テナント間の管理エクスペリエンス

サービス プロバイダーとして、 Azure Lighthouse を使用して、独自の Microsoft Entra テナント内から顧客の Azure リソースを管理します。 これらのマネージド テナント全体で、多くの一般的なタスクとサービスを実行できます。

ヒント

また、複数の Microsoft Entra テナントを持つ企業内で Azure Lighthouse を使用して、テナント間の管理を簡略化することもできます。

テナントと委任について

Microsoft Entra テナントは組織を表します。 これは、組織が Azure、Microsoft 365、またはその他のサービスにサインアップして Microsoft との関係を作成するときに受け取る Microsoft Entra ID の専用インスタンスです。 各 Microsoft Entra テナントは、他の Microsoft Entra テナントとは異なり、区別されており、独自のテナント ID (GUID) を持ちます。 詳細については、「Microsoft Entra とは」を参照してください。

通常、サービス プロバイダーは、顧客の Azure リソースを管理するときに、顧客のテナントに関連付けられているアカウントを使用して Azure portal にサインインする必要があります。 このシナリオでは、顧客のテナント内の管理者がサービス プロバイダー用のユーザー アカウントを作成し、管理する必要があります。

オンボード プロセスでは、Azure Lighthouse を使用して、顧客のテナント内の委任されたサブスクリプションとリソース グループにロールが割り当てられているサービス プロバイダーのテナント内のユーザーを指定します。 これらのユーザーは、自分の資格情報を使用して Azure portal にサインインし、アクセス権を持つすべての顧客に属するリソースに対して作業を行うことができます。 管理側テナントのユーザーは、Azure portal の [マイ カスタマー] ページにアクセスして、これらのすべての顧客を表示できます。 彼らは、Azure portal または API を使用して、顧客のサブスクリプションのコンテキスト内で直接リソースを操作することもできます。

Azure Lighthouse を使用すると、テナントによって異なるアカウントにサインインしなくても、複数の顧客のリソースを柔軟に管理できます。 たとえば、サービス プロバイダーには、責任とアクセス レベルが異なる 2 人の顧客がいる場合があります。 Azure Lighthouse を使用すると、承認されたユーザーは、各委任に 割り当てられているロール に従って、サービス プロバイダーのテナントにサインインし、これらの顧客全体のすべての委任されたリソースにアクセスします。

API と管理ツールのサポート

Azure portal で、委任されたリソースに対する管理タスクを実行できます。また、API および管理ツール (Azure CLI や Azure PowerShell など) を使用することもできます。 機能がテナント間管理をサポートし、適切なアクセス許可を持っている限り、委任されたリソースで既存の API を使用できます。

Azure PowerShell の Get-AzSubscription コマンドレットでは、既定で管理側テナントの TenantId が表示されます。 各サブスクリプションの HomeTenantId 属性と ManagedByTenantIds 属性は、返されたサブスクリプションがマネージド テナントに属しているか、管理しているテナントに属しているかを識別するのに役立ちます。

同様に、az account list などの Azure CLI コマンドでは、homeTenantId 属性と managedByTenants 属性が表示されます。 Azure CLI の使用時にこれらの値が表示されない場合は、az account clear を実行してから az login --identity を実行して、キャッシュをクリアしてみてください。

Azure REST API では、Subscriptions - Get コマンドと Subscriptions - List コマンドに ManagedByTenant が含まれています。

注意

これらの API には、Azure Lighthouse に関連するテナント情報に加えて、Azure Databricks または Azure マネージド アプリケーションのパートナー テナントが表示される場合もあります。

API を使用して、Azure Lighthouse のオンボードと管理に関連する特定のタスクを実行できます。 詳細については、リファレンスを参照してください。

強化されたサービスとシナリオ

ほとんどの Azure タスクとサービスは、オンボード プロセスで適切なロールが付与されている限り、マネージド テナント間で委任されたリソースと連携します。 次のシナリオは、テナント間管理が特に効果的な主なシナリオをいくつか示しています。

Azure Arc:

• Azure Arc 対応サーバーを使用してハイブリッド サーバーを大規模に管理する:
  • Azure で委任された顧客サブスクリプションとリソース グループにサーバーをオンボードする
  • 委任されたサブスクリプションに接続されている Azure 外の Windows Server または Linux マシンを管理する
  • Azure Policy やタグ付けなどの Azure コンストラクトを使用して接続されたマシンを管理する
  • 顧客のハイブリッド環境にわたって同じセットのポリシーが適用されているようにする
  • Microsoft Defender for Cloud を使用して顧客のハイブリッド環境をまたがってコンプライアンスを監視する
• Azure Arc 対応 Kubernetes を使用して、ハイブリッド Kubernetes クラスターを大規模に管理します。
  • 委任されたサブスクリプションとリソース グループに Kubernetes クラスターを接続する
  • GitOps を使用して、接続されたクラスターに構成をデプロイする
  • 接続されたクラスター間でポリシーを適用するなどの管理タスクを実行する

Azure Automation:

