B2B 直接接続のためにクロステナント アクセス設定を構成する

  • [アーティクル]

クロステナント アクセス設定を使用して、B2B 直接接続を通じて他の Microsoft Entra 組織とコラボレーションを行う方法を管理します。 これらの設定を使用すると、外部組織に対してユーザーが持つ送信アクセスのレベルを決定できます。 また、外部 Microsoft Entra 組織内のユーザーが内部リソースに対して持つ受信アクセスのレベルを制御することもできます。

  • 既定の設定: 既定のクロステナント アクセス設定は、個々の設定を構成した組織を除くすべての外部の Microsoft Entra 組織に適用されます。 これらの既定の設定を変更できます。 B2B 直接接続の場合、通常、既定の設定をそのままにして、組織固有の設定を使用して B2B 直接接続アクセスを有効にします。 初期状態では、既定値は次のとおりです。

    • B2B 直接接続の初期既定設定 - 既定では、テナント全体で送信 B2B 直接接続はブロックされ、すべての外部 Microsoft Entra 組織に対して受信 B2B 直接接続はブロックされます。
    • 組織設定 - 既定では組織は追加されません。

  • 組織固有の設定: 組織固有の設定を構成するには、組織を追加し、その組織の受信と送信の設定を変更します。 組織の設定は、既定の設定よりも優先されます。

クロステナント アクセス設定を使用して B2B 直接接続を管理する方法の詳細を確認してください。

重要

2023 年 8 月 30 日から、Microsoft は、クロステナント アクセス設定をお使いのお客様を新しいストレージ モデルへと移行し始めています。 自動タスクによって設定が移行されると、テナント間アクセス設定が更新されたことを通知するエントリが監査ログに表示されることがあります。 移行プロセス中の短い期間は、設定を変更できません。 変更できない場合は、しばらく待ってからもう一度変更を試してください。 移行が完了すると、25 KB というストレージ容量の上限がなくなり、追加できるパートナー数の上限もなくなります。

開始する前に

  • クロステナント アクセスの設定を構成する前に、クロステナント アクセスの概要に関するページで、「重要な考慮事項」セクションを確認してください。
  • すべての外部 Microsoft Entra 組織に適用する既定のアクセスのレベルを決定します。
  • カスタマイズした設定を必要とする Microsoft Entra 組織を特定します。
  • B2B 直接接続を設定する組織に連絡してください。 B2B 直接接続は相互の信頼によって確立されるため、自組織と相手組織の両方が、クロステナント アクセス設定で互いとの B2B 直接接続を有効にする必要があります。
  • 外部組織から必要な情報を取得します。 外部組織の特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用する場合は、アクセス設定を構成する前に、その組織からこれらの ID を取得する必要があります。
  • Microsoft Entra 管理センターでテナント間アクセス設定を構成するには、全体管理者またはセキュリティ管理者ロールを持つアカウントが必要になります。 Teams 管理者は、クロステナント アクセス設定を読み取ることはできますが、これらの設定を更新することはできません。

既定の設定を構成する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

既定のクロステナント アクセス設定は、組織固有のカスタマイズした設定を作成していない、すべての外部テナントに適用されます。 Microsoft Entra ID で提供されている既定の設定を変更する場合は、以下の手順に従います。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[External Identities]>[テナント間アクセス設定] の順に移動します。

  3. [既定の設定] タブを選択し、概要ページを確認します。

    Screenshot showing the Cross-tenant access settings Default settings tab

  4. 設定を変更するには、[受信の既定値を編集] リンクまたは [送信の既定値を編集] リンクを選択します。

    Screenshot showing edit buttons for Default settings

  5. 以下のセクションの詳細な手順に従って、既定の設定を変更します。

組織を追加する

以下の手順に従って、特定の組織向けにカスタマイズした設定を構成します。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[External Identities]>[テナント間アクセス設定] の順に移動します。

  3. [組織の設定] を選択します。

  4. [組織の追加] を選択します。

  5. [組織の追加] ペインで、組織の完全なドメイン名 (またはテナント ID) を入力します。

    Screenshot showing adding an organization

  6. 検索結果で組織を選択してから、[追加] を選択します。

  7. その組織が [組織の設定] の一覧に表示されます。 この時点で、この組織のすべてのアクセス設定が、既定の設定から継承されます。 この組織の設定を変更するには、[受信アクセス] または [送信アクセス] 列の下にある [既定値から継承] リンクを選択します。

