オペレーター

オペレーター向けテナント管理

オペレーター用のアクセス画面を運用します。まずアカウント境界を選び、メンバー、権限、ワークスペースのターゲット、課金ポリシー、SSO、オンボーディングの記録を、Console が管理する 1 つのデスクから扱います。

プラットフォームオペレータープラットフォーム管理者顧客管理者

最終更新 2026年6月18日

アクセス画面の目的

/tenants にあるオペレーター画面は Console では Access operations と題され、その内部の作業領域は Customer operations desk です。これは、プラットフォームチームが一度アカウント境界を選んだうえで、デリバリーのループ全体を運用する Console 管理の 1 つのルートです。すなわち、アクセスと ID のスコープ、メンバーと権限、ワークスペースターゲットのルーティング、課金準備、永続環境、Shared Drive の記録、使用量のショーバックを扱います。

同じルートは顧客管理者にはセルフサービス画面を表示し、彼らがアクセスを確認し、SSO の詳細を送信し、オンボーディングのチェックリストを進め、チームを招待できるようにします。ラベルと利用可能なアクションはロールによって変わります。プラットフォームのオペレーターと管理者は顧客横断のサポートと承認済みのセットアップ作業を見ますが、顧客管理者は自分のアカウントのみを見ます。

これをローンチコントロールとして使ってください。顧客がワークスペースの作成を始める前に、アカウント境界、課金ゲート、テナントアクセス、ターゲットのルーティング、使用量の引き継ぎを承認します。

まずスコープを選ぶ

何かを変更する前に、必ず課金対象の顧客、テナント、メンバーのスコープを確認してください。ほとんどのアクションは顧客スコープであり、顧客が選択されている場合はその顧客を強制します。新しいクラスターでは、まずブートストラップとスコープチェックを実行してください。これは、自分が誰としてサインインしているか、どの顧客アカウントを管理しているか、ワークスペースがどこで実行されるか、使用量がその顧客に帰属できるかに答えます。これを下流のワークスペースや課金のフローをテストする前に行います。

SSO アクセスラベルが空の場合、Analytics などの下流ページがどの顧客スコープを使うべきか分からない可能性があります。ワークスペース作成をテストする前に、SSO 経由で再度入り直してください。

デスク全体のサブタブ

Customer operations desk は、その作業を画面上部に沿ったサブタブにまとめています。ローンチ中はおおむねこの順序で移動します。

Overview のレーンは運用ループを反映します。すなわち、顧客アクセス、レビュー済みの変更、QA の記録、環境候補、プロモーション、課金レビューです。Overview のクイックアクションは Customers、Members、CI & Review、Environments、Shared Drive、Billing policy、Analytics、Audit history を開きます。

アクションの利用可否（CRUD マップ）

CRUD マップ バッジは、現在のセッションでどの作成・更新・削除のパスが到達可能か、そしてなぜ残りは不可なのかを示します。アクションが見当たらないときに読んでください。たとえば、顧客アカウントにはまだ削除ルートがないこと（代わりにライフサイクルを suspended、offboarding、closed に移すこと）や、一部のアクションが課金・帰属・アカウント境界を動かすためオペレーターゲートされていることを説明します。

知っておく価値のあるいくつかのエントリ:

• 顧客アカウント — オペレーター専用。アカウントレコードが課金、ライフサイクル、帰属を動かすためです。顧客管理者はオンボーディングデータを送信できますが、課金対象のレコードを変更することはできません。
• メンバー — 作成、更新、削除にはテナント管理者の権限が必要です。顧客スコープのルートは選択した顧客を強制します。
• Archibot API キー — 顧客の引き継ぎステップで利用可能です。生のシークレットは一度だけ表示されます。
• 通知 — 顧客管理者は自分の通知履歴を読めますが、送信はオペレーターゲートのままです。

アプリ内ヘルプ

各パネルには文脈に応じたヘルプコントロールがあります。Explain access operations アクションは、4 つのセットアップの質問と平易な用語集を再掲するダイアログを開きます。顧客アカウントは課金対象の会社、テナントはその会社向けの Console アクセスのスライス、ワークスペースターゲットはワークスペースが実行されるランタイムクラスター、API キーは Archibot や自動化が顧客スコープの API を呼び出す手段です。このダイアログは読み取り専用のコンテキストであり、閉じると同じスコープに戻ります。ラベルの欠落や空のスコープが下流のテストをブロックしているか分からないときに使ってください。

Customers と onboarding タブ

単一のアカウントを扱うには Customers サブタブを開きます。各顧客レコードには独自のタブストリップがあります。

• Profile — アカウント ID。
• Plan — ライフサイクル、デフォルト、サービスティア。
• Onboarding — チェックリストとライフサイクル履歴。
• Billing — 課金レビューと価格ポリシー。
• API — 顧客スコープの API アクセス。

Onboarding タブは独自のサブタブを開きます。Details（アカウントのコンテキストと連絡先）、SSO setup（IdP メタデータの共有またはレビュー）、Checklist（共有のローンチ記録）、Lifecycle（状態履歴）、Notifications（永続的な通知履歴）です。チェックリストのステータスとメモは、サイドチャネルのメールやチャットの代わりに共有のローンチ記録になります。

メンバーと権限

Members サブタブでは、オペレーターは選択したテナント内でメンバーを招待、作成、更新、移管、無効化、削除できます。（顧客管理者は招待、作成、更新、無効化、削除はできますが、移管はできません。）テナント管理者は控えめに使ってください。招待やオンボーディング記録を管理する場合を除き、ほとんどのユーザーはテナントメンバーであるべきです。

