お客様向けの GDAP 移行に関する FAQ
対象ロール: パートナー センターに関心があるすべてのユーザー
きめ細かい委任された管理者アクセス許可 (GDAP) を使用すると、パートナーは顧客のワークロードに、より細かく期限付きの方法でアクセスできます。これは、顧客のセキュリティ上の懸念に対処するのに役立ちます。
GDAP を使用すると、パートナーは、高レベルのパートナー アクセスに不快な可能性がある顧客に、より多くのサービスを提供できます。
GDAP は、規制要件を持つお客様がパートナーに最小限の特権でアクセスできるようにも役立ちます。
委任された管理特権 (DAP) とは
委任された管理特権 (DAP) を使用すると、パートナーは顧客の代わりに顧客のサービスまたはサブスクリプションを管理できます。
詳細については、「委任された管理特権」を参照してください。
CSP に顧客のテナントへの DAP アクセス許可が付与されたのはいつですか?
- CSP が新しい顧客関係を設定すると、委任された管理者特権 (DAP) が確立されます。
- パートナーがリセラー関係を要求すると、顧客に招待を送信して DAP を確立するオプションがあります。 顧客は要求を受け入れる必要があります。
顧客はテナントへの DAP アクセスを取り消すことができますか?
はい。CSP または顧客のどちらかが DAP アクセスを取り消すことができます。
Microsoft が委任された管理者特権 (DAP) を廃止するのはなぜですか?
DAP は、その寿命と高い特権アクセスにより、セキュリティ攻撃の影響を受けやすくなります。
詳細については、より広範な攻撃を容易にするために委任された管理特権を対象とする NOBELIUM を参照してください。
GDAP とは
きめ細かい委任された管理特権 (GDAP) は、ゼロ トラストサイバーセキュリティ プロトコルに従って最小限の特権アクセスをパートナーに提供するセキュリティ機能です。 これにより、パートナーは、運用とサンドボックスの各環境で、顧客のワークロードへのきめ細かい期限付きのアクセスを構成できます。 この最小特権アクセスは、顧客がパートナーに明示的に付与する必要があります。
詳細については、Microsoft Entra の組み込みロールを参照してください。
GDAP のしくみ
GDAP では、テナント間アクセス ポリシー (XTAP クロステナント アクセスの概要とも呼ばれます) という名前の Microsoft Entra 機能を利用し、CSP パートナーと顧客のセキュリティ モデルを Microsoft ID モデルに合わせて調整します。 CSP パートナーから顧客への GDAP 関係の要求が行われると、1 つ以上の Microsoft Entra 組み込みロールと、日数 (1 ~ 730) で測定された期限付きアクセスが含まれます。 顧客が要求を受け入れると、XTAP ポリシーが顧客のテナントに書き込まれ、限られたロールに同意し、CSP パートナーによって要請された期間が与えられます。
CSP パートナーは複数の GDAP リレーションシップを要求できます。それぞれ独自のロールが制限され、期間が指定されており、以前の DAP リレーションシップよりも柔軟性が高くなります。
GDAP 一括移行ツールとは
GDAP 一括移行ツールは、アクティブな DAP アクセスを GDAP に移行し、従来の DAP アクセス許可を削除するための手段を CSP パートナーに提供します。 アクティブ DAP は、現在確立されている CSP/顧客 DAP リレーションシップとして定義されます。 CSP パートナーは、DAP で確立されたレベルを超えるアクセス権を要求することはできません。
詳細については、GDAP に関してよく寄せられる質問を参照してください。
GDAP 一括移行ツールを実行すると、新しいサービス プリンシパルが顧客のテナントにエンタープライズ アプリケーションとして追加されますか?
はい。GDAP 一括移行ツールは、機能する DAP を使用して、新しい GDAP リレーションシップの確立を承認します。 GDAP リレーションシップが初めて受け入れられると、顧客テナントで 2 つの Microsoft ファーストパーティ サービス プリンシパルが使用されます。
顧客のテナントで作成される 2 つの Microsoft Entra GDAP サービス プリンシパルは何ですか?
| 名前 | アプリケーション ID |
|---|---|
| パートナーのお客様の代理管理 | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| パートナーのお客様の代理管理者オフライン プロセッサ | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
このコンテキストでは、"ファースト パーティ" とは、API 呼び出し時に Microsoft によって暗黙的に同意が提供され、呼び出し OAuth 2.0 Access Token 元 ID のロールまたはアクセス許可をマネージド GDAP リレーションシップに適用するために各 API 呼び出しで検証されることを意味します。
GDAP 関係の 受け入れ時には、283* サービス プリンシパルが必要です。 283* サービス プリンシパルは、XTAP "サービス プロバイダー" ポリシーを設定し、有効期限とロール管理を許可するアクセス許可を準備します。 サービス プロバイダーの XTAP ポリシーを設定または変更できるのは GDAP SP だけです。
A34* ID は GDAP リレーションシップのライフサイクル全体に必要であり、最後の GDAP リレーションシップが終了した時点で自動的に削除されます。 a34* ID の主なアクセス許可と機能は、XTAP ポリシーとアクセス割り当てを管理することです。 顧客管理者は、a34* ID を手動で削除しないでください。 a34* ID は、信頼された有効期限とロール管理のための機能を実装します。 顧客が既存の GDAP リレーションシップを表示または削除するには、admin.microsoft.com ポータルを使用することをお勧めします。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示