この記事は Microsoft Learn Advent Calendar 2021 にエントリーしています。

Microsoft認定資格の期限

現在、ロールベースと呼ばれる新しいMicrosoft認定資格（初級レベルの物は除く）に関しては、取得から1年という有効期限が定められています。

最初に発表された時は、Azureは2年、Microsoft365系は3年と言われていましたが、2021年4月に、オンラインで無料受験できる更新アセスメントの発表とともに2021年6月30日以降に取得した資格は有効期間が1年と改定されました。

今回、2019年4月に取得し有効期間が2021年10月（更新試験公開までの期間として+半年延長された）の資格があったので、失効させてどうなるかを確かめてみました。

…嘘です。意図せず失効させてしまったので、その顛末を blog に残しておこうと思います。

資格の更新はどうやってやるの？

認定資格を取得すると、有効期限の180日前、90日前、30日前、7日前の計4回、リマインダーのメールが飛んできます。このメールにあるリンクから、ブラウザ経由で更新試験を受験することができます。

注意点としては、この4回のリマインダーは資格ごとに送られてきます。例えば、資格を 5 個取得していた場合、4 x 5 = 20回/年のメールが送信されてきますので、読まなかったり捨てたりばかりしていると、私のように過学習されて低優先メールに移動されちゃったりしますので気を付けましょう(涙)

認定ダッシュボードにログインすると、画面の上部にも更新のボタンが表示されますので、そちらから受験することもできます。

更新のアセスメントは、本番のMCP試験などと同様にブラウザで受験することが可能です。特に制限時間などはなく、2-30問程度の問題です。VUEの試験と異なりWebカメラでの監視等もないので、1時間ほどの空き時間を使って簡単に受験することが可能かと思います。

ブラウザと同じ言語が既定で利用されますが、下部のボタンから言語を切り替えることも可能ですが、言語を切り替えると問題セットがリセットされて1問目に戻ってしまうという仕様なので、気をつけましょう。

試験が終わると、本番同様に各項目ごとの達成度の棒グラフ付きのレポートがでますので、自分の不得意な分野についてはこちらで確認をすると良いと思います。

不合格だった場合、1回目の再試験はその場で再試験ボタンが表示されて再試験を受けることが可能です。再試験にも不合格だった場合、試験を終了した時間から24時間開ける必要があります。画面上に次回が受けられる時間までのタイマー[24:00]が画面に表示されます。

例えば、残り7日の段階で試験→再試験で不合格だった場合、残りのチャンスはテスト時間を考えると5回くらいになります。再試験はお金もかかりますし、結構なプレッシャーになってしまう可能性もありますので、遅くとも30日前には力試しでも構いませんので更新試験を受験しておくことをお勧めします。

また、合格時の1年延長は、合格日から1年の延長ではなく、元の期限から+1年になりますので、早めに合格しても特に損になるようなことはありません。（例えば180日前の通知で合格すると、次の期限は約1年半後になります。）

失効するとどうなるの？

失効すると、特に失効したという通知などは何も来ません。
（合格した場合は、以下のようなメールが来ます）

目に見える変化としては、認定ダッシュボードからダウンロードできる Transcript から表示が消えます。また、Acclaimのバッジからも消えます。ただ、この辺を頻繁にチェックする人はいないと思いますので、失効してもあまり気が付かない人が大半なのではないかと思います。

過去に合格していたことを証明する場合は [証明書]からダウンロードすることができます（取得日と有効期限が記載されてます）

再認定に向けて

という訳で、まんまとメールを見逃して Microsoft Azure Solutions Architect Expert を失効した私は、再試験に臨みました。

この資格は、

の組み合わせで取得することができます。私は、AZ-300とAZ-301で合格をしていたので、うまくするとAZ-303だけ合格すれば AZ-303 + AZ-301 で再認定できるのではないかと思い、11/4のmstepの試験対策講座を受験して、翌11/5に無事合格してきました。

が、認定資格ダッシュボードには残念ながら AZ-303 合格おめでとうございますしか表示されませんでした。

仕方ないので、11/18のmstepを受講して、11/19にAZ-304を受けて無事合格できました。

（おまけ）マイクロソフト認定サポートへのサポート依頼方法

これで無事再認定…と思いきやいつまで待っても（基本的にダッシュボードへの反映は48時間と言われているのですが）表示されません。

こういった場合はマイクロソフト側にサポートを依頼して手動での対応をしてもらわないといけません。クラウド製品などと違って、サポートリクエストを上げるページなどが存在せず、少し特殊な依頼方法になりますので、こちらで少し記載します。

ちなみに、私は過去に「試験センターで紐づけされるMicrosoftアカウントが分かれてしまって統合したい」「ベータ試験で認定に必要な2つの試験に合格したのだが、認定資格側が追加されない」などの際に利用したことがあります。

