GDAP (詳細な委任された管理者特権) でサポートされるワークロード

対象ロール: パートナー センターに関心があるすべてのユーザー

この記事では、詳細な委任された管理者特権 (GDAP) でサポートされるワークロードのタスクの一覧を示します。

次のワークロードがサポートされています。

Microsoft Entra ID

次の機能を除き、すべての Microsoft Entra タスクがサポートされています。

面グラフ 機能 問題点
グループの管理 Microsoft 365 グループの作成、動的メンバーシップ ルールの管理 サポートされていません
デバイス Enterprise State Roaming の設定管理
アプリケーション サインインによるエンタープライズ アプリケーションのインラインへの同意、エンタープライズ アプリケーションの "ユーザー設定" の管理
外部 ID 外部 ID 機能の管理
監視 Microsoft Entra の概要ページのログ分析、診断設定、ブック、および [監視] タブ
[概要] ページ マイ フィード - サインインしているユーザーのロール 正しくないロール情報が表示される場合があります。実際のアクセス許可には影響しません
ユーザー設定 [ユーザー機能] 管理ページ 特定のロールにアクセスできない

既知の問題:

  • GDAP 経由で Entra ロールのセキュリティ閲覧者またはグローバル閲覧者が付与されているパートナーは、PIM が有効になっている顧客テナントの Entra ロールと管理者にアクセスしようとすると、"アクセスなし" エラーが発生します。 グローバル管理者ロールで動作します。

Exchange 管理センター

Exchange 管理センターでは、GDAP で次のタスクがサポートされています。

リソースの種類 リソース サブタイプ 現在のサポート対象 問題点
受信者の管理 メールボックス 共有メールボックスの作成、メールボックスの更新、共有/ユーザー メールボックスへの変換、共有メールボックスへの変換、共有メールボックスの削除、メール フロー設定の管理、メールボックス ポリシーの管理、メールボックス委任の管理、メール アドレスの管理、自動応答の管理、その他のアクションの管理、連絡先情報の編集、グループ管理 別のユーザーのメールボックスを開く
リソース リソース [機器/会議室] の作成/追加、リソースの削除、GAL からの非表示設定の管理、予約の委任設定の管理、リソースの委任設定の管理
連絡先 連絡先 [メール ユーザー/メール連絡先] の作成/追加、連絡先の削除、組織設定の編集
メールフロー メッセージ追跡 メッセージ トレースの開始、既定/カスタム/自動保存/ダウンロード可能なクエリの確認、ルール アラート、アラート ポリシー
リモート ドメイン リモート ドメインの追加、リモート ドメインの削除、メッセージ レポートの編集、応答の種類
承認済みドメイン 承認済みドメインの管理
コネクタ コネクタの追加、制限の管理、送信済みメール ID、コネクタの削除
ロール 管理者ロール 役割グループの追加、組み込みの役割グループではない役割グループの削除、組み込みの役割グループではない役割グループの編集、役割グループのコピー
移行 移行 移行バッチの追加、Google ワークスペースの移行の試行、移行バッチの承認、移行バッチの詳細の表示、移行バッチの削除
Microsoft 365 管理センターのリンク Microsoft 365 管理センターに移動するためのリンク
その他 フィードバックの提供ウィジェット、中央ウィジェットのサポート
ダッシュボード​ Reports

サポートされる RBAC ロールには、次のものが含まれます。

  • Exchange 管理者
  • グローバル管理者
  • ヘルプデスク管理者
  • グローバル閲覧者
  • セキュリティ管理者
  • Exchange 受信者管理者

Microsoft 365 管理センター

重要

Microsoft 365 管理センターのいくつかの主要な機能は、サービス インシデントや継続的な開発作業の影響を受ける可能性があります。 アクティブな Microsoft 365 管理センターの問題は Microsoft 管理ポータルで確認できます。

GDAP のMicrosoft 365 管理センターサポートのリリースをお知らせします。 このプレビュー リリースでは、エンタープライズ ユーザーがサポートするすべての Microsoft Entra ロールを使用して管理センターにサインインできます Directory Reader を除きます。

