Azure Lighthouse と Cloud Solution Provider プログラム
CSP (クラウド ソリューション プロバイダー) パートナーである場合、CSP プログラムを通じて顧客用に作成された Azure サブスクリプションには、代理で管理 (AOBO) 機能を使用してあらかじめアクセスできるようになっています。 このアクセスにより、顧客のサブスクリプションを直接サポートし、構成し、管理することができます。
Azure Lighthouse では、Azure の委任されたリソース管理と AOBO を併用できます。 より粒度の細かいアクセス許可をユーザーに使用できるようになるため、セキュリティが向上すると共に、不要なアクセスを減らすことにつながります。 また、ユーザーは、テナントに対する 1 つのログインを使用して、複数の顧客サブスクリプションにまたがって作業できるため、効率とスケーラビリティも向上します。
ヒント
顧客のリソースを効果的に保護するため、Microsoft の推奨セキュリティ プラクティスとパートナーのセキュリティ要件を確認し、それらに従うようにしてください。
代理で管理 (AOBO)
AOBO を使用すると、テナント内の管理エージェント ロールを持つすべてのユーザーが、CSP プログラムを通じて貴社が作成した Azure サブスクリプションへの AOBO アクセス権を持つことになります。 顧客のサブスクリプションにアクセスする必要のあるすべてのユーザーは、このグループのメンバーである必要があります。 AOBO では、異なる顧客と共同作業を行う別々のグループを柔軟に作成したり、グループやユーザーに対して個別のロールを有効にしたりすることはできません。
Azure Lighthouse
Azure Lighthouse を使用すると、次の図に示すように、さまざまなグループをさまざまな顧客またはロールに割り当てることができます。 ユーザーは Azure の委任されたリソース管理によって適切なレベルのアクセス権を持つことになるため、管理エージェント ロールを持つ (つまり、完全な AOBO アクセス権を持つ) ユーザーの数を減らすことができます。
Azure Lighthouse を使用すると、顧客のリソースへの不要なアクセスが制限されるので、セキュリティの強化につながります。 また、必要以上のアクセス権をユーザーに付与することなく、各ユーザーの職務に最も適した Azure 組み込みロールを使用して、大規模な多数の顧客を柔軟に管理できます。
永続的な割り当ての数をさらに最小化するために、適格な認可を作成して、Just-In-Time ベースでユーザーに追加のアクセス許可を付与できます。
CSP プログラムを使用して作成したサブスクリプションをオンボードするには、「Azure Lighthouse への顧客のオンボード」で説明されている手順に従ってください。 お客様のテナント内に管理エージェント ロールを持つすべてのユーザーが、このオンボードを実行できます。
ヒント
プライベート プランを含むマネージド サービス オファーは、クラウド ソリューション プロバイダー (CSP) プログラムのリセラーを通じて確立されたサブスクリプションではサポートされません。 代わりに、Azure Resource Manager テンプレートを使用することで、これらのサブスクリプションを Azure Lighthouse にオンボードできます。
Note
Azure portal の [マイ カスタマー] ページに、 [クラウド ソリューション プロバイダー (プレビュー)] セクションが含まれるようになり、Microsoft 顧客契約 (MCA) に署名し、Azure プランに含まれている CSP のお客様の課金情報とリソースが表示されます。 詳しくは、「Microsoft Partner Agreement の課金アカウントの概要」をご覧ください。
CSP のお客様は、Azure Lighthouse にもオンボードされているかどうかにかかわらず、このセクションに表示されることがあります。 オンボードされている場合は、「顧客と委任されたリソースを表示し、管理する」に説明されているように、 [顧客] セクションにも表示されます。 同様に、CSP 顧客は、Azure Lighthouse にオンボードするために、 [マイ カスタマー] の [クラウド ソリューション プロバイダー (プレビュー)] セクションに表示される必要はありません。
パートナー ID をリンクして、委任されたリソースに対する影響を追跡する
Microsoft Cloud Partner Program のメンバーは、パートナー ID と、委任された顧客リソースの管理に使用されている資格情報をリンクすることができます。 このリンクにより、Microsoft は、Azure の利用者を成功に導いているパートナーを特定、評価することができます。 また、これにより CSP (クラウド ソリューション プロバイダー) パートナーは、Microsoft 顧客契約 (MCA) に署名して Azure プランに加入している顧客について、パートナー獲得クレジット (PEC) を受け取ることができます。
Azure Lighthouse アクティビティの認識を得るには、管理テナントの少なくとも 1 つのユーザー アカウントにパートナー ID をリンクし、リンクされたアカウントがオンボードされた各サブスクリプションにアクセスできることを確認する必要があります。 わかりやすくするために、テナントにサービス プリンシパル アカウントを作成してパートナー ID に関連付け、パートナー獲得クレジットの対象となる Azure の組み込みロールを使用してオンボードするすべての顧客へのアクセス権を付与することをお勧めします。
詳細については、パートナー ID のリンクを参照してください。
次のステップ
- テナント間の管理エクスペリエンスについて学習します。
- サブスクリプションを Azure Lighthouse にオンボードする方法について学習します。
- Cloud Solution Provider プログラムについて学習します。