Microsoft Entra 企業間 (B2B) コラボレーションに関するよく寄せられる質問 (FAQ) は、新しいトピックを追加して定期的に更新されています。
重要
- 2021 年 1 月 4 日以降、Google は WebView サインインのサポートを廃止します。 Gmail で Google フェデレーションまたはセルフサービス サインアップを使用している場合は、基幹業務ネイティブ アプリケーションの互換性をテストする必要があります。
- すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能をオフにすると、フォールバック認証方法は、Microsoft アカウントの作成を招待者に求める方法です。
B2B コラボレーションのゲスト ユーザー向けに、より直感的にするため、サインイン ページをカスタマイズすることはできますか。
組織のサインイン ページをカスタマイズする方法の詳細については、「サインイン ページとアクセス パネル ページに会社のブランドを追加する」をご覧ください。
B2B コラボレーションのユーザーは、SharePoint Online と OneDrive にアクセスできますか。
はい。 ただし、SharePoint Online で、ユーザー選択ウィンドウを使用して既存のゲスト ユーザーを検索する機能は、既定でオフになっています。 既存のゲスト ユーザーを検索するオプションを有効にするには、ShowPeoplePickerSuggestionsForGuestUsers を On に設定します。 この設定は、テナント レベルで、またはサイト コレクション レベルで有効にできます。 この設定を変更するには、Set-SPOTenant および Set-SPOSite コマンドレットを使用します。 これらのコマンドレットにより、メンバーは、ディレクトリ内のすべての既存のゲスト ユーザーを検索できます。 テナントのスコープの変更は、既にプロビジョニングされている SharePoint Online サイトには影響しません。
B2B コラボレーション ユーザーは Power BI コンテンツにアクセスできますか?
はい。B2B コラボレーションを使用して、外部ゲスト ユーザーに Power BI コンテンツを配布できます。 Microsoft クラウド間で Power BI コンテンツを共有するには、Microsoft クラウド設定を使用して、クラウドと外部クラウド間の相互 B2B コラボレーションを確立します。
CSV のアップロード機能は、まだサポートされていますか。
はい。 .csv ファイルのアップロード機能の使用の詳細については、この PowerShell サンプルをご覧ください。
招待の電子メールは、どのようにカスタマイズできますか。
B2B 招待 API を使用して、招待元プロセスのほぼすべてをカスタマイズすることができます。
ゲスト ユーザーは、多要素認証方法をリセットできますか。
はい。 ゲスト ユーザーは、通常のユーザーと同じように、多要素認証方法をリセットできます。
多要素認証のライセンスに責任を持つのはどちらの組織ですか。
招待側組織が多要素認証を実行します。 招待側組織は、多要素認証を使用している B2B ユーザーに対する十分なライセンスがあることを確認する必要があります。
パートナー組織で、既に多要素認証を設定している場合はどうなりますか。 それらの多要素認証を信頼できますか。
クロステナント アクセス設定により、他の Microsoft Entra 組織からの多要素認証とデバイスの信頼性情報 (準拠している信頼性情報と Microsoft Entra ハイブリッド参加済みを使用した信頼性情報) を信頼できるようになります。
クロステナント アクセス設定に追加できる組織はいくつですか?
クロステナント アクセス設定は、他の組織との共同作業方法に関する設定を保存するディレクトリ内のポリシーです。 このポリシー ファイルには 25 kb のサイズ制限があり、上限に達すると、ファイル サイズをさらに大きくする組織の追加や変更は行われません。 このポリシーにコンテンツを保存する方法により、クロステナント アクセス設定に追加できる組織の制限は定義されていません。 多数の組織に設定を適用する必要がある場合は、これらの設定を既定の設定として実装することをお勧めします。 手順に従って、ポリシーの現在のサイズを計算 し、25 kb のファイル サイズの制限に近づいているかどうかを判断します。
招待の遅延は、どのように使用するのですか。
組織で、B2B コラボレーション ユーザーを追加し、必要に応じてそれらのユーザーをアプリケーションにプロビジョニングして、招待を送信したいと考える場合があります。 B2B コラボレーションの招待 API を使用して、オンボード ワークフローをカスタマイズできます。
Exchange のグローバル アドレス一覧にゲスト ユーザーを表示できますか。
はい。 既定では、ゲスト オブジェクトは組織のグローバル アドレス一覧には表示されませんが、それらを表示可能にできます。 詳細については、Microsoft 365 グループごとのゲスト アクセスに関する記事の「グローバル アドレス一覧にゲストを追加する」を参照してください。
ゲスト ユーザーを制限付き管理者にできますか。
そして、 詳細については、ゲスト ユーザーのロールへの追加に関するページをご覧ください。
Microsoft Entra B2B コラボレーションでは、B2B ユーザーの Microsoft Entra 管理センターへのアクセスを許可していますか?
