Azure プランのサブスクリプションとリソースを管理する

対象のロール: 管理エージェント

この記事では、クラウド ソリューション プロバイダー (CSP) パートナーがさまざまなロールベースのアクセス制御 (RBAC) オプションを使用して、顧客の Azure リソースの運用上の制御と管理を実現する方法について説明します。 パートナーは、顧客を Azure プランに移行すると、既定では Azure の特権管理者権限 (代理管理者によるサブスクリプション所有者権限) が割り当てられます。

Note

Azure サブスクリプションに対する管理者権限は、サブスクリプション、リソース グループ、またはワークロード レベルで顧客が削除できます。

パートナーは、CSP で、ロールベースのアクセス制御機能 (RBAC) によって提供されるさまざまなオプションを使用して、顧客の Azure リソースを 24 時間体制で制御し、管理することができます。

  • 代理管理者 (AOBO) - AOBO では、パートナー テナントの管理者エージェント ロールを持つすべてのユーザーに、CSP プログラムを使用して作成した Azure サブスクリプションに対する RBAC 所有者のアクセス権が付与されます。

  • Azure Lighthouse:AOBO では、複数の顧客と連携する個別のグループを柔軟に作成したり、グループやユーザーに対して複数のロールを有効にしたりすることはできません。 Azure Lighthouse を使用すると、複数のグループを複数の顧客またはロールに割り当てることができます。 Azure の委任されたリソース管理によって、ユーザーには適切なレベルのアクセス権が付与されるため、管理者エージェント ロールを持つ (つまり、AOBO のフル アクセス権を持つ) ユーザーの数を減らすことができます。 これにより、顧客のリソースへの不要なアクセスが制限され、セキュリティを向上させることができます。 また、大規模な複数の顧客をより柔軟に管理できます。 詳細については、「Azure Lighthouse と Cloud Solution Provider プログラム」を参照してください。

  • ディレクトリまたはゲスト ユーザーまたはサービス プリンシパル :CSP サブスクリプションへの詳細なアクセス権を委任するには、顧客のディレクトリにユーザーを追加するか、ゲスト ユーザーを追加して特定の RBAC ロールを割り当てます。

セキュリティ対策として、Microsoft では、作業を行うために必要な最低限のアクセス許可をユーザーに付与することをお勧めしています。 Azure Active Directory Privileged Identity Management リソースに関する記事を参照してください。

次の表は、パートナー ID をさまざまな RBAC アクセス オプションに関連付けるために使用する方法をまとめたものです。

カテゴリ シナリオ MPN ID の関連付け
AOBO CSP の直接パートナーまたは間接プロバイダーは、顧客のサブスクリプションを作成し、AOBO を使用して、CSP の直接パートナーまたは間接プロバイダーをサブスクリプションの既定の所有者にします。 CSP の直接パートナーまたは間接プロバイダーは、AOBO を使用して間接リセラーにサブスクリプションへのアクセスを提供します。 自動 (パートナーの作業は不要)
Azure Lighthouse パートナーは、新しいマネージド サービス オファーをマーケットプレースに作成します。 このオファーが CSP サブスクリプションで承認されると、パートナーは CSP サブスクリプションにアクセスできるようになります。 自動 (パートナーの作業は不要)
Azure Lighthouse パートナーは、Azure サブスクリプションで ARM テンプレートをデプロイします パートナーは、パートナー テナントのユーザーまたはサービス プリンシパルに MPN ID を関連付ける必要があります。 詳細については、「パートナー ID をリンクして、委任されたリソースで影響を追跡する」を参照してください。
ディレクトリまたはゲスト ユーザー パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成し、ユーザーに CSP サブスクリプションへのアクセス権を付与します。 パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成します。 パートナーは、グループにユーザーを追加し、グループへの CSP サブスクリプションへのアクセス権を付与します。 パートナーは、顧客テナントのユーザーまたはサービス プリンシパルに MPN ID を関連付ける必要があります。 詳細については、パートナー ID のリンクに関する記事を参照してください。

管理者アクセス権を持っていることを確認する

顧客のサービスを管理し、獲得したクレジットを受け取るには、管理者アクセス権が必要です。 獲得したクレジットの詳細については、パートナー獲得クレジットに関する記事を参照してください。 管理者アクセス権を持っていることを確認するには、2 つの方法があります。

  • 毎日の使用状況ファイルを確認する。 これは、毎日の使用状況ファイルの単価と実効単価を見て、割引が適用されているかどうかを確認することで判断できます。 割引が適用されている場合、お客様は管理者です。

  • Azure Monitor のアラートを作成する。 Azure Monitor のアクティビティ ログ アラートを作成して、RBAC のアクセスが CSP サブスクリプションから削除されたときに通知することができます。

Azure Monitor のアラートを作成する

  1. アラートを作成します。

    azure alert.

  2. アラートによるアクションの種類を選択します。 たとえば、メール送信を指定すると、ロールの割り当ての削除が発生した場合に通知するメールが送信されます。

    configure alert.

AOBO の削除

顧客は、Azure portal で [アクセス制御] に移動してサブスクリプションへのアクセスを管理できます。 [ロールの割り当て] タブで、 [アクセス許可の削除] を選択します。 顧客がお客様のアクセス権を削除した場合は、次のことができます。

ロールベースのアクセス権は、管理者アクセス権とは異なります。 ロールでは、できることと実行できないことが明確に分かれています。 管理者アクセス権の方が広範囲です。

PEC を獲得できるロールを確認するには、パートナー獲得クレジットのロールとアクセス許可に関する記事を参照してください。

次の手順