GDAP ロール ガイドライン
適切なロール: 管理者エージェント
この記事では、詳細な委任された管理者特権 (GDAP) 機能ごとに使用できる最小特権の Microsoft Entra 組み込みロールに関するガイダンスを提供します。 たとえば、顧客に代わってサポート要求を送信するには、サービス サポート管理者 ロールが必要です。これは、顧客のテナントで最も特権の少ない Microsoft Entra 組み込みロールです。
サポートリクエスト
間接リセラーは、Azure のサポート要求を作成できません。 代わりに、間接プロバイダーと連携する必要があります。
| 次のサポート要求を作成するには: | 直接請求パートナーと間接プロバイダーには、次の最小限の特権ロールが必要です。 |
|---|---|
| Microsoft 365 管理センターの Microsoft 365 | Microsoft.office365.supportTickets/allEntities/allTasks 権限を持つロール (サービス サポート管理者など) への GDAP ロールの割り当て |
| Power Platform 管理センターの Dynamics 365 | Microsoft.office365.supportTickets/allEntities/allTasks 権限を持つロール (サービス サポート管理者など) への GDAP ロールの割り当て |
| Azure portal の Azure サブスクリプション リソース | Microsoft Entra ロール (ディレクトリ リーダーなど) への任意の GDAP の割り当て、 - および - Microsoft.Support/supportTickets/write アクセス許可を持つロール (サポート リクエスト共同作成者など) への Azure ロールベースのアクセス制御 (RBAC) ロールの割り当て |
| Azure portal で Microsoft Entra ID を使う | Microsoft Entra ロール (ディレクトリ リーダーなど) への任意の GDAP の割り当て、 - および - Microsoft.Support/supportTickets/write アクセス許可を持つロール (サポート リクエスト共同作成者など) への Azure RBAC ロールの割り当て 代替策 2: お客様が Microsoft Entra ID P1 または P2 を持っている場合 microsoft.azure.supportTickets/allEntities/allTasks アクセス許可を持つ Microsoft Entra ロール (サービス サポート管理者など) への任意の GDAP の割り当て |
パートナーの種類別の GDAP ロール
次のロールは、パートナーの種類別です。
間接プロバイダー
間接プロバイダーがトランザクションと管理を行う場合は、次のロールが推奨されます。
- 新しい顧客テナントの作成
- 再販業者関係のセットアップ
- 購入
- サブスクリプション管理
- アップグレード
- コンバージョン
- 顧客ユーザーの作成とライセンスの割り当て
- 顧客サービス要求 (顧客に代わって作成を要求)
| ロール | 説明 |
|---|---|
| 閲覧者ロール: | |
| ディレクトリ閲覧者 | 基本的なディレクトリ情報を読み取ることができます。 アプリケーションとゲストへのディレクトリ読み取りアクセスを許可するために一般的に使用されます |
| ディレクトリ作成者 | 基本的なディレクトリ情報を読み書きできます。 ユーザーを対象とせず、アプリケーションへのアクセスを許可する場合。 |
| グローバル閲覧者 | グローバル管理者が実行できるすべてを読み取ることができますが、何も更新することはできません |
| ユーザー管理とライセンス管理の: | |
| ユーザー管理者 | 制限付き管理者のパスワードのリセットなど、ユーザーとグループのすべての側面を管理できます |
| ライセンス管理者 | ユーザーとグループの製品ライセンスを管理できます |
| サービス サポート管理者 | サービス正常性情報を読み取り、サポート要求を管理できます |
| ヘルプ デスク: | |
| ヘルプ デスク管理者 | 管理者以外およびヘルプ デスク管理者のパスワードをリセットできます |
直接請求パートナー、間接販売業者、およびコンサルタント
間接リセラー、アドバイザー、および MSP の役割も果たす直接請求パートナーには、次のロールをお勧めします。 これらはすべて、顧客の環境をアウトソーシングされた IT 部門として完全に管理する専門のマネージド サービス プロバイダー (MSP) として分類されます。 このセクションは、タスクと関数に必要な分類されたロールです。
マネージド サービスでの Tier-1 技術者のタスク
| 役割 | タスク | 関数 |
|---|---|---|
| サービス サポート管理者 | 顧客に代わってサポート要求を送信します。 | ヘルプ デスクは、サポート要求を作成および管理します。 |
| セキュリティリーダー | Microsoft 365 サービス全体のセキュリティ関連のポリシーを表示します。 | ヘルプ デスクは、データ損失防止ポリシーなどのセキュリティおよびコンプライアンス ポータル ポリシーのトラブルシューティングまたは更新を行うために、顧客テナントの検出を収集します。 |
