概要
ベンダーが顧客のAzureのサブスクリプション(Subscription)にアクセスして作業をしたい場合があります。その際、いくつか方法がありますが。今回は以下の3番の方法について説明します。
- Entra IDに、新規ユーザ or ゲスト アカウントを登録して、グローバル管理者を割り当てしてもらう。
- Azure Lighthouseの設定をする。(設定が顧客には難しい)
- Microsoft Partner Center の機能で一時的に顧客のグローバル管理者になる
ベンダー作業:「管理者特権の委任」URLの取得
Microsoft Partner Center(略:MSPC)にログインします。
Home>Cutomers>Administer
Home>Cutomers>Administer>Request admin relationship
例:7日間有効、権限は「グローバル管理者(Global administrator)」
注意事項:Azureサブスクリプションの直接の役割(roles)は容易されていないので、Entra IDのグローバル管理者とになり。その権限を利用して、ユーザを新規作成してAzure サブスクリプション管理者にします。
「Finalize request」ボタンをクリックする。
以下の「管理者特権の委任」URLをコピーして顧客に送付する。
※メモ:複数の顧客に利用できます。
顧客作業:「管理者特権の委任」の承認
Webブラウザーは「プライベート」 or 「シークレット」の状態で作業をお願いします。既存のユーザアカウントを間違えて使ってしまう場合があるため。
以下はChromの「シークレット」モードのイメージ
Azure Portal(https://portal.azure.com)に、グローバル管理者(Global Admin permission)でログインします。
※メモ:M365 Portal(https://portal.office.com) でも大丈夫です。
例)以下の画面はAzure portalにログイン後の画面になります。
Webブラウザーにベンダーから取得した「管理者特権の委任」URLを、WebブラウザーのURLにコピーしてEnterボタンを押します。
例:以下は「管理者特権の委任」URLの例になります。毎回URLは変わりますので、ベンダーから取得してください。
「次へ」をクリックします。
「次へ」をクリックします。
「承諾」をクリックします。
「閉じる」をクリックします。
以下のようにパートナーリレーションシップに追加されます。
補足:役割をすぐに削除することも可能です。削除するとベンダーの「管理者特権」が削除されます。
ベンダー作業:「Azure作業用ユーザ」の作成
Home>Cutomers>Administer
顧客のテナント名をクリックします。
有効な「管理者特権」が表示されるので、クリックします。
Security groups に利用したいユーザが所属しているグループを割り当てます。
数分後にリロードすると Pending から Active に変更されます。
Service management>Microsoft Entra ID
「MSPC一時的なユーザ(グローバル管理者)」で 顧客の「Entra ID」 にログインできました。
Azure作業用ユーザ(一時的に利用)を「グローバル管理者」として作成します。
「Azure作業用ユーザ」でAzure Portal(https://portal.azure.com)へログインします。
>Microsoft Entra ID
概要>プロパティ
「Azureリソースのアクセス管理」を「はい」にしてAzureのサブスクリプションの「ユーザーアクセス管理者」の役割が割り当てられます。
>サブスクリプション
管理したい、サブスクリプションを選択します。
アクセス制御(IAM)>ロールの割り当て
メモ:「Azure作業用ユーザ」には、「ユーザーアクセス管理者」しかないので、Azureになにもできないので、「所有者」を割り当てる
追加>ロールの割り当ての追加
特権管理者ロール>所有者
「次へ」をクリックする。
「Azure作業用ユーザ」を選択して、「次へ」をクリックする。
「ユーザーにすべてのロールの割り当てを許可する (高い特権)」を選択して、「レビューと割り当て」をクリックする。
「Azure作業用ユーザ」は所有者になりました。
ベンダー作業:「Azure作業用ユーザ」の無効化
作業が完了後は、「MSPC一時的なユーザ(グローバル管理者)」から、「Azure作業用ユーザ」を「無効」もしくは「削除」してください。
例)「Azure作業用ユーザ」を無効化する場合は、チェックボックスを外します。
「MSPC一時的なユーザ(グローバル管理者)」が不要になりましたら、無効にします。
例)終了したい、「管理者特権」を選択して「Terminate relationship」をクリックします。
この記事を書いた人
- 野呂清二(ご連絡はこちらまで (http://www.exceedone.co.jp/inquiry/)
この投稿者の最近の記事
Azure2024/12/12Azure/M365の一時的な管理者特権の取得(MSPC編)
Microsoft3652023/04/01SharePoint RBS 仕組み- Microsoft3652018/01/05AzureとOffice365のお得なキャンペーンをやっています。
- OneNote2016/08/17OneDrive for Business の「バージョン履歴」はOneNoteに対応していません
