チュートリアル: B2B ゲスト ユーザーに多要素認証を適用する

  • [アーティクル]

外部の B2B ゲスト ユーザーとコラボレーションするときは、多要素認証 (MFA) ポリシーを使用して貴社のアプリを保護することをお勧めします。 そうすると、外部ユーザーがリソースにアクセスするために必要なものがユーザー名とパスワードだけではなくなります。 Azure Active Directory (Azure AD) では、アクセスで MFA を要求する条件付きアクセス ポリシーを使用してこの目標を達成できます。 MFA ポリシーは、組織のメンバーに対して有効にするのと同じ方法で、テナント レベル、アプリ レベル、または個々のゲスト ユーザー レベルで適用できます。 ゲスト ユーザーの組織に多要素認証機能がある場合でも、ユーザーの Azure AD Multi-Factor Authentication は常にリソース テナントによって実行されます。

例:

会社のアプリにサインインしているゲスト ユーザーを示す図。

  1. 会社 A の管理者または従業員は、アクセスで MFA を要求するように構成されたクラウドまたはオンプレミスのアプリケーションを使用するようにゲスト ユーザーを招待します。
  2. ゲスト ユーザーは、自分の職場、学校、またはソーシャルの ID を使用してサインインします。
  3. ユーザーは、MFA チャレンジを完了するように求められます。
  4. ユーザーは、会社 A で MFA を設定し、自分の MFA オプションを選択します。 ユーザーは、アプリケーションへのアクセスを許可されます。

注意

予測可能性を確保するため、Azure AD Multi-Factor Authentication はリソース テナントで実行されます。 ゲスト ユーザーがサインインすると、リソース テナントのサインイン ページが背景に、独自のホーム テナントのサインイン ページと会社のロゴが前景に表示されます。

このチュートリアルでは、次のことについて説明します。

  • MFA をセットアップする前に、サインイン エクスペリエンスをテストします。
  • 環境内のクラウド アプリへのアクセスで MFA を要求する条件付きアクセス ポリシーを作成します。 このチュートリアルでは、Microsoft Azure Management アプリを使用してこのプロセスを説明します。
  • What If ツールを使用して MFA サインインをシミュレートします。
  • 条件付きアクセス ポリシーをテストします。
  • テスト ユーザーとポリシーをクリーンアップします。

Azure サブスクリプションがない場合は、開始する前に無料アカウントを作成してください。

前提条件

このチュートリアルのシナリオを完了するための要件を次に示します。

  • Azure AD Premium エディションへのアクセス。条件付きアクセス ポリシー機能が含まれます。 MFA を適用するには、Azure AD 条件付きアクセス ポリシーを作成する必要があります。 パートナーが MFA 機能を持っているかどうかに関係なく、MFA ポリシーは常に自分の組織に適用されます。
  • 有効な外部電子メール アカウント。ゲスト ユーザーとしてテナント ディレクトリに追加し、サインインするために使用できます。 ゲスト アカウントの作成方法がわからない場合は、Azure portal での B2B ゲスト ユーザーの追加に関する記事を参照してください。

Azure AD にテスト用のゲスト ユーザーを作成する

  1. Azure Portal に Azure AD 管理者としてサインインします。

  2. Azure Portal で、 [Azure Active Directory] を選びます。

  3. 左側のメニューの [管理] で、 [ユーザー] を選択します。

  4. [新しいユーザー] を選択してから、[外部ユーザーの招待] を選択します。

    [新しいゲスト ユーザー] オプションを選択する場所を示すスクリーンショット。

  5. [ID] の下に、外部ユーザーのメール アドレスを入力します。 必要に応じて、名前とウェルカム メッセージを入力します。

    ゲスト メールを入力する場所を示すスクリーンショット。

  6. [招待] を選択して、招待をゲスト ユーザーに自動的に送信します。 ユーザーが正常に招待されたことを示すメッセージが表示されます。

  7. 招待を送信すると、ユーザー アカウントがディレクトリにゲストとして自動的に追加されます。

MFA を設定する前にサインイン エクスペリエンスをテストする

  1. テスト用のユーザー名とパスワードを使用して、Azure portal にサインインします。
  2. サインイン資格情報のみを使用して Azure portal にアクセスできる必要があります。 他の認証は必要ありません。
  3. サインアウトします。

