Cloud Solution Partner(CSP)を経由してMicrosoftのクラウドサービスを利用する場合、料金請求の他にサポートに関してもCSP事業者から提供するために代理管理権限がCSP事業者に対して付与されます。
この権限に関しては、通常は最初のライセンス購入をする前の付与される形になりますが、あまり意識せず付与して、その後も運用されているケースも多いかと思うので、ここではその詳細について実装から読み解いていきたいと思います。
与えられる代理管理の種類と権限レベル
CSP事業者には、ライセンス販売に関して顧客のAzure ADテナントにライセンスを紐付けるというリセーラーの権限の他に、大きく分けてDAPとAOBOという管理者の権限が付与されます。
日本語ではどちらも代理管理~という表現をされており少し紛らわしいのですが、簡潔に言うとAzure ADテナント全体に対しての役割がDAP、そこに紐づけられているAzureサブスクリプションに関するRBAC権限がAOBOになります。
DAPは全体管理者もしくはヘルプデスク管理者の役割が、AOBOは所有者権限がそれぞれ固定的に付与されます。
権限の詳細
DAPでは、CSPの管理ポータルであるパートナーセンターから、管理エージェントのロールが割り振られたユーザー(=PartnerのAzure ADテナントのAdminAgentsセキュリティグループのメンバー)に対して全顧客に対しての全体管理者権限が、ヘルプデスクエージェントのロールにはヘルプデスク管理者の権限が割り当てられます。
この権限は非常に強い権限になりますので、全てのCSP事業者には顧客の安全確保の為、契約上、多要素認証の実装を含めた高度なセキュリティの確保や継続的なトレーニングの義務が課せられています。
なお、ここでパートナーに対して与えられている権限について、全体管理者と表記されていますが、一部の操作は実施することができず、厳密には利用者側の全体管理者の権限とは異なります。以下がその権限の例となります。
- パートナー(事業者の関係やデジタル指名パートナー)の変更
- サービス(WebDirect契約)購入
- 請求書情報へのアクセス
- Azure ADの特権昇格
ユーザーから委任されてこれらの作業を代行する場合には、ユーザーから作業用に全体管理者の権限を持ったユーザーを作成して貰う必要があります。
なお、AOBOの権限は一般的なサブスクリプションの所有者権限となります。
権限の付与の方法
DAPの権限付与は、対象となるAzure ADテナントの全体管理者(グローバル管理者)の権限を持つユーザーが、特定のURLにアクセスし、承認することにより行われます。
購入元のCSP事業者が直接モデルなのか、間接モデルなのかによってURLの形式と権限の付与先が異なります。間接モデルの場合には、購入元のCSP事業者の他に、その上位のライセンス流通事業者であるCSP Indirect Distributorに対しても権限を付与します。
【直接CSPの場合】 https://admin.microsoft.com/Adminportal/Home?invType=ResellerRelationship&partnerId=[直接CSP事業者のPartnerテナントのID]&msppId=0&DAP=true#/BillingAccounts/partner-invitation
【間接CSPの場合】https://admin.microsoft.com/Adminportal/Home?invType=IndirectResellerRelationship&partnerId=[間接CSPリセーラーのPartnerテナントのID]&msppId=[間接CSPリセーラーのPartnerId]&indirectCSPId=[間接CSPディストリビューターのPartnerテナントのID]&DAP=true#/BillingAccounts/partner-invitation
権限を付与せず、CSPでのライセンス購入のみを行うことができるように設定をすることもできます。URLの中に含まれる DAP=true の部分を DAP=false に変更して承諾を行います。この場合、ライセンスの付与自体は可能ですが、後述しますがサービス提供上の問題が発生するケースも多く、許容されない事業者も多いです。
一方、AOBOの権限付与は、CSP事業者との関連付けが終了し、Azureサブスクリプションの払い出しが完了した時点で、既定で唯一の所有者として付与されています。
対象: Foreign Principal for ‘CSPパートナー名’ in Role ‘TenantAdmins’ ( 自社名 )
付与されるRBAC: 所有者
スコープ: サブスクリプション
実際の環境では、上図の様に必要に応じてユーザーテナント側のアカウントに対しても必要な権限を付与して作業を行う形が多いかと思います。権限の付与は、AOBOの権限を利用してCSPパートナーが実施することもできますし、Azure ADの全体管理者のアカウントを利用して特権昇格してユーザー自身が付与することも可能です。
【参考】Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる | Microsoft Docs
権限の削除(ならびに復活)の方法
DAPは、全体管理者の権限を持つユーザー側の管理者であれば Microsoft 365管理センター から削除可能です。パートナー側から能動的に削除することはできません。
左側の [設定] – [アドバイザー パートナー]を開き、他のパートナーの種類の中で[リセーラー]となっている物を選択して [役割を削除] をクリックすることにより、削除が可能です。
この処理を行うと、CSP事業者がサポートリクエストを上げられない他、Azureサブスクリプションのステータス取得や廃止処理、M365ライセンスのアップグレードなどを実施することができなくなるなどの弊害が発生する可能性も高く、サービス提供を受けている間の実施はお勧めいたしません。
逆に、サービス提供の契約が終了した場合においても、明示的に削除しない限りはこの権限は残っていますので、サービス提供が終了した場合には適宜削除しましょう。
なお、DAP権限の復活は新規で付与する場合と同じURLを再度利用して権限付与します。
AOBOの削除は、Azureサブスクリプションに対する所有者が追加で割り当てられている場合にのみ実施が可能(※AOBOが既定で唯一の所有者権限なので)であり、AzureのサブスクリプションのIAMから所有者の権限を削除します。
これを削除した場合、他のM365のライセンス提供などのケースと同じくサポートリクエストが上げられなくなるなどの弊害の他に、CSP事業者に対してMicrosoftから提供されるクレジットによる値引き(マネージドを提供している事業者が対象)が行われなくなるという問題があるため、多くのCSP事業者では契約上の禁止事項として定められています。万一、監査要件などの問題で対応の必要が有る場合、CSP事業者に連絡の上調整されることをお勧め致します。
AOBOの復活は、DAPの再承認ではなくRBACの手動での再付与で実施します。AOBO用に割り当てられている権限のForeign Principalは通常の手順では見えませんので再付与に必要なObjectIDの情報をCSP事業者から貰い、PowerShellなどで付与します。
New-AzRoleAssignment -ObjectID "AdminAgentsグループのオブジェクトID" -RoleDefinitionName "Owner" -Scope "/subscriptions/<サブスクリプションID>"【参考】 Azure CSP の管理者特権を復元する – Partner Center | Microsoft Docs
まとめ
- 代理管理権限は非常に強い権限が固定的に割り当てられている
- パートナーに対して権限や対象サービスを絞るなどの制限はできない
- パートナー側も特定ユーザーや特定のサービスに対してのみアクセスできるという権限の設定はできない
次回の投稿では、代理管理権限の具体的な実装方式についてもう少し詳しく見ていきたいと思います。
Pingback: CSP事業者の代理管理を読み解く② | 日々徒然
Pingback: CSP事業者の代理管理の実装例 | 日々徒然