サービス プロバイダーを表示し、管理する

  • [アーティクル]

Azure portal[サービス プロバイダー] ページでは、Azure Lighthouse を使用しているサービス プロバイダーを顧客が制御および可視化することができます。 顧客は、特定のリソースの委任、新しいオファーや更新されたオファーの確認、サービス プロバイダーのアクセスの削除などのほか、多くの操作を実行できます。

Azure portal の [サービス プロバイダー] ページにアクセスするには、Azure portal の上部にある検索ボックスに「サービス プロバイダー」と入力します。 [すべてのサービス] を選択して、Azure Lighthouse を検索することも、「Azure Lighthouse」と指定して検索することもできます。 Azure Lighthouse ページで、[サービス プロバイダー プランの表示] を選択します。

Note

[サービス プロバイダー] ページを表示するには、顧客のテナントのユーザーが閲覧者組み込みロール (あるいは、閲覧者アクセスが含まれる別の組み込みロール) を保持している必要があります。

オファーの追加または更新、リソースの委任、オファーの削除を行うには、Microsoft.Authorization/roleAssignments/write 権限を持つロール (所有者など) がユーザーに必要です。

[サービス プロバイダー] ページに表示されるのは、Azure Lighthouse を通じて、顧客のサブスクリプションまたはリソース グループにアクセスできるサービス プロバイダーの情報だけである点に留意してください。 Azure Lighthouse を使用していない追加のサービス プロバイダーに関する情報はここに表示されません。

サービス プロバイダーの詳細を確認する

Azure Lighthouse を使用して顧客のテナントで作業する現在のサービス プロバイダーに関する詳細を表示するには、 [サービス プロバイダー] ページの左側にある [サービス プロバイダーのオファー] を選択します。

オファーごとに、サービス プロバイダーの名前と、それに関連付けられているオファーが表示されます。 オファーを選択すると、サービス プロバイダーに付与されているロールの割り当てなど、説明やその他の詳細情報を表示できます。

そのオファーに関して、サービス プロバイダーに委任されたサブスクリプションまたはリソース グループの数が [委任] 列に表示されます。 サービス プロバイダーは、オファーに指定されたアクセス レベルに応じて、それらのサブスクリプションまたはリソース グループにアクセスし、管理することができます。

サービス プロバイダーのオファーを追加する

[サービス プロバイダーのオファー] ページから、新しいサービス プロバイダーのオファーを追加できます。

マーケットプレースからオファーを追加するには、ページの中央にある [プランの追加] ボタンを選択するか、ページの上部近くにある [プランの追加] を選択し、[マーケットプレイス経由で追加] を選択します。 マネージド サービス オファーがこの顧客を特定して発行されている場合は、[プライベート プラン] を選択してそれらを表示します。 オファーを選択して詳細を確認します。 オファーを追加するために、[作成] を選択します。

テンプレートからオファーを追加するには、ページの上部近くにある [プランの追加] を選択し、[マーケットプレイス経由で追加] を選択します。 これにより、サービス プロバイダーからテンプレートをアップロードし、サブスクリプション (またはリソース グループ) をオンボードできます。 詳細については、Azure portal でのデプロイに関する記事をご覧ください。

サービス プロバイダーのオファーを更新する

顧客がオファーを追加した後に、サービス プロバイダーが、同じオファーの更新されたバージョン (新しいロール定義の追加など) を Azure Marketplace に公開する可能性があります。 新しいバージョンのオファーが公開されている場合、[サービス プロバイダーのオファー] ページで、そのオファーの行に "更新" アイコンが表示されます。 このアイコンを選択すると、オファーの現在のバージョンと新しいものとの違いが表示されます。

オファーの更新アイコン

変更を確認したら、新しいバージョンへの更新を選択できます。 これにより、新しいバージョンで指定された承認とその他の設定が、そのオファーに委任されているすべてのサブスクリプションやリソース グループに適用されます。

