Azure プランのサブスクリプションとリソースを管理する

  • [アーティクル]

対象のロール: 管理エージェント

この記事では、クラウド ソリューション プロバイダー (CSP) パートナーがさまざまなロールベースのアクセス制御 (RBAC) オプションを使用して、顧客の Azure リソースの運用制御と管理を取得する方法について説明します。

顧客を Azure プランに移行すると、Azure の特権管理者権限 (既定では代理管理者 (AOBO) によるサブスクリプション所有者権限) が割り当てられます。

Note

Azure サブスクリプションに対する管理者権限は、顧客がサブスクリプション レベル、リソース グループ レベル、またはワークロード レベルで削除できます。

パートナーは、ロールベースのアクセス制御機能 (RBAC) で利用できるさまざまなオプションを使用して、CSP で顧客の Azure リソースの継続的な運用制御と管理を行うことができます。

  • 代理管理者 - AOBOでは、パートナー テナントの管理者エージェント ロールを持つすべてのユーザーが、CSP プログラムを通じて作成した Azure サブスクリプションに RBAC 所有者アクセス権を持ちます。

  • Azure Lighthouse: AOBO には、異なる顧客と連携する個別のグループを作成したり、グループまたはユーザーに対して異なるロールを有効にしたりする柔軟性はありません。 ただし、Azure Lighthouse を使用すると、異なる顧客またはロールに異なるグループを割り当てることができます。 ユーザーは Azure の委任されたリソース管理を通じて適切なレベルのアクセス権を持っているため、管理者エージェント ロールを持つ (したがって、完全な AOBO アクセス権を持つ) ユーザーの数を減らすことができます。 これにより、顧客のリソースへの不要なアクセスを制限することで、セキュリティを向上させることができます。 また、大規模な複数の顧客をより柔軟に管理できます。 詳細については、「Azure Lighthouse と Cloud Solution Provider プログラム」を参照してください。

  • ディレクトリユーザーまたはゲスト ユーザーまたは サービス プリンシパル: 顧客ディレクトリにユーザーを追加するか、ゲスト ユーザーを追加して特定の RBAC ロールを割り当てることで、CSP サブスクリプションへの詳細なアクセスを委任できます。

セキュリティプラクティスとして、Microsoft では、作業に必要な最小限のアクセス許可をユーザーに割り当てることをお勧めします。 詳細については、「 Microsoft Entra Privileged Identity Management リソースを参照してください。

次の表に、PartnerID (旧称 MPN ID) をさまざまな RBAC アクセス オプションに関連付けるために使用する方法を示します。

カテゴリ シナリオ PartnerID の関連付け
AOBO CSP 直接パートナーまたは間接プロバイダーは、顧客のサブスクリプションを作成し、CSP 直接パートナーまたは間接プロバイダーを AOBO を使用してサブスクリプションの既定の所有者にします。 CSP 直接パートナーまたは間接プロバイダーは、AOBO を使用して間接リセラーにサブスクリプションへのアクセス権を付与します。 自動 (パートナーの作業は不要)
Azure Lighthouse パートナーは、Marketplace で新しい Managed Service オファーを作成。 オファーは CSP サブスクリプションで受け入れられ、パートナーは CSP サブスクリプションにアクセスできます。 自動 (パートナーの作業は不要)
Azure Lighthouse パートナーが Azure サブスクリプションに Azure Resource Manager (ARM) テンプレート をデプロイする パートナーは、PartnerID をパートナー テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「 パートナー ID をリンクして、委任されたリソースへの影響を追跡するを参照してください。
ディレクトリまたはゲスト ユーザー パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成し、ユーザーに CSP サブスクリプションへのアクセス権を付与します。 パートナーは、顧客のディレクトリに新しいユーザーまたはサービス プリンシパルを作成します。 パートナーは、グループにユーザーを追加し、グループへの CSP サブスクリプションへのアクセス権を付与します。 パートナーは、PartnerID を顧客テナントのユーザーまたはサービス プリンシパルに関連付ける必要があります。 詳細については、「 顧客の管理に使用するアカウントに PartnerID をリンクするを参照してください。

管理者アクセス権を持っていることを確認する

顧客のサービスを管理し、獲得クレジットを受け取るために管理者アクセス権が必要です。 獲得クレジットの詳細については、「 パートナー獲得クレジットを参照してください。

管理者アクセス権があるかどうかを判断するには、次の手順に従います。

  • 毎日の使用状況ファイルを確認します: 1 日の使用状況ファイルの単価と有効単価を確認し、割引が適用されているかどうかを確認します。 割引を受け取っている場合は、管理者になります。

Azure Monitor のアラートを作成する

アクティビティ ログ Azure Monitor アラート を作成して、CSP サブスクリプションから RBAC アクセスが削除された場合に通知を受け取ることができます。

Azure Monitor アラートを作成するには、次の手順に従います。

  1. アラートを作成

    Azure portal アラートのスクリーンショット。

  2. アラートを実行するアクションの種類を選択します。

    たとえば、電子メールが必要であることを指定した場合、ロールの割り当ての削除が発生した場合に通知する電子メールが届きます。

    アラートの構成に関する Azure portal のスクリーンショット。

AOBO の削除

お客様は、Azure portal で Access Control にアクセスすることで、サブスクリプションへのアクセスを管理できます。 [ ロールの割り当て ] タブで、[アクセス権の 削除を選択できます。

