Alternative Architecture DOJO

オルターブースのクラウドネイティブ特化型ブログです。

CSPパートナーの代理管理特権


こんにちは、オルターブースの木本です。
毎回ビックリするほど内容に一貫性がないことでお馴染みですが、今回はタイトルの通り「CSPパートナーの代理管理特権」というテーマについて書きたいと思います。
というか、書きます。
いや、書きました。



CSPパートナーとは

当ブログでも何度か触れていますが、弊社はMicrosoftのCSP(クラウドソリューションプロバイダー)パートナーです。
「CSP」とはMicrosoftのパートナープログラムの一環であり、クラウドソリューションを提供するための特定の資格を持ったパートナー企業を指します。
弊社はこのCSPパートナーという立場で、お客様にMicrosoftの様々な製品やサブスクリプションを提供しています。

弊社に限らず、CSPパートナーが提供しているのは製品やサブスクリプションだけではありません。 毎月の利用料金の請求などのサービスや、お客様が製品やサブスクリプションをご利用になる上で必要な様々なサポートも提供しています。

弊社の場合はCloud Pointerというサービスを通じて、請求代行のほか、Azureに関する技術支援、アドバイザリー、トレーニング、その他さまざまな開発支援などをご提供しています。
Cloud Pointerの詳細については、以下のリンクをご覧ください。

cloudpointer.tech


(今回の記事は2023年6月現在の情報を基にしています。)


代理管理特権「DAP」

DAPの概要

これらのサービスやサポートを提供するため、我々CSPパートナーは、お客様が製品やサブスクリプションをご利用になるAzure Active Directoryテナントに対して、「DAP(Delegated Administration Privileges)」と呼ばれる代理管理特権を付与されています。
※この「DAP」のほかに、「AOBO」と呼ばれるAzureサブスクリプションに対する権限もあるのですが、ややこしくなるので今回は触れません。

DAPの問題点

このDAP、実は「テナントを管理するためのほぼすべての操作」ができてしまうかなり強力な権限、具体的には「グローバル管理者」というAzure ADロール(役割)が付与されます。
また、有効期限がなく、お客様とCSPパートナーとの間に取引関係が継続している間は権限を付与された状態が続きます。(お客様あるいはCSPパートナーにより無効化することは可能です。)

お客様視点からの考慮事項

お客様の視点から見ると、「組織外の人が自社テナントにおいて強力な管理権限を無期限で行使できる」という状況は、セキュリティーポリシーやガバナンスの観点から問題になる可能性があります。
そのため、お客様がDAPを無効化してしまうことがあり、CSPパートナーからの適切なサポートが受けられなくなったケースも多いようです。

CSPパートナー視点からの考慮事項

さらに同じ状況をCSPパートナー視点で考えてみます。
DAPによる代理管理特権は、CSPパートナーのAzure Active Directoryテナント内にある「AdminAgents」という特殊なセキュリティグループに対して付与されます。
このAdminAgentsグループに所属させるメンバーを限定することで「強力な権限が誰にでも付与される」状況は防ぐことができますが、反対にこのグループに属するメンバーは自社と取引関係にあるすべての顧客テナントに対して代理管理特権を行使できるようになります。

つまり、メンバーごとに権限のレベルが設定できず、また顧客ごとに担当者を割り振ることもできないため、「サポート要員を増やしづらい」という課題が生まれます。このあたり、CSPパートナー各社はかなり「運用でカバー」しているのではないでしょうか。
また、限られた人数とはいえ、サポートに必要な範囲を超えた権限を持ってしまうのはCSPパートナーとしても好ましいことではありません。


詳細な代理管理特権「GDAP」

上記のような問題点を解消するために、最近になって新しい代理管理特権「GDAP(Granular Delegated Admin Privileges)」の導入が開始され、現在ワールドワイドでDAPからGDAPへの移行が進んでいます。

GDAPの登場により、DAPのようなザックリとした権限付与ではなく、「Granular(詳細)」な管理特権の設定ができるようになったのですが、具体的に何が変わるかを(できるだけ簡単に)説明してみたいと思います。

