GDAP ロールに関するガイダンス
対象のロール: 管理エージェント
この記事では、詳細な委任された管理者特権 (GDAP) 機能ごとに使用できる最小特権の Microsoft Entra 組み込みロールに関するガイダンスを提供します。 たとえば、顧客に代わってサポート要求を送信するには、 Service サポート管理者 ロールが必要です。これは、顧客のテナントで最も特権の少ない Microsoft Entra 組み込みロールです。
サポート要求の作成
間接リセラーは、Azure のサポート要求を作成できません。 代わりに、間接プロバイダーと連携する必要があります。
| 次のサポート要求を作成するには: | 直接請求パートナーと間接プロバイダーには、次の最小限の特権ロールが必要です。 |
|---|---|
| Microsoft 365 管理センターの Microsoft 365 | Microsoft.office365.supportTickets/allEntities/allTasks アクセス許可を持つロールへの GDAP ロールの割り当て (Service サポート管理者など) |
| Power Platform 管理センターの Dynamics 365 | Microsoft.office365.supportTickets/allEntities/allTasks アクセス許可を持つロールへの GDAP ロールの割り当て (Service サポート管理者など) |
| Azure portal の Azure サブスクリプション リソース | 前提条件: 顧客の Azure サブスクリプションを使用して顧客に代わって要求を作成するには、パートナーは、 CSP リージョン承認で説明されているように、顧客とのリセラー関係を持っている必要があります。 詳細については、「 Steps to setup Azure GDAP」を参照してください。 Microsoft Entra ロールへの GDAP 割り当て ( Directory リーダーなど、 -そして- Support 要求共同作成者など、Microsoft.Support/supportTickets/write アクセス許可を持つロールへの Azure ロールベースのアクセス制御 (RBAC) ロールの割り当て |
| Azure portal で Microsoft Entra ID を開く | 代替 1: 顧客が Microsoft Entra ID P1 または P2 を持っていない場合 前提条件: 顧客の Azure サブスクリプションを使用して顧客に代わって要求を作成するには、パートナーは、 CSP リージョン承認ごとに顧客と再販業者関係を持っている必要があります。 詳細については、「 Steps to setup Azure GDAP」を参照してください。 Microsoft Entra ロールへの GDAP 割り当て ( Directory リーダーなど、 -そして- Microsoft.Support/supportTickets/write アクセス許可を持つロールへの Azure RBAC ロールの割り当て、 Support 要求共同作成者 Alternative 2: 顧客が Microsoft Entra ID P1 または P2 を持っている場合 microsoft Entra ロールへの GDAP 割り当て (microsoft.azure.supportTickets/allEntities/allTasks アクセス許可 (Service サポート管理者など) |
パートナーの種類別の GDAP ロール
間接プロバイダー
間接プロバイダーがトランザクションと管理を行う場合は、次のロールが推奨されます。
- 新しい顧客テナントの作成
- リセラー リレーションシップの設定
- Purchase
- サブスクリプション管理
- アップグレード
- 変換
- 顧客ユーザーの作成とライセンスの割り当て
- 顧客サービス要求 (顧客に代わって作成を要求)
| Role | 説明 |
|---|---|
| 閲覧者ロール: | |
| ディレクトリ閲覧者 | 基本的なディレクトリ情報を読み取ることができます 通常、アプリケーションとゲストへのディレクトリ読み取りアクセスを許可するために使用されます |
| 基本的なディレクトリ情報の読み取りと書き込みを実行できます。 ユーザーではなく、アプリケーションへのアクセスを許可する場合。 | |
| グローバル 閲覧者 | グローバル管理者が実行できるすべてを読み取ることができますが、何も更新することはできません |
| ユーザー管理とライセンス管理: | |
| ユーザー管理者 | ユーザーとグループのすべての側面を、制限付きの管理者のパスワードをリセットすることも含めて、管理できます |
| ライセンス管理者 | ユーザーおよびグループの製品ライセンスを管理できます |
| サービス サポート管理者 | サービス正常性情報を読み取り、サポート要求を管理できます |
| ヘルプ デスク: | |
| ヘルプ デスク管理者 | 管理者以外のパスワードと、ヘルプ デスク管理者のパスワードをリセットすることができます |
直接請求パートナー、間接リセラー、およびアドバイザー
間接リセラー、アドバイザー、および MSP の役割も果たす直接請求パートナーには、次のロールが推奨されます。 これらはすべて、顧客の環境をアウトソーシングされた IT 部門として完全に管理する専門のマネージド サービス プロバイダー (MSP) として分類されます。 このセクションでは、タスクと関数に必要なロールを分類します。
マネージド サービス内のレベル 1 技術者の一般的なタスク