Permissions サブタブは Permission policies エディタを開き、選択したスコープ内の各メンバーシップに対して、ロール由来のアクセス、カスタム機能権限、メタ権限を設定します。

エディタは 3 つのステップで扱います。

1. Policy controls と Filters and search を使って名簿を絞り込み、メンバーを選びます。メトリクスのタイル（Role templates、Custom policies、Meta grants、Admins）はスコープがどのように分布しているかを示します。
2. Member policy editor で Policy mode を選びます。Role template は選択したロールとステータスから実効権限を計算します。Custom grants は機能とメタ権限の配列をメンバーシップに直接保存します。
3. 開始バンドルとして Preset grant を適用し、機能マトリクスで個々の付与を調整してから Save policy を選びます。保存せずに戻すには Clear selection を使います。

プリセット付与は調整可能な既知のバンドルを提供します。

• Tenant admin — 制御された委任を伴うフルのテナントおよび顧客管理。
• Workspace lead — ワークスペースのライフサイクル、Shared Drive の書き込み、CI レビュー管理。
• Billing manager — ワークスペース制御なしで、Analytics、請求書、支出上限、リソース価格設定。
• Auditor — 運用全体にわたる読み取り専用の可視性に加え、監査エクスポートの権限。

メタ権限 は、誰がロールを委任し、権限を付与または取り消し、例外を承認し、ポリシーテンプレートを管理し、サポートアクセスを承認し、監査記録をエクスポートし、ブレークグラスの昇格を承認できるかを制御します。これらはアクセスポリシーを管理するメンバーシップにのみ付与してください。各機能付与は安定した権限 ID で保存されるため、将来のバックエンドの強制が同じポリシーを消費します。

ワークスペースのターゲットとデフォルト

Create Workspace は、ワークスペースターゲット が割り当てられて初めてアカウントのワークスペースをルーティングできます。そのため、顧客のワークスペース作成の前にターゲットを割り当ててください。Targets サブタブでは、ワークスペースランタイム URL、ターゲットの認証モード、テンプレートエイリアス、サポートされる Git プロバイダーを確認します。テンプレートエイリアスは顧客に表示される名前を安定させます。ターゲット上のサービストークンフィールドはオペレーター専用のままです。

このカスタマー向けに Create Workspace が開始すべき組織レベルの値を設定するには Workspace defaults を使います。

課金とリソース価格設定

Billing タブは課金準備、Stripe の引き継ぎ、リソース価格ポリシーをカバーします。課金状態はワークスペース作成のゲートです。顧客のワークスペース作成の前に、支払いの手段を記録し、アカウントをトライアル承認済みまたは検証済みとしてマークしてください。

Resource pricing policy は、1 つの顧客の Analytics と超過分の会計のためにデプロイのデフォルトをオーバーレイします。パネルはポリシーソース、その顧客向けに明示的に設定されているキーの数、デプロイ設定からのベースラインのデフォルトキーを示します。見積もり、サービスプラン、エンタープライズ契約が異なる割り当てやレートを使う場合にのみ、ここで顧客の条件をオーバーライドし、Save policy を選びます。

Estimated pricing presets は、見積もりの前に調整できるローンチの出発点を提供します。

• Pilot — CI、レビュー、QA、小規模な Shared Drive を検証する 1 つの実装チーム向けのスターター割り当て。
• Team — 繰り返しのレビュー/QA サイクルと中程度の Shared Drive 利用がある活発な顧客チーム向けの作業割り当て。
• Enterprise — 複数チームの展開計画、重い QA、より大規模な永続環境ストレージ向けのより大きな割り当て。

エディタをリセットするには Start from deployment defaults を使います。見積もりやポリシー改訂のために価格モデルのバージョンラベルを記録してください。請求書、支払い、収益記録については Stripe が権威のままです。Console の価格エントリはオペレーターまたは顧客の条件であってプロバイダーのペイロードではなく、Stripe の請求書イベントは支払い済み履歴を自動的に更新します。

SSO セットアップ

顧客管理者は SSO setup タブで IdP の種類、ドメイン、クレーム、グループ、コールバック URL、テストユーザーを送信し、ISM が安全にアクセスをマッピングできるようにします。OIDC の場合はディスカバリー URL を、SAML の場合はメタデータ URL とコールバック検証の詳細を収集します。オペレーターは同じタブで送信されたメタデータをレビューします。SSO アクセスラベルは ID プロバイダーから来るもので、Console がどの概要、セットアップアクション、顧客スコープを公開するかを決定します。

2 つのメモパケットを分けて保つ

• Customer-submitted details と ISM launch context は顧客に表示されます。顧客が ISM とともにレビューできるコンテキストに使ってください。
• Internal operator notes は ISM 専用であり、顧客スコープのオンボーディング応答に現れるべきではありません。

すべてのフィールドで—顧客に表示されるものでも内部のものでも—資格情報、支払い情報、秘密鍵、招待リンクを入れないでください。オンボーディングのライフサイクルと通知履歴は永続的な記録です。メール送信は通知送信者の背後でゲートされたままです。

関連ガイド

• アクセスロール：この画面が強制するロール境界について。
• 顧客管理者のセットアップ：顧客向けのセルフサービスパスについて。
• 運用センター：ライブの CI、QA、ボット、キャパシティのシグナルについて。
• 永続環境と CI Review：レビューからプロモーションへのレーンについて。
• 使用量と課金：ショーバックと Stripe の記録が、ここで設定する価格ポリシーとどう合致するかについて。