Azure Marketplace のマネージド サービス オファーのプランを作成する

  • [アーティクル]

Microsoft コマーシャル マーケットプレースを通じて販売されるマネージド サービス オファーには、少なくとも 1 つのプランが必要です。 同じオファー内でさまざまなオプションを使用して、さまざまなプランを作成できます。 これらのプラン (SKU とも呼ばれる) は、サービスのバージョン、収益化、またはレベルの点で異なる可能性があります。 プランの詳細なガイダンスについては、「コマーシャル マーケットプレースのオファーのプランと価格」を参照してください。

プランの作成

  1. パートナー センターのオファーの [プランの概要] タブで、[+ 新しいプランの作成] を選択します。
  2. 表示されるダイアログ ボックスの [プラン ID] で、一意のプラン ID を入力します。 最大 50 文字の英小文字、ダッシュ、アンダースコアのみを使用してください。 [作成] を選択した後でプラン ID を変更することはできません。 この ID は顧客に表示されます。
  3. [プラン名] ボックスに、このプランの一意の名前を入力します。 最大 200 文字を使用します。 この名前は顧客に表示されます。
  4. [作成] を選択します

プランのリストを定義する

[プランのリスト] タブで、コマーシャル マーケットプレースに表示するプランの名前と説明を定義します。

  1. [プラン名] ボックスには、前に指定したこのプランの名前が表示されます。 これはいつでも変更できます。 この名前は、オファーのプランのタイトルとしてコマーシャル マーケットプレースに表示されます。
  2. [プランの 概要 ] ボックスに、マーケットプレースの検索結果で使用できるプランの簡単な説明を入力します。
  3. [プランの説明] ボックスで、オファーの他のプランとは異なるこのプランの特長を説明します。
  4. [下書きの保存] を選択してから、次のタブに進みます。

価格と提供状況の定義

マネージド サービス プランで使用できる唯一の価格モデルは、ライセンス持ち込み (BYOL) です。 つまり、このオファーに関連するコストに対して顧客に直接請求し、Microsoft は料金を請求しません。

各プランは、すべてのユーザーに (パブリック)、または特定の対象ユーザーにのみ (プライベート) 表示されるように構成できます。

Note

プライベート プランは、クラウド ソリューション プロバイダー (CSP) プログラムのリセラーを通じて確立されたサブスクリプションではサポートされていません。

重要

プランをパブリックとして公開した後でプライベートに変更することはできません。 どの顧客がプランを受け入れて、リソースを委任できるようにするかを制御するには、プライベート プランを使用します。 パブリック プランの場合、対象範囲を特定の顧客に制限したり、対象となる顧客数を限定したりできません (ただし、必要に応じてプランの販売を完全に中止することはできます)。 オファーを発行し、カスタマーがそれを受け入れた後に委任へのアクセス権を削除できるのは、そのロールの定義セットに「管理されたサービスの登録割り当て削除ロール」の承認を含めた場合に限ります。 また、顧客に連絡して、アクセスを削除するよう依頼することもできます。

プランをパブリックにする

  1. [Plan visibility]\(プランの可視性\) で、[パブリック] を選択します。
  2. [Save draft (ドラフトを保存)] を選択します。 [プランの概要] タブに戻るには、左上の [プランの概要] を選択します。
  3. このオファーの別のプランを作成するには、[プランの概要] タブの [+ 新しいプランの作成] を選択します。

プランをプライベートにする

Azure サブスクリプション ID を使用して、プライベート プランへのアクセスを許可します。 手動の場合は最大 10 個のサブスクリプション、または CSV ファイルを使用する場合は最大 1 万のサブスクリプション ID を追加できます。

最大 10 個のサブスクリプション ID を手動で追加するには、次の手順に従います。

  1. [Plan visibility]\(プランの可視性\) で、[プライベート] を選択します。
  2. アクセスを許可する対象ユーザーの Azure サブスクリプション ID を入力します。
  3. 必要に応じて、[説明] ボックスに、この対象ユーザーの説明を入力します。
  4. 別の ID を追加するには、[Add ID (Max 10)]\(ID の追加 (最大 10 個)\) を選択します。
  5. ID の追加が完了したら、[下書きを保存] を選択します

.CSV ファイルを使用して、最大 10,000 個のサブスクリプション ID を追加するには、次の手順に従います。

  1. [Plan visibility]\(プランの可視性\) で、[プライベート] を選択します。
  2. [対象者のエクスポート (csv)] リンクを選択します。 これにより、.CSV ファイルがダウンロードされます。
  3. .CSV ファイルを開きます。 [Id] 列に、アクセスを許可する Azure サブスクリプション ID を入力します。
  4. [説明] 列に、各エントリの説明を追加することもできます。
  5. [タイプ] 列で、ID を含む各行に SubscriptionId を追加します。
  6. ファイルを .CSV ファイルとして保存します。
  7. パートナー センターで、[対象者のインポート (csv)] リンクを選択します。
  8. [確認] ダイアログ ボックスで [はい] を選択し、.CSV ファイルをアップロードします。
  9. [Save draft (ドラフトを保存)] を選択します。

技術的な構成

このセクションでは、Microsoft Entra ユーザー アカウントの認証情報を含むマニフェストを作成します。 この情報は、Azure Lighthouse を通じてお客様のリソースにアクセスできるようにするために必要です。

Azure Lighthouse のシナリオにおけるテナント、ロール、ユーザー」を見直して、サポートされているロールと、承認を定義する際のベスト プラクティスを確認してください。