顧客がお客様のアクセス権を削除した場合は、次のことができます。

ロールベースのアクセス権は、管理者アクセス権とは異なります。 ロールでは、できることと実行できないことが明確に分かれています。 管理者アクセス権の方が広範囲です。

パートナー獲得クレジット (PEC) を獲得する資格のあるロールについては、「 パートナー獲得クレジットのロールとアクセス許可」を参照してください

Azure プランを中断して再アクティブ化する

パートナーは、Azure プランの詳細ページからパートナー センターで直接 Azure プランを中断または再アクティブ化できます。

  1. パートナー センターの Customersで、顧客アカウントを選択します
  2. 顧客の Azure サブスクリプションに移動する
  3. Azure プランを選択する
  4. [状態: Suspended を選択し、 Submit を選択して Azure プランを中断します。
  5. 状態: Active を選択し、 Submit を選択して Azure プランを再アクティブ化します。

既存の Azure プランに関連付けられているアクティブな使用状況資産 (Azure 使用状況サブスクリプションや Azure 予約など) がなくなった場合にのみ、中断できます。

パートナーは、特定のリセラーと顧客の組み合わせごとに 1 つの Azure プランのみを購入できます。 リセラーの顧客が中断されたプランを持っている場合、その顧客は新しいプランを購入できません。 Azure プランでは取り消しを使用できません。

API による Azure プランの中断については、「 サブスクリプションの使用停止 - パートナー アプリ開発者」を参照してください。

API による Azure プランの再アクティブ化については、「 中断されたサブスクリプションの再アクティブ化 - パートナー アプリ開発者」を参照してください。

Azure サブスクリプションを取り消す

顧客の Azure プラン サブスクリプションが侵害された場合、パートナーはパートナー センターから Azure サブスクリプションを取り消すことができます。 この機能は、管理者エージェント ロールを持つグローバル管理者のみが使用できます。 手順は次のとおりです。

  1. 顧客リストから Customer を選択します
  2. 顧客の Azure サブスクリプションに移動する
  3. Azure プランを選択しますサブスクリプションが
  4. Azure プランの詳細ページで、キャンセルする Azure サブスクリプションを選択します
  5. Cancel サブスクリプションを選択して変更を送信する

これにより、選択した Azure サブスクリプションのみが取り消されます。 Azure サブスクリプションにアクセスできるお客様は、Azure プランがまだアクティブな場合、サブスクリプションを再アクティブ化できます。 この問題が発生しないようにするには、パートナーはすべての Azure サブスクリプションを取り消してから、Azure プラン自体を取り消す必要があります。

パートナーはサブスクリプションを複数選択できますが、一度に 10 個を超えるサブスクリプションを取り消すことはできません。 パートナーは、アクティブな Azure サブスクリプションがない場合に Azure プランを取り消すことができます。 これにより、不適切なアクターが RBAC アクセス許可を削除した場合でも、侵害された可能性のある Azure プランとサブスクリプションをパートナーがシャットダウンできます。

パートナーは、パートナー センター ポータルまたは API を使用して、Azure サブスクリプションを取り消すことができます。 API の詳細については、「 Azure サブスクリプションをする」を参照し 試してみるには、「Azure の使用 - Azure エンタイトルメントの取り消し - REST API」を参照してください。

Azure サブスクリプションの取り消しの詳細については、「 サブスクリプションの取り消し後に何が起こるか」を参照してください。

Azure サブスクリプションを再アクティブ化する

パートナーは、[非アクティブな Azure サブスクリプション] タブを使用して、Azure プランの詳細ページから、顧客の侵害により取り消された Azure サブスクリプションを再アクティブ化できます。この機能は、管理者エージェント ロールを持つグローバル管理者のみが使用できます。 手順は次のとおりです。

  1. 顧客リストから Customer を選択します
  2. 顧客の Azure サブスクリプションに移動する
  3. Azure プランを選択しますサブスクリプションが
  4. Azure プランの詳細ページの Azure サブスクリプション セクションで、 Inactive タブを選択します。
  5. 再アクティブ化する Azure サブスクリプションを選択する
  6. [サブスクリプションの再アクティブ化] を選択して変更を送信

これにより、選択した Azure サブスクリプションのみが再アクティブ化されます。 パートナーはサブスクリプションを複数選択できますが、一度に 10 個を超えるサブスクリプションを再アクティブ化することはできません。 Azure サブスクリプションを再アクティブ化するには、関連付けられている Azure プランがアクティブである必要があります。 パートナーは、Azure プランの詳細ページに移動し、Azure プランの状態をアクティブに更新することで、パートナー センターで直接 Azure プランを再アクティブ化できます。

Azure Portal で顧客または課金所有者によって Azure サブスクリプションが取り消された場合、Azure portal からサブスクリプションを再アクティブ化するには、顧客または課金所有者に連絡する必要があります。

API による再アクティブ化については、「 Azure サブスクリプションを再アクティブ化する - パートナー アプリ開発者」を参照してください。 試してみるには、「 Azure の支出 - Azure エンタイトルメントを再アクティブ化するを参照してください。

Azure サブスクリプションの再アクティブ化の詳細については、 Azure のドキュメントを参照してください。

次のステップ