DAP から GDAP への Microsoft 主導の移行
対象ロール: パートナー センターに関心があるすべてのユーザー
Microsoft は、委任されたアクセス プロトコル (DAP) から詳細な委任されたアクセス プロトコル (GDAP) への移行を開始していない Jumpstart パートナーを支援しています。 この支援により、パートナーは、時間制限付きの最小権利のセキュリティ 契約の使用など、セキュリティのベスト プラクティスを使用するアカウントに移行することで、セキュリティ リスクを軽減できます。
Microsoft 主導の移行のしくみ
- Microsoft は、既定の 8 つのロールを持つ GDAP リレーションシップを自動的に作成します。
- ロールは、定義済みの クラウド ソリューション プロバイダー (CSP) セキュリティ グループに自動的に割り当てられます。
- 30 日後、DAP は削除されます。
スケジュール
Microsoft は、2023 年 5 月 22 日に DAP から GDAP への移行を開始しました。 6 月にはブラックアウト期間があります。 移行は 7 月以降に再開されます。
Microsoft 主導の移行の資格は誰ですか?
次の表は、概要を示しています。
| DAP Enabled | GDAP リレーションシップが存在する | "承認待ち" 状態の GDAP リレーションシップ | GDAP リレーションシップの終了/期限切れ | Microsoft 主導の移行資格 |
|---|---|---|---|---|
| はい | いいえ | 該当なし | 該当なし | はい |
| イエス | はい | いいえ | 番号 | 番号 |
| イエス | イエス | はい | いいえ | いいえ† |
| はい | はい | いいえ | はい | いいえ† |
| いいえ | 有効 | いいえ | いいえ | いいえ† |
| いいえ | 番号 | 番号 | 有効 | いいえ |
GDAP リレーションシップを作成した場合、Microsoft は Microsoft 主導の移行の一部として GDAP リレーションシップを作成しません。 代わりに、DAP リレーションシップは 2023 年 7 月に削除されます。
次のいずれかのシナリオで、Microsoft 主導の移行の一部になる可能性があります。
- GDAP リレーションシップを作成し、リレーションシップが Pending approval 状態です。 この関係は 3 か月後に消去されます。
- † GDAP リレーションシップを作成したが、GDAP リレーションシップの有効期限が切れている場合は、条件を満たす可能性があります。 条件は、リレーションシップの有効期限が切れている期間によって異なります。
- リレーションシップの有効期限が 365 日未満の場合、新しい GDAP リレーションシップは作成されません。
- リレーションシップの有効期限が 365 日を超えた場合、リレーションシップは削除されます。
Microsoft 主導の移行後、お客様に中断が生じますか?
パートナーとそのビジネスはユニークです。 Microsoft 主導の移行ツールを使用して GDAP リレーションシップが作成されると、GDAP が DAP よりも優先されます。
Microsoft では、Microsoft 主導の移行ツールに含まれていない必要なロールとの新しいリレーションシップをテストして作成することをお勧めします。 DAP から GDAP へのスムーズな移行を確実にするために、ユース ケースとビジネス要件に基づいてロールとの GDAP リレーションシップを作成します。
Microsoft 主導の移行ツールを使用して GDAP リレーションシップが作成されるときに、Microsoft はどのような Microsoft Entra ロールを割り当てますか?
