Azure プランのサブスクリプションとリソースを管理する

対象のロール: 管理エージェント

この記事では、クラウド ソリューション プロバイダー (CSP) パートナーがさまざまなロールベースのアクセス制御 (RBAC) オプションを使用して、顧客の Azure リソースの運用制御と管理を取得する方法について説明します。

顧客を Azure プランに移行すると、Azure の特権管理者権限 (既定では 管理 on Behalf of (AOBO) を介したサブスクリプション所有者の権限) が割り当てられます。

Note

Azure サブスクリプションに対する管理権限は、サブスクリプション レベル、リソース グループ レベル、またはワークロード レベルでお客様が削除できます。

パートナーは、ロールベースのアクセス制御機能 (RBAC) で利用できるさまざまなオプションを使用して、CSP で顧客の Azure リソースの継続的な運用制御と管理を行うことができます。

• 代理管理 - AOBO を使用すると、パートナー テナントの 管理 エージェント ロールを持つすべてのユーザーは、CSP プログラムを使用して作成した Azure サブスクリプションへの RBAC 所有者アクセス権を持ちます。

• Azure Lighthouse: AOBO には、異なる顧客と連携する個別のグループを作成したり、グループまたはユーザーに対して異なるロールを有効にしたりする柔軟性はありません。 ただし、Azure Lighthouse を使用すると、異なる顧客またはロールに異なるグループを割り当てることができます。 ユーザーは Azure の委任されたリソース管理を通じて適切なレベルのアクセス権を持っているため、管理 エージェント ロールを持つ (したがって、完全な AOBO アクセス権を持つ) ユーザーの数を減らすことができます。 これにより、顧客のリソースへの不要なアクセスを制限することで、セキュリティを向上させることができます。 また、大規模な複数の顧客をより柔軟に管理できます。 詳細については、「Azure Lighthouse と Cloud Solution Provider プログラム」を参照してください。

• ディレクトリまたはゲスト ユーザーまたは サービス プリンシパル: 顧客ディレクトリにユーザーを追加するか、ゲスト ユーザーを追加して特定の RBAC ロールを割り当てることで、CSP サブスクリプションへのきめ細かいアクセスを委任できます。

セキュリティプラクティスとして、Microsoft では、作業に必要な最小限のアクセス許可をユーザーに割り当てることをお勧めします。 詳細については、「Microsoft Entra Privileged Identity Management リソース」を参照してください。

PartnerID を資格情報にリンクして、顧客の Azure リソースを管理する

次の表に、PartnerID (旧称 MPN ID) をさまざまな RBAC アクセス オプションに関連付けるために使用する方法を示します。

カテゴリ	シナリオ	PartnerID の関連付け
AOBO	CSP 直接パートナーまたは間接プロバイダーは、顧客のサブスクリプションを作成し、CSP 直接パートナーまたは間接プロバイダーを AOBO を使用してサブスクリプションの既定の所有者にします。 CSP 直接パートナーまたは間接プロバイダーは、AOBO を使用して間接リセラーにサブスクリプションへのアクセス権を付与します。	自動 (パートナーの作業は不要)
Azure Lighthouse	パートナーは、Marketplace で新しい マネージド サービス オファーを作成します。 オファーは CSP サブスクリプションで受け入れられ、パートナーは CSP サブスクリプションにアクセスできます。	自動 (パートナーの作業は不要)
Azure Lighthouse	パートナーが Azure サブスクリプションに Azure Resource Manager (ARM) テンプレート をデプロイする	パートナーは、PartnerID をパートナー テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「PartnerID をリンクして、委任されたリソースへの影響を追跡する」を参照してください。
ディレクトリまたはゲスト ユーザー	パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成し、ユーザーに CSP サブスクリプションへのアクセス権を付与します。 パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成します。 パートナーは、グループにユーザーを追加し、グループへの CSP サブスクリプションへのアクセス権を付与します。	パートナーは、PartnerID を顧客テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「 顧客の管理に使用するアカウントへの PartnerID のリンク」を参照してください。

管理者アクセス権を持っていることを確認する

顧客のサービスを管理し、獲得クレジットを受け取るために管理者アクセス権が必要です。 獲得クレジットの詳細については、「パートナー獲得クレジット」を参照してください。

管理者アクセス権があるかどうかを判断するには、次の手順に従います。

• 毎日の使用状況ファイルを確認する: 1 日の使用状況ファイルの単価と有効単価を確認し、割引が適用されているかどうかを確認します。 割引を受け取っている場合は、管理者になります。

Azure Monitor のアラートを作成する

アクティビティ ログ Azure Monitor アラート を作成して、RBAC アクセスが CSP サブスクリプションから削除された場合に通知を受け取ることができます。

Azure Monitor アラートを作成するには、次の手順に従います。

1. アラートを作成します。

   

2. アラートを実行するアクションの種類を選択します。

   たとえば、電子メールが必要であることを指定した場合、ロールの割り当ての削除が発生した場合に通知する電子メールが届きます。

   

AOBO の削除

お客様は、Azure portal で Access Control にアクセスすることで、サブスクリプションへのアクセスを管理できます。 [ロールの割り当て] タブで、[アクセス権の削除] を選択できます。