サポートは、トレーニングのサポート – MCP のコミュニティサイトから行います。

画面上部に[質問する] がありますので、そちらをクリックして、質問内容は「Microsoft認定資格で○○の問題があるので、プライベートメッセージを下さい」と簡潔に記載します。

しばらく待つと、プライベートメッセージが届きましたという旨のメールが来ますので、そのメールのリンクからやりとりをして解決まで対応して貰うという流れになります。

ちなみに、今回は調査の結果システム側の問題とのことでしたが、修正がAdvent Calendarで取っている日までには間に合わず、反映できませんでした。

世界的に確認されておりました認定資格の未反映等のシステムイシューの修正が完了し、現在は海外担当部署にて個々の認定資格の修正を順に行っているとのことでございます。

しかしながら膨大な数とのことで順に対応中のため、Genki Watanabe　さんの修正完了までは今しばらくお時間をいただきたいとの回答でございました。

サポートからの回答

まとめ

Microsoft認定資格の更新は、Webから無料で何度でも受けられるアセスメントで簡単に行うことができます。

取り直しはかなり面倒ですし、せっかく取った資格ですので計画的に更新していきましょう。（私も現在8つほど更新が必要なものがあるので頑張って更新します）

Cloud Solution Partner（CSP）を経由してMicrosoftのクラウドサービスを利用する場合、料金請求の他にサポートに関してもCSP事業者から提供するために代理管理権限がCSP事業者に対して付与されます。

この権限に関しては、通常は最初のライセンス購入をする前の付与される形になりますが、あまり意識せず付与して、その後も運用されているケースも多いかと思うので、ここではその詳細について実装から読み解いていきたいと思います。

与えられる代理管理の種類と権限レベル

CSP事業者には、ライセンス販売に関して顧客のAzure ADテナントにライセンスを紐付けるというリセーラーの権限の他に、大きく分けてDAPとAOBOという管理者の権限が付与されます。

日本語ではどちらも代理管理～という表現をされており少し紛らわしいのですが、簡潔に言うとAzure ADテナント全体に対しての役割がDAP、そこに紐づけられているAzureサブスクリプションに関するRBAC権限がAOBOになります。

DAPは全体管理者もしくはヘルプデスク管理者の役割が、AOBOは所有者権限がそれぞれ固定的に付与されます。

権限の詳細

DAPでは、CSPの管理ポータルであるパートナーセンターから、管理エージェントのロールが割り振られたユーザー(＝PartnerのAzure ADテナントのAdminAgentsセキュリティグループのメンバー)に対して全顧客に対しての全体管理者権限が、ヘルプデスクエージェントのロールにはヘルプデスク管理者の権限が割り当てられます。

この権限は非常に強い権限になりますので、全てのCSP事業者には顧客の安全確保の為、契約上、多要素認証の実装を含めた高度なセキュリティの確保や継続的なトレーニングの義務が課せられています。

なお、ここでパートナーに対して与えられている権限について、全体管理者と表記されていますが、一部の操作は実施することができず、厳密には利用者側の全体管理者の権限とは異なります。以下がその権限の例となります。

• パートナー（事業者の関係やデジタル指名パートナー）の変更
• サービス（WebDirect契約）購入
• 請求書情報へのアクセス
• Azure ADの特権昇格

ユーザーから委任されてこれらの作業を代行する場合には、ユーザーから作業用に全体管理者の権限を持ったユーザーを作成して貰う必要があります。

なお、AOBOの権限は一般的なサブスクリプションの所有者権限となります。

権限の付与の方法

DAPの権限付与は、対象となるAzure ADテナントの全体管理者（グローバル管理者）の権限を持つユーザーが、特定のURLにアクセスし、承認することにより行われます。

購入元のCSP事業者が直接モデルなのか、間接モデルなのかによってURLの形式と権限の付与先が異なります。間接モデルの場合には、購入元のCSP事業者の他に、その上位のライセンス流通事業者であるCSP Indirect Distributorに対しても権限を付与します。

【直接CSPの場合】 https://admin.microsoft.com/Adminportal/Home?invType=ResellerRelationship&partnerId=[直接CSP事業者のPartnerテナントのID]&msppId=0&DAP=true#/BillingAccounts/partner-invitation

【間接CSPの場合】https://admin.microsoft.com/Adminportal/Home?invType=IndirectResellerRelationship&partnerId=[間接CSPリセーラーのPartnerテナントのID]&msppId=[間接CSPリセーラーのPartnerId]&indirectCSPId=[間接CSPディストリビューターのPartnerテナントのID]&DAP=true#/BillingAccounts/partner-invitation

