Microsoft 認定クラウド ソリューション プロバイダー (パートナー) の管理特権を確認する

Microsoft 認定クラウド ソリューション プロバイダー (リセラー パートナー) をお持ちの場合は、委任された管理特権 (DAP) が割り当てられていることを四半期ごとに確認することをお勧めします。 組織が、このパートナーに組織のデータへのアクセス権を付与し、代理で購入することを希望していることを確認します。

注意

グローバル管理者のアクセス許可を含む DAP を任意のパートナーに付与すると、セキュリティ リスクが発生します。 グローバル管理者の数はできるだけ制限することをお勧めします。

リセラー パートナーから DAP 契約に同意すると、組織のグローバル管理者ロールを従業員に割り当てることができます。 グローバル管理者ロールは、パートナーの従業員に従業員の個人データやその他の機密情報へのアクセス権を付与します。 また、次のテナント全体のアクションを実行するアクセス許可も付与されます。

  • ユーザー パスワードを変更する
  • メール アカウントを持つユーザーを追加する
  • 組織に関連付けられている Web ドメインを追加および管理する

DAP が有効になっている場合、パートナーが追加できるグローバル管理者の数を制御することはできません。 アカウントへのパートナー DAP (グローバル管理者) アクセス権のみを付与または拒否できます。

パートナーからのロールの確認と削除

  1. Microsoft 365 管理センター、[設定>パートナー関係] ページに移動します。 DAP を持つパートナーには、[ロール] 列にグローバル管理者が表示されます。
  2. パートナーからグローバル管理者ロールを削除するには、削除するパートナーの名前を見つけます。
  3. リレーションシップの種類としてリセラーがある行を選択します。
  4. パートナーの詳細ページで、[ ロールの削除] を選択し、[ はい] を選択します。

注:

  • パートナーから DAP (グローバル管理者ロール) を削除する場合は、そのパートナーに連絡して、今後のサービス配信について話し合うことをお勧めします。 たとえば、特権が低いユーザー アカウントを作成し、そのアカウント情報をパートナーと共有できます。 詳細については、 ユーザーの追加管理者ロールの割り当てに関するページを参照してください。
  • グローバル管理者ロールが削除された場合でも、パートナーは引き続きお客様に代わって購入できます。 パートナー センターでその機能を削除するようパートナーに依頼することをお勧めします。

パートナー関係を管理する (記事)
管理者ロールについて (記事)
Microsoft Entra ID での委任された管理者特権 (記事)