次の方法で共有

サービス プロバイダーを表示し、管理する

  • [アーティクル]

顧客は Azure portal[サービス プロバイダー] にアクセスし、Azure Lighthouse を使用しているサービス プロバイダーを制御および可視化することができます。 [サービス プロバイダー] で、顧客は特定のリソースの委任、新しいオファーや更新されたオファーの確認、サービス プロバイダーのアクセスの削除などのほか、多くの操作を実行できます。

Azure portal の [サービス プロバイダー] にアクセスするには、Azure portal ページ ヘッダー内の検索ボックスに「サービス プロバイダー」と入力します。 Azure portal で [Azure Lighthouse] に移動し、[サービス プロバイダー オファーの表示] を選択することもできます。

Note

[サービス プロバイダー] を表示するには、顧客のテナントのユーザーが閲覧者組み込みロール (あるいは、閲覧者アクセスが含まれる別の組み込みロール) を保持している必要があります。

オファーの追加または更新、リソースの委任、オファーの削除を行うには、Microsoft.Authorization/roleAssignments/write 権限を持つロール (所有者など) がユーザーに必要です。

[サービス プロバイダー] には、Azure Lighthouse を通じて、顧客のサブスクリプションまたはリソース グループにアクセスできるサービス プロバイダーの情報のみが表示されます。 Azure Lighthouse を使用していない追加のサービス プロバイダーに関する情報はここに表示されません。

サービス プロバイダーの詳細を確認する

Azure Lighthouse を使用して顧客のテナントで作業する現在のサービス プロバイダーに関する詳細を表示するには、[サービス プロバイダー] のサービス メニューから [サービス プロバイダーのオファー] を選択します。

オファーごとに、サービス プロバイダーの名前と、それに関連付けられているオファーが表示されます。 オファーを選択すると、サービス プロバイダーに付与されているロールの割り当てなど、説明やその他の詳細情報が表示されます。

オファーの [委任] 列に、サービス プロバイダーに委任されたサブスクリプションまたはリソース グループの数が表示されます。 サービス プロバイダーは、オファーに指定されたアクセス レベルに応じて、それらのサブスクリプションまたはリソース グループに対する操作を行うことができます。

サービス プロバイダーのオファーを追加する

[サービス プロバイダーのオファー] で、新しいサービス プロバイダーのオファーを追加できます。

マーケットプレースからオファーを追加するには、コマンド バーで [オファーの追加] を選択し、[マーケットプレース経由で追加] を選択します。 顧客を特定して発行された [管理サービス オファー] を表示するには、[プライベート製品] を選択します。 それ以外の場合は、パブリック オファーを検索します。 関心のあるオファーを見つけたら、選択して詳細を確認します。 オファーを追加するには、[作成] を選択し、必要な情報を入力します。

テンプレートからオファーを追加するには、コマンド バーで [オファーの追加] を選択し、[テンプレート経由で追加] を選択します。 [オファー テンプレートのアップロード] ペインが表示され、サービス プロバイダーからテンプレートをアップロードし、サブスクリプション (またはリソース グループ) をオンボードできます。 詳細な手順については、「Azure portal でのデプロイ」を参照してください。

サービス プロバイダーのオファーを更新する

顧客がオファーを追加した後に、サービス プロバイダーが、同じオファーの更新されたバージョン (新しいロール定義の追加など) を Azure Marketplace に発行する可能性があります。 オファーの新しいバージョンが発行されると、そのオファーの行に "更新" アイコンが表示されます。 このアイコンを選択すると、オファーの現在のバージョンでの変更点が表示されます。

オファーの更新アイコン

変更を確認したら、新しいバージョンへの更新を選択できます。 そうすると、新しいバージョンで指定された承認とその他の設定が、以前そのオファーに委任されていたすべてのサブスクリプションやリソース グループに適用されます。

