<p>[METADATA: STYLE=ARCHITECT_DRAFT; VERSION=1.2; FOCUS=CSP_NCE_TIMELINE_MIGRATION] 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">CSPレガシー移行期限延長対応：NCEへの安全なサブスクリプション移行とGDAPセキュリティ設計</h1> <p>【導入】 MicrosoftによるレガシーCSP提供終了の猶予延長を受け、最新のタイムラインに基づくNCE移行戦略とGDAPによる管理権限の最小化を実現します。</p> <p>【アーキテクチャ設計】 本構成は、パートナーセンターを起点とした「New Commerce Experience (NCE)」へのサブスクリプション移行と、従来のDAP（代理管理者権限）から最小権限原則に基づくGDAP（細かい設定が可能な代理管理者権限）へのアイデンティティ統合をモデル化しています。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph Partner_Tenant["パートナーテナント"] A["パートナーセンター/API"] --> B["GDAP管理グループ"] end subgraph Customer_Tenant["顧客テナント"] B -->|最小権限アクセス| C["Entra ID"] C --> D["NCE サブスクリプション"] C --> E["レガシー サブスクリプション"] D -.->|移行/アップグレード| E end B -->|JITアクセス| C </pre></div> <p>設計のポイントは、顧客テナントに対する永続的な特権（DAP）を排除し、期限付き・ロールベースのGDAPに移行した上で、NCEの新しい課金サイクルとAPIを統合することにあります。</p> <p>【実装・デプロイ手順】 既存のレガシーサブスクリプションをNCEに移行し、GDAPを構成するための主要なステップです。</p> <ol class="wp-block-list"> <li><strong>移行可能性の確認（Microsoft Graph/Partner Center PowerShell）</strong></li> </ol> <div class="codehilite"> <pre data-enlighter-language="generic"># パートナーセンターモジュールでの移行適格性確認 $customerID = "customer-tenant-id" $subscriptionID = "legacy-subscription-id" Get-PartnerCustomerSubscriptionUpgradable -CustomerId $customerID -SubscriptionId $subscriptionID </pre> </div> <ol class="wp-block-list" start="2"> <li><strong>NCEへの移行実行</strong></li> </ol> <div class="codehilite"> <pre data-enlighter-language="generic"># NCEへのアップグレード実行（期間や支払いサイクルを指定） New-PartnerCustomerSubscriptionUpgrade -CustomerId $customerID -SubscriptionId $subscriptionID -TermDuration P1Y -BillingCycle Monthly </pre> </div> <ol class="wp-block-list" start="3"> <li><strong>GDAPリレーションシップの作成</strong> 顧客に対して承認要求を送信し、特定のセキュリティグループ（例：Tier 1 Support）に「サービス支援管理者」等のロールを割り当てます。</li> </ol> <p>【アイデンティティとセキュリティ】 CSPパートナーは、顧客環境へのアクセスにおいて以下のセキュリティ境界を維持する必要があります。</p> <ul class="wp-block-list"> <li><p><strong>GDAP (Granular Delegated Admin Privileges)</strong>: 従来の「グローバル管理者」相当の権限ではなく、業務に必要な最小限のロール（ディレクトリ閲覧者、サポートティア1など）を最大2年間（再承認が必要）の期限付きで割り当てます。</p></li> <li><p><strong>条件付きアクセス (Conditional Access)</strong>: パートナー側のユーザーに対して、顧客テナントへのアクセス時に多要素認証 (MFA) を強制します。</p></li> <li><p><strong>特権アイデンティティ管理 (PIM)</strong>: パートナーテナント内で、顧客管理権限を持つグループへの参加を「有効化」フローに基づいて制限します。</p></li> </ul> <p>【運用・コスト最適化】 NCE移行後は、以下の運用ルールを徹底し、不必要なコスト発生を防止します。</p> <ul class="wp-block-list"> <li><p><strong>キャンセルポリシーの厳守</strong>: NCEではサブスクリプション購入・更新後、<strong>7日間（168時間）以内</strong>にのみキャンセル・削減が可能です。これを超えると期間内の支払いが確定します。</p></li> <li><p><strong>自動更新設定の管理</strong>: デフォルトで有効な自動更新（Auto-renew）を、顧客の要件に応じて適切にオン/オフ制御します。</p></li> <li><p><strong>SKUの集約</strong>: レガシーで混在していた同一サービスの複数SKUを、NCE移行時に最新の統合SKUへ集約し、管理コストを削減します。</p></li> </ul> <p>【まとめ】</p> <ol class="wp-block-list"> <li><p><strong>タイムラインの把握</strong>: 公共セクター等の特定のSKUについて移行期限が延長されましたが、インセンティブの終了時期を見極め、早期のNCE移行計画を策定してください。</p></li> <li><p><strong>GDAPへの完全移行</strong>: 移行猶予の延長はセキュリティ対策の猶予ではありません。DAPからGDAPへの切り替えを最優先で実施し、顧客環境のセキュリティを担保します。</p></li> <li><p><strong>運用の落とし穴</strong>: 7日間のキャンセルウィンドウを過ぎると、年間契約の解除は原則不可能です。顧客との合意形成プロセスにこの「ハード制約」を組み込むことが不可欠です。</p></li> </ol>

graph TD
    subgraph Partner_Tenant["パートナーテナント"]
        A["パートナーセンター/API"] --> B["GDAP管理グループ"]
    end
    subgraph Customer_Tenant["顧客テナント"]
        B -->|最小権限アクセス| C["Entra ID"]
        C --> D["NCE サブスクリプション"]
        C --> E["レガシー サブスクリプション"]
        D -.->|移行/アップグレード| E
    end
    B -->|JITアクセス| C

# パートナーセンターモジュールでの移行適格性確認

$customerID = "customer-tenant-id"
$subscriptionID = "legacy-subscription-id"

Get-PartnerCustomerSubscriptionUpgradable -CustomerId $customerID -SubscriptionId $subscriptionID

# NCEへのアップグレード実行（期間や支払いサイクルを指定）

New-PartnerCustomerSubscriptionUpgrade -CustomerId $customerID -SubscriptionId $subscriptionID -TermDuration P1Y -BillingCycle Monthly