次の方法で共有


Microsoft 365 Lighthouseで GDAP を設定する

きめ細かい委任された管理特権 (GDAP) は、顧客テナントを Lighthouse に完全にオンボードするための前提条件です。 MICROSOFT 365 LIGHTHOUSEを使用して、GDAP を使用してすべての顧客を設定できます。 管理する顧客テナントに GDAP を設定することで、顧客のセキュリティを維持しながら、パートナーのユーザーが作業を行うために必要なアクセス許可organization確保できます。

パートナー organizationで GDAP を設定する方法については、「Secure Microsoft 365 Lighthouse 対話型ガイド」を参照してください。

GDAP のセットアップ中に問題が発生し、ガイダンスが必要な場合は、「Microsoft 365 Lighthouse: GDAP のセットアップと管理」の「エラー メッセージと問題のトラブルシューティング」を参照してください。

開始する前に

  • 委任されたアクセス ロールの要件の表で説明されているように、Microsoft Entra IDまたはパートナー センターで特定のロールを保持する必要があります。

  • Lighthouse で管理する顧客は、パートナー センターでリセラー関係または既存の GDAP 関係を設定する必要があります。

GDAP を設定する

  1. Lighthouse の左側のナビゲーション ウィンドウで、[ホーム] を選択します

  2. [GDAP のセットアップ] カードで、[GDAP のセットアップ] を選択します。

  3. [ 委任されたアクセス ] ページで、[ GDAP テンプレート ] タブを選択し、[ テンプレートの作成] を選択します。

  4. [ テンプレートの作成 ] ウィンドウで、テンプレートの名前と説明 (省略可能) を入力します。

  5. [ サポート ロール] には、アカウント マネージャー、サービス デスク エージェント、スペシャリスト、エスカレーション エンジニア、管理者の 5 つの既定のサポート ロールが含まれています。 使用するサポート ロールごとに、次の操作を行います。

    1. [ 編集] を選択 して、[ サポート ロールの編集] ウィンドウを開きます。

    2. パートナー organizationのサポート ロールに合わせて、必要に応じてサポート ロールの名前と説明を更新します。

    3. [Entra ロール] で、ロールのジョブ機能に基づいて、サポート ロールに必要なMicrosoft Entraロールを選択します。 次のオプションを利用できます。

      • Microsoft が推奨するMicrosoft Entraロールを使用します。
      • フィルターを [すべて] に設定し、任意のMicrosoft Entraロールを選択します。

      詳細については、「組み込みロールのMicrosoft Entra」を参照してください。

    4. [保存] を選択します。

  6. 使用するサポート ロールごとに、サポート ロールの横にある [セキュリティ グループの追加または作成 ] アイコンを選択して、[ セキュリティ グループの選択または作成 ] ウィンドウを開きます。 特定のサポート ロールを使用しない場合は、セキュリティ グループを割り当てないでください。

    注:

    各 GDAP テンプレートでは、少なくとも 1 つのセキュリティ グループをサポート ロールに割り当てる必要があります。

  7. 次のいずれかの操作を行います。

    • 既存のセキュリティ グループを使用するには、[ 既存のセキュリティ グループを使用する] を選択し、一覧から 1 つ以上のセキュリティ グループを選択し、[保存] を選択 します

    • 新しいセキュリティ グループを作成するには、[ 新しいセキュリティ グループの作成] を選択し、次の操作を行います。

      1. 新しいセキュリティ グループの名前と説明 (省略可能) を入力します。

      2. 該当する場合は、[ このセキュリティ グループの Just-In-Time (JIT) アクセス ポリシーを作成する] を選択し、ユーザー資格の有効期限、JIT アクセス期間、JIT 承認者セキュリティ グループを定義します。

        注:

        新しいセキュリティ グループの Just-In-Time (JIT) アクセス ポリシーを作成するには、Microsoft Entra ID P2 ライセンスが必要です。 チェック ボックスをオンにして JIT アクセス ポリシーを作成できない場合は、Microsoft Entra ID P2 ライセンスがあることを確認します。

      3. セキュリティ グループにユーザーを追加し、[保存] を選択 します

        注:

        JIT エージェント セキュリティ グループの一部であるユーザーには、Microsoft Entra IDの GDAP ロールへのアクセス権が自動的に付与されません。 これらのユーザーはまず マイ アクセス ポータル からアクセスを要求する必要があり、JIT 承認者セキュリティ グループのメンバーは JIT アクセス要求を確認する必要があります。