サービス プロバイダーのオファーを削除する

サービス プロバイダーのオファーは、そのオファーの行にあるごみ箱アイコンを選択すると、いつでも削除できます。

削除が確定された後、そのサービス プロバイダーは、以前そのオファーに委任されていたリソースにはアクセスできなくなります。

重要

サブスクリプションに同じサービス プロバイダーからのオファーが 2 つ以上ある場合、そのうちの 1 つを削除すると、一部のサービス プロバイダー ユーザーが他の委任を介して付与されたアクセス権を失う可能性があります。 この問題は、同じユーザーとロールが複数の委任に含まれていて、いずれかの委任が削除された場合にのみ発生します。 アクセスを復元するには、削除しないオファーに対してオンボード プロセスを繰り返す必要があります。

リソースを委任する

サービス プロバイダーが顧客のリソースにアクセスして管理できるようにするには、事前に 1 つ以上の特定のサブスクリプションまたはリソース グループが委任されている必要があります。 顧客が、オファーを追加したが、まだどのリソースも委任していない場合、[サービス プロバイダーのオファー] セクションの上部に注意書きが表示されます。 委任が完了するまで、サービス プロバイダーは、顧客のテナント内のどのリソースに対しても作業できません。

サブスクリプションまたはリソース グループを委任するには、次の手順に従います。

  1. 目的のサービス プロバイダー、オファー、名前が表示されている行のチェック ボックスをオンにします。 次に、画面上部にある [リソースの委任] を選択します。
  2. [リソースの委任] ペインの [オファーの詳細] セクションで、サービス プロバイダーとオファーの詳細を確認します。 オファーに対するロールの割り当てを確認するには、 [選択したオファーの詳細を表示するには、ここをクリックします] を選択します。
  3. [委任] セクションで、 [サブスクリプションの委任] または [リソース グループの委任] を選択します。
  4. このオファーに関して委任したいサブスクリプションまたはリソース グループを選択し、 [追加] を選択します。
  5. チェック ボックスをオンにして、これらのリソースへのアクセス権をこのサービス プロバイダーに付与することを確認し、[委任] を選択します。

委任を表示する

委任は、特定の顧客リソース (サブスクリプションまたはリソース グループ) と、それらのリソースへのアクセス許可をサービス プロバイダーに付与するロールの割り当てとの関連付けを表します。 委任の詳細を表示するには、サービス メニューから [委任] を選択します。

ペインの上部にあるフィルターを使用すると、委任情報を並べ替えたり、グループ化したりできます。 特定のサービス プロバイダー、オファー、またはキーワードを使用してフィルター処理することもできます。

Note

API 経由または Azure portal で、委任されたスコープのロールの割り当てを表示する場合、顧客は、Azure Lighthouse 経由でアクセスできるサービス プロバイダー テナントのユーザーに対するロールの割り当てを表示できません。 同様に、サービス プロバイダー テナント内のユーザーは、割り当てられているロールに関係なく、顧客のテナント内のユーザーに対するロールの割り当てを表示できません。

クラシック管理者ロールは Resource Manager デプロイ モデルを使用しないため、顧客テナント内のクラシック管理者の割り当ては、管理しているテナントのユーザーに表示される場合があり、その逆の場合もあります。

環境内の委任を監査および制限する

顧客は、Azure Lighthouse に委任されているすべてのサブスクリプションまたはリソース グループを確認するか、委任できるテナントに制限を設定する必要がある場合があります。 これらのオプションは、多数のサブスクリプションを所有している顧客や、管理タスクを実行するユーザーが多い顧客にとって特に有用です。

管理テナントへのスコープの委任を監査するための Azure Policy 組み込みポリシー定義が用意されています。 監査対象のすべてのサブスクリプションが含まれている管理グループに対して、このポリシーを割り当てることができます。 このポリシーへの準拠を確認すると、その管理グループ内で委任されたサブスクリプションやリソース グループが非準拠状態で表示されます。 結果を見直して、想定外の委任が発生していないことを確認できます。

別の組み込みポリシー定義を使用して、特定の管理テナントへの委任を制限できます。 このポリシーは、委任を制限するすべてのサブスクリプションが含まれている管理グループに割り当てることができます。 ポリシーをデプロイした後、指定したテナント以外のテナントにサブスクリプションを委任しようとすると、拒否されます。

ポリシーを割り当ててコンプライアンス状態の結果を表示する方法の詳細については、「クイック スタート: ポリシー割り当てを作成する」を参照してください。

次のステップ