詳細な委任された管理者特権 (GDAP) API の概要
名前空間: microsoft.graph
Microsoft パートナー センター エコシステムの一環として、クラウド ソリューション プロバイダー、付加価値リセラー、または Advisor プログラムの Microsoft パートナーは、顧客のテナントに対して管理操作を実行して、顧客のサービス (Microsoft Entra や Microsoft 365 など) の管理を支援できます。 この機能により、パートナーは顧客テナントでグローバル管理者の役割を無期限に引き受け、潜在的なセキュリティ露出を生み出し、市場の可能性を制限することができました。
きめ細かい委任された管理者特権 (GDAP) は、 ゼロ トラスト サイバーセキュリティ モデルに従って、パートナーに顧客テナントへの最小限の特権アクセスを提供します。 パートナーは GDAP を通じて、顧客の環境へのきめ細かいアクセスを構成して要求し、顧客はこの最小限の特権のアクセスをパートナーに明示的に付与する必要があります。 さらに、パートナーは、顧客テナント管理の特定のロールを一定の時間要求する必要があります。 この制御により、パートナーが顧客のテナントでグローバル管理者ロールを持つ必要がなくなりますが、委任された管理タスクに絶対に必要な特権アクセス許可が少なくなります。
GDAP の詳細については、次を参照してください。
GDAP ワークフロー
GDAP リレーションシップのライフサイクル
次の図は、委任された管理者関係の遷移の状態を示しています。
- delegatedAdminRelationship を作成する
- delegatedAdminRelationship を更新する
- delegatedAdminRelationshipRequest の作成 (アクション: lockForApproval)
- delegatedAdminRelationshipRequest を作成 する (アクション: terminate)
アクションで Create delegatedAdminRelationshipRequest API
lockForApprovalを実行した後、次の URI テンプレートを使用して顧客の招待リンクを作成します。 {adminRelationshipID} は管理者関係要求の ID です。
https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/{adminRelationshipID}
GDAP 要求を承認するための招待リンクを顧客に送信します。 たとえば、 https://admin.microsoft.com/AdminPortal/Home#/partners/invitation/granularAdminRelationships/5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 招待リンクです。ここで 5d027261-d21f-4aa9-b7db-7fa1f56fb163-8777b240-c6f0-4469-9e98-a3205431b836 、 は管理者関係要求 ID です。 お客様が GDAP 要求を承認すると、GDAP 関係はアクティブな状態に移行します。
顧客のテナントの (AOBO) 管理に代わって管理者を有効にするためのワークフローを完了するには、Create accessAssignments API を使用して、委任された管理者関係の新しいアクセス割り当てを作成します。
GDAP 関係のアクセス割り当てのライフサイクル
委任された管理者アクセスの割り当ては、次の図に示す状態遷移を経ます。
GDAP API のユース ケース
このセクションでは、Microsoft パートナーが GDAP API を使用して、顧客の委任された管理者関係をプログラムで管理する方法について説明します。
委任された管理者関係
| ユース ケース | API |
|---|---|
| 任意の顧客による承認のために、新しい委任された管理者関係を作成する 特定の顧客による承認のために、新しい委任された管理者関係を作成する |
delegatedAdminRelationship を作成する |
| パートナーのすべての委任された管理者リレーションシップを一覧表示する 特定の顧客のすべての委任された管理者リレーションシップを一覧表示する |
delegatedAdminRelationships を一覧表示する |
| ID で委任された管理者関係を取得する | delegatedAdminRelationship を取得する |
| 委任された管理者関係を削除する | delegatedAdminRelationship を削除する |
委任された管理者関係要求
| ユース ケース | API |
|---|---|
| 委任された管理者リレーションシップ要求を作成して、顧客の承認のためにリレーションシップをロックするか、既存のリレーションシップを終了します。 | リクエストを作成する |
| ID で委任された管理者関係要求を取得する | delegatedAdminRelationshipRequest を取得する |
| 特定のリレーションシップに対するすべての委任された管理者リレーションシップ要求を一覧表示する | 要求を一覧表示する |
役割の割り当て
| ユース ケース | API |
|---|---|
| 委任された管理者関係の新しい委任された管理者アクセス割り当てを作成する | accessAssignments を作成する |
| 委任された管理者関係のアクセス割り当てを一覧表示する | accessAssignments を一覧表示する |
| ID で委任された管理者関係のアクセス割り当てを取得する | delegatedAdminAccessAssignment を取得する |
| 委任された管理者関係のアクセス割り当てを削除する | delegatedAdminAccessAssignment を削除する |
| 委任された管理者関係のアクセス割り当てのロールの割り当てを更新する | delegatedAdminAccessAssignment を更新する |
実行時間の長い操作
| ユース ケース | API |
|---|---|
| 委任された管理者関係の実行時間の長い操作をすべて一覧表示する | リスト操作 |
| 委任された管理者関係の実行時間の長い操作を取得する | delegatedAdminRelationshipOperation を取得する |
代理管理者のお客様
| ユース ケース | API |
|---|---|
| 委任された管理者のすべての顧客を一覧表示する | delegatedAdminCustomers を一覧表示する |
| ID で 1 人の代理管理者顧客を取得する | delegatedAdminCustomer を取得する |
| 委任された管理者のお客様のサービス管理の詳細を取得する | serviceManagementDetails を一覧表示する |
アクセス許可
委任された管理者リレーションシップを管理するには、呼び出し元のプリンシパルがパートナー テナントにあり、適切な 詳細な委任された管理者特権のアクセス許可が付与されている必要があります。
ゼロ トラスト
この機能は、組織がゼロ トラスト アーキテクチャの 3 つの基本原則に ID を 合わせるのに役立ちます。
- 明確に確認する
- 最小特権を使用する
- 侵害を想定する
ゼロ トラストとその他の方法の詳細については、組織をガイド原則に合わせる方法については、 ゼロ トラスト ガイダンス センターを参照してください。