| Role | タスク | 関数 |
|---|---|---|
| サービス サポート管理者 | 顧客に代わってサポート リクエストを提出します。 | ヘルプ デスクでサポート リクエストを作成し、管理します。 |
| セキュリティ閲覧者 | Microsoft 365 サービス全体のセキュリティ関連ポリシーを表示します。 | ヘルプ デスクで、データ損失防止ポリシーなどのセキュリティとコンプライアンス ポータル ポリシーのトラブルシューティングまたは更新のために、顧客テナントに関する検出を収集します。 |
| Intune 管理者 | Intune 製品のすべての側面を管理できます。 | ヘルプ デスクで顧客デバイスの登録とトラブルシューティングを処理します。 |
| SharePoint 管理者 | SharePoint サービスのすべての側面を管理できます。 | ヘルプ デスクで SharePoint サイトのアクセス許可を管理します。 |
| Teams コミュニケーション サポート スペシャリスト | Microsoft Teams サービスを管理できます。 | ヘルプ デスクで通話品質の問題をトラブルシューティングします。 |
| ヘルプ デスク管理者 | 管理者以外と管理者のパスワードをリセットできます:ディレクトリ閲覧者ゲスト招待者ヘルプ デスク管理者メッセージ センター閲覧者パスワード管理者レポート閲覧者。 | ヘルプ デスクでパスワードをリセットします。 |
| Desktop Analytics 管理者 | デスクトップの管理ツールとサービスにアクセスして管理することができます。 | ヘルプ デスクで、資産の在庫を表示し、認可ポリシーの標準プロパティを読み取って、Desktop Analytics サービスを管理することができます。 |
| 認証管理者 | 管理者以外のユーザーの認証方法の情報を表示、設定、リセットするためにアクセスできます。 | ヘルプ デスクで、管理者以外のユーザーの認証方法情報 (例: MFA、条件付きアクセス) の表示、設定、リセットにアクセスできます。 |
| Exchange 管理者 | このロールを持つユーザーは、サービスが存在する場合、Microsoft Exchange Online 内でグローバルアクセス許可を持ちます。 また、すべての Microsoft 365 グループを作成および管理し、サポート要求を管理し、サービスの正常性を監視する機能もあります。は OBO を送信し、受信トレイを管理できます。 | ヘルプ デスクで、共有メールボックスの管理、メールボックス クォータ問題の解決、トランスポート規則の作成と管理を行います。 |
| ライセンス管理者 | ライセンスの割り当て、削除、更新を行えます。 | トラブルシューティング中に、サポート リクエストにライセンスの問題が発生した場合、ヘルプ デスクは評価と修復を行います。 |
| ユーザー管理者 | 制限付き管理者のパスワードのリセットなど、ユーザーとグループのすべての側面を管理できます。は、ユーザーのサインインをブロックできます。 | ヘルプ デスクは、制限付き管理者のパスワードのリセットや、元顧客の従業員による Microsoft 365 サービスへのアクセスのブロックなど、ユーザーとグループのすべての側面を管理します。 |
| グループ管理者 | このロールのメンバーは、グループの作成と管理、名前付けと有効期限ポリシーなどのグループ設定の作成と管理、グループのアクティビティと監査レポートの表示を行うことができます。 | ヘルプ デスクで、グループに所有者を追加し、グループにメンバーを追加します。 |
| ディレクトリ閲覧者 | このロールのユーザーは、基本的なディレクトリ情報を読み取ることができます。 | トラブルシューティングの一環として、ヘルプ デスクで基本的なディレクトリ情報を確認することができます。 |
| メッセージ センター閲覧者 | Office 365 メッセージ センター内でのみ自分の組織のメッセージと更新情報を閲覧することができます。 | ヘルプ デスクで、サポート問題のトラブルシューティングのためにメッセージ センターを確認します。 |
| プリンター管理者 | このロールを持つユーザーは、プリンターを登録して、ユニバーサル印刷コネクタの設定など、Microsoft ユニバーサル印刷ソリューションのすべてのプリンター構成のすべての側面を管理できます。 すべての委任された印刷アクセス許可要求に同意することができます。 プリンター管理者は、印刷レポートにアクセスすることもできます。 | ヘルプ デスクでプリンター構成を管理し、プリンターの問題をトラブルシューティングします。 |
| ゲスト招待元 | このロールのユーザーは、Microsoft Entra B2B ゲスト ユーザーの招待を管理できます。 | ヘルプ デスクでは、[メンバーがゲストを招待できる] の設定とは無関係にゲスト ユーザーを招待できます。 |
タスク別の最小特権ロール
次の表には、各 GDAP 機能内のタスクと、各タスクの実行に必要な最小特権ロールを示します。
| GDAP 機能 | タスク | 最小特権ロール |
|---|---|---|
| サポート | サポート チケットを送信する | サービス サポート管理者 |
| ユーザー | ディレクトリ ロールにユーザーを追加する | 特権ロール管理者 |
| ユーザーをグループに追加する | ユーザー管理者 | |
| ライセンスの割り当て | ライセンス管理者 | |
| ゲスト ユーザーを作成する | ゲスト招待元 | |
| ゲスト ユーザーの招待をリセットする | ユーザー管理者 | |
| ユーザーの作成 | ユーザー管理者 | |