サービス プロバイダーのオファーを削除する

サービス プロバイダーのオファーは、そのオファーの行にあるごみ箱アイコンを選択すると、いつでも削除できます。

削除を確認した後、そのサービス プロバイダーは、以前そのオファーに委任されていたリソースにはアクセスできなくなります。

重要

サブスクリプションに同じサービス プロバイダーからのオファーが 2 つ以上ある場合、そのうちの 1 つを削除すると、一部のサービス プロバイダー ユーザーが他の委任を介して付与されたアクセス権を失う可能性があります。 これは、同じユーザーとロールが複数の委任に含まれていて、いずれかの委任が削除された場合にのみ発生します。 これを修正するには、削除しないオファーに対してオンボード プロセスを繰り返す必要があります。

リソースを委任する

サービス プロバイダーが顧客のリソースにアクセスして管理できるようにするには、事前に 1 つ以上の特定のサブスクリプションまたはリソース グループが委任されている必要があります。 顧客が、オファーを追加したが、まだどのリソースも委任していない場合、[サービス プロバイダーのオファー] セクションの上部に注意書きが表示されます。 委任が完了するまで、サービス プロバイダーは、顧客のテナント内のどのリソースに対しても作業できません。

サブスクリプションまたはリソース グループを委任するには、次の手順に従います。

  1. 目的のサービス プロバイダー、オファー、名前が表示されている行のチェック ボックスをオンにします。 次に、画面上部にある [リソースの委任] を選択します。
  2. [リソースの委任] ページの [Offer details](契約の詳細) セクションで、サービス プロバイダーとオファーの詳細を確認します。 オファーに対するロールの割り当てを確認するには、 [選択したオファーの詳細を表示するには、ここをクリックします] を選択します。
  3. [委任] セクションで、 [サブスクリプションの委任] または [リソース グループの委任] を選択します。
  4. このオファーに関して委任したいサブスクリプションまたはリソース グループを選択し、 [追加] を選択します。
  5. ページの下部にあるチェック ボックスをオンにして、これらのリソースへのアクセス権をこのサービス プロバイダーに付与することを確認し、[委任] を選択します。

委任を表示する

委任は、特定の顧客リソース (サブスクリプションまたはリソース グループ) と、それらのリソースへのアクセス許可をサービス プロバイダーに付与するロールの割り当てとの関連付けを表します。 委任の詳細を表示するには、 [サービス プロバイダー] ページの左側にある [委任] を選択します。

ページの上部にあるフィルターを使用すると、委任情報を並べ替えたり、グループ化したりできます。 特定のサービス プロバイダー、オファー、またはキーワードを使用してフィルター処理することもできます。

Note

API 経由または Azure portal で、委任されたスコープのロールの割り当てを表示する場合、顧客には、Azure Lighthouse 経由でアクセスできるサービス プロバイダー テナントのユーザーに対するロールの割り当ては表示されません。 同様に、サービス プロバイダー テナント内のユーザーには、割り当てられているロールに関係なく、顧客のテナント内のユーザーに対するロールの割り当ては表示されません。

クラシック管理者ロールは Resource Manager デプロイ モデルを使用しないため、顧客テナント内のクラシック管理者の割り当ては、管理しているテナントのユーザーに表示される場合があり、その逆の場合もあることに注意してください。

環境内の委任を監査および制限する

顧客は、Azure Lighthouse に委任されているすべてのサブスクリプションまたはリソース グループを確認することもできます。 これは、多数のサブスクリプションを所有している顧客や、管理タスクを実行するユーザーが多い顧客にとって特に有用です。

管理テナントへのスコープの委任を監査するための Azure Policy 組み込みポリシー定義が用意されています。 監査対象のすべてのサブスクリプションが含まれている管理グループに対して、このポリシーを割り当てることができます。 このポリシーへの準拠を確認すると、委任されたサブスクリプションやリソース グループ (ポリシーが割り当てられている管理グループ内) が非準拠状態で表示されます。 結果を見直して、想定外の委任が発生していないことを確認できます。

別の組み込みポリシー定義を使用して、特定の管理テナントへの委任を制限できます。 このポリシーは、委任を制限するすべてのサブスクリプションが含まれている管理グループに割り当てることができます。 ポリシーをデプロイした後、指定したテナント以外のテナントにサブスクリプションを委任しようとすると、拒否されます。

ポリシーを割り当ててコンプライアンス状態の結果を表示する方法の詳細については、「クイック スタート: ポリシー割り当てを作成する」を参照してください。

次のステップ