はじめに
またまたCSP関連の話になります。Azureの顧客テナントに対するCSPパートナーのアカウント(以下CSPアカウント)のアクセスを制限機能がGAしましたので、その詳細を確認しました。
CSPアカウントによる顧客テナントへのアクセス
CSPから払い出されたAzure環境には「外部プリンシパル」という特殊なオブジェクトが存在し、その中ではCSPアカウントに対する代理管理者権限が割り当てられています。具体的には、サブスクリプションスコープで『所有者』、AzureADロールとして『グローバル管理者』といった超強力な権限が割り当たっています。
もちろんCSPアカウントを使って顧客テナントで定常的な操作を行うことはありませんが、例えば、MSサポートへの問い合わせ や 節約プランの購入 など、一部の特殊な操作についてはCSPアカウントでないとできないことがありますので、そういった場合にCSPアカウントで顧客テナントにアクセスすることがあります。
なお、CSPアカウントは、通常のAzureポータルからのアクセスはできず、パートナーセンターというCSP管理ポータルを経由して顧客テナントにアクセスします。
CSPアカウントのアクセスを制限したい
顧客のポリシーによっては、強権限であるCSPアカウントのアクセスは抑止すべき、といったケースがあります。CSPアカウントのアクセスを抑止することで一部運用が制限される可能性がありますが、それよりポリシー順守を優先したいと仰る企業様は一定数いらっしゃいます。その要求を満たすためには、これまではAzureADの 条件付きアクセスポリシー で、「すべてのユーザー」もしくは「すべてのゲストと外部ユーザー」に対するアクセス制限をかける必要がありました。というのも、CSPアカウントは特殊なアカウントになるため、CSPアカウントそのものをピンポイントで指定することができなかったためです。
条件付きアクセスポリシーを丁寧に設定すれば実現はできますが、逆にテナントにアクセスさせたいユーザーは全て「対象外」の方に設定しないといけないので、設定があべこべになり運用が煩雑になってしまうというデメリットがありました。
条件付きアクセスの対象を細かく設定できるようになった
この設定は2022年からプレビューとして公開されていましたがこの度GAしました。ポリシー定義の「割当」→「対象」→「ユーザーとグループの選択」→「ゲストまたは外部ユーザー」から対象項目を細かく選択できるようになりました。CSPアカウントを対象としたい場合は 「サービスプロバイダーユーザー」 が該当します。
実機確認
早速動作検証してみました。
まず、顧客テナント側の条件付きアクセスポリシーで「サービスプロバイダーユーザー」のアクセスをブロックするポリシーを作成し有効化します。
ポリシーの適用されるまで数分待ってから、今度はCSPアカウントにて、パートナーセンターから顧客テナントにアクセスしてみます。
CSPアカウントでAzureのサインイン画面を突破すると、、
ちゃんとブロックされました!
留意点
機能自体は問題なく使えることを確認しましたが、先述した通り、CSPアカウントのアクセスをブロックすることでCSP側で操作すべき作業ができなくなります。その作業内容を網羅的に上げるのは難しいのですが、その影響を受けて、顧客テナント側で余計な調整・対応が必要になったり、スピード感が出なくなったりする可能性があります。本設定を入れる際には、まずCSP管理側と相談していただき、CSP管理側にも認識してもらうことと、それにより発生するリスクの対処法を考えておくことをお勧めします。
おわりに
3月は期末のバタバタで、ブログ自体は軽め、かつ、あまり一般的な話ではありませんでしたが、みなさんの参考になれば幸いです。なお、今回のネタ元はMicrosoftサポートチームの下記ブログです。Microsoftサポートのブログですが、中の人が実際対応された様々な問い合わせの中で”これは公開した方がよい”とされたものが記事になっていますので、現場目線の内容が多く大変参考になります!こちらも是非ご参考ください。
それではまた!