    Screenshot showing an organization added with default settings

  8. 以下のセクションの詳細な手順に従って、組織の設定を変更します。

受信アクセス設定を変更する

受信設定を使用して、選択した内部アプリケーションに、どの外部ユーザーとグループがアクセスできるかを選択します。 構成しようとしているのが既定の設定であるか、組織固有の設定であるかを問わず、クロステナントの受信アクセス設定を変更するための手順は同一です。 このセクションで説明するように、[既定] タブに移動するか、[組織の設定] タブに示される組織に移動してから、変更を加えます。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[External Identities]>[テナント間アクセス設定] の順に移動します。

  3. 変更しようとしている設定に移動します。

    • 既定の受信設定を変更するには、[既定の設定] タブを選択してから、[受信アクセス設定][受信の既定値を編集] を選択します。
    • 特定の組織の設定を変更するには、[組織の設定] タブを選択し、一覧で目的の組織を見つけ (または組織を追加し) てから、[受信アクセス] 列のリンクを選択します。

  4. 変更しようとしている設定については、以下の詳細な手順に従います。

B2B 直接接続の受信設定を変更するには

  1. [B2B 直接接続] タブを選択します

  2. 組織のための設定を構成している場合は、次のいずれかのオプションを選択します。

    • 既定の設定: 組織は、[既定] 設定タブで構成された設定を使用します。この組織に対して、カスタマイズした設定が既に構成されている場合は、[はい] を選択して、すべての設定を既定の設定で置き換えることを確認する必要があります。 次に、[保存] を選択し、この手順の残りの部分をスキップします。

    • [設定のカスタマイズ]: 既定の設定の代わりに、この組織に適用するように設定をカスタマイズできます。 この手順の残りの部分を続けます。

  3. [外部のユーザーとグループ] を選択します。

  4. [アクセスの状態] で、次のいずれかのオプションを選択します。

    • [アクセスを許可]: [適用対象] で指定したユーザーとグループによる B2B 直接接続へのアクセスを許可します。
    • [アクセスのブロック]: [適用対象] で指定したユーザーとグループによる B2B 直接接続へのアクセスをブロックします。 すべての外部ユーザーとグループに対してアクセスをブロックすると、B2B 直接接続を介したすべての内部アプリケーションの共有がブロックされます。

    Screenshot showing inbound access status for b2b direct connect users

  5. [適用対象] で、次のいずれかを選択します。

    • [すべての外部のユーザーとグループ]: [アクセスの状態] で選択したアクションを、外部 Microsoft Entra 組織のすべてのユーザーとグループに適用します。
    • [外部のユーザーとグループを選択]: [アクセスの状態] で選択したアクションを、外部組織内の特定のユーザーとグループに適用できます。 構成したテナントには、Microsoft Entra ID P1 ライセンスが必要です。

    Screenshot showing selecting the target users for b2b direct connect

  6. [外部のユーザーとグループを選択] を選択した場合は、追加するユーザーまたはグループごとに以下を実行します。

    • [外部のユーザーとグループを追加] を選択します。
    • [他のユーザーとグループの追加] ウィンドウの検索ボックスに、ユーザー オブジェクト ID またはグループ オブジェクト ID を入力します。
    • 検索ボックスの横にあるメニューで、[ユーザー] または [グループ] を選択します。
    • [追加] を選択します。

    Note

    受信の既定の設定では、ユーザーまたはグループをターゲットにすることはできません。

    Screenshot showing adding external users for inbound b2b direct connect

  7. ユーザーやグループの追加を終えたら、[送信] を選択します。

  8. [アプリケーション] タブを選択します。

  9. [アクセスの状態] で、次のいずれかを選択します。

    • [アクセスを許可]: B2B 直接接続ユーザーによる、[適用対象] で指定されているアプリケーションへのアクセスを許可します。
    • [アクセスのブロック]: B2B 直接接続ユーザーによる、[適用対象] で指定されているアプリケーションへのアクセスをブロックします。

    Screenshot showing inbound applications access status for b2b direct connect

  10. [適用対象] で、次のいずれかを選択します。

    • [すべてのアプリケーション]: [アクセスの状態] で選択したアクションをすべてのアプリケーションに適用します。
    • [アプリケーションを選択] (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [アクセスの状態] で選択したアクションを、組織内の特定のアプリケーションに適用できます。

    Screenshot showing application targets for inbound access

  11. [アプリケーションを選択] を選択した場合は、追加するアプリケーションごとに以下を実行します。

    • [Microsoft アプリケーションの追加] を選択します。
    • アプリケーション ウィンドウで、[検索] ボックスにアプリケーション名を入力し、検索結果でアプリケーションを選択します。
    • アプリケーションの選択を終えたら、[選択] を選択します。