このリリースは機能が制限されており、Microsoft 365 の管理センターの次の領域を使用できます。

  • ユーザー (ライセンスの割り当てを含む)
  • 請求>製品
  • 正常性>サービス正常性
  • 中央サポート>サポート チケットの作成

既知の問題:

  • Microsoft 365 管理センターでサイト使用状況製品レポートをエクスポートできません。

Microsoft Purview

Microsoft Purview の場合、GDAP では次のタスクがサポートされています。

解決策 現在のサポート対象 問題点
監査 Microsoft 365 監査ソリューション
- 基本/高度な監査を設定する
- 監査ログの検索
- PowerShell を使用して監査ログを検索する
- 監査ログのエクスポート/構成/表示
- 監査のオンとオフを切り替える
- 監査ログの保持ポリシーを管理する
- 一般的な問題/侵害されたアカウントを調査する
- 監査ログのエクスポート/構成/表示
コンプライアンス マネージャー コンプライアンス マネージャー
- 評価の構築と管理
- 評価テンプレートの作成/拡張/変更
- 改善アクションの割り当てと完了
- ユーザーのアクセス許可の設定
MIP Microsoft Purview Information Protection
データ分類に関する詳細情報
データ損失防止に関する詳細情報
データ分類:
- 機密情報の種類を作成および管理する
- 完全一致データの作成と管理
- アクティビティ エクスプローラーを使用してラベル付きコンテンツで何が行われているかを監視する
Information Protection:
- 秘密度ラベルとラベル ポリシーを作成して発行する
- ファイルとメールに適用するラベルを定義する
- サイトとグループに適用するラベルを定義する
- スキーマ化されたデータ資産に適用するラベルを定義する
- クライアント側の自動ラベル付けとサーバー側の自動ラベル付けとスキーマ化されたデータ資産を使用して、コンテンツにラベルを自動的に適用する
- 暗号化を使用してラベル付きコンテンツへのアクセスを制限する
- サイトとグループに適用されるラベルのプライバシーと外部ユーザー アクセスと外部共有と条件付きアクセスを構成する
- 既定、必須、ダウングレードのコントロールを含むようにラベル ポリシーを設定し、ファイルと電子メール、グループ、サイト、Power BI コンテンツに適用する
DLP:
- DLP ポリシーの作成、テスト、チューニング
- アラートとインシデント管理を実行する
- アクティビティ エクスプローラーで DLP ルールの一致イベントを表示する
- エンドポイント DLP 設定の構成
- コンテンツ エクスプローラーでラベル付きコンテンツを表示する
- トレーニング可能な分類子を作成および管理する
- グループとサイトのラベル サポート
Microsoft Purview データ ライフサイクル管理 Microsoft 365 の Microsoft Purview データ ライフサイクル管理について学習する
- 静的およびアダプティブ保持ポリシーを作成および管理する
- 保持ラベルを作成する
- 保持ラベル ポリシーを作成する
- アダプティブ スコープの作成と管理
-アーカイブ
- PST ファイルのインポート
Microsoft Purview レコード管理 Microsoft Purview レコード管理
- コンテンツにレコードとしてラベルを付ける
- 規制レコードとしてコンテンツにラベルを付ける
- 静的およびアダプティブ保持ラベル ポリシーを作成および管理する
- アダプティブ スコープの作成と管理
- ファイル プランを使用して保持ラベルを移行し、保持要件を管理する
- 保持ラベルを使用して保持と削除の設定を構成する
- イベントベースの保持期間でイベントが発生した場合のコンテンツの保持
- 廃棄管理

Microsoft 365 コンプライアンス ポータルでサポートされている Microsoft Entra ロールの詳細については、Microsoft Purview の Permissions を参照してください。


Microsoft 365 Lighthouse

Microsoft 365 Lighthouse は、管理対象サービス プロバイダー (MSP) が、中小企業のお客様向けにデバイス、データ、ユーザーを大規模にセキュリティで保護および管理するのに役立つ管理ポータルです。

GDAP ロールは、それらの GDAP ロールを使用して顧客の管理ポータルに個別にアクセスする場合と同じ顧客アクセス権を Lighthouse で付与します。 Lighthouse では、ユーザーの委任されたアクセス許可のレベルに基づいて、ユーザー、デバイス、およびデータのマルチテナント ビューが提供されます。 Lighthouse のマルチテナント管理機能の概要については、 Lighthouse のドキュメントを参照してください。