| ユーザーを削除する | ユーザー管理者 | |
| 制限付き管理者の更新トークンを無効にする | ユーザー管理者 | |
| 非管理者の更新トークンを無効にする | パスワード管理者 | |
| 特権管理者の更新トークンを無効にする | 特権認証管理者 | |
| 基本構成を読み取る | 既定のユーザー ロール | |
| 制限付き管理者のパスワードをリセットする | ユーザー管理者 | |
| 非管理者のパスワードをリセットする | パスワード管理者 | |
| 特権管理者のパスワードをリセットする | 特権認証管理者 | |
| ライセンスを取り消す | ライセンス管理者 | |
| ユーザー プリンシパル名を除くすべてのプロパティを更新する | ユーザー管理者 | |
| 制限付き管理者のユーザー プリンシパル名を更新する | ユーザー管理者 | |
| 特権管理者のユーザー プリンシパル名を更新する | グローバル管理者 | |
| ユーザー設定を更新する | グローバル管理者 | |
| 認証方法を更新する | 認証管理者 | |
| グループ | ライセンスの割り当て | ユーザー管理者 |
| グループを作成する | グループ管理者 | |
| グループまたはアプリのアクセス レビューを作成、更新、削除する | ユーザー管理者 | |
| グループの有効期限を管理する | ユーザー管理者 | |
| グループ設定の管理 | グループ管理者 | |
| すべての構成を読み取る (非表示のメンバーシップを除く) | ディレクトリ閲覧者 | |
| 非表示のメンバーシップを読み取る | グループ メンバー | |
| 非表示のメンバーシップを含むグループのメンバーシップを読み取る | ヘルプ デスク管理者 | |
| ライセンスを取り消す | ライセンス管理者 | |
| グループ メンバーシップを更新する | グループ所有者 | |
| グループ所有者を更新する | グループ所有者 | |
| グループのプロパティを更新する | グループ所有者 | |
| グループの削除 | グループ管理者 | |
| ライセンス | ライセンスの割り当て | ライセンス管理者 |
| すべての構成を読み取る | ディレクトリ閲覧者 | |
| ライセンスを取り消す | ライセンス管理者 |
ロール (複雑さ別)
| ロール | シンプル | Medium | Complex |
|---|---|---|---|
| アプリケーション管理者 | x | ||
| アプリケーション開発者 | x | ||
| 攻撃ペイロードの作成者 | x | ||
| 攻撃シミュレーション管理者 | x | ||
| 認証管理者 | x | ||
| Microsoft Entra 参加済みデバイスのローカル管理者 | x | ||
| Azure DevOps 管理者 | x | ||
| Azure Information Protection 管理者 | x | ||
| 課金管理者 | x | ||
| クラウド アプリケーション管理者 | x | x | |
| クラウド デバイス管理者 | x | ||
| コンプライアンス管理者 | x | ||
| 条件付きアクセス管理者 | x | ||
| デスクトップ分析管理者 | x | ||
| ディレクトリ閲覧者 | x | x | x |
| ディレクトリ同期アカウント | x | ||
| ドメイン名管理者 | x | ||
| Dynamics 365 管理者 | x | x | |
| Exchange 管理者 | x | x | |
| Exchange 受信者管理者 | x | ||
| 外部 ID プロバイダー管理者 | x | ||
| グローバル 閲覧者 | x | x | x |
| グループ管理者 | x | ||
| ゲスト招待元 | x | ||
| ヘルプデスク管理者 | x | x | x |
| ハイブリッド識別管理者 | x | ||
| Insights 管理者 | x | ||
| Intune 管理者 | x | x | |
| ライセンス管理者 | x | x | x |
| メッセージ センターのプライバシー閲覧者 | x | ||
| メッセージ センターリーダー | x | ||
| ネットワーク管理者 | x | ||
| Office アプリ管理者 | x | ||
| パスワード管理者 | x | ||
| Power BI 管理者 | x | x | |
| Power Platform 管理者 | x | x | |
| プリンター管理者 | x | ||
| プリンター技術者 | x | ||
| 特権認証管理者 | x | ||
| 特権ロール管理者 | x | ||
| レポート閲覧者 | x | x | |
| 検索管理者 | x | ||
| 検索エディター | x | ||
| セキュリティ管理者 | x | x | |
| セキュリティ閲覧者 | x | x | |
| サービス サポート管理者 | x | x | x |
| SharePoint 管理者 | x | x | |
| Skype for Business 管理者 | x | ||
| Teams 管理者 | x | x | |
| Teams コミュニケーション管理者 | x | ||
| Teams コミュニケーション サポート エンジニア | x | ||
| Teams コミュニケーション サポート スペシャリスト | x | ||
| Teams デバイス管理者 | x | ||
| ユーザー管理者 | x | x | x |
| Windows 365 管理者 | x | x |