GDAP に関してよく寄せられる質問

対象ロール: パートナー センターに関心があるすべてのユーザー

きめ細かい委任された管理者アクセス許可 (GDAP) を使用すると、パートナーは顧客のワークロードに、より細かく期限付きの方法でアクセスできます。これは、顧客のセキュリティ上の懸念に対処するのに役立ちます。

GDAP を使用すると、パートナーは、高レベルのパートナー アクセスに不快な可能性がある顧客に、より多くのサービスを提供できます。

GDAP は、規制要件を持つお客様がパートナーに最小限の特権アクセスのみを提供する場合にも役立ちます。

GDAP の設定

GDAP リレーションシップを要求できるユーザー

パートナー組織の管理者エージェント ロールを持つユーザーは、GDAP リレーションシップ要求を作成できます

顧客が何もアクションを実行しない場合、GDAP リレーションシップ要求の有効期限は切れますか?

はい。 GDAP リレーションシップ要求は、90 日後に期限切れになります。

GDAP と顧客との関係を永続的にすることはできますか?

いいえ。 セキュリティ上の理由から、お客様との永続的な GDAP リレーションシップを使用することはできません。 GDAP リレーションシップの最大期間は 2 年です。 [自動拡張] を [有効]設定すると、管理者関係を 6 か月延長するか、または自動拡張が [無効] に設定されるまで延長できます。

GDAP 関係はエンタープライズ契約をサポートしていますか?

いいえ。GDAP リレーションシップは、エンタープライズ契約を通じて購入されたサブスクリプションをサポートしていません。

GDAP と顧客の自動rerenew/auto extend の関係は可能ですか?

はい。 GDAP リレーションシップは、終了するか、自動拡張が無効に設定されるまで、6 か月間自動拡張できます。

GDAP と顧客の関係が期限切れになった場合の対処方法

顧客との GDAP 関係の有効期限が切れた場合は、 GDAP リレーションシップ をもう一度要求します。

GDAP リレーションシップ分析を使用 して、GDAP リレーションシップの 有効期限を追跡し、更新の準備を行うことができます。

お客様は GDAP 関係をどのように延長または更新できますか?

GDAP リレーションシップを延長または更新するには、パートナーまたは顧客が [自動拡張] を [有効] に設定する必要があります。 詳細については、 GDAP 自動拡張API の管理に関するページを参照してください。

アクティブな GDAP の有効期限が間もなく自動更新されるように更新できますか?

はい。GDAP がアクティブな場合は、拡張できます。

自動拡張はいつ動作しますか?

たとえば、自動拡張が [有効] に設定された状態で GDAP が 365 日間作成されるとします。 365 日目に、終了日は実質的に 180 日更新されます。

自動拡張が [有効] または [無効] の間で切り替えられると、メールは送信されますか?

パートナーと顧客に電子メールは送信されません。

PLT (パートナー主導ツール)、MLT (Microsoft Led Tool)、パートナー センター UI、パートナー センター API を使用して作成された GDAP を自動拡張できますか?

はい。アクティブな GDAP は自動拡張できます。

いいえ。既存のアクティブな GDAP に対して自動拡張を有効に設定するために、お客様の同意は必要ありません。

自動拡張後にセキュリティ グループに詳細なアクセス許可を再割り当てする必要がありますか?

いいえ。セキュリティ グループに割り当てられた詳細なアクセス許可はそのまま続行されます。

グローバル管理者ロールとの管理者関係を自動拡張できますか?

いいえ。全体管理者ロールとの管理者関係を自動拡張することはできません。

[顧客] ワークスペースに [期限切れの詳細なリレーションシップ] ページが表示されないのはなぜですか?

[ 期限切れの詳細なリレーションシップ] ページは、グローバル管理者ロールと管理エージェント ロールを持つパートナー ユーザーのみが使用できます。

このページは、異なるタイムライン間で期限切れの CSP をフィルター処理するのに役立ち、1 つ以上の GDP の自動更新 (有効化/無効化) を更新するのに役立ちます。

GDAP リレーションシップの有効期限が切れると、顧客の既存のサブスクリプションに影響がありますか?

いいえ。 GDAP リレーションシップの有効期限が切れたときに、顧客の既存のサブスクリプションに変更はありません。

アカウントからロックアウトされ、パートナーからの GDAP 関係要求を受け入れられない場合、お客様はパスワードと MFA デバイスをリセットするにはどうすればよいですか?

ガイダンスについては、「Microsoft Entra 多要素認証に関する問題のトラブルシューティング」を参照してください。また、Microsoft Entra 多要素認証を使用して、電話を紛失した後や電話番号を変更した後にクラウド サービスにサインインすることはできません。

顧客管理者がアカウントからロックアウトされ、パートナーからの GDAP 関係要求を受け入れられない場合、管理者パスワードと MFA デバイスをリセットするためにパートナーはどのようなロールが必要ですか?

パートナーは、ユーザー (管理者または管理者以外) のパスワードと認証方法をリセットできるように、最初の GDAP の作成時に特権認証管理者 Microsoft Entra ロールを要求する必要があります。 特権認証管理者ロールは、MLT (Microsoft Led Tool) によって設定されるロールの一部であり、顧客の作成フロー中に既定の GDAP で使用できるようになる予定です (9 月に予定)。

パートナーは、顧客管理者にパスワードのリセットを試してもらう可能性があります。 予防措置として、パートナーは顧客に対して SSPR (セルフサービス パスワード リセット) を設定する必要があります。 「ユーザーが自分のパスワードをリセットできるようにする」を参照してください。

GDAP 関係終了通知メールを受信するユーザー

パートナー組織内では、管理者エージェント ロールを持つユーザーは終了通知を受け取ります。

顧客組織内で、グローバル管理者ロールを持つユーザーは終了通知を受け取ります。

顧客がアクティビティ ログで GDAP を削除したタイミングを確認できますか?

