Partner Admin Link(PAL)の解説と推奨設定パターン

この記事の内容

  • Partner Admin Link(PAL)は、Microsoftパートナーが Azure 消費にどれだけ貢献しているかを計測するための仕組みです
  • PAL はサービスではなくアカウントに設定するものであり、Azure Active Directory ごとに設定が必要です
  • お客様環境への権限付与には「アカウントを借りる」「作成してもらう」「招待してもらう」など複数のパターンがあります
  • 共有アカウントの利用やアカウントの貸し借りはセキュリティ上問題があり、推奨されません
  • 推奨パターンは「Azure B2B ゲスト招待」を活用し、個人アカウントを招待してもらう方式です

Partner Admin Link(PAL)とは

Partner Admin Link(以降、PAL)は、Microsoftパートナー企業が Azure の消費にどれだけ貢献しているかを Microsoftが計測するための仕組みです。Azure に限定された仕組みであり、他のクラウドサービスには適用されません。

Microsoftパートナーの貢献を計測する仕組みはいくつか存在します。以前は DPoR(Digital Partner of Record)という仕組みがあり、サブスクリプションに対して1つの ID しか紐付けられませんでした。PAL はその後継にあたる、より柔軟な仕組みです。

PAL の設定方法

PAL の設定は Azure ポータルから行います。

  1. Azure ポータルにサインインします
  2. 左メニューの「設定」を開きます
  3. 設定一覧の一番下にある「パートナー ID をこの Azure アカウントにリンクする」を選択します
  4. 「パートナー ID へのリンク」メニューに、自社の Microsoft Partner ID を入力します
  5. 保存ボタンを押すと設定完了です

設定後、ディレクトリを切り替えると、別の Azure Active Directory では PAL が未設定であることが確認できます。これは後述する「AAD ごとに設定が必要」という仕様によるものです。

PAL 設定の重要ポイント

ポイント1:PAL はアカウントに設定するものであり、Azure 環境に設定するものではない

PAL はサブスクリプションやリソースグループではなく、アカウントに対して設定します。Azure 環境にまったく権限を持っていないアカウントでも PAL の設定操作自体は可能です。

この性質上、PAL の設定はお客様の環境への変更を伴いません。パートナー企業が自社アカウントに対して自分たちの Partner ID を紐付けるだけであり、お客様に許可を求めたり、影響範囲を確認したりする必要がありません。

ポイント2:アカウントと Azure Active Directory の組み合わせごとに設定が必要

1つのアカウントが複数の Azure Active Directory(AAD)にアクセスできる場合、AAD ごとに PAL を設定する必要があります。アカウントに1つ設定すれば全 AAD に適用されるわけではない点に注意が必要です。

なお、AAD ごとに異なる Partner ID を設定することも実装上は可能です。

ポイント3:集計は「共同作成者以上の権限を持つリソース」が対象

PAL による貢献の集計は、設定されたアカウントが 共同作成者(Contributor)以上の権限を持つ Azure リソースを対象に行われます。

  • サブスクリプションレベルで権限を持っている場合:そのサブスクリプション配下のすべてのリソースが対象
  • 特定のリソースグループのみに権限を持っている場合:そのリソースグループ配下のリソースのみが対象

この仕組みにより、1つのサブスクリプションを複数のパートナー企業が分担して管理している場合でも、それぞれの貢献を適切に計測できます。DPoR では1サブスクリプションに1つの ID しか設定できず、この状況に対応できませんでしたが、PAL ではその問題が解消されています。

お客様環境への権限付与パターン

PAL を実際に運用するには、パートナーがお客様の Azure 環境にどのように権限を持つかが重要です。主なパターンを整理します。

パターン A:アカウントを借りる(非推奨)