MFA を要求する条件付きアクセス ポリシーを作成する

  1. Azure portal にセキュリティ管理者または条件付きアクセス管理者としてサインインします。

  2. Azure Portal で、 [Azure Active Directory] を選びます。

  3. 左側のメニューの [管理] で、 [セキュリティ] を選択します。

  4. [保護] で、 [条件付きアクセス] を選択します。

  5. [条件付きアクセス] ページで、上部のツール バーの [新しいポリシー] を選択します。

  6. [新規] ページの [名前] テキスト ボックスに、「B2B ポータルにアクセスするには MFA が必要」と入力します。

  7. [割り当て] セクションで、 [ユーザーとグループ] の下にあるリンクを選択します。

  8. [ユーザーとグループ] ページで、[ユーザーとグループの選択] を選択し、[ゲストまたは外部ユーザー] を選択します。 ポリシーは、さまざまな外部ユーザーの種類、組み込みのディレクトリ ロール、またはユーザーとグループに割り当てることができます。

    すべてのゲスト ユーザーを選択する方法を示すスクリーンショット。

  9. [割り当て] セクションで、 [クラウド アプリまたは操作] の下にあるリンクを選択します。

  10. [アプリを選択] を選択し、 [選択] の下にあるリンクを選択します。

    [クラウド アプリ] ページと [選択] オプションを示すスクリーンショット。

  11. [選択] ページで [Microsoft Azure Management] を選択し、 [選択] を選択します。

  12. [新規] ページの [アクセス制御] セクションで、 [許可] の下にあるリンクを選択します。

  13. [付与] ページで、 [アクセスの許可] を選択し、 [多要素認証を要求する] チェック ボックスをオンにし、 [選択] を選択します。

    [多要素認証を要求する] オプションを示すスクリーンショット。

  14. [ポリシーの有効化] で、 [オン] を選択します。

    [ポリシーの有効化] オプションが [オン] に設定された状態を示すスクリーンショット。

  15. [作成] を選択します

What If オプションを使用してサインインをシミュレートする

  1. [条件付きアクセス | ポリシー] ページで、 [What If] を選択します。

    [条件付きアクセス - ポリシー] ページの [What-if] オプションを選択する場所を示すスクリーンショット。

  2. [ユーザー] の下にあるリンクを選択します。

  3. 検索ボックスに、テスト用のゲスト ユーザーの名前を入力します。 検索結果内のユーザーを選択し、 [選択] を選択します。

    ゲスト ユーザーが選択された状態を示すスクリーンショット。

  4. [Cloud apps, actions, or authentication content](クラウド アプリ、アクション、または認証コンテンツ) の下にあるリンクを選択します。 [アプリを選択] を選択し、 [選択] の下にあるリンクを選択します。

    [Microsoft Azure の管理] アプリが選択された状態を示すスクリーンショット。

  5. [クラウド アプリ] ページのアプリケーションの一覧で、 [Microsoft Azure Management](Microsoft Azure の管理) を選択し、 [選択] を選択します。

  6. [What If] を選択し、 [適用するポリシー] タブの [評価結果] の下に新しいポリシーが表示されることを確認します。

    What If 評価の結果を示すスクリーンショット。

条件付きアクセス ポリシーをテストする

  1. テスト用のユーザー名とパスワードを使用して、Azure portal にサインインします。

  2. 他の認証方法を要求するメッセージが表示されます。 ポリシーが有効になるまで少々時間がかかる場合があります。

    Note

    また、Azure AD のホーム テナントからの MFA を信頼するようにクロステナント アクセス設定を構成することもできます。 これにより、外部の Azure AD ユーザーは、リソース テナントに登録するのではなく、自分のテナントに登録した MFA を使用できるようになります。

  3. サインアウトします。

リソースをクリーンアップする

不要になったら、テスト ユーザーとテスト用の条件付きアクセス ポリシーを削除します。

  1. Azure Portal に Azure AD 管理者としてサインインします。
  2. 左ウィンドウで、 [Azure Active Directory] を選択します。
  3. [管理] にある [ユーザー] を選択します。
  4. テスト ユーザーを選択し、 [ユーザーの削除] を選択します。
  5. 左ウィンドウで、 [Azure Active Directory] を選択します。
  6. [セキュリティ] で、 [条件付きアクセス] を選択します。
  7. [ポリシー名] の一覧で、テスト用のポリシーのコンテキスト メニュー (...) を選択し、 [削除] を選択します。 [はい] を選択して確定します。

次のステップ

このチュートリアルでは、ゲスト ユーザーがいずれかのクラウド アプリのサインインするときに MFA を使用することを要求する条件付きアクセス ポリシーを作成しました。 コラボレーションするためのゲスト ユーザーを追加する方法の詳細については、「Azure Portal で Azure Active Directory B2B コラボレーション ユーザーを追加する」を参照してください。