はい。 パートナーは、パートナー センターのアクティビティ ログで顧客が GDAP を削除するタイミングを確認できます。

すべての顧客と GDAP 関係を作成する必要がありますか?

いいえ。 GDAP は、顧客のサービスをより細かく期限付きの方法で管理したいパートナー向けのオプション機能です。 GDAP リレーションシップを作成する顧客を選択できます。

複数の顧客がいる場合、それらの顧客に対して複数のセキュリティ グループが必要ですか?

その答えは、顧客を管理する方法によって異なります。

  • パートナー ユーザーがすべての顧客を管理できるようにする場合は、すべてのパートナー ユーザーを 1 つのセキュリティ グループに配置し、1 つのグループですべての顧客を管理できます。

  • さまざまなパートナー ユーザーがさまざまな顧客を管理することを希望する場合は、顧客を分離するためにそれらのパートナー ユーザーを個別のセキュリティ グループに割り当てます。

間接リセラーはパートナー センターで GDAP リレーションシップ要求を作成できますか?

はい。 間接リセラー (および間接プロバイダーと直接請求パートナー) は、パートナー センターで GDAP リレーションシップ要求を作成できます。

GDAP を持つパートナー ユーザーが AOBO (代理管理者) としてワークロードにアクセスできないのはなぜですか?

GDAP セットアップの一環として、パートナー ユーザーと共にパートナー テナントで作成されたセキュリティ グループが選択されていることを確認します。 また、目的の Microsoft Entra ロールがセキュリティ グループに割り当てられていることを確認します。 「Microsoft Entra ロールの割り当て」を参照してください

パートナーがブロックされることなく GDAP に移行できるように、条件付きアクセス ポリシーから CSP を除外できるようになりました。

ユーザー を含める - このユーザーの一覧には、通常、組織が条件付きアクセス ポリシーで対象としているすべてのユーザーが含まれます。

条件付きアクセス ポリシーを作成するときに、次のオプションを含めることができます。

  • ユーザーとグループを選択
    • ゲスト ユーザーまたは外部ユーザー (プレビュー)
      • この選択では、特定のゲスト ユーザーまたは外部ユーザーの種類と、それらの種類のユーザーを含む特定のテナントを、条件付きアクセス ポリシーの対象とするために使用できるいくつかの選択肢を示します。 選択できるゲスト ユーザーまたは外部ユーザーにはいくつか種類があり、複数の選択を行うことができます。
        • クラウド ソリューション プロバイダー (CSP) などのサービス プロバイダー ユーザー。
      • 選択したユーザーの種類に対して 1 つまたは複数のテナントを指定することも、すべてのテナントを指定することもできます。

外部パートナー アクセス - 外部ユーザーを対象とする条件付きアクセス ポリシーは、サービス プロバイダーのアクセス (詳細な委任された管理者特権など) に干渉する可能性があります。 詳細については、「詳細な委任された管理者特権 (GDAP) の概要」を参照してください。 サービス プロバイダー テナントを対象とするポリシーの場合は、「ゲスト ユーザーまたは外部ユーザー」の選択オプションで選択できる外部ユーザーの種類であるサービス プロバイダー ユーザーを使用します。

特定の Microsoft Entra 組織のゲストおよび外部ユーザーの種類を対象とする CA ポリシー UX のスクリーンショット。

ユーザーを 除外する - 組織がユーザーまたはグループを含める場合と除外する場合、除外アクションによってポリシーに含めるアクションがオーバーライドされるため、ユーザーまたはグループはポリシーから除外されます。

条件付きアクセス ポリシーを作成するときに除外するには、次のオプションを使用できます。

  • ゲストまたは外部ユーザー
    • この選択では、特定のゲスト ユーザーまたは外部ユーザーの種類と、それらの種類のユーザーを含む特定のテナントを、条件付きアクセス ポリシーの対象とするために使用できるいくつかの選択肢を示します。 選択できるゲスト ユーザーまたは外部ユーザーにはいくつか種類があり、複数の選択を行うことができます。
      • サービス プロバイダー ユーザー (クラウド ソリューション プロバイダー (CSP) など)
    • 選択したユーザーの種類に対して 1 つまたは複数のテナントを指定することも、すべてのテナントを指定することもできます。

CA ポリシーのスクリーンショット。

詳細については、以下を参照してください:

パートナー様向け Premier サポートはありますが、サポート チケットを作成するには GDAP 関係が必要ですか?

はい。サポート プランに関係なく、パートナー ユーザーが顧客のサポート チケットを作成できる最も特権の低いロールは、サービス サポート管理者です。

承認保留中の状態の GDAP はパートナーによって終了できますか?

いいえ。パートナーは現在、承認保留中の状態で GDAP を 終了できません。 顧客がアクションを実行しない場合、90 日以内に有効期限が切れます。

GDAP リレーションシップが終了した後、同じ GDAP リレーションシップ名を再利用して新しいリレーションシップを作成できますか?

GDAP リレーションシップが終了または期限切れになった後、365 日後 (クリーンアップ) 後にのみ、同じ名前を再利用して新しい GDAP リレーションシップを作成できます。

あるリージョンのパートナーは、異なるリージョンで顧客を管理できますか?

はい。パートナーは、顧客リージョンごとに新しいパートナー テナントを作成することなく、リージョン間で顧客を管理できます。 これは GDAP (管理者リレーションシップ) によって提供される顧客管理ロールにのみ適用されることに注意してください。 トランザクションの役割と機能は、引き続き承認された担当地域に 限定されます

サービス プロバイダーはマルチテナント組織に参加できますか?

いいえ。サービス プロバイダーはマルチテナント組織に参加できず、相互に排他的です。

GDAP API

顧客との GDAP 関係を作成するために API を使用できますか?

API と GDAP の詳細については、パートナー センターの開発者向けドキュメントを 参照してください

運用環境でベータ GDAP API を使用できますか?