お客様の AAD 内に存在するアカウントの ID とパスワードを教えてもらい、そのアカウントで作業するパターンです。

複数のパートナー企業が同じアカウントを共用した場合、どの企業の PAL を設定すべきか判断が困難になります。セキュリティ上の問題もあり、推奨できません。

パターン B:アカウントを作成してもらう

お客様の AAD 内に、パートナー企業の作業用アカウントを新たに作成してもらうパターンです。

作業用アカウントはパートナー企業専用のものになるため、PAL を設定すること自体は可能です。ただし、外部組織のアカウントをお客様の AAD 内に作成する運用は、後述する理由から推奨されません。

パターン C:アカウントを招待してもらう(推奨)

パートナー企業が自社 AAD 内に保有するアカウントを、お客様の AAD にゲストとして招待してもらうパターンです。

Azure B2B のゲスト招待機能を使うことで、既存のアカウントをそのまま利用できます。招待されたアカウントに対して Azure 環境の権限を付与し、作業を行います。PAL の設定は自社のアカウントと自社 AAD の組み合わせに対して行えるため、設定に何ら問題はありません。

パターン D・E・F:共有アカウントを使うパターン(非推奨)

共有アカウントを借りる・作成してもらう・招待してもらうという3つの派生パターンがあります。いずれも共有アカウントを使う点は共通です。

推奨されないパターンとその理由

共有アカウントはセキュリティ上問題外

共有アカウントを利用すると以下の問題が発生します。

  • 誰が作業したかのログが残らない
  • アカウント内のメンバー間での権限ロールが管理できない

共有アカウントを使っている場合は、PAL の設定よりも先にその運用を見直すべきです。

アカウントの貸し借りも同様に問題

お客様のアカウントを借りて作業することも、同様にセキュリティ上許容できません。

もしパターン A、D、E のいずれかで運用しているのであれば、PAL の設定を検討する以前に、その運用自体を早急に是正することが必要です。

推奨パターン:Azure B2B ゲスト招待を活用する

個人的な推奨は**パターン C(アカウントを招待してもらう)**です。具体的な理由と実践方法は以下のとおりです。

なぜゲスト招待が推奨されるのか

  • パートナーが自社 AAD で管理しているアカウントをそのまま使えるため、アカウント管理が一元化できます
  • お客様の AAD 内に余分なアカウントを作成する必要がありません
  • 一人ひとりに個別の ID を持たせることができ、操作ログが正確に残ります

セキュリティをダブルでかける

ゲストとして招待されたアカウントに対しては、以下の2段階でセキュリティ対策を行うことができます。

  1. パートナー側の AAD で Azure AD Premium を活用したセキュリティ設定を行う
  2. お客様側の AAD でも、招待したゲストアカウントに対して自組織のセキュリティポリシーを適用する

なお、ゲスト招待アカウントに対する Azure AD Premium ライセンスは、1ライセンスにつき5アカウントまで利用可能というルールがあります。これはコスト面でのメリットにもなります。

PAL 設定が自然にできる環境が整う

ゲスト招待の運用が整っていれば、PAL の設定は自社アカウントに自社の Partner ID を入力するだけで完了します。お客様に何かを依頼する必要はなく、設定作業が大幅にシンプルになります。

アカウントのプロパティ変更(所属部署の変更や姓名の変更など)と同様に、自社の管理範囲内で完結できる操作です。

まとめ

Partner Admin Link(PAL)は、Microsoftパートナーが Azure 消費へどれだけ貢献しているかを計測するための仕組みです。設定はアカウントと Azure Active Directory の組み合わせごとに行う必要があります。

PAL を正しく設定できる環境を作るうえで最も重要なのは、共有アカウントの廃止一人一 ID の徹底です。そのうえで、外部パートナーのアカウントはお客様の AAD 内に新規作成するのではなく、Azure B2B のゲスト招待機能を使って招待する運用が推奨です。

この設計が整っていれば、PAL の設定は自然に、かつ簡単に行えます。また、MicrosoftがAzure AD を通じた組織間コラボレーションとして推奨している方向性とも一致しており、今後の仕組みの変更にも対応しやすい構成となります。