Share via

Microsoft 365 Lighthouseで顧客の GDAP を設定する

  • [アーティクル]

ライセンスやサイズに関係なく、Microsoft 365 Lighthouseを介してきめ細かい委任された管理者特権 (GDAP) を使用して、すべての顧客を設定できるようになりました。 管理する顧客テナントに対して GDAP を使用してorganizationを設定することで、organizationのユーザーは、顧客テナントをセキュリティで保護しながら作業を行うために必要なアクセス許可を持ちます。 Lighthouse を使用すると、organizationを GDAP にすばやく移行し、顧客への委任されたアクセスの最小特権への移行を開始できます。

委任された管理者特権 (DAP) または GDAP を使用した委任されたアクセスは、顧客テナントを Lighthouse に完全にオンボードするための前提条件です。 そのため、顧客との GDAP 関係を作成することが、Lighthouse で顧客テナントを管理するための最初の手順となる場合があります。

GDAP セットアップ プロセス中に、organizationに必要なサポート ロールとセキュリティ グループを構成することで、GDAP テンプレートを作成します。 次に、顧客テナントを GDAP テンプレートに割り当てます。 GDAP ロールのスコープは組み込みロールMicrosoft Entraであり、GDAP を設定すると、さまざまなジョブ機能に必要な一連のロールに関する推奨事項が表示されます。

ウォッチ: GDAP を設定する

YouTube チャンネルの他のMicrosoft 365 Lighthouseビデオをご覧ください。

開始する前に

  • パートナー テナントで特定のアクセス許可を持っている必要があります。

    • GDAP セキュリティ グループを確立し、ユーザーを追加し、GDAP テンプレートを作成するには、パートナー テナントのグローバル管理者である必要があります。 このロールは、Microsoft Entra ID で割り当てることができます。

    • GDAP リレーションシップを作成して完了するには、パートナー センターの管理エージェント グループのメンバーである必要があります。

  • Lighthouse で管理する顧客は、パートナー センターで、リセラー関係または既存の委任された関係 (DAP または GDAP) を使用して設定する必要があります。

注:

Lighthouse GDAP テンプレートでは、ロール割り当て可能なセキュリティ グループが使用されます。 これらのグループにユーザーを追加するには、Microsoft Entra ID P1 ライセンスが必要です。 Just-In-Time (JIT) ロールを有効にするには、IDE ガバナンスまたは Microsoft Entra ID P2 ライセンスをMicrosoft Entraする必要があります。

GDAP を初めて設定する

GDAP を初めて設定するときは、次のセクションを順番に完了する必要があります。 完了したら、必要に応じて戻って任意のセクションを編集できます。

GDAP のセットアップ中に問題が発生した場合は、「Microsoft 365 Lighthouse: GDAP のセットアップと管理」の「エラー メッセージと問題のトラブルシューティング」を参照してください。

次の手順をお試しください。

  1. Lighthouse の左側のナビゲーション ウィンドウで、[ホーム] を選択します

  2. [GDAP のセットアップ] カードで、[GDAP のセットアップ] を選択します。

  3. 次のセクションを順番に完了します。

    手順 1: ロールとアクセス許可

    手順 2: GDAP テンプレート

    手順 3: セキュリティ グループ

    手順 4: テナントの割り当て

    手順 5: 確認して完了する

手順 1: ロールとアクセス許可

従業員の職務に基づいて、必要なMicrosoft Entraロールを選択します。

  1. [ロールとアクセス許可] ページで、従業員のジョブ機能に基づいて必要なMicrosoft Entraロールを選択します。 次のいずれかの操作を行います。

    • 推奨されるロールを採用する
    • ロールの選択Microsoft Entra編集

    既定では、Lighthouse には、アカウント マネージャー、サービス デスク エージェント、スペシャリスト、エスカレーション エンジニア、JIT エージェントの 5 つのサポート ロールが含まれています。 [サポート ロールの編集] を選択すると、organizationの設定に合わせてサポート ロールの名前を変更できます。 特定のMicrosoft Entraロールをさまざまなサポート ロールに追加することはできません。たとえば、JIT エージェント サポート ロールのMicrosoft Entraロールを他のサポート ロールに追加することはできません。

    GDAP のセットアップに必要なサポート ロールがない場合は、次の手順で GDAP テンプレートから 1 つ以上を除外できます。

  2. [次へ] を選択します。

  3. [ 保存して閉じる] を 選択して設定を保存し、GDAP セットアップを終了します。

手順 2: GDAP テンプレート

GDAP テンプレートは、次のコレクションです。

  • サポート ロール
  • セキュリティ グループ
  • 各セキュリティ グループ内のユーザー

GDAP テンプレートを作成するには:

  1. [ GDAP テンプレート] ページで、[テンプレートの 作成] を選択 します

  2. テンプレート ウィンドウで、テンプレート名と説明を適切なフィールドに入力します。

  3. 一覧から 1 つ以上のサポート ロールを選択します。

  4. [保存] を選択します。

  5. [次へ] を選択します。

  6. [ 保存して閉じる] を 選択して設定を保存し、GDAP セットアップを終了します。

手順 3: セキュリティ グループ

テンプレートごとに、サポート ロールごとに少なくとも 1 つのセキュリティ グループが必要です。 最初のテンプレートでは、新しいセキュリティ グループを作成しますが、それ以降のテンプレートでは、必要に応じてグループを再利用できます。

