# パートナー向け委任管理フィールドガイド

## 概要

ZoomのDelegated Admin Access機能を使用すると、共有の認証情報やマスター/サブアカウント関係を必要とせずに、パートナーが顧客のZoomアカウントにアクセスして管理できます。パートナーとその顧客は独立したアカウントとして運用され、パートナーは各顧客の環境に対して制御された権限スコープ付きアクセスを受け取ります。 

このガイドでは、推奨されるエンドツーエンドの設定手順、継続的なアカウント管理、および開始前にパートナーが理解しておくべき現在の機能制限について説明します。

## パートナーが開始するアクセスリクエスト

以前は、委任アクセスは顧客のみが開始できました。顧客のアカウント管理者がロールに移動し、外部（パートナー）ユーザーをアカウントに招待していました。このワークフローでは、顧客が自分でロールと権限を定義する必要がありました。詳細は [Delegated Administration Field Guide](https://library.zoom.com/technical-library/ja/kn/account-and-endpoint-management/delegated-administration-field-guide) を参照してください。

新しいパートナー起点のフローでは、パートナーがアクセスリクエストを顧客に直接送信し、顧客がそれを確認して承認します。

{% hint style="warning" %}
**ご注意**

この機能をリクエストするには、Zoomのチャネルアカウントマネージャーに連絡してください。
{% endhint %}

どちらのフロー（顧客起点、パートナー起点）も引き続きサポートされています。

## 開始前に

Delegated Admin Accessを設定する前に、次の内容を確認してください。

* Zoomアカウントでこの機能が有効になっています。\
  \
  確認するには、 [Zoomウェブポータル](https://zoom.us/) にサインインし、 **管理者** > **アカウント管理** > **外部アカウント** セクションに移動します。 **アカウントを追加** ボタンが表示されていれば、この機能は有効です。\
  \
  この管理者ユーザーには、次のロール権限が有効になっている必要があります。 **アカウント管理** > **外部アカウント（編集）**.\ <br>

  <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FswTWt2ylt1iTTYxj2R87%2Fimage.png?alt=media&#x26;token=564f4252-fa16-4c4c-b090-5b42f736af7a" alt=""><figcaption></figcaption></figure></div>
* すべての顧客関係を管理するユーザーには、 **ライセンス** Zoomアカウントがあります。
* 各顧客アカウントへのアクセスが必要なチームメンバー（MS、PSO、Support）を特定しています。
* 各顧客エンゲージメントタイプに適切な権限スコープを特定しています。以下の [各顧客にアクセスリクエストを送信する](#send-an-access-request-to-each-customer) を参照してください。

## 設定: パートナー側

### Delegated Admin Access Leadを指定する

組織の **Delegated Admin Access Lead**として機能する、単一のユーザー、または組織で許可されている場合は専用のエイリアスアカウントを指定してください。このユーザーは、 **アカウント管理** > **外部アカウント** ページからすべての顧客アクセス関係を開始し、管理します。

これは、顧客関係を開始したユーザー（「作成者」）だけが、その特定の関係を完全に確認できるため重要です。2人目の作成者は、明示的に追加されていない限り、最初の作成者が作成した関係を確認できません。1つのアカウントに関係作成を集約すると、組織がサポート対象のすべての顧客を完全に把握できるようになります。

**このユーザーの権限を設定するには:**

1. としてサインインします。 [Zoomウェブポータル](https://zoom.us/) アカウントオーナーまたは管理者として。
2. User Administration > Roles に移動し、新しいロールを作成します。名前は Zoom Delegated Admin Access Lead などにします。<br>

   <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FSn9lgaqHy1Hh1t2iOrs7%2Fimage.png?alt=media&#x26;token=b6fd1181-4481-4d02-ab26-940afa666bce" alt=""><figcaption></figcaption></figure></div>
3. アカウント管理で、External Accounts の編集アクセスを有効にします。
4. このロールを指定したリードユーザーに割り当てます。

{% hint style="info" %}
**注意**

Managed Services、PSO、および Support のチームメンバーは、あなたのZoomテナントで管理者権限を必要としません。必要なのは、顧客関係の開始と管理を行うリードだけです。
{% endhint %}

### 顧客ごとにデリゲートグループを作成する

各エンゲージメントでチームメンバーを表すユーザーグループを作成します。

1. に移動します。 **ユーザー管理** > **グループ** そして新しいグループを作成します。顧客および／またはサービスの種類を反映する名前を付けます（例： *Acme Corp – マネージドサービスチーム*).
2. **任意：** 顧客アカウントへのアクセスを効率化するために、多要素認証（MFA）を有効にします。

