に作成された Azure サブスクリプションには、代理で管理 (AOBO) 機能を使用してあらかじめアクセスできるようになっています。 このアクセスにより、顧客のサブスクリプションを直接サポートし、構成し、管理することができます。

Azure Lighthouse では、Azure の委任されたリソース管理と AOBO を併用できます。 より粒度の細かいアクセス許可をユーザーに使用できるようになるため、セキュリティが向上すると共に、不要なアクセスを減らすことにつながります。 また、ユーザーは、テナントに対する 1 つのログインを使用して、複数の顧客サブスクリプションにまたがって作業できるため、効率とスケーラビリティも向上します。

ヒント

顧客のリソースを効果的に保護するため、Microsoft の推奨セキュリティ プラクティスパートナーのセキュリティ要件を確認し、それらに従うようにしてください。

代理で管理 (AOBO)

AOBO を使用すると、テナント内の管理エージェント ロールを持つすべてのユーザーが、CSP プログラムを通じて貴社が作成した Azure サブスクリプションへの AOBO アクセス権を持つことになります。 顧客のサブスクリプションにアクセスする必要のあるすべてのユーザーは、このグループのメンバーである必要があります。 AOBO では、異なる顧客と共同作業を行う別々のグループを柔軟に作成したり、グループやユーザーに対して個別のロールを有効にしたりすることはできません。

Diagram showing tenant management using AOBO.

Azure Lighthouse

Azure Lighthouse を使用すると、次の図に示すように、さまざまなグループをさまざまな顧客またはロールに割り当てることができます。 ユーザーは Azure の委任されたリソース管理によって適切なレベルのアクセス権を持つことになるため、管理エージェント ロールを持つ (つまり、完全な AOBO アクセス権を持つ) ユーザーの数を減らすことができます。

Diagram showing tenant management using AOBO and Azure Lighthouse.

Azure Lighthouse を使用すると、顧客のリソースへの不要なアクセスが制限されるので、セキュリティの強化につながります。 また、必要以上のアクセス権をユーザーに付与することなく、各ユーザーの職務に最も適した Azure 組み込みロールを使用して、大規模な多数の顧客を柔軟に管理できます。

永続的な割り当ての数をさらに最小限に抑えるために、適格な承認を作成 (現在パブリック プレビューの段階です) して、Just-In-Time ベースでユーザーに追加のアクセス許可を付与できます。

CSP プログラムを使用して作成したサブスクリプションをオンボードするには、Azure Lighthouse へのサブスクリプションのオンボードに関する記事で説明されている手順に従ってください。 お客様のテナント内に管理エージェント ロールを持つすべてのユーザーが、このオンボードを実行できます。

ヒント

プライベート プランを含むマネージド サービス オファーは、クラウド ソリューション プロバイダー (CSP) プログラムのリセラーを通じて確立されたサブスクリプションではサポートされません。 代わりに、Azure Resource Manager テンプレートを使用することで、これらのサブスクリプションを Azure Lighthouse にオンボードできます。

Note

Azure portal の [マイ カスタマー] ページに、 [クラウド ソリューション プロバイダー (プレビュー)] セクションが含まれるようになり、Microsoft 顧客契約 (MCA) に署名し、Azure プランに含まれている CSP のお客様の課金情報とリソースが表示されます。 詳しくは、「Microsoft Partner Agreement の課金アカウントの概要」をご覧ください。

CSP のお客様は、Azure Lighthouse にもオンボードされているかどうかにかかわらず、このセクションに表示されることがあります。 オンボードされている場合は、「顧客と委任されたリソースを表示し、管理する」に説明されているように、 [顧客] セクションにも表示されます。 同様に、CSP 顧客は、Azure Lighthouse にオンボードするために、 [マイ カスタマー][クラウド ソリューション プロバイダー (プレビュー)] セクションに表示される必要はありません。

次のステップ