<p>[META] style_prompt: technical_architect_v2 focus_area: Microsoft_CSP_NCE_GDAP update_date: 2024-05 status: technical_guidance [/META]</p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">CSP新コマース体験（NCE）移行タイムラインの延長とパートナー向けGDAP移行ガイド</h1> <p>【導入】 CSPレガシーからNCEへの移行猶予とセキュリティ強化（GDAP）の最新スケジュールを整理し、パートナーの運用リスクを最小化する設計を提示します。</p> <p>【アーキテクチャ設計】 パートナーセンター（Partner Center）と顧客テナント間のアクセス管理は、従来の広範な権限を持つDAP（Delegated Admin Privileges）から、最小特権原則に基づくGDAP（Granular Delegated Admin Privileges）へと完全にシフトします。これにより、インシデント発生時の爆発半径（Blast Radius）を制限します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Partner Tenant" A["Admin Agent Group"] -->|Assigns| B["Security Group"] end subgraph "Customer Tenant" C["Azure Subscriptions"] D["M365 / Dynamics 365"] E["Entra ID Roles"] end B -->|GDAP Relationship| E E -->|RBAC/PIM| C E -->|Role-based Access| D style B fill:#f9f,stroke:#333,stroke-width:2px </pre></div> <p>【実装・デプロイ手順】 DAPからGDAPへの一括移行、およびNCEへのサブスクリプション移行を自動化するためのPowerShellアプローチです。</p> <ol class="wp-block-list"> <li><strong>GDAP関係の作成と承認状況の確認</strong> Microsoft Graph APIまたはPartner Centerモジュールを使用して、現在のDAP状況を確認し、GDAP関係を作成します。</li> </ol> <div class="codehilite"> <pre data-enlighter-language="generic"># Partner Center モジュールの使用例 Install-Module -Name PartnerCenter Connect-PartnerCenter # 顧客一覧の取得とDAPステータスの確認 $customers = Get-PartnerCustomer foreach ($customer in $customers) { Write-Host "Checking Customer: $($customer.CompanyProfile.CompanyName)" # GDAP移行が必要な顧客をフィルタリングするロジックをここに実装 } </pre> </div> <ol class="wp-block-list" start="2"> <li><strong>NCEへの移行（Bicep/ARMを用いたリソース再配置ではない点に注意）</strong> NCEへの移行は、リソース自体を動かすのではなく、商用オファー（SKU）の切り替えです。Partner Center APIを通じて、Legacy Subscription IDをNCE Subscriptionへ変換します。</li> </ol> <p>【アイデンティティとセキュリティ】 パートナーが最も注力すべきは、<strong>「特権の期限設定」</strong>と<strong>「多要素認証（MFA）」</strong>の強制です。</p> <ul class="wp-block-list"> <li><p><strong>最小特権アクセス（GDAP Roles）</strong>:</p> <ul> <li>Global Adminを安易に付与せず、「Directory Readers」「Service Support Administrator」など、業務に必要なロールに限定したGDAP関係を定義します。</li> </ul></li> <li><p><strong>条件付きアクセス（Conditional Access）</strong>:</p> <ul> <li>パートナーテナント側で「Identity Protection」を有効化し、顧客テナントへアクセスする際は必ずMFAを要求するポリシーを適用します。</li> </ul></li> </ul> <p>【運用・コスト最適化】</p> <ul class="wp-block-list"> <li><p><strong>可観測性</strong>:</p> <ul> <li>Azure Lighthouseを併用し、マルチテナントのAzureリソースをLog Analyticsで統合監視します。GDAPの有効期限（最大2年）が切れる前に通知を受け取る運用フローを構築してください。</li> </ul></li> <li><p><strong>コスト最適化（NCEの特性活用）</strong>:</p> <ul> <li><p><strong>NCE 1年/3年予約</strong>: 為替変動リスクを抑え、価格固定の恩恵を受けるために、変動の少ないワークロードは長期契約へシフトします。</p></li> <li><p><strong>72時間ルール</strong>: NCEではキャンセル期間が厳格（72時間以内）であるため、プロビジョニング自動化ツールに「警告フラグ」を実装することを推奨します。</p></li> </ul></li> </ul> <p>【まとめ】</p> <ol class="wp-block-list"> <li><p><strong>タイムラインの遵守</strong>: 公共部門を含むレガシーSKUの終了期限が迫っています。各顧客の更新日をリストアップし、NCEへの先行切り替えを計画してください。</p></li> <li><p><strong>GDAPへの完全移行</strong>: DAPの自動廃止が進んでいるため、手動またはバルク移行ツールを用いて、最小特権アクセスへの切り替えを完了させてください。</p></li> <li><p><strong>リスク管理</strong>: NCEは契約期間中のダウングレードが原則不可です。顧客のビジネス成長予測に基づき、月次（Monthly）と年次（Annual）のSKUを適切に組み合わせる「ハイブリッド構成」がベストプラクティスです。</p></li> </ol>

graph TD
    subgraph "Partner Tenant"
        A["Admin Agent Group"] -->|Assigns| B["Security Group"]
    end
    subgraph "Customer Tenant"
        C["Azure Subscriptions"]
        D["M365 / Dynamics 365"]
        E["Entra ID Roles"]
    end
    B -->|GDAP Relationship| E
    E -->|RBAC/PIM| C
    E -->|Role-based Access| D
    style B fill:#f9f,stroke:#333,stroke-width:2px

# Partner Center モジュールの使用例

Install-Module -Name PartnerCenter
Connect-PartnerCenter

# 顧客一覧の取得とDAPステータスの確認

$customers = Get-PartnerCustomer
foreach ($customer in $customers) {
    Write-Host "Checking Customer: $($customer.CompanyProfile.CompanyName)"

    # GDAP移行が必要な顧客をフィルタリングするロジックをここに実装

}