• Automation アカウントを使用して、委任されたリソースにアクセスして操作する

Azure Backup:

• Azure Backup を使用して顧客データをバックアップおよび復元します。 現在、以下の Azure ワークロードがサポートされています: Azure Virtual Machines (Azure VM)、Azure Files、Azure VM 上の SQL Server、Azure VM 上の SAP HANA。 現在、Backup コンテナー (Azure Database for PostgreSQL、Azure BLOB、Azure マネージド ディスク、Azure Kubernetes Services など) を使用するワークロードは完全にはサポートされていません。
• バックアップ センターで、委任された顧客リソースすべてのデータを表示する
• Backup Explorer を使用すると、バックアップ項目 (バックアップ用にまだ構成されていない Azure リソースを含む) の操作情報と、委任されたサブスクリプションの監視情報を表示できます。 現在、Backup Explorer は Azure VM データでのみ使用できます。
• 委任されたサブスクリプションにわたってバックアップ レポートを使用して、過去の傾向を追跡し、バックアップ ストレージの使用量を分析し、バックアップと復元を監査します。

Azure Cost Management および Billing:

• CSP パートナーは、管理しているテナントから、Azure プランに含まれるお客様に対する、(購入を含めずに) 税引き前消費コストを表示、管理、分析できます。 コストは、小売価格と、お客様のサブスクリプションに対してパートナーが持っている Azure ロールベースのアクセス制御 (Azure RBAC) アクセスに基づきます。 現時点では、Azure RBAC アクセスに基づいて、個々のお客様のサブスクリプションごとに消費コストを小売価格で表示できます。

Azure Key Vault:

• 顧客テナント内で Key Vault を作成する
• マネージド ID を使用して顧客テナント内で Key Vault を作成する

Azure Kubernetes Service (AKS):

• ホストされている Kubernetes 環境を管理し、顧客のテナント内でコンテナー化されたアプリケーションをデプロイして管理する
• 顧客テナントのクラスターをデプロイおよび管理する
• 顧客テナント全体のクラスター のパフォーマンスを監視する

Azure Migrate:

• 顧客テナントで移行プロジェクトを作成して VM を移行する

Azure Monitor:

• すべてのサブスクリプションにわたるアラートを表示する機能を使って、委任されたサブスクリプションに対するアラートを表示および更新する
• 委任されたサブスクリプションのアクティビティ ログの詳細を表示する
• ログ分析:複数のテナントにあるリモートのワークスペースからデータを照会する (顧客テナントのワークスペースからデータにアクセスするために使用される Automation アカウントは、同じテナント内に作成する必要があることに注意してください)
• 顧客のテナント内でアラートの作成、表示、および管理を行う
• 顧客のテナント内に、Webhook を使用して管理側テナントで Azure Automation Runbook や Azure Functions などの自動化をトリガーするアラートを作成する
• 顧客テナント内に作成されたワークスペースで診断設定を作成して、管理テナント内のワークスペースにリソース ログを送信する
• Microsoft Entra 外部 ID の場合は、 サインイン ログと監査ログを さまざまな監視ソリューションにルーティングします
• SAP ワークロードに対しては、顧客のテナント全体で集計されたビューを使って SAP ソリューションのメトリックを監視する

Azure のネットワーク:

• 管理対象のテナント内で Azure Virtual Network と仮想ネットワーク インターフェイス カード (vNIC) をデプロイして管理する
• 顧客の Virtual Network リソースを保護するために Azure Firewall をデプロイして構成する
• Azure Virtual WAN、Azure ExpressRoute、Azure VPN Gateway などの接続サービスを管理する
• Azure Lighthouse を使用して Azure ネットワーク MSP プログラムの MSP プログラムをサポートする

Azure Policy:

• 委任されたサブスクリプション内でポリシー定義を作成および編集する
• 複数のテナントにわたってポリシー定義とポリシー割り当てをデプロイする
• 委任されたサブスクリプション内で顧客が定義したポリシー定義を割り当てる
• お客様には、サービス プロバイダーによって作成されたポリシーと、自分で作成したポリシーが表示されます
• 管理対象のテナント内で deployIfNotExists の修復または割り当ての変更を行うことができる
• 顧客テナント内の非準拠リソースのコンプライアンスの詳細の表示は現在サポートされていないことに注意してください

Azure Resource Graph:

• 返されるクエリ結果内のテナント ID を参照して、サブスクリプションが管理対象のテナントに属しているかどうかを特定できるようにする

Azure Service Health:

• Azure Resource Health を使用して、顧客のリソースの正常性を監視する
• 顧客が使用している Azure サービスの正常性を追跡する

Azure Site Recovery:

• 顧客のテナント内にある Azure 仮想マシンのディザスター リカバリー オプションを管理する (VM 拡張機能のコピーには RunAs アカウントを使用できないことに注意してください)

Azure Virtual Machines:

• 仮想マシン拡張機能を使用して、Azure VM のデプロイ後の構成と自動タスクを提供する
• ブート診断を使用して、Azure VM のトラブルシューティングを行う
• シリアル コンソールを使用して VM にアクセスする
• ポリシーを使用してマネージド ID を使用してディスク暗号化用のパスワード、シークレット、または暗号化キー用に VM を Azure Key Vault と統合し、シークレットがマネージド テナントの Key Vault に確実に格納されるようにする
• VM へのリモート認証には Microsoft Entra ID を使用できないことに注意してください

Microsoft Defender for Cloud:

• テナント間の表示
  • セキュリティ ポリシーへの準拠を監視し、セキュリティの適用範囲がすべてのテナントのリソースになるようにする
  • 1 つのビューで複数のテナントの規制へのコンプライアンスを継続的に監視する
  • セキュリティ スコアの計算を使用して実行可能なセキュリティの推奨事項の監視、トリアージ、優先度付けを行う
• テナント間のセキュリティ体制の管理
  • セキュリティ ポリシーの管理
  • 実行可能なセキュリティの推奨事項に準拠していないリソースに対処する
  • セキュリティ関連のデータを収集して保存する
• テナント間の脅威の検出と保護
  • テナントのリソース全体で脅威を検出する
  • Just-In-Time (JIT) VM アクセスなど、高度な脅威保護コントロールを適用する
  • アダプティブ ネットワーク強化を使用してネットワーク セキュリティ グループの構成を強化する
  • サーバーで、適応型アプリケーション制御の対象とすべきアプリケーションとプロセスのみが実行されるようにする
  • ファイルの整合性の監視 (FIM) を使用して、重要なファイルとレジストリ エントリに対する変更を監視する
• サブスクリプション全体を管理テナントに委任する必要があることに注意してください。Microsoft Defender for Cloud のシナリオは、委任されたリソース グループではサポートされていません

Microsoft Sentinel:

• 顧客テナントで Microsoft Sentinel リソースを管理する
• 複数のテナントにわたる攻撃を追跡し、セキュリティ アラートを表示する
• テナント間の複数の Microsoft Sentinel ワークスペースでインシデントを表示する

サポート リクエスト:

• 委任されたリソースについては、Azure portal でヘルプとサポートからのサポート要求を開きます。 委任されたスコープで使用できるサポート プランを選択します。
• Azure Quota API を使用して、委任された顧客リソースの Azure サービス クォータを表示および管理します。

現在の制限

すべてのシナリオで、次に示す現在の制限事項に注意してください。

• Azure Lighthouse では、Azure Resource Manager によって処理される要求がサポートされます。 これらの要求の操作 URI は、https://management.azure.com で始まります。 ただし、Azure Lighthouse では、Key Vault シークレットアクセスやストレージ データ アクセスなど、リソースの種類のインスタンスによって処理される要求はサポートされていません。 通常、これらの要求の操作 URI は、 https://myaccount.blob.core.windows.net や https://mykeyvault.vault.azure.net/など、インスタンスに固有のアドレスで始まります。 通常、これらの要求は管理操作ではなくデータ操作です。
• ロールの割り当てには Azure 組み込みロールを使用する必要があります。 Azure Lighthouse は現在、所有者または DataActions アクセス許可を持つ組み込みロールを除くすべての組み込みロールをサポートしています。 マネージド ID へのロールの割り当てにおいて、ユーザー アクセス管理者ロールは、限定された用途のみに対してサポートされています。 カスタム ロールと クラシック サブスクリプション管理者ロール はサポートされていません。 詳細については、「Azure Lighthouse 用のロールのサポート」を参照してください。
• マネージド テナントのユーザーの場合、アクセス制御 (IAM) ツールと CLI ツール ( az role assignment list など) には、Azure Lighthouse を通じて行われたロールの割り当ては表示されません。 これらの割り当ては、Azure portal の Azure Lighthouse の [委任] セクション、または Azure Lighthouse API 経由でのみ表示されます。
• Azure Databricks を使用するサブスクリプションをオンボードすることはできますが、管理テナントのユーザーは、委任されたサブスクリプションで Azure Databricks ワークスペースを起動することはできません。
• リソース ロックを持つサブスクリプションとリソース グループをオンボードすることはできますが、これらのロックによって、管理テナント内のユーザーによってアクションが実行されるのを防ぐことはありません。 Azure マネージド アプリケーションによって作成されたリソースなど、システムマネージド リソース (システム割り当て拒否割り当て) を保護する拒否割り当てにより、管理テナント内のユーザーがそれらのリソースに対して動作することを防ぐことができます。 ただし、顧客テナントのユーザーは自分の拒否割り当てを作成できません。
• 国内クラウドと Azure パブリック クラウド間、または 2 つの個別の国内クラウド間でのサブスクリプションの委任はサポートされていません。

次のステップ

• Azure Resource Manager テンプレートを使用 するか、 プライベートまたはパブリックのマネージド サービス オファーを Microsoft Marketplace に発行することで、顧客を Azure Lighthouse にオンボードします。
• Azure portal の [マイ カスタマー] に移動して、顧客を表示および管理します。
• Azure Lighthouse のアーキテクチャの詳細はこちらをご覧ください。