  1. [ セキュリティ グループ ] ページで、[ セキュリティ グループの作成] を選択します。

  2. セキュリティ グループ ウィンドウで、名前と説明を入力します。

  3. [ ユーザーの追加] を選択します

  4. [ユーザーの追加] ボックスの一覧から、このセキュリティ グループに含めるユーザーを選択します。

  5. [保存] を選択します。

  6. もう一度 [保存] を選択します。

  7. [次へ] を選択します。

  8. [ 保存して閉じる] を 選択して設定を保存し、GDAP セットアップを終了します。

JIT エージェント セキュリティ グループ ユーザーは、高い特権を持つ GDAP ロールへのアクセスを要求する資格があります。自動的にアクセスすることはできません。 GDAP セットアップの一環として、テナントから JIT 承認者セキュリティ グループを選択して、JIT エージェントからのアクセス要求を承認します。

JIT 承認者セキュリティ グループはロール割り当て可能である必要があります。 GDAP セットアップにセキュリティ グループが表示されない場合は、セキュリティ グループがロール割り当て可能であることを確認します。 ロールの割り当てを管理する方法の詳細については、「Microsoft Entra グループを使用してロールの割り当てを管理する」を参照してください。

GDAP のセットアップが完了すると、JIT エージェントがアクセスを要求するための JIT アクセス ポリシーが作成されます。 Microsoft Entra ID ガバナンス ポータルで作成されたポリシーを確認でき、JIT エージェントはマイ アクセス ポータルからロールへのアクセスを要求できます。 JIT エージェントがアクセスを要求する方法の詳細については、「 リソースへのアクセスを管理する」を参照してください。 承認者が要求を承認する方法の詳細については、「要求の 承認または拒否」を参照してください。

手順 4: テナントの割り当て

各テンプレートに顧客のグループを割り当てます。 各顧客は、1 つのテンプレートにのみ割り当てることができます。 選択すると、その顧客テナントは後続のテンプレートのオプションとして表示されません。 GDAP セットアップを再実行すると、GDAP テンプレートごとのテナント割り当てが保存されます。

  • GDAP テンプレートに新しいテナントを追加するには、GDAP セットアップを再実行します。 保存されたテナントの割り当てを保持し、GDAP テンプレートに割り当てる新しいテナントを選択します。 新しい GDAP リレーションシップは、新しく割り当てられたテナントに対してのみ作成されます。

  • GDAP テンプレートからテナントを削除するには、GDAP セットアップを再実行します。 テナントの割り当てを削除します。 テナントの割り当てを削除しても、以前の割り当てから作成された GDAP リレーションシップは削除されませんが、必要に応じて顧客テナントを別の GDAP テンプレートに再割り当てできます。

[次へ] を選択する前に、GDAP テンプレートに割り当てるすべてのテナントが選択されていることを確認します。 右上隅の検索ボックスを使用して、テナントの一覧をフィルター処理できます。

  1. [ テナントの割り当て ] ページで、作成した GDAP テンプレートに割り当てるテナントを選択します。

  2. [ 次へ ] を選択して次のセクションに移動するか、[ 保存して閉じる ] を選択して設定を保存し、GDAP セットアップを終了します。

手順 5: 確認して完了する

  1. [ 設定の確認 ] ページで、作成した設定を確認して正しいことを確認します。

  2. [完了] を選択します。

適用するように構成した設定には、1 ~ 2 分かかる場合があります。 データを更新する必要がある場合は、プロンプトに従います。 [完了] を選択せずに GDAP セットアップを終了すると、セットアップが不完全になります。

注:

既存の DAP 関係を持つお客様の場合、これらの設定は自動的に適用されます。 GDAP セットアップの最後のページでアクティブ状態の顧客は、GDAP テンプレートで定義されているロールとセキュリティ グループに割り当てられます。

注:

既存の DAP 関係を持たないお客様の場合は、GDAP セットアップの最後のページで顧客ごとに管理者関係要求リンクが生成されます。 そこから、顧客のグローバル管理者にリンクを送信して、管理者の関係を承認できます。 リレーションシップが承認されると、GDAP テンプレート設定が適用されます。 Lighthouse に変更が表示されるまで、リレーションシップの承認後に最大 1 時間かかる場合があります。

GDAP セットアップが完了したら、さまざまな手順に移動して、ロール、セキュリティ グループ、またはテンプレートを更新または変更できます。 GDAP リレーションシップがパートナー センターに表示され、セキュリティ グループが Microsoft Entra ID で表示されるようになりました。

関連コンテンツ

アクセス許可の概要 (記事)
エラー メッセージと問題のトラブルシューティング (記事)
ポータルのセキュリティを構成する (記事)
詳細な委任された管理者特権 (GDAP) の概要 ( 記事)
組み込みロールのMicrosoft Entra (記事)
Microsoft Entra ID のグループとアクセス権について説明します (記事)
Microsoft Entraエンタイトルメント管理とは (記事)