権限を付与せず、CSPでのライセンス購入のみを行うことができるように設定をすることもできます。URLの中に含まれる DAP=true の部分を DAP=false に変更して承諾を行います。この場合、ライセンスの付与自体は可能ですが、後述しますがサービス提供上の問題が発生するケースも多く、許容されない事業者も多いです。

一方、AOBOの権限付与は、CSP事業者との関連付けが終了し、Azureサブスクリプションの払い出しが完了した時点で、既定で唯一の所有者として付与されています。

対象: Foreign Principal for ‘CSPパートナー名’ in Role ‘TenantAdmins’ ( 自社名 )
付与されるRBAC: 所有者
スコープ: サブスクリプション

実際の環境では、上図の様に必要に応じてユーザーテナント側のアカウントに対しても必要な権限を付与して作業を行う形が多いかと思います。権限の付与は、AOBOの権限を利用してCSPパートナーが実施することもできますし、Azure ADの全体管理者のアカウントを利用して特権昇格してユーザー自身が付与することも可能です。

【参考】Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる | Microsoft Docs

権限の削除（ならびに復活）の方法

DAPは、全体管理者の権限を持つユーザー側の管理者であれば Microsoft 365管理センター から削除可能です。パートナー側から能動的に削除することはできません。

左側の [設定] – [アドバイザー パートナー]を開き、他のパートナーの種類の中で[リセーラー]となっている物を選択して [役割を削除] をクリックすることにより、削除が可能です。

この処理を行うと、CSP事業者がサポートリクエストを上げられない他、Azureサブスクリプションのステータス取得や廃止処理、M365ライセンスのアップグレードなどを実施することができなくなるなどの弊害が発生する可能性も高く、サービス提供を受けている間の実施はお勧めいたしません。

逆に、サービス提供の契約が終了した場合においても、明示的に削除しない限りはこの権限は残っていますので、サービス提供が終了した場合には適宜削除しましょう。

なお、DAP権限の復活は新規で付与する場合と同じURLを再度利用して権限付与します。

AOBOの削除は、Azureサブスクリプションに対する所有者が追加で割り当てられている場合にのみ実施が可能（※AOBOが既定で唯一の所有者権限なので）であり、AzureのサブスクリプションのIAMから所有者の権限を削除します。

これを削除した場合、他のM365のライセンス提供などのケースと同じくサポートリクエストが上げられなくなるなどの弊害の他に、CSP事業者に対してMicrosoftから提供されるクレジットによる値引き（マネージドを提供している事業者が対象）が行われなくなるという問題があるため、多くのCSP事業者では契約上の禁止事項として定められています。万一、監査要件などの問題で対応の必要が有る場合、CSP事業者に連絡の上調整されることをお勧め致します。

AOBOの復活は、DAPの再承認ではなくRBACの手動での再付与で実施します。AOBO用に割り当てられている権限のForeign Principalは通常の手順では見えませんので再付与に必要なObjectIDの情報をCSP事業者から貰い、PowerShellなどで付与します。

New-AzRoleAssignment -ObjectID "AdminAgentsグループのオブジェクトID" -RoleDefinitionName "Owner" -Scope "/subscriptions/<サブスクリプションID>"

【参考】 Azure CSP の管理者特権を復元する – Partner Center | Microsoft Docs

まとめ

• 代理管理権限は非常に強い権限が固定的に割り当てられている
• パートナーに対して権限や対象サービスを絞るなどの制限はできない
• パートナー側も特定ユーザーや特定のサービスに対してのみアクセスできるという権限の設定はできない

次回の投稿では、代理管理権限の具体的な実装方式についてもう少し詳しく見ていきたいと思います。

【関連】CSP事業者の代理管理を読み解く② | 日々徒然 (o365mvp.com)

前回の記事では、CSP事業者の2種類の代理管理権限であるDAPとAOBOについて紹介しましたが、今回は、それらに関してもう少し具体的な実装方式について書いていきたいと思います。

前回も一部紹介しましたが、これらの代理権限はCSPパートナーのAzure ADテナントと顧客のAzure ADテナントの間で今の図のようなイメージで構成されます。

まず、CSPパートナーでは、Partner Centerから各ユーザーに対して役割を付与すると、裏でAzure AD上にCSPプログラムのOn-Board時に作成されたそれぞれに対応したセキュリティグループに所属されます。その後、顧客側テナントでは以下の流れで実装されます。

1. 顧客とのCSP事業者の関係づけをすると、顧客テナントに対して、パートナーテナントの特定のセキュリティグループ（AdminAgentsならびにHelpdeskAgents）が顧客側テナントの外部プリンシパル(Foreign Principal)として追加されます。
2. DAPを有効化するとこれらに顧客のAzure ADテナントの全体管理者、ヘルプデスク管理者の役割が割り当てられます。
3. Azureサブスクリプションを作成すると、AOBOの権限としてAdminAgentsが所有者として設定されます。

