概要: Azure AD External Identities を使用したテナント間アクセス
Azure AD 組織は、外部 ID テナント間アクセス設定を使用して、B2B コラボレーションと B2B 直接接続による他の Azure AD 組織や他の Microsoft Azure クラウドとのコラボレーション方法を管理できます。 テナント間アクセス設定を使用すると、外部の Azure AD 組織があなたとコラボレーションを行う方法 (受信アクセス) と、あなたのユーザーが外部の Azure AD 組織とコラボレーションする方法 (送信アクセス) をきめ細かく制御できます。 これらの設定により、他の Azure AD 組織からの多要素認証 (MFA) とデバイスの信頼性情報 (準拠している信頼性情報と Hybrid Azure AD Join を使用した信頼性情報) を信頼できるようになります。
この記事では、Microsoft クラウド間も含めて、外部の Azure AD 組織との B2B コラボレーションや B2B 直接接続を管理するために使用するテナント間アクセス設定について説明します。 Azure AD 以外の ID (ソーシャルID や IT マネージド以外の外部アカウントなど) を使用して B2B コラボレーションを行う場合は、追加の設定を行うことができます。 この外部コラボレーションの設定には、ゲスト ユーザーのアクセスを制限したり、ゲストを招待できるユーザーを指定したり、ドメインを許可またはブロックしたりするためのオプションが含まれます。
受信と送信の設定を使用して外部アクセスを管理する
外部 ID のクロステナント アクセス設定によって、他の Azure AD 組織とコラボレーションを行う方法を管理します。 これらの設定によって、お客様のリソースに対して外部 Azure AD 組織の受信アクセス ユーザーが持つレベルと、お客様のユーザーが外部組織に対して持つ送信アクセスのレベルの両方が決まります。
次の図は、クロステナント アクセスの受信と送信の設定を示しています。 Resource Azure AD テナントは、共有するリソースを含むテナントです。 B2B コラボレーションの場合、リソース テナントは招待元のテナント (たとえば、外部ユーザーを招待する企業テナント) です。 ユーザーのホームの Azure AD テナントは、外部ユーザーが管理されているテナントです。
既定では、他の Azure AD 組織との B2B コラボレーションは有効で、B2B 直接接続ブロックされています。 ただし、次の包括的な管理者設定を使用すると、これら両方の機能を管理できます。
送信アクセス設定は、ユーザーが外部組織のリソースにアクセスできるかどうかを制御します。 これらの設定は、すべての人に適用することも、また、個々のユーザー、グループ、アプリケーションを指定することもできます。
受信アクセス設定は、外部の Azure AD 組織のユーザーがあなたの組織のリソースにアクセスできるかどうかを制御します。 これらの設定は、すべての人に適用することも、また、個々のユーザー、グループ、アプリケーションを指定することもできます。
信頼の設定(受信) は、あなたの条件付きアクセス ポリシーが外部組織からの多要素認証 (MFA)、準拠デバイス、ハイブリッド Azure AD 参加済みデバイスの要求を、そのユーザーがホーム テナントでこれらの要件を既に満たしている場合に、信頼するかどうかを決定します。 たとえば、あなたの信頼設定が MFA を信頼するよう構成すると、MFA ポリシーは引き続き外部ユーザーに適用されますが、ホーム テナントで MFA を既に完了しているユーザーは、あなたのテナントで MFA を再度完了する必要はありません。
既定の設定
既定のテナント間アクセス設定は、あなたのテナントの外部にあるすべての Azure AD 組織に適用されます(あなたが組織設定を構成した組織を除く)。 既定の設定は変更できますが、B2B コラボレーションと B2B 直接接続の初期設定は次のようになります。
B2B コラボレーション: あなたの内部ユーザーはすべて、 既定で B2B コラボレーションに対して有効になっています。 この設定は、あなたのユーザーは外部のゲストをあなたのリソースにアクセスするよう招待でき、外部組織に彼らをゲストとして招待できることを意味します。 他の Azure AD 組織からの MFA とデバイス要求は信頼されません。
B2B 直接接続: 既定では、B2B 直接接続の信頼関係は確立されていません。 Azure AD では、すべての外部 Azure AD テナントの受信および送信の B2B 直接接続機能がブロックされています。
組織設定: あなたの組織設定に追加される組織は、既定ではありません。 つまり、すべての外部 Azure AD 組織があなたの組織との B2B コラボレーションで有効になります。
テナント間同期 (プレビュー): テナント間同期により、他のテナントのユーザーが自分のテナントに同期されることはありません。
上記の動作は、同じ Microsoft Azure クラウド内の他の Azure AD テナントとの B2B コラボレーションに適用されます。 クラウド間のシナリオでは、既定の設定の動作が少し異なります。 この記事で後述する Microsoft クラウド設定 を参照してください。
組織の設定
組織固有の設定を構成するには、組織を追加し、その組織の受信と送信の設定を変更します。 組織の設定は、既定の設定よりも優先されます。