- ディレクトリ リーダー: 基本的なディレクトリ情報を読み取ることができます。 通常、アプリケーションとゲストへのディレクトリ 読み取りアクセスを許可するために使用されます。
- ディレクトリ ライター: 基本的なディレクトリ情報を読み書きできます。 アプリケーションへのアクセスを許可するために一般的に使用されます。 このロールは、ユーザー向けではありません。
- グローバル閲覧者: グローバル管理者が実行できるすべてを読み取ることができますが、何も更新することはできません。
- ライセンス管理者: ユーザーとグループの製品ライセンスを管理できます。
- サービス サポート管理者: サービス正常性情報を読み取り、サポート チケットを管理できます。
- ユーザー管理者: 制限付き管理者のパスワードのリセットなど、ユーザーとグループのすべての側面を管理できます。
- 特権ロール管理者: Microsoft Entra ID と Privileged Identity Management (PIM) のすべての側面でロールの割り当てを管理できます。
- ヘルプデスク管理者: 管理者以外とヘルプデスク管理者のパスワードをリセットできます。
- 特権認証管理者: 任意のユーザー (管理者または管理者以外) の認証方法の情報にアクセス、表示、設定、リセットできます。
Microsoft 主導の移行の一環として、どの Microsoft Entra ロールがどの定義済み CSP セキュリティ グループに自動的に割り当てられますか?
管理エージェント セキュリティ グループ:
- ディレクトリ リーダー: 基本的なディレクトリ情報を読み取ることができます。 通常、アプリケーションとゲストへのディレクトリ 読み取りアクセスを許可するために使用されます。
- ディレクトリ ライター: 基本的なディレクトリ情報の読み取りと書き込みを行うことができます。ユーザーを対象としたものではなく、アプリケーションへのアクセスを許可します。
- グローバル閲覧者: グローバル管理者が実行できるすべてを読み取ることができますが、何も更新することはできません。
- ライセンス管理者: ユーザーとグループの製品ライセンスを管理できます。
- ユーザー管理者: 制限付き管理者のパスワードのリセットなど、ユーザーとグループのすべての側面を管理できます。
- 特権ロール管理者: Microsoft Entra ID と Privileged Identity Management (PIM) のすべての側面でロールの割り当てを管理できます。
- 特権認証管理者: 任意のユーザー (管理者または管理者以外) の認証方法の情報にアクセス、表示、設定、リセットできます。
- サービス サポート管理者: サービス正常性情報を読み取り、サポート チケットを管理できます。
- ヘルプデスク管理者: 管理者以外とヘルプデスク管理者のパスワードをリセットできます。
ヘルプデスク エージェント セキュリティ グループ:
- サービス サポート管理者: サービス正常性情報を読み取り、サポート チケットを管理できます。
- ヘルプデスク管理者: 管理者以外とヘルプデスク管理者のパスワードをリセットできます。
新しい GDAP リレーションシップの長さはどのくらいですか?
Microsoft 主導の移行中に作成された GDAP リレーションシップは 1 年間です。
MICROSOFT が DAP から GDAP への移行または DAP の削除の一部として新しい GDAP リレーションシップを作成するタイミングを知っていますか?
いいえ。 GDAP 移行の一環として通常顧客に送信されるすべてのメールは抑制されます。
MICROSOFT が DAP から GDAP への移行の一環として新しいリレーションシップを作成するタイミングを確認するにはどうすればよいですか?
パートナーは、Microsoft 主導の移行中に新しい GDAP リレーションシップが作成されたときに通知を受け取りません。 移行中にこのような種類の通知を抑制しました。変更ごとに電子メールを送信すると大量のメールが作成される可能性があるためです。 監査ログを確認して、新しい GDAP リレーションシップが作成されるタイミングを確認できます。
Microsoft 主導の移行をオプトアウトする
この移行をオプトアウトするには、GDAP リレーションシップを作成するか、既存の DAP リレーションシップを削除します。
DAP リレーションシップはいつ削除されますか?