これで、MSP は Lighthouse を使用して、任意の顧客テナントの GDAP を設定できるようになりました。 Lighthouse では、MSP のさまざまな MSP ジョブ機能に基づいてロールの推奨事項が提供され、Lighthouse GDAP テンプレートを使用すると、パートナーは最小限の特権を持つ顧客アクセスを可能にする設定を簡単に保存して再適用できます。 詳細とデモを表示するには、 Lighthouse GDAP セットアップ ウィザードを参照してください。

Microsoft 365 Lighthouse の場合、GDAP では次のタスクがサポートされています。 Microsoft 365 Lighthouse にアクセスするために必要なアクセス許可の詳細については、「 Microsoft 365 Lighthouse でのアクセス許可の概要を参照してください。

リソース 現在のサポート対象
ホーム Included
テナント Included
ユーザー Included
デバイス Included
脅威管理 Included
ベースライン Included
Windows 365 Included
サービス正常性 Included
監査ログ Included
オンボード お客様には、GDAP と間接リセラーの関係、またはオンボードする DAP リレーションシップが必要です。

サポートされる Azure ロールベースのアクセス制御 (Azure RBAC) ロールには、次のものが含まれます。

  • 認証管理者
  • コンプライアンス管理者
  • 条件付きアクセス管理者
  • クラウド デバイス管理者
  • グローバル管理者
  • グローバル閲覧者
  • ヘルプデスク管理者
  • Intune 管理者
  • パスワード管理者
  • 特権認証管理者
  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
  • サービス サポート管理者
  • ユーザー管理者

Windows 365

Windows 365 の場合、GDAP では次のタスクがサポートされています。

リソース 現在のサポート対象
クラウド PC クラウド PC 一覧、クラウド PC 取得、クラウド PC 再プロビジョニング、猶予期間終了、クラウド PC 再プロビジョニング リモート操作、クラウド PC 一括再プロビジョニング リモート操作、クラウド PC サイズ変更リモート操作、クラウド PC 取得リモート操作の結果
クラウド PC のデバイス イメージ デバイス イメージ一覧、デバイス イメージ取得、デバイス イメージ作成、デバイス イメージ削除、ソース イメージ取得、デバイス イメージ再アップロード
クラウド PC のオンプレミス ネットワーク接続 オンプレミス接続一覧、オンプレミス接続取得、オンプレミス接続作成、オンプレミス接続更新、オンプレミス接続削除、正常性チェックの実行、AD ドメイン パスワード更新
クラウド PC プロビジョニング ポリシー プロビジョニング ポリシー一覧、プロビジョニング ポリシー取得、プロビジョニング ポリシー作成、プロビジョニング ポリシー更新、プロビジョニング ポリシー削除、プロビジョニング ポリシー割り当て
クラウド PC 監査イベント 監査イベント一覧、監査イベント取得、監査アクティビティの種類の取得
クラウド PC ユーザー設定 ユーザー設定一覧、ユーザー設定取得、ユーザー設定作成、ユーザー設定更新、ユーザー設定削除、ユーザー設定割り当て
クラウド PC でサポートされているリージョン サポートされているリージョン一覧
クラウド PC サービス プラン サービス プラン一覧

サポートされる Azure RBAC ロールには、次のものが含まれます。

  • グローバル管理者
  • Intune 管理者
  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
  • グローバル閲覧者
  • (検証中) Windows 365 管理者

プレビューでサポートされていないリソース:

  • 該当なし

Teams 管理センター

Teams 管理センターでは、GDAP で次のタスクがサポートされています。

リソース 現在のサポート対象
ユーザー ポリシー割り当て、音声設定、発信通話、グループ通話ピックアップ設定、通話委任設定、電話番号、会議設定
Teams Teams ポリシー、ポリシーの更新
デバイス IP 電話、Teams Rooms、コラボレーション バー、Teams ディスプレイ、Teams パネル
場所 レポート ラベル、緊急対応アドレス、ネットワーク トポロジ、ネットワークと場所
会議 会議ブリッジ、会議ポリシー、会議設定、ライブ イベント ポリシー、ライブ イベント設定
メッセージング ポリシー メッセージング ポリシー
音声 緊急ポリシー、ダイヤル プラン、音声ルーティング プラン、通話キュー、自動応答、コール パーク ポリシー、通話ポリシー、発信者 ID ポリシー、電話番号、直接ルーティング
分析とレポート 使用状況レポート
組織全体の設定 外部アクセス、ゲスト アクセス、Teams 設定、Teams アップグレード、休日、リソース アカウント
計画 ネットワーク プランナー
Teams PowerShell モジュール Teams PowerShell モジュールのすべての PowerShell コマンドレット (Teams PowerShell モジュール - 3.2.0 プレビュー バージョンから入手可能)

サポートされる RBAC ロールには、次のものが含まれます。

  • Teams 管理者
  • グローバル管理者
  • Teams 通信管理者
  • Teams 通信サポート エンジニア
  • Teams 通信サポート スペシャリスト
  • Teams デバイス管理者
  • グローバル閲覧者

GDAP アクセスでサポートされていないリソースには、次のものが含まれます。

  • Teams の管理
  • チーム テンプレート
  • Teams アプリ
  • ポリシー パッケージ
  • Teams アドバイザー
  • 通話品質ダッシュボード

Microsoft Defender XDR

Microsoft Defender XDR は、侵害前と侵害後の統合されたエンタープライズ防御スイートです。 エンドポイント、ID、電子メール、アプリケーション全体の検出、防止、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供します。

Microsoft Defender ポータルは、Microsoft Defender for Endpoint や Microsoft Defender for Office 365 など、Microsoft 365 セキュリティ スタック内の他の製品のホームでもあります。

すべての機能とセキュリティ製品のドキュメントは、Microsoft Defender ポータルで入手できます。

Microsoft Defender for Endpoint:

Microsoft Defender for Office 365:

アプリ ガバナンス:

GDAP トークンを使用して Microsoft Defender ポータルにアクセスするテナントで使用できる機能を次に示します。

リソースの種類 現在のサポート対象
Microsoft Defender XDR の機能 Microsoft Defender XDR のすべての機能 (上記のドキュメントに記載されているように): インシデント、高度なハンティング、アクション センター、脅威分析、Microsoft Defender XDR への次のセキュリティ ワークロードの接続: Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps
Microsoft Defender for Endpoint の機能 上記のドキュメントに記載されているすべての Microsoft Defender for Endpoint の機能については、以下のの P1 / SMB SKU ごとの詳細を参照してください。
Microsoft Defender for Office 365 上記のドキュメントに記載されている Microsoft Defender for Office 365 のすべての機能。 次の表の各ライセンスごとの詳細を参照してください: Microsoft Defender for Office 365 と Exchange Online Protection を含む Office 365 Security
アプリ ガバナンス 認証は GDAP トークン (アプリ + ユーザー トークン) に対して機能し、承認ポリシーは以前と同様ユーザー ロールに従って機能します

Microsoft Defender ポータルでサポートされている Microsoft Entra ロール:

Microsoft Defender ポータルでサポートされているロールのドキュメント

Note

すべてのロールが、すべてのセキュリティ製品に適用されるわけではありません。 特定の製品でサポートされているロールの詳細については、製品のドキュメントを参照してください。


SKU ごとの Microsoft Defender ポータルでサポートされている MDE 機能

SKU ごとのエンドポイント機能 Microsoft Defender for Business Microsoft Defender for Endpoint Plan 1 Microsoft Defender for Endpoint Plan 2
一元化された管理 x X x
クライアント構成の簡素化 x
脅威と脆弱性の管理 x x
攻撃面の減少 x X x
次世代型保護 x X x
エンドポイントの検出と応答 x x
自動調査および対応 x x
脅威ハンティングと 6 か月間のデータ保持 x
脅威の分析 x x
Windows、MacOS、iOS、Android に対応したクロスプラットフォーム サポート x X x
Microsoft 脅威エキスパート x
パートナー API x X x
Microsoft 365 Lighthouse による顧客全体のセキュリティ インシデントの表示 x