参考までに、パートナーテナントには基本的にAzure AD Premium P2のライセンスが付いていてリスクベースの認証が有効化されてます。また、多要素認証なしでの認証だと代理管理権限が行使できないようにも設計されているので、パートナーテナント側のユーザーはシステム的にきちんと守られていますので、その点は安心できる要素かなと思います。

この辺りの実装が分かっていると事象の説明がしやすいFAQがあるので、いくつか紹介します。

Q1.CSPのパートナーです。Partner Centerからヘルプデスクエージェントの役割を与えたユーザーが、M365のサポートリクエストは上げられるのですがAzureのサポートリクエストが上げられません、それどころかAzureサブスクリプションすら見えません。
A1.ヘルプデスクエージェントはAzureADに対してのヘルプデスク管理者の権限は有していますが、Azureサブスクリプションに関する権限は持っていません。Azureを管理する必要がある場合は管理エージェントグループに所属させて下さい。

Q2.個別にAzureの権限を付与したかったので、特定のサポートチームのアカウントを顧客テナントに招待して権限を付与しました。招待と設定自体は完了したように見えるのですが、そのアカウントからサポートリクエストが上げられなくなってしまいました。
A2.パートナーの権限は、実体を持たないForeign Principalに対しての権限として付与されています。顧客テナントにパートナーテナントのアカウントをゲスト招待した場合、そのアカウントは実体のあるゲストアカウント側の権限が優先されるのでサポートリクエストを上げることができません。

Q3.お客様要望で、現在他のCSPパートナーで利用しているM365とAzureのサブスクリプションを自社のCSPに譲渡（リセーラー変更）しました。移行完了の連絡が来たのですが、M365は見えますがAzureは何も見えません。また、Microsoftからの請求額が少し高いように見えます。
A3.Azureの代理管理のAOBOの権限はAzureのRBACとして実装されておりますが、サブスクリプションを別の事業者に移譲した場合でも変更されず、従来のCSPパートナーのみが権限を持っている状態となります。
適切に移行するには、移行を実施する前に、旧パートナーあるいはお客様によって新パートナーに対するAOBOの権限を設定し、移行完了後に不要となった旧パートナーの権限を削除する必要がございます。
なお、このAOBOの設定を行わない場合、新パートナーにはクレジット（PEC）が支払われませんので、その意味からも移行前に正しく設定を行っておくことを推奨します。

Q4.お客様はM365をMicrosoftのEnterprise Agreementを通じて調達されており、自身で管理をしています。CSP事業者としてAzureサブスクリプションを提供することになったのですが、Azureのみを管理するのでAzure ADの管理権限は不要と判断し、AOBOを残してDAPを削除したらお客様のAzureにアクセスできなくなりました。
A4.Azureへのアクセスは、Azureサブスクリプションの権限の他に適切なAzure ADに帯する権限（最低限Directory Reader）も必要となります。DAPを削除した場合、お客様Azure ADテナントに対しての権限が無くなってしまうので、AOBOの他にDAPも継続して割り当てが必要となります。

Q5.Azure AD Premiumの条件付きアクセスの機能で自テナントの管理者の役割に対して各種アクセス制限を実装しています。CSPパートナーが外部ネットワークからのアクセスとなるので、条件付きアクセスでCSPの代理権限の時のみ外部ネットワークのアクセスが可能なようにポリシーを記載したいのですが。
A5.パートナーのアカウントはForeign Principalとして実装されており、これはAzure ADのアクセス制御で対象を特定するために利用できる「ユーザーまたはグループ」「ワークロードID（プレビュー）」ではないため、利用できません。パートナーアクセスはIPアドレスなど別の情報を識別情報として利用し、そのアクセスに対しては条件付きアクセスでブロックされない（[MFAを要求する]のアクションは可能）よう設計する必要があります。

前回までの記事（CSP事業者の代理管理を読み解く① 、CSP事業者の代理管理を読み解く②）ではCSP事業者の持つ代理管理権限について紹介させて頂きました。とても強い権限ですので、きちんとCSP事業者側としてもしっかり管理していくべき事項であることがご理解頂けたかと思います。

事業者側、ならびにユーザー側から守るべきポリシーなどは、公式から クラウド ソリューション プロバイダーのセキュリティに関するベスト プラクティス – Partner Center | Microsoft Docs 上げられていますので、俯瞰的な情報はそちらを参照して頂くとして、この記事では、より具体的にこの機能をこう使うと便利に実装できるよということをいくつか紹介していきたいと思います。

1.特権管理者のメンバーを管理する

当たり前といえば当たり前なのですが、CSPパートナー側のAzure ADのテナントの最上位の権限であるグローバル管理者のメンバー管理は厳密に実施する必要があります。

