Azure プランのサブスクリプションとリソースを管理するManage subscriptions and resources under the Azure plan

適切なロールAppropriate roles

  • 管理エージェントAdmin agent

この記事では、CSP パートナーがさまざまなロールベースのアクセス制御 (RBAC) オプションを使用して、顧客の Azure リソースの運用上の制御と管理を実現する方法について説明します。This article explains how CSP partners can use different role-based access control (RBAC) options to gain operational control and management of a customer's Azure resources. パートナーは、顧客を Azure プランに移行すると、既定では Azure の特権管理者権限 (代理管理者によるサブスクリプション所有者権限) が割り当てられます。When you transition a customer to the Azure plan, you are assigned privileged admin rights in Azure (subscription owner rights through admin on behalf of) by default.

注意

Azure サブスクリプションに対する管理者権限は、サブスクリプション、リソース グループ、またはワークロード レベルで顧客が削除できます。Admin rights to the Azure subscription can be removed by the customer at a subscription, resource group, or workload level.

パートナーは、CSP で、ロールベースのアクセス制御機能 (RBAC) によって提供されるさまざまなオプションを使用して、顧客の Azure リソースを 24 時間体制で制御し、管理することができます。Partners can gain 24x7 operational control and management of a customer's Azure resources in CSP by using different options provided through the role-based access control feature (RBAC).

  • 代理管理者 (AOBO) - AOBO では、パートナー テナントの管理者エージェント ロールを持つすべてのユーザーに、CSP プログラムを使用して作成した Azure サブスクリプションに対する RBAC 所有者のアクセス権が付与されます。Admin on Behalf Of (AOBO) - With AOBO, any user with the Admin Agent role in the partner tenant will have RBAC owner access to Azure subscriptions that you create through the CSP program.

  • Azure Lighthouse:AOBO では、複数の顧客と連携する個別のグループを柔軟に作成したり、グループやユーザーに対して複数のロールを有効にしたりすることはできません。Azure Lighthouse: AOBO doesn't allow the flexibility to create distinct groups that work with different customers, or to enable different roles for groups or users. Azure Lighthouse を使用すると、複数のグループを複数の顧客またはロールに割り当てることができます。Using Azure Lighthouse, you can assign different groups to different customers or roles. Azure の委任されたリソース管理によって、ユーザーには適切なレベルのアクセス権が付与されるため、管理者エージェント ロールを持つ (つまり、AOBO のフル アクセス権を持つ) ユーザーの数を減らすことができます。Because users will have the appropriate level of access through Azure delegated resource management, you can reduce the number of users who have the Admin Agent role (and thus have full AOBO access). これにより、顧客のリソースへの不要なアクセスが制限され、セキュリティを向上させることができます。This helps improve security by limiting unnecessary access to your customers' resources. また、大規模な複数の顧客をより柔軟に管理できます。It also gives you more flexibility to manage multiple customers at scale. 詳細については、「Azure Lighthouse と Cloud Solution Provider プログラム」を参照してください。For more information, read Azure Lighthouse and the Cloud Solution Provider program.

  • ディレクトリまたはゲスト ユーザーまたは サービス プリンシパル :CSP サブスクリプションへの詳細なアクセス権を委任するには、顧客のディレクトリにユーザーを追加するか、ゲスト ユーザーを追加して特定の RBAC ロールを割り当てます。Directory or Guest Users or Service Principals: You can delegate granular access to CSP subscriptions by adding users in the customer directory or adding guest users and assigning specific RBAC roles.

セキュリティ対策として、作業を実行するために必要な最小限のアクセス許可をユーザーに付与することをお勧めします。Microsoft recommends that users have the minimum permissions they need to perform their work as a security practice. Azure Active Directory Privileged Identity Management リソースに関する記事を参照してください。See Azure Active Directory Privileged Identity Management resources.

次の表は、パートナー ID をさまざまな RBAC アクセス オプションに関連付けるために使用する方法をまとめたものです。The following table shows the methods used to associate your partner ID with various RBAC access options.