はい。 パートナーは運用環境で ベータ版 GDAP API を 使用し、使用可能になったら後で API v.1 に切り替えすることをお勧めします。

"運用アプリケーションでのこれらの API の使用はサポートされていません" という警告がありますが、一般的なガイダンスは Graph のベータ版 API 用であり、ベータ GDAP Graph API には適用されません。

異なる顧客との複数の GDAP リレーションシップを一度に作成することはできますか?

はい。 GDAP リレーションシップは API を使用して作成できるため、パートナーはこのプロセスをスケーリングできます。 ただし、パートナー センターでは、複数の GDAP リレーションシップを作成することはできません。 API と GDAP の詳細については、パートナー センターの開発者向けドキュメントを 参照してください

1 つの API 呼び出しを使用して GDAP リレーションシップに複数のセキュリティ グループを割り当てることはできますか?

API は一度に 1 つのセキュリティ グループに対して機能しますが、パートナー センターで複数のセキュリティ グループを複数のロールにマップできます。

アプリケーションに対して複数のリソースのアクセス許可を要求するにはどうすればよいですか?

リソースごとに個別の呼び出しを行います。 1 つの POST 要求を行う場合は、1 つのリソースとそれに対応するスコープのみを渡します。

たとえば、両方 https://graph.windows.net/Directory.AccessAsUser.All のアクセス許可を要求するには https://graph.microsoft.com/Organization.Read.All、それぞれ 1 つずつ、2 つの異なる要求を行います。

特定のリソースのリソース ID を見つけるにはどうすればよいですか?

指定されたリンクを使用して、リソース名を検索します 。サインイン レポートでファースト パーティの Microsoft アプリケーションを確認する - Active Directory。 例:

リソース ID を検索するには (例: 00000003-0000-0000-c000-00000000000000 graph.microsoft.com)。

サンプル アプリの [マニフェスト] 画面のスクリーンショット。リソース ID が強調表示されています。

"リソース 'ServicePrincipal' のプロパティ 'appId' に指定されたサポートされていないクエリ フィルター句または無効なクエリ フィルター句" というメッセージで "Request_UnsupportedQuery" というエラーが発生した場合はどうすればよいですか?

通常、このエラーは、クエリ フィルターで正しくない識別子が使用されている場合に発生します。

これを解決するには、リソース名ではなく、適切なリソース ID で enterpriseApplicationId プロパティを使用していることを確認します。

  • 不適切な要求

    enterpriseApplicationId の場合は、graph.microsoft.com のようなリソース名を使用しないでください。

    enterpriseApplicationId が graph.microsoft.com を使用している間違った要求のスクリーンショット。

  • 正しい要求

    代わりに、enterpriseApplicationId の場合は、リソース ID (00000003-0000-0000-c000-000000000000 など) を使用します。

    enterpriseApplicationId が GUID を使用する正しい要求のスクリーンショット。

顧客テナントに既に同意されているアプリケーションのリソースに新しいスコープを追加するにはどうすればよいですか?

例: 以前の graph.microsoft.com リソースの "プロファイル" スコープのみが同意されました。 次に、profile と user.read も追加します。

以前に同意したアプリケーションに新しいスコープを追加するには:

  1. DELETE メソッドを使用して、顧客のテナントから既存のアプリケーションの同意を取り消します。

  2. POST メソッドを使用して、追加のスコープで新しいアプリケーションの同意を作成します。

    Note

    アプリケーションで複数のリソースに対するアクセス許可が必要な場合は、リソースごとに個別に POST メソッドを実行します。

1 つのリソースに複数のスコープを指定操作方法 (enterpriseApplicationId)?

コンマとそれに続くスペースを使用して、必要なスコープを連結します。 例: "scope": "profile, User.Read"

"サポートされていないトークン" というメッセージが表示された "400 Bad Request" エラーが表示された場合はどうすればよいですか。 承認コンテキストを初期化できません"?
  1. 要求本文の 'displayName' プロパティと 'applicationId' プロパティが正確であり、顧客テナントに同意しようとしているアプリケーションと一致していることを確認します。

  2. 同じアプリケーションを使用して、顧客テナントに同意しようとしているアクセス トークンを生成していることを確認します。

    例: アプリケーション ID が "12341234-1234-1234-12341234" の場合、アクセス トークンの "appId" 要求も "12341234-1234-1234-12341234" である必要があります。

  3. 次のいずれかの条件が満たされていることを確認します。

    • アクティブな委任された管理者特権 (DAP) があり、ユーザーはパートナー テナントの管理エージェント セキュリティ グループのメンバーでもあります。

    • 次の 3 つの GDAP ロールのうち少なくとも 1 つを持つ Customer テナントとのアクティブな詳細な委任された管理者特権 (GDAP) 関係があり、アクセス割り当てが完了しました。

      • グローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者ロール。
      • パートナー ユーザーは、アクセス割り当てで指定されたセキュリティ グループのメンバーです。

ロール

Azure サブスクリプションにアクセスするには、どの GDAP ロールが必要ですか?
特定のタスクに対してユーザーに割り当てることができる最小限の特権ロールに関するガイダンスはありますか?

はい。 Microsoft Entra で最小限の特権ロールを割り当てることでユーザーの管理者権限を制限する方法については、Microsoft Entra のタスク別の最小特権ロールを参照してください

顧客のテナントに割り当てることができ、引き続き顧客のサポート チケットを作成できる最小限の特権ロールは何ですか?

サービス サポート管理者ロールを割り当てることをお勧めします。 詳細については、Microsoft Entra のタスク別の最小特権ロールに関するページを参照してください

2024 年 7 月にパートナー センター UI で利用可能になった Microsoft Entra ロールはどれですか?

