トレーニング
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。
顧客と委任されたリソースを Azure portal で表示し、管理する
Azure Lighthouse を使用するサービス プロバイダーは、Azure portal の [マイ カスタマー] にアクセスして、委任された顧客のリソースとサブスクリプションを表示できます。
顧客に関する情報を表示するには、その顧客がオンボードされたときに、閲覧者ロール (または閲覧者アクセスを含む別の組み込みロール) が付与されている必要があります。
ヒント
ここではサービス プロバイダーと顧客に言及していますが、複数のテナントを管理している企業では、同じプロセスを使用して自社の管理エクスペリエンスを強化することができます。
Azure portal の [マイ カスタマー] にアクセスするには、Azure portal ページ ヘッダー内の検索ボックスに「マイ カスタマー」と入力します。 Azure portal で [Azure Lighthouse] に移動し、[顧客の管理] を選択することもできます。
[マイ カスタマー] の [顧客] セクションには、Azure Lighthouse を通じて Microsoft Entra テナントにサブスクリプションまたはリソース グループを委任した顧客に関する情報のみが表示されます。 他の顧客と連携する場合 (クラウド ソリューション プロバイダー (CSP) プログラムを使用する場合など)、それらの顧客は、そのリソースを Azure Lighthouse にオンボードしていない限り、[顧客] セクションに表示されません。 ただし、[クラウド ソリューション プロバイダー (プレビュー)] セクションに、特定の CSP 顧客に関する詳細が表示されることがあります。
注意
顧客は、Azure portal の [サービス プロバイダー] に移動して、サービス プロバイダーの詳細を表示できます。 詳細については、「サービス プロバイダーを表示し、管理する」を参照してください。
顧客の詳細を表示するには、[マイ カスタマー] のサービス メニューから [顧客] を選択します。
顧客ごとに、その顧客名と顧客 ID (テナント ID)、契約に関連付けられている [オファー ID] と [オファーのバージョン] が表示されます。 [委任] 列には、委任されたサブスクリプションやリソース グループの数が表示されます。
このペインの上部にある各オプションで顧客情報を、特定の顧客やオファー、キーワードで並べ替え、フィルター処理、グループ化することができます。
詳細については、次のオプションを使用します。
- 顧客に関連付けられているサブスクリプション、オファー、委任をすべて表示するには、その顧客の名前を選択します。
- オファーとその委任に関する詳細を表示するには、オファー名を選択します。
- 委任されたサブスクリプションまたはリソース グループについて、ロールの割り当ての詳細を表示するには、[委任] 列の該当するエントリを選択します。
注意
委任された後に顧客がサブスクリプションの名前を変更すると、更新されたサブスクリプション名が表示されます。 ただし、テナントの名前を変更した場合でも、Azure portal の一部の場所に古いテナント名が表示される場合があります。
[委任] には、委任されたサブスクリプションまたはリソース グループが、そのアクセス権を持つユーザーおよびアクセス許可と共に表示されます。 この情報を表示するには、サービス メニューから [委任] を選択します。
このペインの上部にある各オプションでこの情報を、特定の顧客やオファー、キーワードで並べ替え、フィルター処理、グループ化することができます。
それぞれの委任に関連付けられているユーザーおよびアクセス許可は、 [ロール割り当て] 列に表示されます。 エントリを選択すると、詳細が表示されます。 その後、[ロールの割り当て] を選択すると、サブスクリプションまたはリソース グループへのアクセスが許可されているすべてのユーザー、グループ、サービス プリンシパルの一覧が表示されます。 そこから、特定のユーザー、グループ、またはサービス プリンシパルの名前を選択して詳細情報を表示できます。
Azure Lighthouse に顧客をオンボードするときに、マネージド サービスの登録割り当ての削除ロールをユーザーに付与した場合、そのユーザーは、委任の行に表示されるごみ箱アイコンを選択することで委任を削除できます。 委任を削除すると、サービス プロバイダーのテナント内のユーザーは、その委任を通じて以前に付与されていたアクセスを失います。
詳細については、「委任へのアクセスを削除する」を参照してください。
[マイ カスタマー] の [アクティビティ ログ] セクションには、顧客のサブスクリプションまたはリソース グループが自分のテナントに委任されるたびに記録されます。 また、以前に委任されたリソースが削除されるたびに記録されます。 この情報を表示するには、ユーザーはルート スコープで監視閲覧者ロールに割り当てられている必要があります。
詳細については、「Azure portal で委任変更を表示する」を参照してください。
Azure portal 内で、サインインしているディレクトリを切り替えることなく、委任されたサブスクリプションのコンテキストで直接作業を行うことができます。 そのためには次を行います。
- Azure portal ページ ヘッダーのグローバル コントロールから [設定] アイコンを選択します。
- [ディレクトリ + サブスクリプション] で、[高度なフィルター] 切り替えが [無効] になっていることを確認します。
- [既定のサブスクリプション フィルター] セクションで、適切なディレクトリおよびサブスクリプションを選択します。 サブスクリプション全体ではなく、1 つのリソース グループへのアクセス権が与えられている場合は、そのリソース グループが属しているサブスクリプションを選択します。 そのサブスクリプションのコンテキストで作業を行うことになりますが、アクセスできるのは、アクセス権のある指定のリソース グループのみです。
テナント間の管理エクスペリエンスをサポートする Azure サービスにアクセスすると、そのサービスは既定でフィルターに含めた委任サブスクリプションのコンテキストになります。
上記の手順に従い、別のサブスクリプションまたは複数のサブスクリプションを選択することで、いつでも既定のサブスクリプションを変更できます。 アクセス権を持つすべてのサブスクリプションをフィルターに含める場合は、[すべてのディレクトリ] を選択してから、[すべて選択] ボックスをオンにします。
重要
[すべて選択] ボックスをオンにすると、"現在" アクセスできるすべてのサブスクリプションが表示されるようフィルターが設定されます。 後でアクセスできるサブスクリプションが増えた場合 (新しい顧客を Azure Lighthouse にオンボードした場合など)、それらのサブスクリプションはフィルターに自動では追加されません。 それらを含めるには、[ディレクトリ + サブスクリプション] に戻り、追加のサブスクリプションを選択する (または [すべて選択] をオフにして再度オンにする) 必要があります。
テナント間の管理エクスペリエンスをサポートしている個別のサービス内からサブスクリプションまたはリソース グループを選択することで、委任されたサブスクリプションまたはリソース グループで作業することもできます。 サブスクリプションが表示されない場合は、[既定のサブスクリプション フィルター] から除外されていないことを確認します。
[マイ カスタマー] の別個の [クラウド ソリューション プロバイダー (プレビュー)] セクションに、Microsoft 顧客契約 (MCA) に署名しており Azure プランに加入している CSP 顧客の課金情報とリソースが表示されます。 詳細については、「Microsoft Partner Agreement の課金アカウントの概要」をご覧ください。
これらの CSP 顧客は、Azure Lighthouse にもオンボードしているかどうかにかかわらず、このセクションに表示されます。 同様に、CSP 顧客は、Azure Lighthouse にオンボードするために、[マイ カスタマー] の [クラウド ソリューション プロバイダー (プレビュー)] セクションに表示される必要はありません。
- テナント間の管理エクスペリエンスについて学習します。
- 顧客が Azure portal の [サービス プロバイダー] に移動することによって、サービス プロバイダーを表示し、管理する方法を学習します。