Partner Centerから見た場合は上位の様な物になりますが、グローバル管理者はAzure AD全体で2名以上、4名以下にすることがベストプラクティスとされています。現実問題としては、グローバル管理者の権限でないとできないことも実際には少ないとは思うのですが、管理をサービス毎に分担している場合など、運用上複数人を割り当てる必要があるケースも有ると思います。

こうした場合に便利なのが、Azure ADの Privileged Identity Management (AADPIM)の機能になります。この機能を有効化すると、主に2つの点で有利な点があります。

1. 権限を必要な時だけ有効化でき、更に理由などのエビデンスを残せる
2. 役割を持つユーザーを監視できる（AADPIM外で割り当てられた場合に警告メールを出せる）

常時では全体管理者を割り当てず、必要な作業の単位でそのアカウントが必要な理由、チケット番号などをエビデンスとして残しつつ、必要に応じて権限の承認などのプロセスを経て有効化、有効化期間（例えば1時間）が過ぎれば特権が削除されるという運用になります。Excelのリストで管理して定期的な棚卸しをするより楽ですし、何より安全です。

今すぐに運用を変えるのは難しいという場合でも、PIMの機能だけでも有効化するというのは有用です。この場合、既存のロールを持つユーザーは全て、AADPIM的には永続的なアクティブの割り当てとなり、ユーザビリティは変わりませんが、メンバーシップの監視は行えるようになります。週次のレポートも飛んでくるようになります。その後、必要に応じてJust-In-Timeでのロールの割り当てを実施するのが良いです。

2.ログを長期保存する

Partner CenterやAzure ADからは、標準で過去30日分のサインインなどの各種代理管理を含むログを閲覧/検索が可能です。

平常時は30日分あれば十分トラブルシュートなどの運用は可能かと思いますが、問題はインシデント発生時です。アカウントの漏洩などが疑われる状態となった場合に、ユーザー企業に対して説明上、現状だけでなく過去においても問題が無かったことを確認するという悪魔の証明のプロセスが走ります。

サイバー攻撃に関する各種調査で、攻撃されてから発見までの日数として半年～1年など、かなりの長さがかかることが分かっています。従って、最低でもその期間は遡って確認ができるように各種のログは保存しておくと有事の際の対応がかなり楽になります（というより、取っていないと絶望的です）。

一番簡単なのは、AzureのLog Analyticsを利用してAzure Active Directoryの AuditLogs や SigninLogs を最長である2年間保存しておくという手法です。このために、PartnerのAzure ADテナントに対して自身で持っているEAやWeb Directのサブスクリプションを作成します。MPNの特典のAzure Sponsorshipのクレジットを利用しても良いですね。

エクスポートの設定はAzure Active Directoryの [診断設定] メニューから保存するログを選択。Log Analyticsでワークスペースを選択し、[使用量と推定コスト]から[データ保有期間]でログ保持期間の設定です。（事前にLog Analyticsワークスペースは作成して、価格レベルは従量課金制に設定しておきます）

PartnerテナントのAzure ADを通常のMicrosoft 365の利用などと分離しているケースが多いと思いますが、その場合は記録されるログもCSPパートナーとして実施する作業に関するログのみとなりますので、せいぜい数百から多くて数千円/月の課金で済む場合がほとんどだと思います。

3.条件付きアクセスを活用してリスクを低減する

Partnerテナントのアカウントは、基本的に全ての認証に多要素認証を利用することが求められます。確かに、これでかなりの部分のリスクは低減することできますが、人がオペレーションをしている以上100%ではありません。

Azure Active Directoryの条件付きアクセスを活用すると、実際にあり得ないパターンの認証についてブロックするという自動処理を書くことができます。

例えば、24時間365日の運用管理を担っている監視センターの輪番のオペレータの方が、監視センター以外のIP（例えば自宅などから）からアクセスするケースというのは考えられません。こういったアクセスを明示的に排除するルールを作成することができます。

これは、一見システム管理側の利点にも見えますが、個人的にこれはどちらかというと社員側を守る為の設定だと思ってます。例えば、監視センターの人間も、全顧客テナントに管理者としてアクセスできるような強すぎる権限なんて欲しくて付与されてるわけでは無いです。多要素認証があるとはいえ、ID、パスワードとスマートフォンがあったらアクセスできてしまうと考えると、業務外の環境からはアクセスされないという環境を実装することにより、心理的安全性を確保することができると思います。

4.AdminAgentsグループにJust-in-Timeで参加する

本機能はプレビュー機能となりますので、GA時に仕様が変わる、移行が必要になる、そもそも機能実装されないなどのリスクがあります。

前の項でも説明をしましたが、AdminAgentsグループは非常に強い権限を持つグループであり、常時参加していたいと思う、あるいは参加している必要がある人というのは、パートナーの中でも非常に少数であると考えられます。

