特定の場所以外からのアクセスを禁止する条件付きアクセスを設定することが多いのですが、CSP契約のAzure環境の場合はサービスプロバイダーを明示的にポリシーの対象から除外しないとトラブルの原因になることを最近知りました。
サービスプロバイダーがアクセスできなくなる
CSP契約のサブスクリプションのIAM設定をみると以下のようなものが割り当てられているかと思います。
これはサービスプロバイダーがこの環境に「予約」を払い出したり、サポートケースオープン時にアクセスしたりといった管理作業で必要な権限で、絶対に消さないでください、と案内されているものです。
条件付きアクセスで全ユーザーを対象に条件付きアクセスを設定してしまうと、この外部プリンシパルも影響を受けてアクセスできなくなってしまい、トラブルの原因になるわけです。サービスプロバイダーに管理操作をしてもらわない限りブロックしていても気付かないので、最近までこういった考慮点があることを把握していませんでした。
サービスプロバイダーを条件付きアクセスの対象外に設定しよう
このようなトラブルを防ぐために、条件付きアクセスポリシーでサービスプロバイダーを除外する設定がひっそりとありました。
条件付きアクセスポリシー設定の「ユーザー」→「対象外」に[ゲストまたは外部ユーザー]という項目がありますので、チェックを入れて、サービスプロバイダーユーザーを選択します。
サービスプロバイダーを選択すると、「外部のMicrosoft Entra組織を指定する」という項目が出てきます。テナント名を指定して特定のテナントに除外対象を絞ることもできますが、権限が割り当たっていない限りアクセスされることはないと思いますので「すべて」を選択しても問題ないでしょう。
参考元
CSP プログラムにおけるパートナーセンターから顧客テナントにアクセスする際の条件付きアクセス ポリシーについて - 「外部ユーザーの種類の指定」による解決方法