[Q]
代理管理者権限を持つ CSP パートナーテナントのアカウント (CSP アカウント) を、条件付きアクセスポリーシーの対象外とする方法はありますでしょうか?
[A]
顧客テナントに対して代理管理者権限を持つ、CSP パートナー テナントのアカウント (CSP アカウント) を条件付きアクセス ポリシーの対象外とする場合、主に下記の2種類の方法があります。
- 条件付きアクセス ポリシーのユーザー割り当て設定画面 [対象外] にて、[ゲストまたは外部ユーザー] > [サービス プロバイダー ユーザー] の順に選択する方法
- CSP アカウントによるアクセス元 IP をネームドロケーションに登録して対象外とする方法
詳細については、下記の公開情報をご参照ください。
[参考情報]
CSP プログラムにおけるパートナーセンターから顧客テナントにアクセスする際の条件付きアクセス ポリシーについて - 「外部ユーザーの種類の指定」による解決方法
“サービス プロバイダー ユーザー (プレビュー)” の選択による CSP アカウントの指定
https://jpazureid.github.io/blog/azure-active-directory/new-capolicy-for-csp-account/
<抜粋>
上記 6 つの選択肢のうち、”サービス プロバイダー ユーザー (プレビュー)” は、CSP アカウントによるアクセスを示します。
この選択肢を利用することで、任意の条件付きアクセス ポリシーにおいて、CSP アカウントによるアクセスを割り当て対象外として明示的に指定することができます。
CSP プログラムにおけるパートナーセンターから顧客テナントにアクセスする際の条件付きアクセス ポリシーについて
CSP アカウントのアクセス元 IP アドレスを、ポリシーの割り当て対象外に指定
https://jpazureid.github.io/blog/azure-active-directory/capolicy-for-csp-account/
<抜粋>
CSP アカウントによるアクセス元 IP アドレスが特定のアドレス (範囲) になることが判明している場合に採用できます。アクセス元の IP アドレスを、ポリシーの適用対象外に指定ください。
「現時点ではこれにはアクセスできません」 エラーについて
https://jpazureid.github.io/blog/azure-active-directory/conditional-cannot-access-rightnow/
[更新日]
Update:202307