カテゴリCategory シナリオScenario MPN ID の関連付けMPN ID association
AOBOAOBO CSP ダイレクト パートナーまたはインダイレクト プロバイダーは、AOBO を使用して、CSP ダイレクト パートナーまたはインダイレクト プロバイダーをサブスクリプションの既定の所有者にする顧客のサブスクリプションを作成します。CSP のダイレクト パートナーまたはインダイレクト プロバイダーは、AOBO を使用して、サブスクリプションへのアクセス権をインダイレクト リセラーに付与します。CSP direct partner or indirect provider creates the subscription for the customer making the CSP direct partner or indirect provider default owner of the subscription using AOBO.; CSP direct partner or indirect provider give indirect reseller access to the subscription using AOBO. 自動 (パートナーの作業は不要)Automatic (no partner work required)
Azure LighthouseAzure Lighthouse パートナーは、新しいマネージド サービス オファーをマーケットプレースに作成します。Partner creates a new Managed Services offer in Marketplace. このオファーが CSP サブスクリプションで承認されると、パートナーは CSP サブスクリプションにアクセスできるようになります。This offer is accepted on the CSP subscription and partner gets access to the CSP subscription. 自動 (パートナーの作業は不要)Automatic (no partner work required)
Azure LighthouseAzure Lighthouse パートナーは、Azure サブスクリプションで ARM テンプレートをデプロイしますPartner deploys ARM template in Azure subscription パートナーは、パートナー テナントのユーザーまたはサービス プリンシパルに MPN ID を関連付ける必要があります。Partner needs to associate the MPN ID to the user or service principal in the partner tenant. 詳細については、パートナー ID のリンクに関する記事を参照してください。For more information - Link Partner ID.
ディレクトリまたはゲスト ユーザーDirectory or guest user パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成し、ユーザーに CSP サブスクリプションへのアクセス権を付与します。Partner creates a new user or service principal in the customer directory and gives access to the CSP subscription to the user. パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成します。Partner creates a new user or service principal in the customer directory. パートナーは、グループにユーザーを追加し、グループへの CSP サブスクリプションへのアクセス権を付与します。Partner adds the user to a group and gives access to the CSP subscription to the group. パートナーは、顧客テナントのユーザーまたはサービス プリンシパルに MPN ID を関連付ける必要があります。Partner needs to associate the MPN ID to the user or service principal in the customer tenant. 詳細については、パートナー ID のリンクに関する記事を参照してください。For more information - Link Partner ID.

管理者アクセス権を持っていることを確認するConfirm that you have admin access

顧客のサービスを管理し、獲得したクレジットを受け取るには、管理者アクセス権が必要です。You require admin access to manage your customer's services and to received earned credits. 獲得したクレジットの詳細については、パートナー獲得クレジットに関する記事を参照してください。Read Partner earned credits for detailed information on earned credits. 管理者アクセス権を持っていることを確認するには、2 つの方法があります。You have two ways to make sure you know that you have admin access.

  • 毎日の利用状況ファイルを確認する - これを判断するには、毎日の使用量ファイル内の単価と実効単価を見て、割引が適用されているかどうかを確認します。Review the daily usage file - This can be determined by reviewing the unit price and effective unit price within the daily usage file and confirming if a discount is being applied. 割引が適用されている場合は管理者です。If you are receiving the discount you are the admin.

  • Azure Monitor のアラートを作成する - RBAC のアクセスが CSP サブスクリプションから削除されたことが通知する Azure Monitor のアクティビティ ログ アラートを作成します。Create an Azure monitor alert - You can create an Azure Monitor activity log alert to be notified of when your RBAC access is removed from CSP subscription.

Azure Monitor のアラートを作成するCreate an Azure monitor alert

  1. アラートを作成します。Create alert.

    Azure アラート

  2. アラートを受け取るアクションの種類を選択します。たとえば、メールを送信するように指定すると、ロールの割り当ての削除が発生した場合に通知するメールが送信されます。Select the type of action you want the alert to take.For example, if you specify that you want an email, you will receive an email notifying you if any role assignment deletion occurs.

    アラートを構成する

AOBO の削除AOBO removal

顧客は、Azure portal で [アクセス制御] に移動してサブスクリプションへのアクセスを管理できます。Customers can manage access to their subscriptions by going to Access Control on the Azure portal. [ロールの割り当て] タブで、 [アクセス許可の削除] を選択します。From the Role assignments tab, they select Remove access. この操作が行われた場合は、以下のように対処します。If this happens, you can:

ロールベースのアクセス権は、管理者アクセス権とは異なります。Role-based access differs from admin access. ロールでは、できることと実行できないことが明確に分かれています。Roles delimit precisely what you can and can't do. 管理者アクセス権の方が広範囲です。Admin access is broader.

PEC を獲得できるロールを確認するには、パートナー獲得クレジットのロールとアクセス許可に関する記事を参照してください。To see the roles eligible to earn PEC, read Roles and permissions for the partner earned credit.

次の手順Next steps