現在プレビュー中ではありますが、特権アクセスグループを利用するとグループへの所属をJust-in-Timeで実施することができます。アクティブ化に理由・チケット番号の記載を要求したり、指定したメンバーの承認を必要とすることも設定できます。

特権アクセスグループの有効化には、[グループに Azure AD ロールを割り当てることができる] という設定を [はい] に設定しないといけないのですが、この設定はグループ作成時にのみ設定できる仕様になりますので、CSPのオンボード時に自動作成されるAdminAgentsグループには有効化できません。

ただ、仕様上特に明示されていないのですが、AdminAgentsはメンバーにグループを入れ子にして利用しても動作しますので、これを利用して以下のイメージで実装します。

特権アクセスグループの設定（承認の要否、チケット番号記載の有無、承認者）が異なるケースなどは、複数これらのグループを作成し、それぞれのグループをAdminAgentsグループのメンバーとして追加します。

5.低い権限でAOBOに接続する

本構成はMicrosoftサポート対象外の構成です。検証する限り、現時点で動きますが、将来的に動かなくなる、あるいはクレジットを獲得できなくなるなどのリスクが内在していることをご承知おきください。

CSP事業者の代理管理を読み解く② で記載した通り、Azureサブスクリプションを代理管理する場合は、そのユーザーは全体管理者（Azure AD）＋所有者（Azure）という最上位の権限を持つか、あるいはユーザーが明示的に削除して何も持たないかのいずれか一方という 1 か 0 かという権限所持に関する選択肢しか与えられておりません。

CSP事業者を通じたMicrosoft Azureの導入にあたり、CSP事業者に対して以下のようなリクエストが来るケースが存在しています。

• Azureの管理権限だけが必要なのにAzure ADの全体管理者の権限を与えなければいけないのは大きすぎる
• システムの構築運用の主体は自分たちなので事業者にAzureの所有者の権限を与えるのは大きすぎる

これに対して非サポートではありますが、構成可能なのが以下の通りになります。

1. Azure ADに対するより弱い [ヘルプデスク管理者] の権限を持っているヘルプデスクエージェントに対してAOBOを割り当てる
2. AOBOで付与されている権限を [所有権] ではなくより弱い管理権限にする

1.に関しては、AdminAgentsへのAOBOの復活と同じ手順で、対象をPartnerのAzure ADテナントのHelpdeskAgentsに変更します。

2.に関しては、所有者権限はユーザー側に渡して、CSP事業者にはより低い権限（例えばサポートリクエスト共同作成者）を付与する形になります。クレジットの獲得できる権限が望ましいと思いますが、技術的にはマストな要件ではないです。

両方同時にやろうとする場合は以下のコマンドとなり、PowerShellのコマンドレットでRBACを付与します。

New-AzRoleAssignment -Scope /subscriptions/[サブスクリプションID] -RoleDefinitionName "Support Request Contributor" -ObjectId [HelpdeskAgentsのオブジェクトID]

これにより、Azure Portalからの見た目は以下の感じになります。

その後、所有者をお客様ユーザー（例えばadmin@～など）に割り振り、既存のAOBOの所有者権限を削除頂ければ作業は完了となります。

注意点ですが、AOBOの所有者権限がなくなった場合、CSP事業者側からのAzure契約の削除（Azureサブスクリプションの上位にあるAzureプランの削除の前提条件が配下のサブスクリプションが全て非アクティブであるという物があるので）ができないので、廃止の処理もできません。

正確には、AzureサポートにSRを上げて強制削除することもできるのですが、数日リードタイムが掛かってしまいます。こちらはきちんとエンドユーザーと意識を合わせておいた方が良いと思います。

6.重要なセキュリティグループのメンバーシップを監視する

AdminAgents、HelpdeskAgentsなど、ParterのAzure ADテナント内の特定のセキュリティグループのメンバーに対しては、顧客テナントに対しての強力な代理管理者権限が付与されます。

このメンバーシップ自体は単なるセキュリティグループのメンバーであるという形で実装されています。誰かがグループメンバーを変更して代理管理者権限で顧客テナントに入って何か操作をし、その後グループメンバーシップから外したとしても、単純な定期的なメンバーシップの棚卸だと気がつくことがきません。

前の2項でAzure ADのログをLog Analyticsにエクスポートすることを紹介しましたが、これをやっておけばそのログを監視することによりメンバーシップの変更を検知することができます。

名前　AdminAgentsグループの情報が変更されました
スコープ　Azure ADの監査ログを保存しているLog Analyticsのワークスペース
検索クエリ
AuditLogs
| where Category == "GroupManagement"
| where TargetResources contains '(監視するAdminAgentsグループのObjectID)'
| where Result == "success"
アラートロジック　結果の数が 次の値より大きい 0
評価基準　期間5分 頻度5分（※より長い値でも可能）