    Screenshot showing adding applications for inbound b2b direct connect

  12. [保存] を選択します。

MFA およびデバイスの状態に関する受信の信頼の設定を変更するには

  1. [信頼の設定] タブを選択します。

  2. 組織のための設定を構成している場合は、次のいずれかのオプションを選択します。

    • 既定の設定: 組織は、[既定] 設定タブで構成された設定を使用します。この組織に対して、カスタマイズした設定が既に構成されている場合は、[はい] を選択して、すべての設定を既定の設定で置き換えることを確認する必要があります。 次に、[保存] を選択し、この手順の残りの部分をスキップします。

    • [設定のカスタマイズ]: 既定の設定の代わりに、この組織に適用するように設定をカスタマイズできます。 この手順の残りの部分を続けます。

  3. 次のオプションの中から、1つまたは複数選択します。

    • Microsoft Entra テナントからの多要素認証を信頼する: 条件付きアクセス ポリシーに多要素認証 (MFA) が必要な場合は、このチェックボックスをオンにします。 この設定では、条件付きアクセス ポリシーで外部組織からの MFA 要求を信頼できるようにします。 ユーザーが MFA を完了したことを示す要求については、認証時に Microsoft Entra ID はユーザーの資格情報を確認します。 それ以外の場合は、ユーザーのホーム テナントで MFA チャレンジが開始されます。

    • [準拠しているデバイスを信頼する]: ユーザーがリソースにアクセスしたときに、条件付きアクセス ポリシーで、外部組織からの準拠しているデバイスの信頼性情報を信頼することを許可します。

    • [Microsoft Entra ハイブリッド参加済みデバイスを信頼する]: ユーザーがリソースにアクセスしたときに、条件付きアクセス ポリシーで、外部の組織から Microsoft Entra ハイブリッドに参加したデバイスの信頼性情報を信頼することを許可します。

    Screenshot showing inbound trust settings.

  4. (この手順は、組織の設定にのみ適用されます。) 自動引き換え オプションを確認します。

    • テナントで招待を自動的に引き換える<tenant>: 招待の引き換えを自動的に行いたい場合は、この設定を確認します。 その場合、指定したテナントのユーザーは、テナント間同期、B2B コラボレーション、または B2B 直接接続を使用して、このテナントに初めてアクセスする際に同意プロンプトで同意する必要はありません。 この設定では、指定したテナントが、この設定で送信アクセスも確認する場合にのみ同意プロンプトが表示されなくなります。

    Screenshot that shows the inbound Automatic redemption check box.

  5. [保存] を選択します。

注意

組織の設定を構成するときに、[テナント間同期] タブが表示されます。このタブは、B2B 直接接続の構成には適用されません。 その代わりに、この機能はマルチテナント組織がテナント間で B2B コラボレーションを有効にするために使用します。 詳細については、「マルチテナント組織のドキュメント」を参照してください。

送信アクセス設定を変更する

送信設定を使用して、選択した外部アプリケーションに、どのユーザーとグループがアクセスできるかを選択します。 構成しようとしているのが既定の設定であるか、組織固有の設定であるかを問わず、クロステナント送信アクセス設定を変更する詳細な手順は同一です。 このセクションで説明するように、[既定] タブに移動するか、[組織の設定] タブに示される組織に移動してから、変更を加えます。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[External Identities]>[テナント間アクセス設定] の順に移動します。

  3. 変更しようとしている設定に移動します。

    • 既定の送信設定を変更するには、[既定の設定] タブを選択してから、[送信アクセス設定][送信の既定値を編集] を選択します。

    • 特定の組織の設定を変更するには、[組織の設定] タブを選択し、一覧で目的の組織を見つけ (または組織を追加し) てから、[送信アクセス] 列のリンクを選択します。

送信アクセスの設定を変更するには

  1. [B2B 直接接続] タブを選択します。

  2. 組織のための設定を構成している場合は、次のいずれかのオプションを選択します。

    • 既定の設定: 組織は、[既定] 設定タブで構成された設定を使用します。この組織に対して、カスタマイズした設定が既に構成されている場合は、[はい] を選択して、すべての設定を既定の設定で置き換えることを確認する必要があります。 次に、[保存] を選択し、この手順の残りの部分をスキップします。