B2B コラボレーション ユーザーは、制限付き管理者のロールが割り当てられない限り、Microsoft Entra 管理センターにアクセスする必要はありません。 ただし、制限付き管理者のロールを割り当てられている B2B コラボレーション ユーザーは portal にアクセスできます。 また、これらのいずれかの管理者ロールが割り当てられていないゲスト ユーザーがポータルにアクセスすると、ユーザーは、エクスペリエンスの特定の部分にアクセスできます。 ゲスト ユーザー ロールは、ディレクトリのアクセス許可の一部を持ちます。
ゲスト ユーザーが Microsoft Entra 管理センターにアクセスするのをブロックできますか?
はい。管理センターまたはポータルへのゲスト ユーザー アクセスをブロックする条件付きアクセス ポリシーを作成できます。 条件付きアクセス ポリシーを構成する際に、ポリシーを適用する外部ユーザーの種類をきめ細かく制御できます。 このポリシーを構成する場合は、誤ってメンバーと管理者のアクセスをブロックしないように注意してください。 「外部ユーザーの条件付きアクセス」の詳細を確認する。
Microsoft Entra B2B コラボレーションは、多要素認証とコンシューマー電子メール アカウントをサポートしていますか。
はい。 Microsoft Entra B2B コラボレーションでは、多要素認証とコンシューマー電子メール アカウントのどちらもサポートされています。
Microsoft Entra B2B コラボレーション ユーザーのパスワード リセットはサポートされていますか。
Microsoft Entra テナントがユーザーのホーム ディレクトリである場合、管理者は、Microsoft Entra 管理センターからユーザーのパスワードをリセットすることができます。 ただし、別の Microsoft Entra ディレクトリまたは外部の ID プロバイダーによって管理されているアカウントでサインインしているゲスト ユーザーのパスワードを、直接リセットすることはできません。 パスワードをリセットできるのは、ゲスト ユーザーまたはユーザーのホーム ディレクトリの管理者だけです。 ゲスト ユーザーに対するパスワード リセットの動作の例をいくつか次に示します。
"Guest" (UserType==Guest) とマークされている Microsoft Entra テナントのゲスト ユーザーは、https://aka.ms/ssprsetup 経由で SSPR に登録することができません。 このような種類のゲスト ユーザーは、https://aka.ms/sspr 経由でのみ SSPR を実行することができます。
Microsoft アカウント (たとえば guestuser@live.com) でサインインしたゲスト ユーザーは、Microsoft アカウントのセルフサービス パスワード リセット (SSPR) を使用して、自分のパスワードをリセットすることができます。 「Microsoft アカウントのパスワードをリセットする方法」をご覧ください。
Google アカウントまたはそれ以外の外部 ID プロバイダーでサインインしたゲスト ユーザーは、ID プロバイダーの SSPR 方法を使用して、自分のパスワードをリセットできます。 たとえば、Google アカウント guestuser@gmail.com のゲスト ユーザーは、「パスワードを変更または再設定する」の手順に従って自分のパスワードをリセットできます。
ID テナントが Just-In-Time (JIT) テナントまたは "バイラル" テナント (つまり、独立したアンマネージド Azure テナント) である場合は、ゲスト ユーザーだけが自分のパスワードをリセットできます。 場合によっては、組織が、従業員が仕事用メール アドレスを使用してサービスにサインアップするときに作成されるバイラル テナントの管理を引き継ぎます。 組織がバイラル テナントを引き継いだ後は、その組織の管理者しか、ユーザーのパスワードをリセットしたり SSPR を有効にしたりできなくなります。 必要に応じて、招待側の組織としては、ディレクトリからゲスト ユーザー アカウントを削除し、招待を再送信することができます。