   詳細については、以下の記事を参照してください。

   * [2段階認証の管理](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0066054)
   * [ワンタイムパスコード（OTP）によるアカウントの確認](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0063738)
3. 関連するMS、PSO、またはサポートチームのメンバーをグループに追加します。

**認識しておくべき現在の制限事項：**

* のみ **1顧客関係につき1グループ** がサポートされています。1人の顧客に対して複数のサービス種類（例：マネージドサービスと修理対応サポートの両方）を提供する場合は、関連するすべてのチームメンバーを含む単一のグループを作成し、必要な中で最も広い権限セットを適用してください。
* Zoomでのグループメンバーシップは、SAML/SCIMを介して動的に同期できます。ただし、この同期では、グループメンバーが変更されても委任先メンバーシップは自動更新されません。新規メンバーの追加と削除には追加の手動手順が必要です。下記の「継続的な変更の管理」を参照してください。\
  \
  SAMLの詳細については、以下を参照してください：
  * [高度なSAMLマッピングの設定](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0061497)
  * [高度なSAMLマッピングで考慮すべき情報](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0058095)
  * [SAML自動マッピングの設定](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0059153)
* 現時点の制限事項を踏まえてグループを活用することを推奨します。そうすることで、将来のグループ自動同期の機能強化をすぐに活用できるようになります。

### 各顧客にアクセスリクエストを送信する

委任管理アクセス責任者は、この手順を各顧客ごとに実施します。

1. に移動します。 **アカウント管理** > **外部アカウント** をクリックし、 **アカウントを追加**.\ <br>

   <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FZUAUUr5q42gNpYeoxzxd%2Fimage.png?alt=media&#x26;token=40d4c005-bf02-4b14-879b-0530513f4ff1" alt=""><figcaption></figcaption></figure></div>
2. 顧客のアカウント情報を入力し、次のオプションを設定します：

   * **有効期限：** 関係に明確な期間がある場合は終了日を設定します。継続的なサポート関係の場合はチェックを外したままにします。
   * **アカウントを管理する委任先を追加できるようにする：** これを有効にすると、この関係の下にチームメンバーを追加できます。
   * **私は連絡先として対応し、委任先は非公開のままにします：** 個々のチームメンバーの名前を顧客の **ロール** > **外部アカウント** ビューに表示したくない場合は、これを有効にします。

   <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FuexE92qfBSezzamHIdrc%2Fimage.png?alt=media&#x26;token=7d8a2340-62c3-4fe1-84bc-a76edd74ea52" alt=""><figcaption></figcaption></figure></div>
3. 次を定義します： **権限スコープ** この顧客関係に対して。現在はパートナーと顧客の関係ごとに1つのロールのみがサポートされているため、 **包括的なセット** として、この顧客向けのすべてのサービス種別にわたりチームが必要とする権限を設定してください。230以上のきめ細かなオプションがあり、表示と編集のコントロールは個別に用意されています。 \
   \
   **推奨される開始点：**<br>

   <table data-header-hidden="false" data-header-sticky><thead><tr><th>エンゲージメントタイプ</th><th>推奨アプローチ</th></tr></thead><tbody><tr><td>サポート／読み取り専用のトラブルシューティング</td><td>関連する領域への表示アクセスのみ</td></tr><tr><td>フル管理者／マネージドサービス</td><td>必要な領域全体で編集アクセス</td></tr><tr><td>製品固有（例：Zoom Phoneのみ）</td><td>その製品領域に範囲を限定</td></tr></tbody></table>

   \
   **ベストプラクティス：** エンゲージメントで明示的に必要とされない限り、機密性の高いユーザーコンテンツ領域（例：チャット履歴、レコーディング、請求）へのアクセスを付与しないでください。

   <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FBxWSsftH9R8Y4aLvMLiJ%2Fimage.png?alt=media&#x26;token=15875c47-c573-4288-9e5f-fbee929e00d0" alt=""><figcaption></figcaption></figure></div>

   <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FBR94GHlFaFLUVNnL4Rzi%2Fimage.png?alt=media&#x26;token=4e46aea0-4947-493d-9469-b0adeab9876e" alt=""><figcaption></figcaption></figure></div>
4. をクリックし、 **アカウント追加リクエストを送信**。承認メールが届くことを顧客に通知するか、 **管理者** > **ユーザー管理** > **ロール** へ案内して、Webポータルのバナー通知から承認してもらいます。

   <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FIme8AszMBPnFsmzHGdou%2Fimage.png?alt=media&#x26;token=c69ecd1e-2ced-45c9-8b9d-802d30bab55c" alt=""><figcaption></figcaption></figure></div>