    • [設定のカスタマイズ]: この組織の設定をカスタマイズできます。それが、既定の設定の代わりに、この組織に適用されます。 この手順の残りの部分を続けます。

  3. [ユーザーとグループ] を選択します。

  4. [アクセスの状態] で、次のいずれかを選択します。

    • [アクセスを許可]: [適用対象] で指定したユーザーとグループによる B2B 直接接続へのアクセスを許可します。
    • [アクセスのブロック]: [適用対象] で指定したユーザーとグループによる B2B 直接接続へのアクセスをブロックします。 すべてのユーザーとグループに対してアクセスをブロックすると、B2B 直接接続を介したすべての外部アプリケーションの共有がブロックされます。

    Screenshot showing users and groups access status for outbound b2b direct connect

  5. [適用対象] で、次のいずれかを選択します。

    • [<組織> のすべてのユーザーとグループ]: [アクセスの状態] で選択したアクションを、すべてのユーザーとグループに適用します。
    • [<組織> のユーザーとグループを選択] (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [アクセスの状態] で選択したアクションを、特定のユーザーとグループに適用できます。

    Screenshot showing selecting target users for b2b direct connect outbound access

  6. [<組織> のユーザーとグループを選択] を選択した場合は、追加するユーザーまたはグループごとに以下を実行します。

    • [<組織> のユーザーとグループを追加] を選択します。
    • [選択] ウィンドウの検索ボックスにユーザー名またはグループ名を入力します。
    • ユーザーとグループの選択が終了したら、[選択] を選択します。

    注意

    ユーザーとグループを対象とする場合、SMS ベースの認証を構成したユーザーを選択することはできません。 これは、外部ユーザーが送信アクセス設定に追加されないように、ユーザー オブジェクトに "フェデレーション資格情報" を持つユーザーがブロックされるためです。 回避策として、Microsoft Graph API を使用して、ユーザーのオブジェクト ID を直接追加するか、ユーザーが属するグループをターゲットにすることができます。

  7. [保存] を選択します。

  8. [外部アプリケーション] タブを選択します。

  9. [アクセスの状態] で、次のいずれかを選択します。

    • [アクセスを許可]: B2B 直接接続ユーザーによる、[適用対象] で指定されているアプリケーションへのアクセスを許可します。
    • [アクセスのブロック]: B2B 直接接続ユーザーによる、[適用対象] で指定されているアプリケーションへのアクセスをブロックします。

    Screenshot showing applications access status for outbound b2b direct connect

  10. [適用対象] で、次のいずれかを選択します。

    • [すべての外部アプリケーション]: [アクセスの状態] で選択したアクションを、すべての外部アプリケーションに適用します。
    • [アプリケーションを選択] (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [アクセスの状態] で選択したアクションを、特定の外部アプリケーションに適用できます。

    Screenshot showing application targets for outbound b2b direct connect

  11. [外部アプリケーションを選択] を選択した場合は、追加するアプリケーションごとに以下を実行します。

    • [Microsoft アプリケーションの追加] または [その他のアプリケーションの追加] を選択します。
    • アプリケーション ウィンドウで、[検索] ボックスにアプリケーション名を入力し、検索結果でアプリケーションを選択します。
    • アプリケーションの選択を終えたら、[選択] を選択します。

    Screenshot showing adding external applications for outbound b2b direct connect

  12. [保存] を選択します。

送信の信頼の設定を変更するには

(このセクションは、[組織の設定] にのみ適用されます)。

  1. [信頼の設定] タブを選択します。

  2. 自動引き換え オプションを確認します。

    • テナントで招待を自動的に引き換える<tenant>: 招待の引き換えを自動的に行いたい場合は、この設定を確認します。 その場合、このテナントのユーザーは、テナント間同期、B2B コラボレーション、または B2B 直接接続を使用して、指定したテナントに初めてアクセスする際に同意プロンプトで同意する必要はありません。 この設定では、指定したテナントが、この設定で受信アクセスも確認する場合にのみ同意プロンプトが表示されなくなります。

    Screenshot that shows the outbound Automatic redemption check box.

  3. [保存] を選択します。

組織を削除する

組織の設定から組織を削除すると、その組織で、既定のテナント間アクセス設定が有効になります。

Note

組織が組織のクラウド サービス プロバイダーである場合 (Microsoft Graph パートナー固有の構成の isServiceProvider プロパティが true の場合)、組織を削除することはできません。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[External Identities]>[テナント間アクセス設定] の順に移動します。

  3. [組織の設定] タブを選択します。

  4. 一覧で組織を見つけ、その行のごみ箱アイコンを選択します。

次の手順

B2B コラボレーションのためにテナント間アクセス設定を構成する