EntraIDユーザをゲスト招待した場合の仕様確認

Question

現状のAAA社はBBBグループのEntraテナント（bbb.com）に所属し、Azureも同テナント上で運用しています。今回、新規Azureテナントを作成し、そのテナントでAzure環境を構築したいです。また、新規Azureテナントユーザは新たにEntraIDユーザを作成するのでは無く、bbb.comテナントのEntraIDユーザをゲスト招待したいです。

この要件について、以下の2点を確認させて下さい。

・別テナントから招待したゲストユーザでも、VPN経由のAzure利用は可能でしょうか？

・別テナントから招待したゲストユーザでも、Azure VMへのリモートデスクトップ接続は、すべてのユーザーではなく限られたユーザーのみに制限することは可能でしょうか？

Answer 1

まず「ゲスト」というのは Entra ID のアカウントの権限の種類で、ゲストに対して「メンバー」という種類があります。名前で分かる通りメンバーはそのテナントのフル機能が（管理者が許可すれば、あるいはアクセス権があれば）利用できるユーザーで、ゲストは制限のあるユーザーです。

一方で Entra ID には「内部アカウント」と「外部アカウント」というアカウントの種類があります。これはそのアカウントの認証プロバイダーがどこにあるかで、内部はその Entra ID 自身が認証プロバイダーとなっているアカウント、外部は別のテナントや Microsoft アカウントなどが認証プロバイダーとなっているアカウントです。

一般的に「ゲスト」として招待されると「ゲスト権限」＋「外部アカウント」となりますが、これを「メンバー」＋「外部アカウント」とすることも可能です。

参考：B2B ゲスト ユーザーのプロパティを理解して管理する

ここまでの前振りでお分かりかもしれませんが、書かれている内容は bbb テナントを認証プロバイダーとする外部アカウントを招待した上で「メンバー」に権限変更すれば、aaa テナント自体のアカウントと同様の権限が利用できます。

ただしサインインなどの認証が外部テナントで行われるので、多要素認証や条件付きアクセスの運用にやや難があるかもしれません。

本来であれば自テナントでユーザーを作成して、そのユーザーを利用するのが良いでしょう。

なお相手テナントの条件次第ですが、B2B 直接接続やテナント間アクセスを構成することも可能です。詳細はリンク先を確認してください。

テナント構成やアカウントの設計は間違えて不適切にしてしまうと修正が困難ですので、できれば実績のある IT ベンダーによく相談されることをお勧めします。