Azure プランのサブスクリプションとリソースを管理する

対象のロール: 管理エージェント

この記事では、クラウド ソリューション プロバイダー (CSP) パートナーがさまざまなロールベースのアクセス制御 (RBAC) オプションを使用して、顧客の Azure リソースの運用制御と管理を取得する方法について説明します。

顧客を Azure プランに移行すると、Azure の特権管理者権限が割り当てられます。既定では、 (AOBO) に代わって管理を通じてサブスクリプション所有者の権限が割り当てられます。

注意

Azure サブスクリプションに対する管理権限は、サブスクリプション レベル、リソース グループ レベル、またはワークロード レベルでお客様が削除できます。

パートナーは、ロールベースのアクセス制御機能 (RBAC) で利用できるさまざまなオプションを使用して、CSP で顧客の Azure リソースの継続的な運用制御と管理を行うことができます。

  • 代理で管理 - AOBO を使用すると、パートナー テナントの管理 エージェント ロールを持つすべてのユーザーは、CSP プログラムを通じて作成した Azure サブスクリプションへの RBAC 所有者アクセス権を持ちます。

  • Azure Lighthouse: AOBO には、異なる顧客と連携する個別のグループを作成したり、グループまたはユーザーに対して異なるロールを有効にしたりする柔軟性はありません。 ただし、Azure Lighthouse を使用すると、異なる顧客またはロールに異なるグループを割り当てることができます。 ユーザーは Azure の委任されたリソース管理を通じて適切なレベルのアクセス権を持っているため、管理 エージェント ロールを持つユーザーの数を減らすことができます (そのため、完全な AOBO アクセス権を持ちます)。 これにより、顧客のリソースへの不要なアクセスが制限され、セキュリティが向上します。 また、大規模な複数の顧客をより柔軟に管理できます。 詳細については、「Azure Lighthouse と Cloud Solution Provider プログラム」を参照してください。

  • ディレクトリまたはゲスト ユーザーまたは サービス プリンシパル: 顧客ディレクトリにユーザーを追加するか、ゲスト ユーザーを追加して特定の RBAC ロールを割り当てることで、CSP サブスクリプションへの詳細なアクセスを委任できます。

セキュリティプラクティスとして、Microsoftでは、作業に必要な最小限のアクセス許可をユーザーに割り当てることをお勧めします。 詳細については、「リソースのAzure Active Directory Privileged Identity Management」を参照してください。

次の表は、PartnerID (以前の MPN ID) をさまざまな RBAC アクセス オプションに関連付けるために使用されるメソッドを示しています。

カテゴリ シナリオ PartnerID の関連付け
AOBO CSP 直接パートナーまたは間接プロバイダーは、顧客のサブスクリプションを作成し、CSP 直接パートナーまたは間接プロバイダーを AOBO を使用してサブスクリプションの既定の所有者にします。 CSP 直接パートナーまたは間接プロバイダーは、AOBO を使用して間接リセラーにサブスクリプションへのアクセス権を付与します。 自動 (パートナーの作業は不要)
Azure Lighthouse パートナーは、 Marketplace で新しいマネージド サービス オファーを作成します。 オファーは CSP サブスクリプションで受け入れられ、パートナーは CSP サブスクリプションにアクセスできます。 自動 (パートナーの作業は不要)
Azure Lighthouse パートナーが Azure サブスクリプションに Azure Resource Manager (ARM) テンプレートをデプロイする パートナーは、PartnerID をパートナー テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「 PartnerID をリンクして、委任されたリソースへの影響を追跡する」を参照してください。
ディレクトリまたはゲスト ユーザー パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成し、ユーザーに CSP サブスクリプションへのアクセス権を付与します。 パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成します。 パートナーは、グループにユーザーを追加し、グループへの CSP サブスクリプションへのアクセス権を付与します。 パートナーは、PartnerID を顧客テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「 顧客の管理に使用されるアカウントに PartnerID をリンクする」を参照してください。

管理者アクセス権を持っていることを確認する

顧客のサービスを管理し、獲得したクレジットを受け取るために管理者アクセス権が必要です。 獲得クレジットの詳細については、「 パートナー獲得クレジット」を参照してください。

管理者アクセス権があるかどうかを判断するには:

  • 毎日の使用状況ファイルを確認する: 毎日の使用ファイルの単価と有効な単価を確認し、割引が適用されているかどうかを確認します。 割引を受ける場合は、管理者になります。

Azure Monitor のアラートを作成する

RBAC アクセスが CSP サブスクリプションから削除された場合に通知を受け取るアクティビティ ログ Azure Monitor アラート を作成できます。

Azure Monitor アラートを作成するには:

  1. アラートを作成します

    Azure portalアラートのスクリーンショット。

  2. アラートを実行するアクションの種類を選択します。

    たとえば、メールが必要であることを指定すると、ロールの割り当ての削除が発生した場合に通知するメールが届きます。

    アラートの構成のAzure portalのスクリーンショット。

AOBO の削除

顧客は、Azure portalでAccess Controlに移動して、サブスクリプションへのアクセスを管理できます。 [ ロールの割り当て ] タブで、[アクセス権の 削除] を選択できます。

顧客がお客様のアクセス権を削除した場合は、次のことができます。

ロールベースのアクセス権は、管理者アクセス権とは異なります。 ロールでは、できることと実行できないことが明確に分かれています。 管理者アクセス権の方が広範囲です。

パートナー獲得クレジット (PEC) を獲得できるロールを確認するには、「パートナー獲得クレジット のロールとアクセス許可」を参照してください。

Azure サブスクリプションを取り消す

顧客の Azure プラン サブスクリプションが侵害された場合、パートナーはパートナー センターから Azure サブスクリプションを取り消すことができます。 この機能は、管理 エージェント ロールを持つグローバル管理者のみが使用できます。 これを行うには、次の手順を実行します。

  1. 顧客の一覧から [顧客 ] を選択します
  2. 顧客の Azure サブスクリプションに移動する
  3. サブスクリプションの下にある Azure プラン を選択します
  4. [Azure プランの詳細] ページで、キャンセルする Azure サブスクリプションを選択します
  5. 変更を送信する

これにより、選択した Azure サブスクリプションのみが取り消されます。 Azure プランがまだアクティブな場合、Azure サブスクリプションにアクセスできるお客様は、サブスクリプションを再アクティブ化できます。 これを停止するには、パートナーはすべての Azure サブスクリプションを取り消してから、Azure プラン自体を取り消す必要があります。

パートナーはサブスクリプションを複数選択できますが、一度に 10 個を超えるサブスクリプションを取り消すことはできません。 パートナーは、アクティブな Azure サブスクリプションがない場合に Azure プランをキャンセルできます。 これにより、パートナーは、不適切なアクターが RBAC アクセス許可を削除した場合でも、侵害された可能性のある Azure プランとサブスクリプションをシャットダウンできます。

パートナー センターから取り消された Azure サブスクリプションは、Azure portalでのみ再アクティブ化できます。パートナーが正しい Azure サブスクリプションを取り消していることを確認することが重要です。 キャンセルに対するパートナー センター API のサポートは近日提供される予定です。2022 年 11 月の時点で、ユーザー インターフェイスパートナー センター ポータルでのみこの機能が有効になります。

Azure サブスクリプションのキャンセルの詳細については、Azure のドキュメントを参照してください

次の手順