DAPからGDAPに移行して変わること

顧客による明示的な承認が必要になった

GDAPでは「お客様がCSPパートナーに対する代理管理特権の付与を承認する」という行為が必須になったので、DAPの時のように「知らないうちにCSPパートナーが強大な権限を持っていた」ということがなくなります。

実際にはDAPもお客様の承認に基づいて付与されるので「知らないうちに~」ということはないのですが、CSPパートナーと取引を開始する際の「リセラー関係の承認」を行う際に一緒に承認するケースもあるので、あまり意識されていないかもしれません。
GDAPでは代理管理特権の承認が独立したフローとして行われるようになったため、お客様が「CSPパートナーに代理管理特権を付与する」ことを意識せざるを得なくなりました。

管理権限の種類を選択できるようになった

CSPパートナーにはお客様のテナントに対して「グローバル管理者」というロール(役割)が付与されており、これを変更することはできませんでした。
これが、GDAPの登場により「サポートに必要なAzure ADロール」を選択できるようになります。

たとえば、「お客様のテナントで基本的なディレクトリ情報を読むことができる」、あるいは「管理者ユーザーのパスワードをリセットできる」といったように、具体的なサポート内容に対して必要最低限のロールを付与することができます。

任意のセキュリティグループを利用できるようになった

DAPでは、CSPパートナーのテナントに存在する「AdminAgents」という特定のセキュリティグループに対してロールが割り当てられましたが、これも変更することができませんでした。
※もうひとつ「HelpdeskAgents」というセキュリティグループがあるのですが、ややこしくなるのでここでは触れません。

任意のセキュリティグループに対して、任意のAzure ADロールを割り当てられるので、「ある顧客のAzureに関するサポートにだけ必要な権限を付与する」といったことや、「ある顧客に対してはグローバル管理者相当の権限を持つが、そのほかの顧客に対しては何の権限も持たない」という状態も作ることができるようになりました。

権限を付与する期間が有限になった

権限が付与される期間が無期限ではなくなり、最短1日~最長730日の有効期間を必ず設定するようになりました。
最長でも730日で権限が無効になり、自動更新も行われない仕様になっているため、その期間を超えてサポートを継続する場合はお客様による再承認が必要です。

複数のセキュリティグループに、それぞれ任意のAzure ADロールと有効期限を設定することで、「テナント構築時に1週間だけグローバル管理者相当の権限を付与して、その後はサポートに最低限必要な権限を365日付与する。」といったことや、「緊急対応のため1日だけグローバル管理者ロールを付与する」といったことができます。


GDAPの登場による影響

このように、GDAPの登場によって「Granular(詳細)」な代理管理特権の設定ができるようになりましたが、CSPパートナーにとっては考えなければいけないことが増えた、とも言えます。

契約時にお客様に説明・確認しなければいけないことも多くなりますし、取引の開始後にお客様にサービスやサポートを提供できる状態にするまでのタスクも増えました。

また、「詳細に」設定できるようになった分、パートナー側のAzure ADの設計・設定が複雑にならざるを得ないケースも出てきます。
弊社でも仕組みの理解から設計~実装~検証を経て移行が完了するまでに数か月を要しましたし、移行が完了した現在も今後の運用を考慮した次の段階の設計を模索中です。

お客様にとっても、これまでになかった手間が増えることになりますが、自社テナントを健全な状態に保つために必要なことであるとご理解いただけたらと思います。

代理管理特権に関しては私もまだまだわからないことが多く、日々勉強している状況です。
もし、これをお読みになったCSPパートナーの方で「ちょっと解釈が違うのでは?」ということがあれば、ぜひご指摘いただけたらと思います。


参考にさせていただいたサイト

最後になりましたが、今回CSPパートナーの代理管理特権を理解する上で下記の記事が非常に参考になりましたので、感謝の気持ちを込めて紹介させていただきます。(この記事が存在しなかったら、今でも理解できてない気がします・・・)

CSP事業者の代理管理を読み解く① blog.o365mvp.com

CSP事業者の代理管理を読み解く② blog.o365mvp.com


最後までお読みいただきありがとうございました。