顧客がお客様のアクセス権を削除した場合は、次のことができます。

• 顧客と話し、管理者アクセス権を回復できるかどうかを確認します。

• ロールベースのアクセス制御 (RBAC) を介して付与されたアクセス権を使用します。

• Azure Lighthouse を介して付与されたアクセス権を使用します。

ロールベースのアクセス権は、管理者アクセス権とは異なります。 ロールでは、できることと実行できないことが明確に分かれています。 管理者アクセス権の方が広範囲です。

パートナー獲得クレジット (PEC) を獲得できるロールを表示するには、パートナー獲得クレジットのロールとアクセス許可を参照してください。

Azure プランを中断して再アクティブ化する

パートナーは、Azure プランの詳細ページからパートナー センターで直接 Azure プランを中断または再アクティブ化できます。

1. パートナー センターの [顧客] で、顧客アカウントを選択します
2. 顧客 の Azure サブスクリプションに移動する
3. Azure プランを選択する
4. [状態: 中断] を選択し、[送信] を選択して Azure プランを中断します。
5. [状態: アクティブ] を選択し、[送信] を選択して Azure プランを再アクティブ化します。

既存の Azure プランに関連付けられているアクティブな使用状況資産 (Azure 使用状況サブスクリプションや Azure 予約など) がなくなった場合にのみ、中断できます。

パートナーは、特定のリセラーと顧客の組み合わせごとに 1 つの Azure プランのみを購入できます。 リセラーの顧客が中断されたプランを持っている場合、その顧客は新しいプランを購入できません。 Azure プランでは取り消しを使用できません。

API による Azure プランの中断については、「サブスクリプションの中断 - パートナー アプリ開発者」を参照してください。

API による Azure プランの再アクティブ化については、「中断されたサブスクリプションの再アクティブ化 - パートナー アプリ開発者」を参照してください。

Azure サブスクリプションを取り消す

顧客の Azure プラン サブスクリプションが侵害された場合、パートナーはパートナー センターから Azure サブスクリプションを取り消すことができます。 この機能は、管理 エージェント ロールを持つグローバル 管理リストレーターのみが使用できます。 手順は次のとおりです。

1. 顧客の 一覧から顧客 を選択する
2. 顧客 の Azure サブスクリプションに移動する
3. サブスクリプションの 下にある Azure プラン を選択します
4. Azure プランの詳細ページで、キャンセルする Azure サブスクリプションを選択します
5. [サブスクリプションのキャンセル] を選択して変更を送信する

これにより、選択した Azure サブスクリプションのみが取り消されます。 Azure サブスクリプションにアクセスできるお客様は、Azure プランがまだアクティブな場合、サブスクリプションを再アクティブ化できます。 この問題が発生しないようにするには、パートナーはすべての Azure サブスクリプションを取り消してから、Azure プラン自体を取り消す必要があります。

パートナーはサブスクリプションを複数選択できますが、一度に 10 個を超えるサブスクリプションを取り消すことはできません。 パートナーは、アクティブな Azure サブスクリプションがない場合に Azure プランを取り消すことができます。 これにより、不適切なアクターが RBAC アクセス許可を削除した場合でも、侵害された可能性のある Azure プランとサブスクリプションをパートナーがシャットダウンできます。

パートナーは、パートナー センター ポータルまたは API を使用して、Azure サブスクリプションを取り消すことができます。 API の詳細については、Azure サブスクリプションのキャンセルと試用に関するページを参照してください。Azure の使用 - Azure エンタイトルメントの取り消し - REST API に関するページを参照してください。

Azure サブスクリプションの取り消しの詳細については、「サブスクリプションの取り消し後の動作」を参照してください 。

Azure サブスクリプションを再アクティブ化する

パートナーは、[非アクティブな Azure サブスクリプション] タブを使用して、Azure プランの詳細ページから、顧客の侵害により取り消された Azure サブスクリプションを再アクティブ化できます。この機能は、管理 エージェント ロールを持つグローバル 管理リストレーターのみが使用できます。 手順は次のとおりです。

1. 顧客の 一覧から顧客 を選択する
2. 顧客 の Azure サブスクリプションに移動する
3. サブスクリプションの 下にある Azure プラン を選択します
4. Azure プランの詳細ページの [Azure サブスクリプション] セクションで、[非アクティブ] タブを選択します。
5. 再アクティブ化する Azure サブスクリプションを選択する
6. [サブスクリプションの再アクティブ化] を選択して変更を 送信する

これにより、選択した Azure サブスクリプションのみが再アクティブ化されます。 パートナーはサブスクリプションを複数選択できますが、一度に 10 個を超えるサブスクリプションを再アクティブ化することはできません。 Azure サブスクリプションを再アクティブ化するには、関連付けられている Azure プランがアクティブである必要があります。 パートナーは、Azure プランの詳細ページに移動し、Azure プランの状態をアクティブに更新することで、パートナー センターで直接 Azure プランを再アクティブ化できます。

Azure Portal で顧客または課金所有者によって Azure サブスクリプションが取り消された場合、Azure portal からサブスクリプションを再アクティブ化するには、顧客または課金所有者に連絡する必要があります。

API による再アクティブ化については、「Azure サブスクリプションの再アクティブ化 - パートナー アプリ開発者」を参照してください。 試してみるには、「Azure の支出 - Azure エンタイトルメントを再アクティブ化する」を参照してください。

Azure サブスクリプションの再アクティブ化の詳細については、Azure のドキュメントを 参照してください。

次のステップ

• Azure CSP サブスクリプションの管理者特権を復元する

• パートナー獲得クレジット - 概要

• マネージド サービスのパートナー獲得クレジット