| Intune 管理者 | Intune 製品のすべての側面を管理できます。 | ヘルプ デスクは、顧客のデバイス登録とトラブルシューティングを処理します。 |
| SharePoint 管理者 | SharePoint サービスのすべての側面を管理できます。 | ヘルプ デスクは、SharePoint サイトのアクセス許可を管理します。 |
| Teams コミュニケーション サポート スペシャリスト | Microsoft Teams サービスを管理できます。 | ヘルプ デスクは、通話品質の問題のトラブルシューティングを行います。 |
| ヘルプ デスク管理者 | 非管理者と以下の管理者のパスワードをリセットできます: ディレクトリ閲覧者、ゲスト招待者、ヘルプデスク管理者、メッセージセンター閲覧者、パスワード管理者、レポート閲覧者。 | ヘルプ デスクがパスワードをリセットします。 |
| デスクトップ分析管理者 | デスクトップ管理ツールとサービスにアクセスして管理できます。 | ヘルプ デスクは、資産インベントリを表示し、承認ポリシーの標準プロパティを読み取ることで、デスクトップ分析サービスを管理できます。 |
| 認証管理者 | 管理者以外のユーザーの認証方法情報を表示、設定、リセットするためのアクセス権を持ちます。 | ヘルプ デスクは、管理者以外のユーザー (MFA や条件付きアクセスなど) の認証方法情報を表示、設定、リセットするためにアクセスできます。 |
| Exchange 管理者 | このロールを持つユーザーは、サービスが存在する場合、Microsoft Exchange Online 内でグローバルアクセス許可を持ちます。 また、すべての Microsoft 365 グループを作成および管理し、サポート要求を管理し、サービスの正常性を監視する機能もあります。は OBO を送信し、受信トレイを管理できます。 | ヘルプ デスクは、共有メールボックスを管理し、メールボックス クォータの問題を解決し、トランスポート ルールを作成および管理します。 |
| ライセンス管理者 | ライセンスの割り当てを割り当て、削除、更新できます。 | トラブルシューティング中に、サポート リクエストにライセンスの問題が発生した場合、ヘルプ デスクは評価と修復を行います。 |
| ユーザー管理者 | 制限付き管理者のパスワードのリセットなど、ユーザーとグループのすべての側面を管理できます。は、ユーザーのサインインをブロックできます。 | ヘルプ デスクは、制限付き管理者のパスワードのリセットや、元顧客の従業員による Microsoft 365 サービスへのアクセスのブロックなど、ユーザーとグループのすべての側面を管理します。 |
| グループ管理者 | このロールのメンバーは、グループの作成/管理、名前付けポリシーや有効期限ポリシーなどのグループ設定の作成/管理、グループアクティビティと監査レポートの表示を行うことができます。 | ヘルプ デスクは、グループに所有者を追加し、グループにメンバーを追加します。 |
| ディレクトリ閲覧者 | このロールのユーザーは、基本的なディレクトリ情報を読み取ることができます。 | ヘルプ デスクでは、トラブルシューティングの一環として基本的なディレクトリ情報を読み取ることができます。 |
| メッセージ センター ビューアー | Office 365 メッセージ センターでのみ、組織のメッセージと更新プログラムを読み取ることができます。 | ヘルプ デスクはメッセージ センターを読み、サポートの問題のトラブルシューティングを行います。 |
| プリンターの管理 | このロールを持つユーザーは、プリンターを登録し、ユニバーサル印刷コネクタの設定を含む、Microsoft ユニバーサル印刷ソリューションのすべてのプリンター構成のすべての側面を管理できます。 委任されたすべての印刷権限リクエストに同意できます。 プリンター管理者は、レポートを印刷することもできます。 | ヘルプ デスクでは、プリンターの構成を管理し、プリンターの問題のトラブルシューティングを行います。 |
| ゲスト招待元 | このロールのユーザーは、Microsoft Entra B2B ゲスト ユーザーの招待を管理できます。 | ヘルプ デスクでは、メンバーがゲストを招待できる の設定に関係なく、ゲスト ユーザー 招待できます。 |
タスク別の最小特権ロール
次の表に、各 GDAP 機能内のタスクと、各タスクを実行するために必要な最小特権ロールを示します。
| GDAP 機能 | タスク | 最小特権ロール |
|---|---|---|
| サポート | サポート チケットを送信する | サービス サポート管理者 |
| ユーザー | ディレクトリ ロールにユーザーを追加する | 特権ロール管理者 |
| グループにユーザーを追加する | ユーザー管理者 | |
| ライセンスの割り当て | ライセンス管理者 | |
| ゲスト ユーザーの作成 | ゲスト招待元 | |
| ゲスト ユーザーの招待をリセットする | ユーザー管理者 | |
| ユーザーの作成 | ユーザー管理者 | |
| ユーザーの削除 | ユーザー管理者 | |
| 制限付き管理者の更新トークンを無効にする | ユーザー管理者 | |
| nonadmin の更新トークンを無効にする | パスワード管理者 | |
| 特権管理者の更新トークンを無効にする | 特権認証管理者 |
|
| 基本設定の読み込み | 既定のユーザーロール | |