Microsoft Entra ロール間のギャップを減らすために使用できます。 パートナー センター API と UI は、以下の 9 つのロールの一覧で、2024 年 7 月にパートナー センター UI で利用可能になりました。

  • [コラボレーション] の下:

    • Edge 管理者
    • 仮想アクセス管理者
    • Viva Goals 管理者
    • Viva Pulse 管理者
    • Yammer 管理者
  • [ID] で、次を行います。

    • ermissions Management の管理者
    • ライフサイクル ワークフロー管理者
  • [その他] の下:

    • 組織ブランド化管理者
    • 組織メッセージ承認者
すべての Microsoft Entra ロールが除外されている GDAP 関係の顧客のサポート チケットを開くことができますか?

いいえ。 パートナー ユーザーが顧客のサポート チケットを作成できる最小限の特権ロールは、サービス サポート管理者です。 そのため、顧客のサポート チケットを作成できるようにするには、パートナー ユーザーがセキュリティ グループに属し、そのロールを持つその顧客に割り当てられている必要があります。

GDAP に含まれるすべてのロールとワークロードに関する情報はどこで確認できますか?

すべてのロールの詳細については、Microsoft Entra の組み込みロールを参照してください

ワークロードの詳細については、「詳細な委任された管理者特権 (GDAP) でサポートされるワークロード」を参照してください

Microsoft 365 管理 センターへのアクセス権を付与する GDAP ロールは何ですか?

Microsoft 365 管理 センターには多くのロールが使用されます。 詳細については、「よく使用される Microsoft 365 管理センターの役割」を参照してください。

GDAP 用のカスタム セキュリティ グループを作成できますか?

はい。 セキュリティ グループを作成し、承認されたロールを割り当ててから、そのセキュリティ グループにパートナー テナント ユーザーを割り当てます。

どの GDAP ロールが顧客のサブスクリプションへの読み取り専用アクセス権を与えるので、ユーザーが管理できないようにしますか?

顧客のサブスクリプションへの読み取り専用アクセスは、グローバル閲覧者、ディレクトリ閲覧者およびパートナー層 2 のサポート ロールによって提供されます。

パートナー エージェント (現在は管理者エージェント) に、顧客テナントを管理するが、顧客のサブスクリプションを変更しない場合は、どのようなロールを割り当てる必要がありますか?

パートナー エージェントを管理エージェント ロールから削除し、GDAP セキュリティ グループにのみ追加することをお勧めします。 そうすることで、サービス (サービス管理やログ サービス要求など) を管理できますが、サブスクリプションの購入と管理 (数量の変更、取り消し、変更のスケジュールなど) は行えません。

顧客がパートナーに GDAP ロールを付与し、その後、ロールを削除したり、GDAP 関係を切断したりした場合はどうなりますか?

リレーションシップに割り当てられているセキュリティ グループは、その顧客にアクセスできなくなります。 顧客が DAP 関係を終了した場合も同じことが起こります。

パートナーは、顧客とのすべての GDAP 関係を削除した後も、顧客の取引を続行できますか?

はい。顧客との GDAP リレーションシップを削除しても、パートナーの顧客とのリセラー関係は終了しません。 パートナーは引き続き顧客の製品を購入し、Azure 予算やその他の関連アクティビティを管理できます。

GDAP 関係の一部のロールと顧客との間に、他のロールよりも有効期限が長い場合がありますか?

いいえ。 GDAP リレーションシップ内のすべてのロールの有効期限は、リレーションシップの作成時に選択された期間と同じです。

パートナー センターで新規および既存の顧客の注文を処理するために GDAP は必要ですか?

いいえ。 新規および既存の顧客の注文を満たすために GDAP は必要ありません。 同じプロセスを引き続き使用して、パートナー センターで顧客注文を処理できます。

すべての顧客に 1 つのパートナー エージェント ロールを割り当てる必要があるか、1 人の顧客のみにパートナー エージェント ロールを割り当てることができますか?

GDAP リレーションシップは顧客ごとに行われます。 顧客ごとに複数のリレーションシップを持つことができます。 各 GDAP リレーションシップは、異なるロールを持ち、CSP テナント内で異なる Microsoft Entra グループを使用できます。

パートナー センターでは、ロールの割り当ては顧客と GDAP の関係レベルで機能します。 複数顧客のロール割り当てを行う場合は、API を使用して自動化できます。

パートナー ユーザーは GDAP ロールとゲスト アカウントを持つことができますか?

ゲスト アカウントは GDAP では機能しません。 GDAP を機能させるには、ゲスト アカウントを削除する必要があります。

Azure サブスクリプションのプロビジョニングに DAP/GDAP が必要ですか?

いいえ。Azure プランを購入し、顧客のために Azure サブスクリプションをプロビジョニングするために DAP や GDAP は必要ありません。 顧客の Azure サブスクリプションを作成するプロセスについては 、「パートナーの顧客のサブスクリプションの作成 - Microsoft Cost Management + Billing」を参照してください。 既定では、パートナーの テナントの管理エージェント グループは、顧客用にプロビジョニングされた Azure サブスクリプションの所有者になります。 パートナー センター ID を使用して Azure portal にサインインします。

顧客へのアクセスをプロビジョニングするには、GDAP 関係が必要です。 GDAP リレーションシップには、少なくともディレクトリ 閲覧者の Microsoft Entra ロールを含める必要があります。 Azure でアクセスをプロビジョニングするには、アクセス制御 (IAM) ページを使用します。 AOBO の場合は、パートナー センターにサインインし、[サービス管理] ページを使用して顧客へのアクセスをプロビジョニングします。

GDAP でサポートされている Microsoft Entra ロールはどれですか?

GDAP は現在、Microsoft Entra 組み込みロールのみをサポートしています。 カスタム Microsoft Entra ロールはサポートされていません。

GDAP 管理者と B2B ユーザーが認証方法を aka.ms/mysecurityinfo に追加できないのはなぜですか?