B2B コラボレーション: 他の Azure AD 組織との B2B コラボレーションでは、テナント間アクセスの設定を使って、インバウンドとアウトバウンドの B2B コラボレーションを管理し、特定のユーザー、グループ、アプリケーションにアクセスのスコープを設定します。 すべての外部組織に適用される既定の構成を設定してから、組織に固有の個別設定を必要に応じて作成することができます。 クロステナント アクセス設定を使用して、他の Azure AD 組織からの多要素 (MFA) およびデバイス クレーム (準拠クレームおよびハイブリッド Azure AD 参加済みクレーム) を信頼することもできます。
ヒント
外部ユーザーに対して MFA を信頼する場合は、Identity Protection MFA 登録ポリシーから外部ユーザーを除外することをお勧めします。 両方のポリシーが存在する場合、外部ユーザーはアクセスの要件を満たすことができません。
B2B 直接接続: B2B 直接接続では、組織の設定を使って、別の Azure AD 組織との相互信頼関係を設定します。 お客様の組織と外部組織の両方で、受信および送信のテナント間アクセス設定を構成することで、B2B 直接接続を相互に有効にする必要があります。
[外部コラボレーションの設定] を使って、外部ユーザーを招待できるユーザーの制限、B2B 固有ドメインの許可またはブロック、自分のディレクトリへのゲスト ユーザー アクセスの制限の設定を行うことができます。
自動引き換えの設定
重要
自動利用は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
自動引き換えの設定は、ユーザーがリソース/ターゲット テナントに初めてアクセスするときに同意プロンプトを受け入れる必要がないように、招待を自動的に引き換えるための、インバウンドとアウトバウンドの組織の信頼設定です。 この設定は、インバウンドまたはアウトバウンドに応じて名前が次のように変わるチェック ボックスです。
- 他のテナントのユーザーが、自分のテナント内のアプリとリソースにアクセスするときに、同意プロンプトを表示しないようにする
- 自分のテナントのユーザーが他のテナントのアプリとリソースにアクセスするときに、同意プロンプトを表示しないようにする
さまざまなシナリオの設定を比較する
自動引き換え設定は、次の状況でテナント間同期、B2B コラボレーション、B2B 直接接続に適用されます。
- テナント間同期を使って、ターゲット テナントでユーザーが作成されるとき。
- B2B コラボレーションを使って、ユーザーがリソース テナントに追加されるとき。
- B2B 直接接続を使って、ユーザーが リソース テナント内のリソースにアクセスするとき。
次の表では、これらのシナリオでこの設定を有効にした場合の比較を示します。
| Item | テナント間同期 | B2B コラボレーション | B2B 直接接続 |
|---|---|---|---|
| 自動引き換えの設定 | 必須 | オプション | オプション |
| ユーザーが B2B コラボレーションの招待メールを受け取る | いいえ | いいえ | 該当なし |
| ユーザーは同意プロンプトに同意する必要がある | いいえ | いいえ | いいえ |
| ユーザーが B2B コラボレーションの通知メールを受け取る | いいえ | はい | 該当なし |
この設定は、アプリケーションの同意エクスペリエンスには影響しません。 詳しくは、「Azure Active Directory でのアプリケーションの同意エクスペリエンス」をご覧ください。 この設定は、Azure 商用と Azure Government など、Microsoft クラウド環境が異なる組織の間ではサポートされません。
同意プロンプトが抑制される場合
自動引き換え設定によって同意プロンプトと招待メールが抑制されるのは、ホーム/ソース テナント (アウトバウンド) とリソース/ターゲット テナント (インバウンド) の両方でこの設定がチェックされる場合のみです。
次の表は、テナント間アクセス設定の異なる組み合わせに対して自動引き換え設定がチェックされるときの、ソース テナント ユーザーに対する同意プロンプトの動作を示したものです。
| ホーム/ソース テナント | リソース/ターゲット テナント | ソース テナント ユーザーに対する 同意プロンプトの動作 |
|---|---|---|
| Outbound | 受信 | |
 |
|
抑制される |
|
 |
抑制されない |
|
|
抑制されない |
|
|
抑制されない |
| 受信 | Outbound | |
|
|
抑制されない |
|
|
抑制されない |
|
|
抑制されない |
|
|
抑制されない |
Microsoft Graph を使ったこの設定の構成について、「crossTenantAccessPolicyConfigurationPartner の更新」 API をご覧ください。 独自のオンボード エクスペリエンスの構築については、「B2B コラボレーションの招待マネージャー」をご覧ください。
詳しくは、「テナント間同期を構成する」、「B2B コラボレーションのためにテナント間アクセス設定を構成する」、「B2B 直接接続のためにクロステナント アクセス設定を構成する」をご覧ください。
テナント間同期の設定
重要
テナント間同期は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