ゲスト ユーザーのホーム ディレクトリが Microsoft Entra テナントの場合は、管理者がユーザーのパスワードをリセットできます。 たとえば、管理者がオンプレミスの Active Directory からユーザーを作成または同期し、UserType を Guest に設定したような場合です。 このユーザーは管理者のディレクトリに所属しているため、管理者は Microsoft Entra 管理センターからユーザーのパスワードをリセットできます。
Microsoft Dynamics 365 は、Microsoft Entra B2B コラボレーションをオンラインでサポートしていますか。
はい、Dynamics 365 (オンライン) では、Microsoft Entra B2B コラボレーションがサポートされています。 詳細については、Dynamics 365 に関する記事「Microsoft Entra Directory B2B コラボレーションでユーザーを招待する」を参照してください。
新しく作成した B2B コラボレーション ユーザー用の初期パスワードの有効期間はどうなっていますか。
Microsoft Entra ID には、文字、パスワードの強度、およびアカウント ロックアウトに関する要件の固定セットがあり、これはすべての Microsoft Entra ID クラウド ユーザー アカウントにも同様に適用されます。 クラウド ユーザー アカウントは、次のような別の ID プロバイダーとフェデレーションされないアカウントです。
- Microsoft アカウント
- Active Directory フェデレーション サービス (AD FS)
- (B2B コラボレーション用の) 別のクラウド テナント
フェデレーション アカウントの場合、パスワード ポリシーは、オンプレミス テナントに適用されるポリシーとユーザーの Microsoft アカウント設定に依存します。
組織で、アプリケーションにテナント ユーザーとゲスト ユーザーに対して異なるエクスペリエンスを設定したいと考える場合があります。 これを行うための標準的なガイダンスはありますか。 ID プロバイダー要求の存在は、使用する正しいモデルですか。
ゲスト ユーザーは、任意の ID プロバイダーを使用して認証できます。 詳細については、B2B コラボレーション ユーザーのプロパティに関するページをご覧ください。 UserType プロパティを使用して、ユーザー エクスペリエンスを決定します。 UserType 要求は、現在トークンに含まれていません。 アプリケーションで Microsoft Graph API を使用して、ディレクトリでユーザーを照会して、UserType を取得する必要があります。
ソリューションを共有し、アイデアを提供するための B2B コラボレーション コミュニティにはどこからアクセスできますか。
B2B コラボレーションを向上させるためのフィードバックは絶えず受け付けています。 ユーザー シナリオ、ベスト プラクティス、また Microsoft Entra B2B コラボレーションに関する意見を提供してください。 マイクロソフト Tech コミュニティのディスカッションにご参加ください。
また、B2B Collaboration Ideas でも、ご意見の送信や、今後の機能への投票を行うことができます。
ユーザーがすぐに "準備" できるように、自動的に引き換えられる招待を送信できますか。 それとも、ユーザーは常に引き換えの URL をクリックする必要があるのですか。
招待元は、UI、PowerShell スクリプト、または API を使用して、取引先組織の他のユーザーを招待できます。 その後、招待元はゲスト ユーザーに共有アプリへの直接リンクを送信できます。 ほとんどの場合、メール招待状を開いて、引き換えの URL をクリックする必要はなくなります。 「Microsoft Entra B2B コラボレーションの招待の引き換え」を参照してください。
招待されたパートナーがフェデレーションを使用して独自のオンプレミス認証を追加するとき、B2B コラボレーションはどのように機能しますか?