Note

[承認] エントリのユーザーとロールは、プランをアクティブにしたすべての顧客に適用されます。 特定の顧客にアクセスを制限する場合は、専用のプライベート プランを発行する必要があります。

マニフェスト

  1. [マニフェスト] で、マニフェストのバージョンを指定します。 n.n.n という形式を使用します (たとえば、1.2.5)。
  2. テナント ID を入力します。 これは、組織の Microsoft Entra テナント ID に関連付けられている GUID です。つまり、顧客のリソースにアクセスする管理テナントです。 これが手元にない場合は、Azure portal の右上にあるお客様のアカウント名をポイントするか、[ディレクトリの切り替え] を選択することで確認できます。

オファーの新しいバージョンを発行し、更新されたマニフェストを作成する必要がある場合は、[+ 新しいマニフェスト] を選択します。 必ず、バージョン番号を以前のマニフェスト バージョンから増加してください。

[Authorizations]

承認では、プランを購入した顧客のリソースとサブスクリプションにアクセスできる管理テナント内のエンティティを定義します。 これらの各エンティティには、特定のレベルのアクセス権を付与する組み込みロールが割り当てられます。

最大 20 個のアクティブ な承認と最大 20 個の適格な 承認が許可されます。

ヒント

ほとんどの場合、一連の個々のユーザー アカウントではなく、Microsoft Entra ユーザー グループまたはサービス プリンシパルにロールを割り当てる必要があります。 これにより、実際のアクセス要件が変更されたときに、プランを更新して再発行することなく、個々のユーザーのアクセス権を追加または削除できます。 Microsoft Entra グループにロールを割り当てる場合、グループの 種類 は Office 365 ではなくセキュリティにする必要があります。 その他の推奨事項については、「Azure Lighthouse のシナリオにおけるテナント、ロール、ユーザー」をご覧ください。

認可ごとに、次の情報を指定する必要があります。 [+ Add authorization]\(+ 認可の追加\) を必要に応じて選択し、ユーザーやロールの定義を追加します。

  • [表示名]: 顧客がこの認可の目的を理解するのに役立つフレンドリ名。 この名前は、顧客がリソースを委任するときに表示されます。

  • プリンシパル ID: 顧客のリソースに対する特定のアクセス許可 (指定したロール定義) が付与されるユーザー、ユーザー グループ、またはサービス プリンシパルの Microsoft Entra 識別子。

  • アクセスの種類:

    • [アクティブ] な認可の場合、常にそのロールに権限が割り当てられます。 各プランには、少なくとも 1 つのアクティブな認可が必要です。
    • [適格] な認可には時間制限があり、ユーザーによるアクティブ化が必要です。 [適格] を選択した場合は、アクティブ化された後にその適格なロールをユーザーが利用できる合計時間を定義する、最長期間を選択する必要があります。 最小値は 30 分、最大値は 8 時間です。 また、ロールのアクティブ化に多要素認証を要求するかどうかも選択できます。 この機能には、特定のライセンス要件があります。 詳細については、「適格認可を作成する」を参照してください。

  • ロール: 一覧から使用可能な Microsoft Entra 組み込みロールのいずれかを選択します。 このロールにより、[プリンシパル ID] フィールドのユーザーに与えられる、顧客のリソースに対するアクセス許可が決まります。 これらのロールについては、組み込みロールに関する記事と、「Azure Lighthouse 用のロールのサポート」をご覧ください。

    Note

    該当する新しい組み込みロールが Azure に追加されると、ここで使用できるようになりますが、表示されるまでに多少の遅延が生じる可能性があります。

  • 割り当て可能なロール: このオプションは、この承認のロール定義でユーザー アクセス 管理istrator を選択した場合にのみ表示されます。 その場合、割り当て可能なロールをここで 1 つ以上追加する必要があります。 Microsoft Entra オブジェクト ID フィールドのユーザーは、これらのロールをマネージド ID割り当てることができます。これは、修復可能なポリシーを展開するために必要です。 ユーザー アクセス管理者ロールに通常関連付けられている他のアクセス許可は、このユーザーに適用されません。

  • [承認者]:このオプションは、[アクセスの種類][適格] に設定されている場合にのみ表示されます。 その場合は、あるユーザーからの要求を認可または拒否してその適格なロールをアクティブ化できる、最大で 10 人のユーザーのリストかユーザー グループを指定することもできます。 認可が要求され、許可されると、承認者に通知されます。 何も指定しない場合、認可は自動的にアクティブになります。

ヒント

必要に応じて委任へのアクセス権を削除できるようにするには、 そのロールの定義セットに、 「管理されたサービスの登録割り当て削除ロール」承認を含めます。 このロールが割り当てられていない場合、委任されたリソースは、顧客のテナント内のユーザーのみが削除できます。

プランのすべてのセクションを入力したら、[+ 新しいプランの作成] を選択して、追加のプランを作成できます。 完了したら、[下書きの保存] を選択します。 プランの作成が完了したら、ウィンドウの上部にあるパンくずリストで [プラン] を選択し、そのオファーの左ナビゲーション メニューに戻ります。

オファーの更新

オファーを公開した後は、いつでも更新済みバージョンのオファーを公開できます。 たとえば、以前に発行したオファーに新しいロール定義を追加できます。 そうすると、オファーを既に追加している顧客には、Azure portal の [サービス プロバイダー] ページに、更新が利用可能であることを知らせるアイコンが表示されます。 各顧客は、変更を確認して、新しいバージョンに更新する必要があるかどうかを決定できます。

次のステップ