Power BI

Power BI ワークロードの場合、GDAP では次のタスクがサポートされています。

リソースの種類 現在のサポート対象
管理者タスク - "Azure 接続" を除く "Admin portal" のすべてのメニュー項目

スコープでサポートされている Microsoft Entra ロール:

  • Fabric 管理者
  • グローバル管理者

対象範囲外の Power BI プロパティ:

  • 管理者以外のタスクはすべて動作が保証されるとは限りません
  • 管理者ポータルの "Azure 接続"

SharePoint

SharePoint の場合、GDAP では次のタスクがサポートされています。

リソースの種類 現在のサポート対象
Homepage カードはレンダリングされますが、データはレンダリングされない可能性があります
サイト管理 - アクティブなサイト サイトの作成: チーム サイト、コミュニケーション サイト、サイト所有者の割り当て/変更、サイトの作成時に秘密度ラベルをサイトに割り当てる (Microsoft Entra ID で構成されている場合)、サイトの秘密度ラベルを変更する、サイトにプライバシー設定を割り当てる (秘密度ラベルが事前に定義されていない場合)、サイトへのメンバーの追加と削除、サイト外部共有設定の編集、サイト名の編集、サイト URL の編集、 サイト アクティビティの表示、記憶域の制限の編集、サイトの削除、サイトの組み込みビューの変更、サイトリストを CSV ファイルにエクスポートする、サイトのカスタム ビューを保存する、サイトをハブに関連付ける、サイトをハブとして登録する
サイト管理 - アクティブなサイト 他のサイトの作成: ドキュメント センター、Enterprise Wiki、発行ポータル、コンテンツ センター
サイト管理 - 削除されたサイト サイトの復元、サイトの完全削除 (Microsoft 365 グループに接続されたチーム サイトを除く)
ポリシー - 共有 SharePoint および OneDrive for Business の外部共有ポリシーの設定、"その他の外部共有設定" の変更、ファイルとフォルダーのリンクのポリシーの設定、共有用の [その他の設定] の変更
アクセス制御 非管理対象デバイス ポリシーの設定/変更、アイドル セッションのタイムライン ポリシーの設定/変更、ネットワークの場所ポリシーの設定/変更 (Microsoft Entra IP ポリシーとは別、先進認証ポリシーの設定/変更、OneDrive アクセスの設定/変更
設定 SharePoint - ホーム サイト、SharePoint - 通知、SharePoint - ページ、SharePoint - サイト作成、SharePoint - サイト ストレージの制限、OneDrive - 通知、OneDrive - 保持、OneDrive - ストレージの制限、OneDrive - 同期
PowerShell 顧客テナントを GDAP 管理者として接続するには、既定の共通エンドポイントではなく、AuthenticanUrl パラメーターで (顧客テナント ID と共に) テナント認可エンドポイントを使います。
たとえば、Connect-SPOService -Url https://contoso-admin.sharepoing.com -AuthenticationUrl https://login.microsoftonline.com/<tenantID>/oauth2/authorize のようにします。

対象範囲内のロールには、次のものが含まれます。

  • SharePoint 管理者
  • グローバル管理者
  • グローバル閲覧者

対象範囲外の SharePoint 管理センターのプロパティには、次のものが含まれます。

  • すべてのクラシック管理の特性/機能/テンプレートは範囲外であり、正しく動作することは保証されません
  • 注: サポートされている任意の SharePoint 管理センターの GDAP ロールの場合、パートナーは、顧客の SharePoint サイト内のファイルとフォルダーに対するファイルとアクセス許可を編集できません。 これはお客様のセキュリティ リスクであり、対処されています。

Dynamics 365 アプリ と Power Platform

Power Platform および Dynamics 365 カスタマー エンゲージメント アプリケーション (Sales、Service) の場合、GDAP では次のタスクがサポートされます。

リソースの種類 現在のサポート対象
管理者タスク - Power Platform 管理センターのすべてのメニュー項目

スコープでサポートされている Microsoft Entra ロール 次のとおりです。

  • Power Platform 管理者
  • 全体管理者
  • ヘルプデスク管理者 (ヘルプとサポート用)
  • サービス サポート管理者 (ヘルプとサポート用)

対象範囲外のプロパティ:


Dynamics 365 Business Central

Dynamics 365 Business Central の場合、GDAP では次のタスクがサポートされています。

リソースの種類 現在のサポート対象
管理者タスク すべてのタスク*

* 一部のタスクでは、Dynamics 365 Business Central 環境内の管理者ユーザーに割り当てられたアクセス許可が必要です。 入手可能なドキュメントを参照してください。

スコープでサポートされている Microsoft Entra ロール 次のとおりです。

  • Dynamics 365 管理者
  • 全体管理者
  • ヘルプ デスク管理者

対象範囲外のプロパティ:

  • なし

Dynamics Lifecycle Services

Dynamics Lifecycle Services の場合、GDAP では次のタスクがサポートされています。

リソースの種類 現在のサポート対象
管理者タスク すべてのタスク

スコープでサポートされている Microsoft Entra ロール 次のとおりです。

  • Dynamics 365 管理者
  • 全体管理者

対象範囲外のプロパティ:

  • なし

Intune (エンドポイント マネージャー)

スコープでサポートされている Microsoft Entra ロール:

  • Intune 管理者
  • グローバル管理者
  • グローバル閲覧者
  • レポート閲覧者
  • セキュリティ閲覧者
  • コンプライアンス管理者
  • セキュリティ管理者

上記のロールのアクセス レベルの詳細については、Intune RBAC ドキュメントを参照してください。

Intune のサポートには、Microsoft Tunnel のサーバーを登録するとき、または Intune 用のコネクタを構成またはインストールする場合の GDAP の使用は含まれません。 Intune コネクタの例としては、 Intune Connector for Active DirectoryMobile 脅威防御コネクタMicrosoft Defender for Endpoint コネクタなどがあります

既知の問題: Office アプリでポリシーにアクセスしているパートナーには、"'OfficeSettingsContainer' のデータを取得できませんでした" と表示されます。 guid を使用して、この問題を Microsoft に報告してください。


Azure portal

GDAP を使用したパートナーと顧客の関係を示す図。

スコープ内の Microsoft Entra ロール:

  • Azure サブスクリプションに所有者としてアクセスするための Directory Readers (最小特権ロール) などの Microsoft Entra ロール

GDAP ロールに関するガイダンス:

  • パートナーと顧客は、リセラー リレーションシップを持っている必要があります。
  • 推奨されるベスト プラクティスとして、パートナーは、Azure を管理するためのセキュリティ グループ ("Azure マネージャー" など) を作成し、顧客ごとのアクセス パーティション分割のために管理エージェントの下に入れ子にする必要があります。
  • パートナーが顧客のために Azure プランを購入すると、Azure サブスクリプションがプロビジョニングされ、管理エージェント グループに Azure RBAC所有者として Azure サブスクリプションに割り当てられます。
  • Azure Managers セキュリティ グループは管理エージェント グループのメンバーであるため、Azure Managers のメンバーであるユーザーは Azure サブスクリプションの RBAC 所有者になります。
  • お客様の所有者として Azure サブスクリプションにアクセスするには、 Directory Readers (最小特権ロール) などの Microsoft Entra ロールを Azure Managers セキュリティ グループに割り当てる必要があります

代替の Azure GDAP ガイダンス (Admin Agent を使用しない)

前提条件:

  • パートナーと顧客には、 Reseller 関係があります。
  • パートナーは、Azure を管理するためのセキュリティ グループを作成し、お客様ごとの HelpDeskAgents グループの下に入れ子にしました。これは推奨されるベスト プラクティスです。
  • パートナーは顧客の Azure プランを購入しましたが、Azure サブスクリプションがプロビジョニングされ、パートナーは Azure サブスクリプションに対して管理者エージェント グループ Azure RBAC owner として割り当てられましたが、 Helpdesk Agents に対して RBAC ロールの割り当ては行われません。

パートナー管理者の手順:

サブスクリプションのパートナー管理者は、PowerShell を使用して次のスクリプトを実行して、Azure サブスクリプションにヘルプデスク FPO を作成します。

  • パートナー テナントに接続して、HelpDeskAgents グループの object ID を取得します。

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of HelpDeskAgents group
    Get-AzADGroup -DisplayName HelpDeskAgents
    