入れ子しているグループのメンバーなどを含めた完全なメンバーシップを監視することはできませんが、これで大部分の 追加/削除 に関する変更は監視することができるようになると思います。

以上、今回は実装に当たってのTIPSをいくつか紹介しました。

CSPパートナーのテナントには昨年からセキュリティ強化に向けてAzure AD Premium P2の無償ライセンスが提供中になります。折角タダで使えるのであれば、是非この機会に使い倒して頂き、便利だと思ったらエンドユーザーにも紹介・提供していけるようになれば良い流れかなと考えております。

2023/2/8 の早朝 5:25 に、シンガポールの Azure データセンタの 1 つで発生した電源障害に起因し、Teams で広域障害が発生しました。（本記事の記載時点で PIR 待ちの状態です）　私が個人で契約しているテナントでも Meeting / 通知などの機能に影響が発生しておりました。

ここで、一つ疑問が生じました。あれ、そういえば日本にデータセンタができたときに、東南アジアに残るか日本リージョンに移るかで日本リージョンに移るという選択を当時したのではなかったっけ…調べてみました。

どうやら、Teams の基本的な処理を行うサーバは APAC エリアに配置されていたが、2018/8/27 に日本リージョンにもできた。それ以降に開通した顧客は日本にTeamsも配置される。ご多分に漏れず私のテナントもそうなってました。
Microsoft Teams のデータ所在地に日本とオーストラリアを追加 – Windows Blog for Japan

また、Teamsはバックグラウンドでチャットやファイルなど、多くのデータが SharePoint Online や OneDrive for Business、Exchange Online に配置されておりますが、こちらは認識通り日本に配置されてます。

現状の構成ですと、日本あるいは APAC で何かしらの広域障害が発生した場合、どちらの障害でも Teams としては影響を受ける形になりますので、この機会に全部日本に持ってきて、巻き込まれる可能性を減らそうと思います。

リクエストは Microsoft 365 管理センターから行います。移行リクエストができるテナントの場合、[設定] – [組織設定] – [組織のプロファイル] に [データ所在地] という項目が表示されており、ここからリクエストを行うことができます。

これでリクエストは完了です。あとは完了まで待つだけですね。

登録キャンペーンによる先進的で強力な認証の推進 | Japan Azure Identity Support Blog (jpazureid.github.io) でも案内されていますが、Entra ID の登録キャンペーン（より強力な多要素認証として Microsoft Authenticator のインストールをユーザーに依頼する管理者機能）が既定で有効化されはじめてます。

従来より、SMSや電話番号での認証は相対的にセキュリティレベルが低く、Microsoft からは非推奨になっていましたのでこの機能自体は良い物だと考えているのですが、環境によっては注意が必要なケースがありますので紹介します。

そもそもこの機能は 2 年近く前から存在していて、管理者により有効化することができたのですが、今回の変更によって「①既定で有効化される」「②ユーザー判断でスキップできる回数に上限が設定される」ことになりました。

有効になった状態でログインし、電話での多要素認証を実施すると、以下の様な画面になります。[次へ] を押すと Microsoft Authenticator の設定画面に推移し、[今はしない] を押すと通常のログイン後の画面に推移します。

ポイントとしては、[今はしない] というのは3回しか押すことができないということです。

特に注意が必要なのは、以下の様なシナリオです。

• 組織に存在している管理者アカウントが 1 つしか存在しない
• 利用環境や社内の規程上 Microsoft Authenticator を利用できない（スマートフォン持ち込み不可の場所でしか利用できないなど）
• たまにしか使っていない

これらに該当する場合は、3回スキップする前に以下の画面で Microsoft Authenticator が利用できない環境のユーザー（今回の例だと、唯一の管理者アカウント）を登録キャンペーンから除外するという設定を入れてください。
※対象が不特定多数の場合は、状態を [Microsoftマネージド] から [無効] にして組織全体で無効化することも可能です

ただ、前述の通り SMS や電話での多要素認証はセキュリティレベルが低く、既に非推奨となっております。Microsoft Authenticator が利用できない環境でも安全に多要素認証が利用できる OTP デバイスや FIDO2 セキュリティキーなどが手頃な価格で市場でも出そろってきておりますので、これを機にご検討いただくことも良いのでは無いかと思います。

• ワンタイムパスワード（OTP）トークン | 飛天ジャパン (ftsafe.co.jp)
• YubiKey – Yubico

また、不幸にも既に 3 回スキップしてしまった場合は、内部調整の上、特例で一度だけMicrosoft Authenticator を登録して貰ってログイン後、上記で登録キャンペーンの無効化とMFA情報から削除を実施するか、あるいは Microsoft サポートに連絡して対処を依頼して下さい。（本人確認などで時間はかかると思いますが）