| 制限付き管理者のパスワードをリセットする | ユーザー管理者 | |
| 管理者以外のパスワードをリセットする | パスワード管理者 | |
| 特権管理者のパスワードをリセットする | 特権認証管理者 | |
| ライセンスの取り消し | ライセンス管理者 | |
| ユーザー プリンシパル名を除くすべてのプロパティを更新する | ユーザー管理者 | |
| 制限付き管理者のユーザー プリンシパル名を更新する | ユーザー管理者 | |
| 特権管理者のユーザー プリンシパル名を更新する | グローバル管理者 | |
| ユーザー設定を更新する | グローバル管理者 | |
| 認証方法を更新する | 認証管理者 | |
| グループ | ライセンスの割り当て | ユーザー管理者 |
| グループの作成 | グループ管理者 | |
| グループまたはアプリのアクセス レビューを作成、更新、または削除する | ユーザー管理者 | |
| グループの有効期限を管理する | ユーザー管理者 | |
| グループ設定の管理 | グループ管理者 | |
| すべての構成の読み取り (非表示のメンバーシップを除く) | ディレクトリ閲覧者 | |
| 非表示のメンバーシップを読み取る | グループ メンバー | |
| 非表示のメンバーシップを持つグループのメンバーシップを読み取る | ヘルプ デスク管理者 | |
| ライセンスの取り消し | ライセンス管理者 | |
| グループ メンバーシップを更新する | グループ所有者 | |
| グループの所有者を更新する | グループ所有者 | |
| グループのプロパティを更新する | グループ所有者 | |
| グループの削除 | グループ管理者 | |
| ライセンス | ライセンスの割り当て | ライセンス管理者 |
| すべての構成を読み取る | ディレクトリ閲覧者 | |
| ライセンスの取り消し | ライセンス管理者 |
複雑さ別のロール
| 役割 | 簡単 | 中程度 | コンプレックス |
|---|---|---|---|
| アプリケーション管理者 | x | ||
| アプリケーション開発者 | x | ||
| 攻撃ペイロードの作成者 | x | ||
| 攻撃シミュレーション管理者 | x | ||
| 認証管理者 | x | ||
| Microsoft Entra 参加済みデバイスのローカル管理者 | x | ||
| Azure DevOps 管理者 | x | ||
| Azure Information Protection 管理者 | x | ||
| 課金管理者 | x | ||
| クラウド アプリケーション管理者 | x | x | |
| クラウド デバイス管理者 | x | ||
| コンプライアンス管理者 | x | ||
| 条件付きアクセス管理者 | x | ||
| Desktop Analytics管理者 | x | ||
| ディレクトリ閲覧者 | x | x | x |
| ディレクトリ同期アカウント | x | ||
| ドメイン名管理者 | x | ||
| Dynamics 365 管理者 | x | x | |
| Exchange 管理者 | x | x | |
| Exchange 受信者管理者 | x | ||
| 外部 ID プロバイダー管理者 | x | ||
| グローバル閲覧者 | x | x | x |
| グループ管理者 | x | ||
| ゲスト招待元 | x | ||
| ヘルプデスク管理者 | x | x | x |
| ハイブリッド ID 管理者 | x | ||
| Insights 管理者 | x | ||
| Intune 管理者 | x | x | |
| ライセンス管理者 | x | x | x |
| メッセージセンターのプライバシーリーダー | x | ||
| メッセージ センター閲覧者 | x | ||
| ネットワーク管理者 | x | ||
| Office アプリ管理者 | x | ||
| パスワード管理者 | x | ||
| Power BI 管理者 | x | x | |
| Power Platform 管理者 | x | x | |
| プリンター管理者 | x | ||
| プリンター技術者 | x | ||
| 特権認証管理者 | x | ||
| 特権ロール管理者 | x | ||
| レポート閲覧者 | x | x | |
| 検索管理者 | x | ||
| 検索用エディター | x | ||
| セキュリティ管理者 | x | x | |
| セキュリティ閲覧者 | x | x | |
| サービス サポート管理者 | x | x | x |
| SharePoint 管理者 | x | x | |
| Skype for Business 管理者 | x | ||
| Teams 管理者 | x | x | |
| Teams コミュニケーション管理者 | x | ||
| Teams コミュニケーション サポート エンジニア | x | ||
| Teams コミュニケーション サポート スペシャリスト | x | ||
| Teams デバイス管理者 | x | ||
| ユーザー管理者 | x | x | x |
| Windows 365 管理者 | x | x |
関連コンテンツ
- パートナー のリレーションシップを終了する方法
- 顧客のリレーションシップを終了する方法
- 期限切れの通知
- アクティビティ ログ