顧客から代理管理特権を得る

  • [アーティクル]

対象ロール: 管理エージェント | 販売エージェント

顧客の代わりに顧客のサービスまたはサブスクリプションを管理するには、そのサービスに対して GDAP (詳細な委任された管理者特権) を付与する必要があります。 顧客から管理者アクセス許可を取得するには、顧客に admin リレーションシップ (GDAP) を確立するよう招待します。 ユーザーが要求を承認した後セキュリティ グループに細かいアクセス許可をする必要があります。 サービスの管理ポータルにサインインし、代わりにサービスを管理します。

顧客のサービスをプロビジョニングおよび管理する

顧客が要求を受け入れると、パートナー センターの Customers ページに表示されます。 そこから顧客のサービスをプロビジョニングおよび管理できます。

顧客のアカウント、サービス、ユーザー、ライセンスを管理するには、次の手順を使用します。

  1. パートナー センターにサインインし、[顧客] を選択します。
  2. Administer を選択し、名前の近くにある下矢印を選択して顧客のレコードを展開します。
  3. 管理するサービスの管理ポータルを選択します。

重要

顧客は、サービスの管理者ポータルで、管理者のアクセス許可の割り当てを変更したり、削除したりすることができます。 顧客が管理者のアクセス許可を削除すると、関係を再確立するまで、Microsoft に代わってサービス要求を開くことができないことに注意 (および顧客に通知する) 必要があります。

Azure サブスクリプションとリソース管理

各 Azure サブスクリプションには、独自のリソース管理ロールのセットがあります。 クラウド ソリューション プロバイダー (CSP) パートナーが顧客の Azure サブスクリプションを管理するには、そのパートナーに Azure サブスクリプションの 1 つ以上のロールを割り当てる必要があります。 具体的には、次のように使用します。

  1. CSP パートナーが顧客の新しい Azure サブスクリプションをプロビジョニングすると、CSP パートナー テナントの管理エージェント グループに、サブスクリプションの所有者ロールが自動的に割り当てられます。 このロールの割り当てに基づいて、グループのメンバーはサブスクリプションのリソースにアクセスして管理できます。
  2. お客様が Office 365 ポータルを使用してパートナーから委任された管理特権を削除しても、パートナーはサブスクリプションの下の 1 つ以上のロールに引き続き割り当てられている限り、引き続き顧客の Azure サブスクリプションを管理できます。 パートナーが Azure サブスクリプションを管理できないようにするには、顧客がロールの割り当てを削除する必要があります。

委任された管理者特権を持つパートナーを見つけることができます

Office 365 管理ポータル内からテナントに対する管理者特権を持つパートナーを確認するには、次の手順を使用できます。

  1. グローバル管理者として Office 365 管理ポータルにサインインします。
  2. [設定]>[パートナー関係] の順に選択します。
  3. [パートナー関係] ページで、関係しているパートナーと、テナントの代理管理特権を持つパートナーを確認できます。

顧客はパートナーの代理管理特権を管理できる

お客様は、Microsoft Office 365 管理センターの Partner リレーションシップ ページで、Office 365 アカウントに対する権限とアクセス許可を管理できます。 このページでは、お客様は次のことができます。

  1. 関係を持つパートナーと委任された管理者特権を持つパートナーを確認する
  2. テナントからパートナーの代理管理特権を削除する

顧客は、委任された管理者特権をテナントから削除し、サブスクリプションとライセンスの更新のためにお客様との関係を維持することを決定する場合があります。

パートナーから委任された管理特権を削除するには、次の手順を使用できます。

  1. Microsoft 365 管理センターにサインインします。
  2. 削除するパートナーの行を選択します。
  3. [ロールの削除] を選択します。
  4. 確認メッセージが表示されたら、 [はい] を選択します。

重要

Microsoft Entra 管理センター/PowerShell/Graph を使用して Microsoft Entra ロールが割り当てられているパートナーが見つかりません。 代わりに、Office 365 管理ポータルの [パートナー関係] ページを使用して、委任された管理特権がパートナーに割り当てられているかどうかを確認する必要があります。

Microsoft Entra ID の委任された管理者特権

パートナーの Microsoft Entra テナントには、委任された管理に使用される 2 つのセキュリティ グループがあります。 Admin AgentsHelpdesk Agents

顧客が代理管理特権をパートナーに付与する場合:

  1. Admin Agent グループは、顧客の Microsoft Entra テナントのグローバル管理者ロールに割り当てられます。
  2. Helpdesk Agent グループは、顧客の Microsoft Entra テナントのHelpdesk 管理者ロールに割り当てられます。

割り当てられたディレクトリ ロールに基づいて、両方のグループのメンバーは、パートナーの資格情報を使用して顧客の Microsoft Entra テナントと Office 365 サービスにサインインし、顧客に代わって管理できます。

顧客が委任された管理者特権を削除すると、Microsoft Entra ロールの割り当てが削除され、顧客の Microsoft Entra テナントを管理できなくなります。

Windows Auto pilot

CSP パートナーは、パートナー センターから、このような状況で委任された管理者特権がなくても、顧客に対する Autopilot プロファイルを管理できます。

  • 顧客が委任された管理特権を削除しても、パートナーとのリセラー関係を維持している場合は、パートナーは顧客のために引き続き Autopilot プロファイルを管理できます。
  • 自分または別のパートナーが追加した顧客デバイスを管理することができます。
  • ビジネス向け Microsoft Store、教育機関向け Microsoft Store、または Microsoft Intune ポータルを使用して顧客が追加したデバイスを管理することはできません

Autopilot について詳しくは、「Windows Autopilot でデバイスのセットアップを効率化する」をご覧ください。

重要

パートナー センターでの現在の Autopilot 管理エクスペリエンスは、引き続き変更される可能性があります。 この記事の公開時点では、以下の変更が検討されています。