Microsoft 365 の Suite 商品は、よく「全部入り」という表現をされることがあります。確かに、Microsoft 365 Suite は、旧称が Secure Productivity Enterprise であり主に以下のサービスをバンドルした商品になっています。

例えば、最上位の Microsoft 365 E5 であれば、Offiece 365 E5 と EMS E5 と Windows 11 Enterprise E5 のバンドル商品です。

ぱっと見、これさえあれば何でもできる様に思えますが、常に色々な機能が追加されているクラウドサービス。Microsoft 365も例外ではなく Microsoft 365 E5ライセンスだけではカバーされない領域も最近多くなってきました。

この記事では「全部入り」のSKUを改めて作るとしたらどうなるかということを考えてみました（なお、価格は記事作成時点の公開情報を元にした参考情報となっています）

1.Copilot

「別途ライセンスが必要」と言われてまず思いつくのは、Microsoft 365 Copilot かと思います。

Microsoft 365 Copilotを利用すると、AIがユーザーのCopilot（副操縦士）として動作してくれるようになります。つまり、ユーザーの日常業務を効率化し、コラボレーションを強化し、大量のデータ分析によるインサイトを提供してくれる有能なパーソナルエージェントを専属でつけるようなイメージです。

組織全体のビジネスの効率化や組織の競争力強化に大きく貢献できます。

2.SharePoint Premium

SharePoint Premiumは、Microsoft Syntex と呼ばれていた SharePoint Onlineのプレミアム機能群となります。

現在、主に管理者向けのアドオンライセンスであるSharePoint Advanced ManagenemtとAIを活用したコンテンツ管理機能である旧Microsoft Syntexの2つが出ていますが、あいにく後者は既に従量課金でしか購入ができなくなってしまったので、ユーザーサブスクリプションライセンスとして購入できるAdvanced Managementのみを今回の対象としています。

ライフサイクル管理やポリシー制御、過剰共有や機密性の高いコンテンツへのリスクを防ぐレポートなど、Microsoft 365 Copilotを安全に、安心して活用していく上でも有用な機能です。

3.Teams Premium

Teams Premiumは、管理者とエンド ユーザー向けに、よりパーソナライズされたインテリジェント機能や高度な管理･レポート機能などの上位の追加機能を追加するアドオンライセンスです。

会議のカスタマイズや詳細なレポート、eCDNによるネットワーク負荷の軽減、会議キャプションのライブ翻訳など、Teamsのエクスペリエンスをより洗練された物に向上させることができます。

AIによるインテリジェントな要約機能など、一部の機能に関してはMicrosoft 365 Copilotのライセンスで利用できる物もありますが、このライセンスがないと利用できない機能も多数存在しています。

4.Entra Suite

Entra P2のライセンスに加えて、以下の機能を追加することができる最上位SuiteがMicrosoft Entra Suiteです。

• Microsoft Entra プライベート アクセス
• Microsoft Entra インターネット アクセス
• Microsoft Entra Verified ID (Premium 機能)

統合されたゼロトラスト環境の提供に向け、アイデンティティ回りだけではなくユーザーアクセスを提供します。（Ignite で Microsoftサービスに接続するためのMicrosoft Entra Internet Access はEntra P1に含まれるようになりましたが、引き続き全てのインターネットアクセスを集中管理するなどの場合は必要）

5.Intune Suite

Intune プラン2に高度なエンドポイント管理とセキュリティのソリューションなどを追加された最上位SuiteがMicrosoft Intune Suiteです。

リモートヘルプ、エンドポイント特権管理、クラウドPKIなど機能単位で個別のアドオンとして購入することもできますが、ご多分に漏れずまとめて購入した方が割安ですので、フル活用を目指すならSuiteですね。

6.その他

その他、Microsoft 365に含まれているプランが機能限定版などで、有償ライセンスを購入することにより機能追加できる物がいくつかありますので、その辺りも含めていこうと思います

• Microsoft Visio
• Microsfot Project
• Clipchamp
• Python in Excel
• Power Apps
• Power Automate
• Power BI

7.で、おいくら？

まだまだ一杯上げるとキリが無いくらいあるとは思うのですが、今まで上げたライセンスをざっと足してみると以下の様になりました。

計1人当たり月4万円ほどですね。

さすがにここまで来ると逸般の誤家庭でもフルで入れるのは難しいかも知れませんね。

「全部入り」としてフルバンドルするという方向よりは、Premium機能群でもAIの活用を謳っているものも多いので、AI機能を追加したE7とかくらいなら作ってもいいかもしれませんが、この価格帯になってくると必要な機能をアラカルトで選択して利用するという現状が現実的なのかもしれませんね。