  • 顧客に次のものがあることを確認します。

    • 所有者またはユーザー アクセス管理者のロール
    • サブスクリプション レベルでロールの割り当てを作成するためのアクセス許可

顧客の手順:

このプロセスを完了するには、お客様が PowerShell または Azure CLI を使用して次の手順を実行する必要があります。

  1. PowerShell を使用している場合、お客様は Az.Resources モジュールを更新する必要があります。

    Update-Module Az.Resources
    
  2. CSP サブスクリプションが存在するテナントに接続します。

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. サブスクリプションに接続します。

    Note

    これは、ユーザーがテナント内の複数のサブスクリプションに対するロールの割り当てアクセス許可を持っている場合 "のみ" に該当します。

    Set-AzContext -SubscriptionID <"CSP Subscription ID">
    
    az account set --subscription <CSP Subscription ID>
    
  4. ロールの割り当てを作成します。

    New-AzRoleAssignment -ObjectID "<Object ID of the HelpDeskAgents group from step above>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the HelpDeskAgents group from step above> --scope "/subscriptions/<CSP Subscription Id>"
    

Visual Studio

GDAP を介した Visual Studio マネージャー グループと顧客の関係を示す図。

スコープ内の Microsoft Entra ロール:

  • Azure サブスクリプションに所有者としてアクセスするための Directory Readers (最小特権ロール) などの Microsoft Entra ロール

GDAP ロールに関するパートナー向けガイダンス:

  • 前提条件:
    • パートナーと顧客は、リセラー リレーションシップを持っている必要があります。
    • パートナーは、顧客の Azure サブスクリプションを購入する必要があります
  • パートナーは、推奨されるベスト プラクティスとして、Visual Studio サブスクリプションの購入と管理のためにセキュリティ グループ (例: Visual Studio マネージャー) を作成し、顧客ごとのアクセス パーティション分割のために管理エージェントの下に入れ子にする必要があります。
  • Visual Studio を購入および管理するための GDAP ロールは、Azure GDAP と同じです。
  • Visual Studio マネージャー セキュリティ グループには、Azure サブスクリプションに所有者としてアクセスするための microsoft Entra ロール ( Directory 閲覧者 (最小特権ロール) など) を割り当てる必要があります
  • Visual Studio マネージャーの一部であるユーザーはセキュリティ グループは Marketplace で purchase Visual Studio サブスクリプションを https://marketplace.visualstudio.comできるようになります (管理エージェントの入れ子になったメンバーが Azure サブスクリプションにアクセスできるため)
  • Visual Studio マネージャー セキュリティ グループに所属するユーザーは、Visual Studio サブスクリプションの数量を変更できます。

使用可能な Visual Studio サブスクリプションを示すスクリーンショット。

  • Visual Studio マネージャー セキュリティ グループに属するユーザーは、(数量をゼロに変更することで) Visual Studio サブスクリプションをキャンセルすることができます
  • Visual Studio マネージャー セキュリティ グループに属するユーザーは、サブスクライバーを追加して Visual Studio サブスクリプションを管理できます (たとえば、顧客ディレクトリを参照して、サブスクライバーとして Visual Studio ロールの割り当てを追加するなど)

範囲外の Visual Studio プロパティ

  • なし

DAP AOBO のリンク GDAP サービス管理ページに表示されない理由
Microsoft 365 Planner
https://portal.office.com/
これは、既に存在する Microsoft 365 AOBO リンクの複製です。
Sway
https://portal.office.com/
これは、既に存在する Microsoft 365 AOBO リンクの複製です。
Windows 10
https://portal.office.com/
これは、既に存在する Microsoft 365 AOBO リンクの複製です。
Cloud App Security
https://portal.cloudappsecurity.com/
Microsoft Defender for Cloud Apps は廃止されます。 このポータルは、GDAP をサポートする Microsoft Defender XDR にマージされます。
Azure IoT Central
https://apps.azureiotcentral.com/
現在サポートされていません。 GDAP の対象外です。
Windows Defender Advanced Threat Protection
https://securitycenter.windows.com
Windows Defender Advanced Threat Protection は廃止されます。 パートナーは、GDAP をサポートする Microsoft Defender XDR に移行することをお勧めします。