      4. セキュリティ グループの JIT アクセス ポリシーを作成した場合は、Microsoft Entra 管理センターの ID ガバナンス ダッシュボードで作成されたポリシーを確認できます。

        JIT エージェントがアクセスを要求する方法の詳細については、「 エンタイトルメント管理でアクセス パッケージへのアクセスを要求する」を参照してください。

        承認者が要求を承認する方法の詳細については、「Privileged Identity ManagementでのMicrosoft Entraロールの要求を承認または拒否する」を参照してください。

  8. サポート ロールとセキュリティ グループの定義が完了したら、[テンプレートの作成] ウィンドウで [保存] を選択して GDAP テンプレートを保存します。

    新しいテンプレートが、[委任されたアクセス] ページの [GDAP テンプレート] タブのテンプレートの一覧に表示されるようになりました。

  9. 必要に応じて、手順 3 ~ 8 に従って、さらに GDAP テンプレートを作成します。

  10. [委任されたアクセス] ページの [GDAP テンプレート] タブで、一覧のテンプレートの横にある 3 つのドット (その他のアクション) を選択し、[テンプレートの割り当て] を選択します。

  11. [ このテンプレートをテナントに割り当てる ] ウィンドウで、テンプレートを割り当てる 1 つ以上の顧客テナントを選択し、[ 次へ] を選択します。

    注:

    各顧客テナントは、一度に 1 つの GDAP テンプレートにのみ関連付けることができます。 顧客に新しいテンプレートを割り当てる場合は、既存の GDAP リレーションシップが保存され、新しいテンプレートに基づく新しいリレーションシップのみが作成されます。

  12. 割り当ての詳細を確認し、[ 割り当て] を選択します。

    GDAP テンプレートの割り当てが適用されるまでに 1 ~2 分かかる場合があります。 [GDAP テンプレート] タブでデータを更新するには、[更新] を選択します

  13. 手順 10 から 12 に従って、必要に応じて追加のテンプレートをテナントに割り当てます。

製品を管理するための顧客の承認を得る

GDAP セットアップ プロセスの一環として、パートナー organizationと既存の GDAP 関係を持たない顧客ごとに GDAP 関係要求リンクが生成されます。 製品を管理する前に、顧客テナントの管理者にリンクを送信して、GDAP 関係を承認するリンクを選択できるようにする必要があります。

  1. [ 委任されたアクセス ] ページで、[ リレーションシップ ] タブを選択します。

  2. 承認が必要な顧客テナントを展開します。

  3. [ 保留中 ] 状態を示す GDAP リレーションシップを選択して、リレーションシップの詳細ウィンドウを開きます。

  4. [ メールで開く] または [ クリップボードにメールをコピー] を選択し、必要に応じてテキストを編集し (ただし、管理アクセス許可を付与するために選択する必要があるリンク URL は編集しません)、GDAP 関係要求メールを顧客テナントの管理者に送信します。

顧客テナントの管理者がリンクを選択して GDAP 関係を承認すると、GDAP テンプレート設定が適用されます。 Lighthouse に変更が表示されるまで、リレーションシップの承認後に最大 1 時間かかる場合があります。

GDAP リレーションシップはパートナー センターに表示され、セキュリティ グループはMicrosoft Entra IDに表示されます。

GDAP 設定を編集する

GDAP のセットアップが完了したら、いつでもロール、セキュリティ グループ、またはテンプレートを更新または変更できます。

  1. Lighthouse の左側のナビゲーション ウィンドウで、[アクセス許可]、[アクセス許可>[委任されたアクセス] の順に選択します。

  2. [GDAP テンプレート] タブで、 GDAP テンプレート または関連する構成に必要な変更を加え、変更を保存します。

  3. 更新された GDAP テンプレートを適切な顧客テナントに割り当てて、それらのテナントがテンプレートの構成を更新できるようにします。

Microsoft 365 Lighthouseのアクセス許可の概要 (記事)
Microsoft 365 Lighthouseの [委任されたアクセス] ページの概要 (記事)
Microsoft 365 Lighthouseのエラー メッセージと問題のトラブルシューティング (記事)
ポータルのセキュリティMicrosoft 365 Lighthouse構成する (記事)
詳細な委任された管理者特権 (GDAP) の概要 - パートナー センター (記事)
組み込みロールのMicrosoft Entra (記事)
Microsoft Entra IDのグループとアクセス権について説明します (記事)
Microsoft Entraエンタイトルメント管理とは (記事)