Microsoftセキュリティとコンプライアンス: GDAP 対 DAP

ゼロトラストセキュリティモデルがすべてのMicrosoft製品、サービス、およびパートナーエコシステムに導入されることに伴い、Microsoftは委任管理者権限（DAP）を終了し、より安全な細粒度の委任管理者権限（GDAP）を採用します。

これは世界中のすべてのマイクロソフトパートナーに影響を及ぼしますが、すべてのマイクロソフト顧客に普遍的な利益をもたらす変更です。

まず第一に、最も重要な点として、GDAPは検証と最小権限アクセスというゼロトラストの原則に沿い、DAPよりも顧客環境へのパートナーアクセスに対してより明確な役割と時間制限付きパラメータを提供します。

アクセスは顧客テナントに対してより深いレベルで制限され、マイクロソフトパートナーと顧客間のセキュリティリスクを低減します。具体的には、GDAPでは異なるマイクロソフトサービスについて、顧客レベル、パートナーテナントレベル、パートナーユーザーレベル、ワークロードレベルでのアクセス権限を詳細に規定しています。

GDAPは、顧客データへのアクセスを保護する措置として設計されると同時に、パートナーが規制要件を満たすクライアントに対応できるよう支援し、プロバイダーに対して最小限の権限のみを付与するアクセスを可能にします。

2023年5月末、マイクロソフトはアクティブおよび非アクティブなDAP関係を、限定されたAzure Active Directory (AAD) ロールを持つGDAP関係に移行しました。

今後60日間にわたり、対応するDAP関係が削除されました。5月以前にDAPからGDAPに移行した関係は影響を受けませんでしたが、マイクロソフトは7月末に残存するすべてのDAPアクセスを無効化しました。

Microsoft パートナーは、ユーザーを異なるセキュリティ グループおよび関連するロールに割り当てることができます。

これらのセキュリティグループには、最大2年間という固定期間、顧客のワークロードへのアクセス権が付与されます。期間が終了すると、アクセス権は自動的に終了します。

DAP接続には有効期限がありませんが、GDAP接続はより安全な環境を構築するため自動的に期限切れとなります。GDAP関係が終了間近になると、パートナーと顧客の双方に、終了の30日前、7日前、1日前にメール通知が送信されます。 当該顧客のセキュリティグループに割り当てられていたパートナーユーザーは、更新がない限りアクセス権限を失い、サービスの管理もできなくなります。アクセス許可期間を更新するには、顧客に対して新たなGDAPリクエストを送信する必要があります。

GDAPはマイクロソフトの企業顧客向けリスクを大幅に低減することを目的としているため、DAPよりもきめ細かいセキュリティソリューションを提供します。

これには以下が含まれます：

アクセスレベル/ロール
DAP関係では、デフォルトでグローバル管理者およびヘルプデスク管理者のロールが付与されますが、変更はできません。GDAPではより詳細な権限カスタマイズが可能で、顧客ごとに独自の設定も可能です。これは、現在プロバイダーと契約中でサードパーティリスクを一切避けたい場合に重要です。

関係タイムライン
DAP関係は永続的です。顧客が委任された管理者リンクを受け入れると、設定画面で手動で関係を削除しない限り、その関係は永続的に維持されます。GDAPでは、関係期間のカスタムタイムラインを作成でき、最大期間は2年間です。

招待リンク
DAP関係リンクは地域ごとに共通です。つまり、パートナーセンターに登録されるすべての顧客に対して同じDAPリンクを使用します。GDAPは顧客ごとに異なるアクセスレベルを提供するため、各招待は顧客ごとに固有のものとなります。

セキュリティグループ割り当て
DAP関係では、割り当ての階層構造は存在しません。パートナーセンター環境において顧客へのアクセス権を持つ全メンバーには、同一レベルのアクセス権が付与されます。GDAPでは別々のロール内にネストされたセキュリティグループを許可し、より高度な権限の多様化を実現します。

アクティビティログ
DAPでは、パートナーセンターから委任アクセス権限が利用されているタイミングを示す詳細なアクティビティログは存在しません。また、委任管理者関係のライフサイクルに関する情報（承認または削除されたタイミングなど）も含まれていません。GDAPは、プロバイダーレベルと顧客レベルの両方で、AADアクティビティログにおける可視性を高めます。

S&Cセンターへのアクセス
DAPでは、パートナーセンターを通じて顧客に代わって特定の管理ポータルにアクセスすることはできません。GDAPは、従来のDAPよりも柔軟性が高く、より直感的に操作できます。

PIMサポート
特権ID管理（PIM）は、Microsoftが提供する「ジャストインタイム」アクセスレベルを実現するサービスです。基本的に、特定の管理タスクを実行するために一時的に役割を昇格させることが可能です。PIMはGDAPと連携し、プロバイダーが特定の役割を持つセキュリティグループへの特権昇格を顧客環境で行えるようにします。これにより、特定の問題への迅速な対応を可能にし、セキュリティをさらに強化します。

GDAPは、CSPやMSPを含むすべてのMicrosoftパートナーが利用可能です。

前述の通り、これらの変更は2023年5月より実施されており、DAPを継続利用中の全ユーザーは7月末までにGDAP契約へ完全移行し、DAP契約は終了しました。

従来、CSP Tier 1などのディストリビューターと間接販売代理店などのMSPは、すべての下流顧客とDAPを確立していました。これにより、ディストリビューターは顧客テナントのライセンス供与とサポート提供が可能となり、MSPやパートナーもパートナーセンターを通じてサポートと管理を提供できるようになりました。

プロバイダーは顧客ワークロードに対する細分化された時間制限付きアクセスをより厳密に制御できるようになったため、顧客のセキュリティ懸念に容易に対応できます。CSP、MSP、パートナーはデータセキュリティに関する懸念への対応が強化され、将来のセキュリティインシデント発生リスクを低減できます。これらの組織はプロバイダーチームがエンタープライズテナントにアクセスする方法を報告することも可能です。

プロバイダーは、お客様のサービスや環境を管理する従業員のアクセスを制限できるほか、未使用のGDAPまたはDAP接続を無効化または削減することで、責任を軽減しセキュリティを向上させることが可能です。