GDAP リレーションシップが作成されてから 30 日後に、Microsoft は DAP リレーションシップを削除します。 GDAP リレーションシップを既に作成している場合、Microsoft は 2023 年 7 月にそれぞれの DAP リレーションシップを削除します。
Microsoft 主導の移行後に Azure portal にアクセスする
パートナー ユーザーが管理エージェント セキュリティ グループの一部である場合、またはユーザーが Admin エージェント セキュリティ グループ内に入れ子になった Azure Manager などのセキュリティ グループの一部である場合 (Microsoft が推奨するベスト プラクティス)、パートナー ユーザーは最小限の特権Directory 閲覧者ロールを使用して Azure portal にアクセスできます。 ディレクトリ閲覧者ロールは、Microsoft 主導の移行ツールによって作成される GDAP リレーションシップの既定のロールの 1 つです。 このロールは、DAP から GDAP への Microsoft 主導の移行の一環として、管理エージェント セキュリティ グループに自動的に割り当てられます。
| シナリオ | DAP Enabled | GDAP リレーションシップが存在する | ユーザー割り当て管理者エージェント ロール | Admin Agent メンバーシップを使用してセキュリティ グループに追加されたユーザー | 管理エージェント セキュリティ グループに自動的に割り当てられたディレクトリ閲覧者ロール | ユーザーは Azure サブスクリプションにアクセスできます |
|---|---|---|---|---|---|---|
| 1 | はい | はい | いいえ | イエス | イエス | はい |
| 2 | いいえ | 有効 | いいえ | イエス | イエス | はい |
| 3 | いいえ | イエス | イエス | イエス | イエス | はい |
ユーザー割り当て管理者エージェント ロールが "いいえ" であるシナリオ 1 と 2 の場合、パートナー ユーザー メンバーシップは、Admin エージェント セキュリティ グループ (SG)の一部になると、Admin Agent ロールに変更されます。 この動作は直接メンバーシップではなく、 Admin Agent SG または Admin Agent SG の下に入れ子になったセキュリティ グループの一部であることによって派生します。
Microsoft 主導の移行後、新しいパートナー ユーザーはどのようにして Azure portal にアクセスできますか?
Azure のベスト プラクティスについては、詳細な委任された管理者特権 (GDAP) でサポートされている Workloads を参照してください。 既存のパートナー ユーザーのセキュリティ グループを再構成して、推奨されるフローに従うこともできます。
新しい GDAP リレーションシップを確認する
Microsoft 主導の移行ツールを使用して新しい GDAP リレーションシップが作成されると、 MLT_(First 8 digits of Partner Tenant)_(First 8 digits of Customer Tenant)_(8-digit random number)という名前のリレーションシップが見つかります。 この数により、テナントと顧客テナントの両方でリレーションシップが一意であることが保証されます。 GDAP リレーションシップ名の例: "MLT_12abcd34_56cdef78_90abcd12"。
パートナー センター ポータルで新しい GDAP 関係を確認する
パートナー センター ポータルで Customer ワークスペースを開き、 Admin リレーションシップ セクションを選択し、顧客を選択します。
![パートナー センターの [管理リレーションシップ] 画面のスクリーンショット。この一覧には、1 つのエントリ、MLT_abc123_def456など、現在アクティブ、期限切れ、または終了している顧客との管理者関係が表示されます。](../media/gdap/admin-relationship-section.png#lightbox)
ここから、Microsoft Entra ロールを見つけ、 Admin Agents および Helpdesk Agents セキュリティ グループに割り当てられている Microsoft Entra ロールを見つけることができます。
Details 列の下矢印を選択して、Microsoft Entra ロールを表示します。
![[セキュリティ グループ] の詳細が表示された[管理者関係] 画面の顧客のビューのスクリーンショット。](../media/gdap/azure-ad-security-groups.png#lightbox)
Microsoft Admin Center (MAC) ポータルで Microsoft 主導の移行を通じて作成された新しい GDAP リレーションシップはどこにありますか?