   <div data-with-frame="true"><figure><img src="https://2994873379-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FctBXUMeBy4rtLMmMkKRG%2Fuploads%2FUZupjsZBg86ddwwF8Pal%2Fimage.png?alt=media&#x26;token=ca54b52a-6272-44d2-86c1-a856867fceaf" alt=""><figcaption></figcaption></figure></div>

### 顧客承認後に委任先を追加

顧客がリクエストを承認すると、アカウントは外部アカウントページの「承認済み」タブに表示されます。

1. 次をクリックします **…** 顧客の行にあるメニューを開き、次を選択します **委任者を管理**.
2. 名前またはメールアドレスで個別のユーザーを追加し、さらに/または次で作成したグループを選択します [顧客ごとにデリゲートグループを作成する](#create-a-delegate-group-for-each-customer) 上のセクション。<br>

   <div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p><strong>注意</strong></p><p>グループを選択すると、現在のグループメンバーが委任者リストに一度だけインポートされます。今後のグループメンバーシップの変更は自動的には反映されません。詳しくは、 <a href="#managing-ongoing-changes">継続的な変更の管理</a> 以下で、これらの更新の管理方法に関する情報をご覧ください。</p></div>

   \
   **既知のUIの問題:** 委任者管理インターフェースでは現在「Channels」と表示されていますが、これは誤記です。この機能でサポートされるのは **ユーザーグループ**であり、Channelsではありません。<br>
3. 新たに追加されたすべての委任者に対し、追加された各顧客ごとに個別のメール招待が届くことを通知してください。各メールは個別に承諾する必要があり、一括承諾インターフェースはありません。

### 継続的な変更の管理

顧客に対して管理が必要になる可能性のある一般的な状況については、以下の表をご覧ください。

<table data-header-hidden="false" data-header-sticky><thead><tr><th width="270.333251953125">変更</th><th>必要な対応</th></tr></thead><tbody><tr><td>既存の顧客に新しいチームメンバーを追加する</td><td>次でグループを再追加します <strong>委任者を管理</strong> 更新されたメンバーシップを再インポートし、その後、新しいメンバーにメール招待を承諾するよう通知してください。</td></tr><tr><td>既存の顧客からチームメンバーを削除する</td><td>次で手動で削除します <strong>委任者を管理</strong> また、今後再インポートする可能性があるグループからも削除してください。</td></tr><tr><td>個別のユーザーを追加する（グループ経由ではない）</td><td>次で名前またはメールアドレスにより追加します <strong>委任者を管理</strong>その後、そのユーザーに招待を承諾するよう通知してください。</td></tr><tr><td>顧客との関係が終了する</td><td><p>このシナリオを管理するには、2つのオプションがあります:</p><ul><li>次のページで <strong>外部アカウント</strong> 顧客関係の有効期限日を変更します。</li><li>顧客に、次から顧客関係を削除するよう依頼してください <strong>管理者</strong> > <strong>ユーザー管理</strong> > <strong>ロール。</strong></li></ul></td></tr></tbody></table>

## セットアップ: 顧客側（参考）

パートナー主導のフローを使用する場合、顧客側で何かを開始する必要はありません。パートナーのアクセスリクエストを承認すると（メールまたは次のバナー経由で **管理者** > **ユーザー管理** > **ロール**）、その関係は有効になります。

顧客は、いつでも次でアクティブな委任関係を確認できます **管理者** > **ユーザー管理** > **ロール（外部ユーザーを含む）**.

## 委任者のオンボーディング: チームメンバーのアクション

委任者として追加された各チームメンバーは、以下の手順を個別に完了する必要があります。

1. 追加された各顧客アカウントについて、メール招待を承諾します。各招待は個別に承諾する必要があります。
2. 次にサインインします [zoom.us](https://zoom.us/)。左側のナビゲーションで、次のセクションまでスクロールし、その後クリックします **管理者** セクション **アカウント管理**, **外部アカウント**。このセクションは、招待が承諾された後にのみ表示されます。
3. このページには、顧客ごとに1行ずつ表示されます。次をクリックします **管理** 次の中の **アクション** 目的の顧客の列。
4. 次のページで **続行するには確認してください** プロンプト（任意、これらのユーザーでMFAが有効になっていない場合に表示されます）：
   * をクリックし、 **送信** メールで使い捨ての確認コードを受け取ります。
   * コードを入力して、 **確認**をクリックしてください。メールがすぐに届かない場合は、迷惑メールフォルダを確認してください。
   * 確認に成功すると、組織のリーダーによって設定された権限で、委任管理者モードのままお客様のアカウントに入ります。