GDAP ゲスト管理者は、マイ セキュリティ情報独自のセキュリティ情報を管理できません。 代わりに、セキュリティ情報の登録、更新、または削除について、ゲストであるテナント管理者の支援が必要になります。 組織は、信頼された CSP テナントから MFA を信頼するようにテナント間アクセス ポリシーを構成できます。 それ以外の場合、GDAP ゲスト管理者は、テナント管理者が登録できる方法 (SMS または音声) のみに制限されます。 詳細については、テナント間アクセス ポリシーに関するページを参照してください

パートナーはどのようなロールを使用して自動拡張を有効にできますか?

ゼロ トラストの基本原則に合わせて:最小限の特権アクセスを使用します。

  • GDAP でサポートされる詳細な委任された管理者特権 (GDAP) でサポートされるワークロードでは、タスクおよびワークロード タスクによって最小限の特権ロールを使用することをお勧めします。
  • 一覧表示されている既知の問題を回避する必要がある場合は、顧客と協力して、期限付きのグローバル管理者ロールを要求してください。
  • グローバル管理者ロールをすべての Microsoft Entra ロールに置き換えることはお勧めしません。

DAP と GDAP

GDAP は DAP を置き換えますか?

はい。 移行期間中、DAP と GDAP は共存し、GDAP アクセス許可は Microsoft 365、Dynamics 365Azure ワークロードの DAP アクセス許可よりも優先されます。

DAP を引き続き使用できますか。それとも、すべての顧客を GDAP に移行する必要がありますか?

移行期間中は DAP と GDAP が共存します。 ただし、GDAP は最終的に DAP を置き換え、パートナーと顧客に対してより安全なソリューションを提供します。 継続性を確保するために、できるだけ早く顧客を GDAP に移行することをお勧めします。

DAP と GDAP が共存している間、DAP リレーションシップの作成方法に変更はありますか?

DAP と GDAP が共存している間、既存の DAP リレーションシップ フローに変更はありません。

顧客の作成の一部として既定の GDAP に付与される Microsoft Entra ロールは何ですか?

DAP は現在、新規顧客テナントの作成時に付与されます。 2023 年 9 月 25 日から、Microsoft は新しい顧客の作成のために DAP を付与しなくなり、代わりに特定のロールを持つ既定の GDAP を付与します。 次の表に示すように、既定のロールはパートナーの種類によって異なります。

既定の GDAP に付与された Microsoft Entra ロール 直接請求パートナー 間接プロバイダー 間接リセラー ドメイン パートナー コントロール パネル ベンダー (CPV) Advisor 既定の GDAP のオプトアウト (DAP なし)
1. ディレクトリ リーダー。 基本的なディレクトリ情報を読み取ることができます 通常、アプリケーションとゲストへのディレクトリ 読み取りアクセスを許可するために使用されます。 x x x x x
2. ディレクトリ ライター。 基本的なディレクトリ情報の読み取りと書き込みを実行できます。 これは、ユーザーではなく、アプリケーションへのアクセスを許可するためのものです。 x x x x x
3. ライセンス管理者。 ユーザーおよびグループの製品ライセンスを管理できます。 x x x x x
4. サービス サポート管理者。 サービス正常性に関する情報を読み取り、サポート チケットを管理することができます。 x x x x x
5. ユーザー管理者。 ユーザーとグループのすべての側面を、制限付きの管理者のパスワードをリセットすることも含めて、管理できます。 x x x x x
6. 特権ロール管理者。 Microsoft Entra でのロールの割り当てと、Privileged Identity Management のすべての側面を管理できます。 x x x x x
7. ヘルプデスク管理者。 管理者以外およびヘルプ デスク管理者のパスワードをリセットできます。 x x x x x
8. 特権認証管理者。 任意のユーザー (管理者または管理者以外) の認証方法情報を表示、設定、およびリセットするためにアクセスできます。 x x x x x
9. クラウド アプリケーション管理者。 アプリ登録とエンタープライズ アプリのすべての側面 (アプリ プロキシを除く) を作成および管理できます。 x x x x
10. アプリケーション管理者。 アプリ登録とエンタープライズ アプリのすべての側面を作成および管理できます。 x x x x
11. グローバル閲覧者。 グローバル管理者が実行できるすべてを読み取ることができますが、何も更新することはできません。 x x x x x
12. 外部 ID プロバイダー管理者。 Microsoft Entra 組織と外部 ID プロバイダー間のフェデレーションを管理できます。 x
13. ドメイン名管理者。 クラウドおよびオンプレミスのドメイン名を管理できます。 x
GDAP は Microsoft Entra の Privileged Identity Management とどのように連携しますか?

パートナーは、パートナーのテナント内の GDAP セキュリティ グループに Privileged Identity Management (PIM) を実装して、少数の高い特権を持つユーザーのアクセス権を昇格させることができます。Just-In-Time (JIT) を使用して、アクセスの自動削除でパスワード管理者などの高い特権ロールを付与できます。

2023 年 1 月までは、すべての特権アクセス グループ (グループの PIM 機能の以前の名前) がロール割り当て可能なグループに存在する必要がありました。 この制限は削除されました。 これを考えると、PIM でテナントごとに 500 を超えるグループを有効にできますが、ロール割り当て可能なグループは最大 500 個までです。

要約:

  • パートナーは、PIM でロール割り当て可能グループ とロール割り当て不可グループの両方を使用できます 。 これにより、PIM の 500 グループ/テナントの制限が実質的に削除されます。

  • 最新の更新プログラムでは、PIM (UX) にグループをオンボードする方法が 2 つあります。PIM メニューから、または [グループ] メニューから選択できます。 選択方法に関係なく、ネットの結果は同じです。

    • PIM メニューを使用して、ロール割り当て可能なグループまたはロール割り当て不可能なグループをオンボードする機能は既に利用できます。

    • [グループ] メニューを使用して、ロール割り当て可能なグループまたはロール割り当て不可能なグループをオンボードする機能が既に用意されています。

  • 詳細については、「グループの Privileged Identity Management (PIM) (プレビュー) - Microsoft Entra」を参照してください

顧客が Microsoft Azure と Microsoft 365 または Dynamics 365を購入した場合、DAP と GDAP はどのように共存しますか?