パートナーの Microsoft Entra テナントがオンプレミス認証インフラストラクチャにフェデレーションされている場合、オンプレミスのシングル サインオン (SSO) が自動的に実行されます。 パートナーが Microsoft Entra テナントを持っていない場合は、新しいユーザー用に Microsoft Entra アカウントが作成されます。
B2B コラボレーションのために Azure AD B2C ローカル アカウントを Microsoft Entra テナントに招待することはできますか。
いいえ。 Azure AD B2C ローカル アカウントは、Azure AD B2C テナントへのサインインにのみ使用できます。 このアカウントを使用して Microsoft Entra テナントにサインインすることはできません。 B2B コラボレーションのために Azure AD B2C ローカル アカウントを Microsoft Entra テナントに招待することはサポートされていません。
Azure B2B ゲスト ユーザーをサポートするのはどのアプリケーションとサービスですか。
すべての Microsoft Entra 統合型アプリケーションでは、Azure B2B ゲスト ユーザーをサポートできますが、ゲスト ユーザーを認証するにはテナントとして設定されたエンドポイントを使用する必要があります。 また、ゲスト ユーザーがアプリに対して認証を行うと発行される SAML トークン内の要求をカスタマイズすることも必要になる場合があります。
パートナーが多要素認証を使用していない場合に、B2B ゲスト ユーザーに多要素認証を強制できますか。
はい。 詳細については、「B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。
SharePoint では、外部ユーザーに対して "許可" または "拒否" リストを定義できます。 これを Azure で実行できますか。
はい。 Microsoft Entra B2B コラボレーションでは、許可リストとブロックリストをサポートしています。
Microsoft Entra B2B を使用する必要があるライセンスは何ですか。
組織が Microsoft Entra B2B を使用するために必要なライセンスの詳細については、外部 ID の価格に関する記事を参照してください。
メールアドレスと UPN が一致しないユーザーを招待するとどうなりますか?
一概には言えません。 既定では、Microsoft Entra ではログイン ID に対してのみ UPN が許可されます。 UPN とメールアドレスが同じ場合、Microsoft Entra B2B の招待とその後のサインインは期待どおりに機能します。 ただし、ユーザーのメールアドレスと UPN が一致せず、UPN の代わりにメールアドレスでサインインされると、問題が発生する可能性があります。 UPN 以外のメールで招待されたユーザーは、メール招待リンクを使用すると招待を引き換えることができますが、直接リンク経由での引き換えは失敗します。 ただし、ユーザーが招待の引き換えに成功しても、ID プロバイダ (Microsoft Entra ID または連携 ID プロバイダ) がメールアドレスを代替ログイン ID として許可するように設定されていない限り、UPN 以外のメールアドレスを使用したその後のサインイン試行は失敗することになります。 この問題は以下の方法で軽減できます。
- 招待された/ホームの Microsoft Entra テナントで、メールアドレスを代替ログイン ID として有効にする
- 連携する ID プロバイダーがログイン ID としてメールアドレスをサポートできるようにする (Microsoft Entra ID が他の ID プロバイダーに連携している場合)、または
- UPN を使用して引き換え/サインインするようにユーザーに指示する。
この問題を完全に回避するには、管理者はユーザーの UPN とメールアドレスが同じ値であることを確認する必要があります。
Note
Microsoft クラウド間で送信される招待と引き換えでは、UPN を使用する必要があります。 現時点では、電子メールはサポートされていません。 たとえば、米国政府テナントのユーザーが商用テナントに招待される場合、ユーザーは UPN を使用して招待される必要があります。
インスタント オン: レプリケーションの待機時間が発生する原因は?
B2B コラボレーションのフローでは、ユーザーをディレクトリに追加し、招待の使用、アプリ割り当てなどの際に動的に更新します。 更新と書き込みは、通常、1 つのディレクトリ インスタンスで行い、すべてのインスタンス間でレプリケートする必要があります。 すべてのインスタンスが更新されると、レプリケーションが完了します。 いずれかのインスタンスでオブジェクトの書き込みまたは更新が行われ、そのオブジェクトを取得する呼び出しが別のインスタンスに対して行われた場合は、レプリケーションの遅延が発生する可能性があります。 その場合は、更新または再試行が役立つことがあります。 API を使用してアプリを記述する場合は、バックオフの再試行がこの問題を軽減するための推奨される防御的な方法です。