テナント間同期の設定は、ソース テナントの管理者がユーザーをターゲット テナントに同期できるようにするための、インバウンドのみの組織の設定です。 この設定は、ターゲット テナントで指定する [ユーザーにこのテナントへの同期を許可する] という名前のチェック ボックスです。 この設定は、手動招待や Azure AD エンタイトルメント管理などの他のプロセスによって作成された B2B 招待には影響しません。
![[テナント間同期] タブと [ユーザーにこのテナントへの同期を許可する] チェック ボックスを示すスクリーンショット。](../media/external-identities/access-settings-users-sync.png#lightbox)
Microsoft Graph を使用してこの設定を構成するには、「crossTenantIdentitySyncPolicyPartner の更新」 API をご覧ください。 詳しくは、「テナント間同期を構成する」をご覧ください。
Microsoft クラウド設定
Microsoft クラウド設定を使用すると、さまざまな Microsoft Azure クラウドからの組織とコラボレーションを行うことができます。 Microsoft クラウド設定を使用すると、以下のクラウド間で B2B の相互コラボレーションを確立できます。
- Microsoft Azure 商用クラウドと Microsoft Azure Government
- Microsoft Azure 商用クラウドと Microsoft Azure China (21Vianet が運用)
Note
Microsoft Azure Government には Office GCC-High および DoD クラウドが含まれています。
B2B コラボレーションを設定するために、両方の組織が Microsoft クラウド設定を構成して、パートナーのクラウドを有効にします。 次に各組織は、パートナーのテナント ID を使用して、パートナーを検索し、組織の設定に追加します。 そこから、各組織は、既定のテナント間アクセス設定をパートナーに適用することを許可するか、パートナー固有の受信と送信の設定を構成できます。 別のクラウドのパートナーとの B2B コラボレーションを確立すると、次のことが可能になります。
- B2B コラボレーションを使用して、パートナー テナントのユーザーを招待し、Web 基幹業務アプリ、SaaS アプリ、SharePoint Online サイト、ドキュメント、ファイルなど、組織内リソースにアクセスする。
- B2B コラボレーションを使用して、パートナー テナントのユーザーに Power BI コンテンツを共有する。
- B2B コラボレーション ユーザーに条件付きアクセス ポリシーを適用し、ユーザーのホーム テナントから多要素認証またはデバイスの信頼性情報 (準拠している信頼性情報と Hybrid Azure AD Join を使用した信頼性情報) を信頼することを選択します。
注意
B2B 直接接続は、別の Microsoft クラウド内の Azure AD テナントとのコラボレーションではサポートされていません。
構成手順については、「B2B コラボレーションの Microsoft クラウド設定の構成」を参照してください。
クラウド間のシナリオでの既定の設定
別の Microsoft Azure クラウドでパートナー テナントと共同作業するには、両方の組織が相互に B2B コラボレーションを有効にする必要があります。 最初の手順は、テナント間の設定でパートナーのクラウドを有効にすることです。 最初に別のクラウドを有効にするときは、そのクラウド内のすべてのテナントに対して B2B コラボレーションがブロックされます。 共同作業するテナントを組織の設定に追加する必要があり、その時点で、既定の設定はそのテナントに対してのみ有効になります。 既定の設定を引き続き有効にすることも、そのテナントについて組織設定を変更することもできます。
重要な考慮事項
重要
既定の受信または送信の設定を変更してアクセスをブロックするようにすると、お客様の組織内またはパートナー組織内のアプリに対する既存のビジネス クリティカルなアクセスがブロックされる可能性があります。 この記事で説明されているツールを必ず使用し、ビジネスの利害関係者と相談して、必要なアクセスを特定してください。
Azure portal でテナント間アクセス設定を構成するには、グローバル管理者またはセキュリティ管理者ロールを持つアカウントが必要になります。
信頼設定を構成したり特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用したりするには、Azure AD Premium P1 ライセンスが必要になります。 構成するテナントにはライセンスが必要です。 別の Azure AD 組織との相互の信頼関係が必要な B2B 直接接続の場合は、両方のテナントに Azure AD Premium P1 ライセンスが必要です。
テナント間アクセス設定は、他の Azure AD 組織との B2B コラボレーションと B2B 直接接続を管理するために使用されます。 Azure AD 以外の ID (ソーシャル ID や非 IT 管理外部アカウントなど) を使用した B2B コラボレーションの場合は、外部コラボレーション設定を使用してください。 外部コラボレーションの設定には、ゲスト ユーザーのアクセスを制限したり、ゲストを招待できるユーザーを指定したり、ドメインを許可またはブロックしたりするための B2B コラボレーションオプションが含まれます。