GDAP は、すべての Microsoft 商用クラウド サービス (Microsoft 365、Dynamics 365Microsoft Azureおよび Microsoft Power Platform ワークロード) をサポートして一般提供されています。 DAP と GDAP の共存方法と GDAP の優先順位の詳細については、「GDAP が DAP よりも優先される方法」を参照してください

大規模な顧客ベース (たとえば、10,000 の顧客アカウント) があります。 DAP から GDAP への移行操作方法

このアクションは、API によって実行できます。

いいえ。 GDAP に移行しても PEC の収益は影響を受けません。 移行に伴って PAL に変更はなく、PEC を引き続き獲得できます。

DAP/GDAP が削除されたときに PEC は影響を受けますか?
  • パートナーの顧客が DAP のみを持っていて、DAP が削除された場合、PEC は失われません。
  • パートナーの顧客が DAP を持っていて、Office と Azure の GDAP に同時に移行し、DAP が削除された場合、PEC は失われません。
  • パートナーの顧客が DAP を持っていて、GDAP for Office に移行しても、Azure をそのまま維持し (GDAP に移行しない)、DAP が削除された場合、PEC は失われませんが、Azure サブスクリプションへのアクセスは失われます。
  • RBAC ロールが削除されると PEC は失われますが、GDAP を削除しても RBAC は削除されません。
DAP と GDAP の共存中に、GDAP アクセス許可が DAP アクセス許可よりも優先される方法

ユーザーが GDAP セキュリティ グループと DAP 管理エージェント グループ の両方の一部であり 、お客様が DAP と GDAP の両方の関係を持つ場合、パートナー、顧客、ワークロード レベルで GDAP アクセスが優先されます。

たとえば、パートナー ユーザーが特定のワークロードにサインインし、グローバル管理者ロールの DAP とグローバル閲覧者ロールの GDAP がある場合、パートナー ユーザーはグローバル閲覧者のアクセス許可のみを取得します。

GDAP セキュリティ グループのみに GDAP ロールが割り当てられているお客様が 3 人いる場合 (管理者エージェントは割り当てません)。

*Admin agent* および GDAP セキュリティ グループのメンバーとしての異なるユーザー間の関係を示す図。

カスタマー パートナーとのリレーションシップ
顧客 1 DAP (GDAP なし)
顧客 2 DAP + GDAP の両方
顧客 3 GDAP (DAP なし)

次の表では、ユーザーが別の顧客テナントにサインインするタイミングについて説明します。

ユーザーの例 顧客テナントの例 Behavior Comments
ユーザー 1 顧客 1 DAP この例は、そのままの DAP です。
ユーザー 1 顧客 2 DAP 管理エージェント グループへの GDAP ロールの割り当てがないため、DAP の動作が発生します。
ユーザー 1 顧客 3 アクセス権なし DAP 関係がないため、 管理エージェント グループは顧客 3 にアクセスできません。
ユーザー 2 顧客 1 DAP この例は、そのままの DAP です
ユーザー 2 顧客 2 GDAP ユーザーが管理エージェント グループの一部である場合でも、GDAP セキュリティ グループを通じてユーザー 2 に割り当てられた GDAP ロールがあるため、GDAP が DAP よりも優先されます。
ユーザー 2 顧客 3 GDAP この例は GDAP のみの顧客です。
ユーザー 3 顧客 1 アクセス権なし 顧客 1 への GDAP ロールの割り当てはありません。
ユーザー 3 顧客 2 GDAP ユーザー 3 は管理エージェント グループに含まれず、GDAP のみの動作になります。
ユーザー 3 顧客 3 GDAP GDAP のみの動作
DAP を無効にするか、GDAP に移行すると、レガシ コンピテンシーの特典またはソリューション パートナーの指定に影響しますか?

DAP と GDAP は、ソリューション パートナーの指定の対象となる関連付けの種類ではなく、DAP から GDAP への無効化または移行は、ソリューション パートナーの指定の達成には影響しません。 レガシ コンピテンシー特典またはソリューション パートナー特典の更新も影響を受けなくなります。

パートナー センター ソリューション パートナーの指定に 移動して、 ソリューション パートナーの指定の対象となるその他のパートナー関連付けの種類を表示します。

GDAP は Azure Lighthouse でどのように機能しますか? GDAP と Azure Lighthouse は相互に影響しますか?

Azure Lighthouse と DAP/GDAP のリレーションシップについては、Azure リソースへのパスが分離し、並列していると考えてください。そのため、一方を切断してももう一方に影響はありません。

  • Azure Lighthouse のシナリオでは、パートナー テナントのユーザーは顧客テナントにサインインせず、顧客テナントに Microsoft Entra アクセス許可がありません。 Azure RBAC ロールの割り当ては、パートナー テナントにも保持されます。

  • GDAP シナリオでは、パートナー テナントのユーザーが顧客テナントにサインインし、管理者エージェント グループへの Azure RBAC ロールの割り当ても顧客テナントに含まれます。 Azure Lighthouse パスが影響を受けない間は、GDAP パスをブロックできます (ユーザーはサインインできなくなります)。 逆に、GDAP に影響を与えずに Lighthouse のリレーションシップを切断 (プロジェクション) することができます。 詳細については、Azure Lighthouse のドキュメントを参照してください。

GDAP は Microsoft 365 Lighthouse でどのように機能しますか?

