CSP (クラウド ソリューション プロバイダー) パートナーである場合、CSP プログラムを通じて顧客用に作成された Azure サブスクリプションには、代理で管理 (AOBO) 機能を使用してあらかじめアクセスできるようになっています。 このアクセスにより、顧客のサブスクリプションを直接サポートし、構成し、管理することができます。
Azure Lighthouse を使用すると、AOBO と共に Azure の委任されたリソース管理を使用できます。 このアプローチは、ユーザーに対してより細かいアクセス許可を有効にすることで、セキュリティを向上させ、不要なアクセスを減らすのに役立ちます。 また、テナントでシングル サインインを使用することで、ユーザーが複数の顧客サブスクリプションで作業できるため、効率とスケーラビリティも向上します。
ヒント
お客様のリソースを保護するために、パートナーのセキュリティ要件と共に、推奨されるセキュリティ プラクティスを確認して従ってください。
代理で管理 (AOBO)
AOBO を使用すると、テナント内の管理エージェント ロールを持つすべてのユーザーが、CSP プログラムを通じて作成される Azure サブスクリプションへの AOBO アクセス権を持つことになります。 顧客のサブスクリプションにアクセスする必要のあるすべてのユーザーは、このグループのメンバーである必要があります。 AOBO では、異なる顧客と連携する個別のグループを柔軟に作成したり、グループまたはユーザーに対して異なるロールを有効にしたりすることはできません。
Azure Lighthouse
Azure Lighthouse を使用すると、次の図に示すように、異なる顧客またはロールに異なるグループを割り当てることができます。 Azure の委任されたリソース管理を使用すると、個々のユーザーまたはグループに、顧客のリソースに対して特定のタスクを実行できるロールを付与できます。 ロールは必要に応じて構成できるため、完全な AOBO アクセス権を持つ管理エージェント ロールを持つユーザーの数を減らすことができます。
Azure Lighthouse は、顧客のリソースへの広範なアクセスを制限することで、セキュリティの向上に役立ちます。 また、ユーザーに必要以上のアクセス権を付与することなく、各ユーザーの職務に最も適した Azure 組み込みロール を使用して、複数の顧客を大規模に管理する柔軟性も向上します。
永続的な割り当ての数をさらに最小化するために、適格な認可を作成して、Just-In-Time ベースでユーザーに追加のアクセス許可を付与できます。
CSP プログラムを使用して作成したサブスクリプションをオンボードするには、「Azure Lighthouse への顧客のオンボード」で説明されている手順に従ってください。 お客様のテナント内に管理エージェント ロールを持つすべてのユーザーが、このオンボードを実行できます。
ヒント
プライベート プランを含むマネージド サービス オファーは、クラウド ソリューション プロバイダー (CSP) プログラムのリセラーを通じて確立されたサブスクリプションではサポートされません。 代わりに、Azure Resource Manager テンプレートを使用することで、これらのサブスクリプションを Azure Lighthouse にオンボードできます。
注
Azure portal の [マイ カスタマー] ページに、 [クラウド ソリューション プロバイダー (プレビュー)] セクションが含まれるようになり、Microsoft 顧客契約 (MCA) に署名し、Azure プランに含まれている CSP のお客様の課金情報とリソースが表示されます。 詳しくは、「Microsoft Partner Agreement の課金アカウントの概要」をご覧ください。
CSP のお客様は、Azure Lighthouse にもオンボードされているかどうかに関係なく、このセクションに表示される場合があります。 その場合は、「顧客と委任されたリソースの表示と管理」の説明に従って、[顧客] セクションにも表示されます。 同様に、CSP のお客様は、Azure Lighthouse にオンボードするために、顧客のクラウド ソリューション プロバイダー (プレビュー) セクションに表示する必要はありません。
パートナー ID をリンクして、委任されたリソースに対する影響を追跡する
Microsoft AI Cloud パートナー プログラムのメンバーは、委任された顧客リソースの管理に使用する資格情報にパートナー ID をリンクできます。 パートナー ID をリンクすることで、Microsoft は Azure 顧客の成功を促進するパートナーを特定して認識できます。 また、このリンクにより、CSP (クラウド ソリューション プロバイダー) パートナーは、Microsoft 顧客契約 (MCA) に署名し、Azure プランに従っている顧客に対してパートナー獲得クレジット (PEC) を受け取ることができます。
Azure Lighthouse アクティビティの認識を得るために、 パートナー ID を 管理テナントの少なくとも 1 つのユーザー アカウントにリンクし、リンクされたアカウントがオンボードされた各サブスクリプションにアクセスできることを確認します。 わかりやすくするために、テナントにサービス プリンシパル アカウントを作成し、それをパートナー ID に関連付け、オンボードするすべての顧客に、 パートナー獲得クレジットの対象となる Azure 組み込みロールへのアクセス権を付与します。
詳細については、パートナー ID のリンクを参照してください。
次のステップ
- テナント間の管理エクスペリエンスについて学習します。
- サブスクリプションを Azure Lighthouse にオンボードする方法について学習します。
- Cloud Solution Provider プログラムについて学習します。