外部組織の特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用する場合は、設定を構成する前に、その組織に情報を問い合わせる必要があります。 設定の対象を正しく指定できるように、ユーザー オブジェクト ID、グループ オブジェクト ID、アプリケーション ID (クライアント アプリ ID またはリソース アプリ ID) を入手します。
ヒント
サインイン ログを調べると、外部組織のアプリのアプリケーションの ID が見つかる場合があります。 「受信サインインと送信サインインを識別する」セクションを参照してください。
ユーザーとグループに対して構成するアクセス設定は、アプリケーションのアクセス設定と一致している必要があります。 競合する設定は許可されません。それらを構成しようとすると警告メッセージが表示されます。
例 1: すべての外部のユーザーとグループに対して受信 アクセスをブロックする場合は、すべてのアプリケーションへのアクセスもブロックする必要があります。
例 2: すべてのユーザー (または特定のユーザーまたはグループ) に対して送信アクセスを許可すると、外部アプリケーションへのすべてのアクセスをブロックすることはできません。少なくとも 1 つのアプリケーションへのアクセスを許可する必要があります。
外部組織との B2B 直接接続を許可する必要があり、条件付きアクセス ポリシーで MFA が必要な場合は、条件付きアクセス ポリシーが外部組織からの MFA 要求を受け入れるように、信頼設定を構成する必要があります。
すべてのアプリへのアクセスを既定でブロックすると、ユーザーは Microsoft Rights Management Service (Office 365 Message Encryption、OME とも呼ばれる) で暗号化された電子メールを読み取れなくなります。 この問題を回避するには、送信設定を構成してユーザーがアプリ ID: 00000012-0000-0000-c000-000000000000 にアクセスできるようにすることをお勧めします。 これが許可する唯一のアプリケーションである場合、他のすべてのアプリへのアクセスは既定でブロックされます。
受信サインインと送信サインインを識別する
受信アクセスと送信アクセス設定を設定する前にユーザーやパートナーが必要とするアクセスを識別するのに役立つさまざまなツールが用意されています。 ユーザーとパートナーが必要とするアクセス削除しないようにするため、現在のサインイン動作を調べる必要があります。 この準備手順を行うことで、エンド ユーザーとパートナー ユーザーに必要なアクセスが失われるのを防ぐのに役立ちます。 ただし、場合によってはこれらのログが保持されるのは 30 日間だけなので、ビジネスの利害関係者と話をして必要なアクセスが失われないようにすることを強く推奨します。
テナント間サインイン アクティビティの PowerShell スクリプト
外部テナントに関連付けられているユーザー サインイン アクティビティを確認するために、テナント間ユーザー サインイン アクティビティ PowerShell スクリプトを使用します。 たとえば、受信アクティビティ (ローカル テナント内のリソースにアクセスする外部ユーザー) と送信アクティビティ (外部テナント内のリソースにアクセスするローカル ユーザー) に対して使用可能なすべてのサインイン イベントを表示するには、次のコマンドを実行します。
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
出力は、受信アクティビティと送信アクティビティで使用可能なすべてのサインイン イベントの概要であり、外部テナント ID 別と外部テナント名別に一覧表示されます。
サインイン ログ PowerShell スクリプト
外部 Azure AD 組織へのユーザーのアクセス権を確認するには、Microsoft Graph PowerShell SDK の Get-MgAuditLogSignIn コマンドレットを使用して、過去 30 日間のサインイン ログのデータを表示します。 たとえば、次のコマンドを実行します。
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
出力は、ユーザーが外部テナント内のアプリに対して開始した送信サインインの一覧です。
Azure Monitor
組織が Azure Monitor サービスをサブスクライブしている場合は、テナント間アクセス アクティビティ ブック (Azure portal の監視ブック ギャラリーにある) を使用して、より長い期間の受信サインインと送信サインインを視覚的に探索します。
セキュリティ情報イベント管理 (SIEM) システム
組織がサインイン ログをセキュリティ情報イベント管理 (SIEM) システムにサインイン ログをエクスポートすると、必要な情報を SIEM システムから取得できます。
クロステナントアクセス設定に対する変更の特定
Azure AD 監査ログでは、テナント間のアクセス設定の変更とアクティビティに関するすべてのアクティビティがキャプチャされます。 クロステナント アクセス設定の変更を監査するには、CrossTenantAccessSettingsのカテゴリカテゴリを使用してすべてのアクティビティをフィルター処理し、クロステナント アクセス設定の変更を表示します。