間接リセラーまたは直接請求パートナーとして クラウド ソリューション プロバイダー (CSP) プログラムに登録されているマネージド サービス プロバイダー (MSP) は、Microsoft 365 Lighthouse を使用して、任意の顧客テナントの GDAP を設定できるようになりました。 パートナーが GDAP への移行を既に管理している方法はいくつかありますが、このウィザードを使用すると、Lighthouse パートナーはビジネス ニーズに固有のロールの推奨事項を採用できます。 また、Just-In-Time (JIT) アクセスなどのセキュリティ対策を採用することもできます。 また、MSP は Lighthouse を通じて GDAP テンプレートを作成して、最小限の特権を持つ顧客アクセスを可能にする設定を簡単に保存して再適用することもできます。 詳細とデモを表示するには、Lighthouse GDAP セットアップ ウィザード参照してください。

MSP は、Lighthouse 内の任意の顧客テナントに対して GDAP を設定できます。 Lighthouse で顧客のワークロード データにアクセスするには、GDAP または DAP リレーションシップが必要です。 GDAP と DAP が顧客テナントに共存する場合、GDAP が有効なセキュリティ グループの MSP 技術者には GDAP アクセス許可が優先されます。 Microsoft 365 Lighthouse の要件の詳細については、「Microsoft 365 Lighthouse の要件」を参照してください

Azure を使用する顧客がいる場合、Azure サブスクリプションへのアクセスを失うことなく GDAP に移行し、DAP を削除する最善の方法は何ですか?

このシナリオで従うべき適切な順序は次のとおりです。

  1. Microsoft 365 と Azure の両方に対して GDAP リレーションシップを作成します。
  2. Microsoft 365 と Azure の両方のセキュリティ グループに Microsoft Entra ロールを割り当てます。
  3. DAP よりも優先するように GDAP を構成します。
  4. DAP を削除します。

重要

これらの手順に従わないと、Azure を管理している既存の管理者エージェントが、顧客の Azure サブスクリプションにアクセスできなくなる可能性があります。

次のシーケンスを実行すると、 Azure サブスクリプションへのアクセス が失われることがあります。

  1. DAP を削除します。

    DAP を削除しても、必ずしも Azure サブスクリプションへのアクセスが失われるわけではありません。 ただし、現時点では、顧客のディレクトリを参照して Azure RBAC ロールの割り当てを行うことはできません (サブスクリプション RBAC 共同作成者として新しい顧客ユーザーを割り当てるなど)。

  2. Microsoft 365 と Azure の両方の GDAP リレーションシップを一緒に作成します。

    GDAP が設定されるとすぐに、この手順で Azure サブスクリプションにアクセスできなくなる可能性があります。

  3. Microsoft 365 と Azure の両方の セキュリティ グループに Microsoft Entra ロールを割り当てる

    Azure GDAP のセットアップが完了すると、Azure サブスクリプションへのアクセスが回復します。

DAP なしで Azure サブスクリプションを使っている顧客がいます。 それらを MICROSOFT 365 用 GDAP に移行すると、Azure サブスクリプションにアクセスできなくなりますか?

所有者として管理する DAP のない Azure サブスクリプションがある場合は、その顧客に GDAP for Microsoft 365 を追加すると、Azure サブスクリプションへのアクセスが失われる可能性があります。 この問題を回避するには、顧客を Microsoft 365 GDAP に移行すると同時 に、顧客を Azure GDAP に移動します。

重要

これらの手順に従わないと、Azure を管理している既存の管理者エージェントが、顧客の Azure サブスクリプションにアクセスできなくなる可能性があります。

いいえ。 一度受け入れられたリレーションシップは再利用できません。

DAP を持たない顧客とリセラー関係があり、GDAP 関係のないユーザーとリセラー関係がある場合、Azure サブスクリプションにアクセスできますか?

顧客と既存のリセラー関係がある場合でも、Azure サブスクリプションを管理するには GDAP 関係を確立する必要があります。

  1. Microsoft Entra でセキュリティ グループ (Azure マネージャーなど) を作成します。
  2. ディレクトリ閲覧者ロールを使用して GDAP リレーションシップを作成します。
  3. セキュリティ グループを管理エージェント グループのメンバーにします。

これが完了すると、AOBO を使用して顧客の Azure サブスクリプションを管理できるようになります。 サブスクリプションは CLI/Powershell を使用して管理することはできません。

DAP を持たず、GDAP 関係を持たないお客様向けに Azure プランを作成できますか?

はい。既存のリセラー関係を持つ DAP または GDAP がない場合でも、Azure プランを作成できます。ただし、そのサブスクリプションを管理するには、DAP または GDAP が必要です。

DAP が削除されたときに、[顧客] の [アカウント] ページの [会社の詳細] セクションに詳細が表示されなくなったのはなぜですか?

パートナーが DAP から GDAP に移行する場合、会社の詳細を表示するには、次の内容が設定されていることを確認する必要があります。

  • アクティブな GDAP リレーションシップ。
  • 次のいずれかの Microsoft Entra ロールが割り当てられます:グローバル管理者、ディレクトリ閲覧者、グローバル閲覧者。 セキュリティ グループに詳細なアクセス許可を付与する方法を参照してください。
GDAP リレーションシップが存在する portal.azure.com でユーザー名が "user_somenumber" に置き換えられるのはなぜですか?