Microsoft 主導の GDAP リレーションシップは、Settings タブの Partner Relationship セクションにあります。
![Microsoft 365 管理センターのスクリーンショット。[設定] タブの [詳細な委任された管理特権 (GDAP)] には、MLT_abc123_def456という名前のパートナー関係が 1 つ表示されます。](../media/gdap/microsoft-admin-center-portal-gdap.png#lightbox)
顧客テナントの監査ログ
次のスクリーンショットは、Microsoft 主導の移行によって GDAP リレーションシップが作成された後の顧客テナントの監査ログの外観を示しています。
MS Led で作成された GDAP リレーションシップのパートナー センター ポータルで監査ログを確認する方法
次のスクリーンショットは、Microsoft 主導の移行によって GDAP リレーションシップが作成された後のパートナー センター ポータルの監査ログの外観を示しています。
顧客のテナントで作成される Microsoft Entra GDAP サービス プリンシパルは何ですか?
| Name | アプリケーション ID |
|---|---|
| パートナーのお客様の代理管理 | 2832473f-ec63-45fb-976f-5d45a7d4bb91 |
| パートナーのお客様の代理管理者オフライン プロセッサ | a3475900-ccec-4a69-98f5-a65cd5dc5306 |
| パートナー センターの代理管理者の移行 | b39d63e7-7fa3-4b2b-94ea-ee256fdb8c2f |
このコンテキストでは、"ファースト パーティ" とは、API 呼び出し時に Microsoft によって暗黙的に同意が提供され、OAuth 2.0 アクセス トークンが各 API 呼び出しで検証され、呼び出し元 ID に対するロールまたはアクセス許可がマネージド GDAP リレーションシップに適用されることを意味します。
283* サービス プリンシパルは、XTAP "サービス プロバイダー" ポリシーを設定し、有効期限とロール管理を許可するアクセス許可を準備します。 サービス プロバイダーの XTAP ポリシーを設定または変更できるのは GDAP SP だけです。
A34* ID は GDAP リレーションシップのライフサイクル全体に必要であり、最後の GDAP リレーションシップが終了した時点で自動的に削除されます。 a34* ID の主なアクセス許可と機能は、XTAP ポリシーとアクセス割り当てを管理することです。 顧客管理者は、a34* ID を手動で削除しないでください。 a34* ID は、信頼された有効期限とロール管理のための機能を実装します。 顧客が既存の GDAP リレーションシップを表示または削除するには、admin.microsoft.com ポータルを使用することをお勧めします。
Microsoft 主導の移行の一部として移行される GDAP リレーションシップの承認には、b39* サービス プリンシパルが必要です。 b39* サービス プリンシパルには、XTAP "サービス プロバイダー" ポリシーを設定し、GDAP リレーションシップのみを移行するためのサービス プリンシパルを顧客テナントに追加するアクセス許可があります。 サービス プロバイダーの XTAP ポリシーを設定または変更できるのは GDAP SP だけです。
条件付きアクセス ポリシー
条件付きアクセス ポリシーが設定されている場合でも、Microsoft は新しい GDAP リレーションシップを作成します。 GDAP リレーションシップは、 Active 状態で作成されます。
新しい GDAP リレーションシップは、顧客が設定した既存の条件付きアクセス ポリシーをバイパスしません。 条件付きアクセス ポリシーは続行され、パートナーは DAP 関係と同様のエクスペリエンスを持ち続けます。
場合によっては、GDAP リレーションシップが作成されますが、Microsoft Entra ロールは Microsoft 主導の移行ツールによってセキュリティ グループに追加されません。 通常、Microsoft Entra ロールは、お客様が設定した特定の条件付きアクセス ポリシーのため、セキュリティ グループには追加されません。 このような場合は、お客様と協力してセットアップを完了してください。 ユーザーが条件付きアクセス ポリシーから CSP を 除外する方法を確認します。
Microsoft Led Transition GDAP に追加されたグローバル閲覧者ロール
2023 年 6 月にパートナーからフィードバックを受け取った後、5 月に MS Led によって作成された GDAP に "グローバル閲覧者" ロールが追加されました。 2023 年 7 月以降、すべての MS Led で作成された GDAP はグローバル閲覧者ロールを持ち、合計で 9 つの Microsoft Entra ロールになります。