CSP が CSP 資格情報を使用して顧客の Azure portal (portal.azure.come) にログインし、GDAP リレーションシップが存在すると、CSP はユーザー名が "user_" の後に数が続いていることがわかります。 DAP のように実際のユーザー名は表示されません。 これは仕様です。

置換を示すユーザー名のスクリーンショット。

新しい顧客を作成して既定の GDAP を付与するための Stop DAP のタイムラインは何ですか?
Tenant type (テナントの種類) 使用可能日 パートナー センター API の動作 (POST /v1/customers)
enableGDAPByDefault: true
パートナー センター API の動作 (POST /v1/customers)
enableGDAPByDefault: false
パートナー センター API の動作 (POST /v1/customers)
要求またはペイロードの変更なし
パートナー センター UI の動作
サンドボックス 2023 年 9 月 25 日 (API のみ) DAP = いいえ。 既定の GDAP = はい DAP = いいえ。 既定の GDAP = いいえ DAP = はい。 既定の GDAP = いいえ 既定の GDAP = はい
実稼働 2023 年 10 月 10 日 (API + UI) DAP = いいえ。 既定の GDAP = はい DAP = いいえ。 既定の GDAP = いいえ DAP = はい。 既定の GDAP = いいえ オプトイン/利用停止: 既定の GDAP
実稼働 2023 年 11 月 27 日 (GA ロールアウトは 12 月 2 日に完了) DAP = いいえ。 既定の GDAP = はい DAP = いいえ。 既定の GDAP = いいえ DAP = いいえ。 既定の GDAP = はい オプトイン/利用停止: 既定の GDAP

パートナーは、既定の GDAP でセキュリティ グループに詳細なアクセス許可を明示的に付与する必要があります。
2023 年 10 月 10 日の時点で、DAP はリセラー関係では使用できなくなりました。 更新された [リセラー関係の要求] リンクはパートナー センター UI で使用でき、API コントラクト "/v1/customers/relationship requests" プロパティ URL は、顧客テナントの管理者に送信される招待 URL を返します。

パートナーは、既定の GDAP のセキュリティ グループに詳細なアクセス許可を付与する必要がありますか?

はい。パートナーは、顧客を管理するために、既定の GDAP のセキュリティ グループに詳細なアクセス許可を明示的に付与する必要があります。

パートナー センターでパートナーとリセラー関係を結び、DAP と GDAP を実行できないパートナーは、どのようなアクションを実行できますか?

DAP または GDAP を使用しないリセラー関係を持つパートナーは、顧客の作成、注文の配置と管理、ソフトウェア キーのダウンロード、Azure RI の管理を行うことができます。 顧客の会社の詳細を表示したり、ユーザーを表示したり、ユーザーにライセンスを割り当てたり、顧客に代わってチケットを記録したり、製品固有の管理センター (Teams 管理センターなど) にアクセスしたり管理したりすることはできません。

パートナーまたは CPV が顧客テナントにアクセスして管理するには、顧客テナントでアプリのサービス プリンシパルに同意する必要があります。 DAP がアクティブな場合、パートナー テナントの管理エージェント SG にアプリのサービス プリンシパルを追加する必要があります。 GDAP では、パートナーはアプリが顧客テナントで同意されていることを確認する必要があります。 アプリが委任されたアクセス許可 (アプリ + ユーザー) を使用し、アクティブな GDAP が 3 つのロール (クラウド アプリケーション管理者、アプリケーション管理者、全体管理者) の同意 API のいずれかを使用できる場合。 アプリがアプリケーションのアクセス許可のみを使用する場合は、テナント全体の管理者同意 URL を使用して、3 つのロール (クラウド アプリケーション管理者、アプリケーション管理者、グローバル管理者) のいずれかを持つパートナーまたは顧客が手動で同意する必要があります。

715-123220 エラーまたは匿名接続に対してパートナーが実行する必要があるアクションは、このサービスに対して許可されていませんか?

次のエラーが表示される場合:

"現時点では、'新しい GDAP リレーションシップの作成' 要求を検証できません。 このサービスでは匿名接続が許可されていないことを推奨します。 エラーでこのメッセージが表示されたと思われる場合は、要求をもう一度試してください。 クリックすると、実行できるアクションについて確認できます。 問題が解決しない場合は、サポートに問い合わせ、メッセージ コード 715-123220 とトランザクション ID: guid を参照してください。

Microsoft への接続方法を変更して、ID 検証サービスを適切に実行できるようにします。これにより、お客様のアカウントが侵害されておらず、Microsoft が準拠する必要がある規制に準拠していることを確認できます。

可能な操作:

  • ブラウザーのキャッシュをクリアします。
  • ブラウザーで追跡防止を無効にするか、例外/セーフ リストに当社のサイトを追加してください。
  • 使用している可能性がある仮想プライベート ネットワーク (VPN) プログラムまたはサービスをオフにします。
  • 仮想マシン (VM) 経由ではなく、ローカル デバイスから直接接続します。

これらの手順を試しても接続できない場合は、IT ヘルプ デスクに問い合わせて設定を確認し、問題の原因を特定できるかどうかを確認することをお勧めします。 会社のネットワーク設定で問題が発生する場合があります。その場合、IT 管理者は、サイトやその他のネットワーク設定の調整をセーフリストに登録することで、問題に対処する必要があります。

オフボード (制限付き、中断) され、オフボードされているパートナーに対して許可される GDAP アクションは何ですか?
  • 制限付き (直接請求): 新しい GDAP (管理者リレーションシップ) を作成できません。 既存の GDAP とそのロールの割り当てを更新できます。
  • 中断 (直接請求/間接プロバイダー/間接リセラー): 新しい GDAP を作成できません。 既存の GDP とそのロールの割り当てを更新することはできません。
  • 制限付き (直接請求) + アクティブ (間接リセラー): 制限付き直接請求の場合: 新しい GDAP (管理者リレーションシップ) を作成できません。 既存の GDAP とそのロールの割り当てを更新できます。 アクティブ間接リセラーの場合: 新しい GDAP を作成でき、既存の CSP とそのロールの割り当てを更新できます。

オフボードされた新しい GDAP を作成できない場合、既存の GDAP とそのロールの割り当てを更新できません。

オファー

Azure サブスクリプションの管理は、GDAP の今回のリリースに含まれていますか?

はい。 GDAP の現在のリリースでは、Microsoft 365、Dynamics 365Microsoft Power PlatformMicrosoft Azure のすべての製品がサポートされています。