外部コラボレーションの設定を構成する
外部コラボレーション設定を使用すると、組織内のどのロールが、B2B コラボレーションのために外部ユーザーを招待できるかを指定できます。 これらの設定には、特定のドメインを許可またはブロックするためのオプションや、外部のゲストユーザーが Azure AD ディレクトリで表示できる内容を制限するオプションも含まれています。 次のオプションを使用できます。
[ゲスト ユーザーのアクセスを決定する]: Azure AD では、外部のゲスト ユーザーが表示できる Azure AD ディレクトリの内容を制限できます。 たとえば、グループ メンバーシップのゲスト ユーザーによる表示を制限したり、ゲストには自分のプロファイル情報の表示だけを許可したりすることができます。
[ゲストを招待できるユーザーを指定する]: 既定では、組織内のすべてのユーザー (B2B コラボレーションのゲスト ユーザーを含む) が、B2B コラボレーションに外部ユーザーを招待できます。 招待を送信する機能を制限する場合は、ユーザー全員に対して招待をオンまたはオフにすることや、特定のロールに対して招待を制限することができます。
[ユーザー フローによるゲストのセルフサービス サインアップを有効にする]: 構築するアプリケーションのために、ユーザーがアプリにサインアップして新しいゲスト アカウントを作成できるようにするユーザー フローを作成できます。 外部のコラボレーション設定でこの機能を有効にしてから、セルフサービス サインアップのユーザー フローをアプリに追加することができます。
[ドメインを許可またはブロックする]: 指定したドメインへの招待を許可または拒否するために、コラボレーションの制限を使用できます。 詳細については、ドメインの許可またはブロックに関するページを参照してください。
他の Azure AD 組織との B2B コラボレーションの場合、クロステナント アクセス設定を見直して、インバウンドとアウトバウンドの B2B コラボレーションを確認し、特定のユーザー、グループ、アプリケーションへのアクセスのスコープを設定する必要もあります。
ポータルで設定を構成する
グローバル管理者のアカウントを使用して Azure portal にサインインし、Azure Active Directory サービスを開きます。
[外部 ID]>[外部コラボレーションの設定] を選択します。
[ゲスト ユーザーのアクセス] で、ゲスト ユーザーに付与するアクセスのレベルを選択します。
Guest users have the same access as members (most inclusive) (ゲスト ユーザーにメンバーと同じアクセス権を付与する (最も包括的)) :このオプションを選択すると、ゲストがメンバー ユーザーと同じように Azure AD リソースとディレクトリ データにアクセスできるようになります。
Guest users have limited access to properties and memberships of directory objects (ゲスト ユーザーに対してディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスを制限する) :(デフォルト) この設定を選択すると、ゲストは、特定のディレクトリ タスク (ユーザー、グループ、またはその他のディレクトリ リソースを列挙するなど) を実行できなくなります。 ゲストは、非表示でないすべてのグループのメンバーシップを表示できます。 既定のゲスト アクセス許可の詳細について説明します。
Guest user access is restricted to properties and memberships of their own directory objects (most restrictive) (ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限)) :この設定では、ゲストは自分のプロファイルのみにアクセスできます。 ゲストは、他のユーザーのプロファイル、グループ、またはグループ メンバーシップを参照することはできません。
[Guest invite settings](ゲスト招待の設定) で、適切な設定を選択します。
- ゲストと非管理者を含む組織内のすべてのユーザーがゲスト ユーザーを招待できる (最も包括的): 組織内のゲストが、組織のメンバーでないひとも含めて他のゲストを招待できるようにするには、このオプション ボタンを選択します。
- メンバー アクセス許可を持つゲストを含むメンバー ユーザーと特定の管理者ロールに割り当てられたユーザーがゲスト ユーザーを招待できる: メンバー ユーザーと特定の管理者の役割を持つユーザーがゲストを招待できるようにするには、このオプション ボタンを選択します。
- 特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる: 管理者の役割を持つユーザーだけがゲストを招待できるようにするには、このオプション ボタンを選択します。 管理者の役割には、全体管理者、ユーザー管理者、およびゲスト招待元が含まれます。
- 管理者を含む組織内のすべてのユーザーがゲスト ユーザーを招待できない (最も制限的) : 組織内のだれもがゲストを招待できないようにするには、このオプション ボタンを選択します。
ユーザーがアプリにサインアップできるようにユーザー フローを作成する場合は、 [Enable guest self-service sign up via user flows](ユーザー フローによるゲスト セルフサービス サインアップを有効にする) で [はい] を選択します。 この設定の詳細については、アプリへのセルフサービス サインアップ ユーザー フローの追加に関するページを参照してください。
[外部ユーザーの脱退設定] で、外部ユーザーが組織から自分自身を削除できるかどうかを制御できます。 このオプションを [いいえ] に設定した場合、外部ユーザーは、自分自身を削除するために、管理者またはプライバシー連絡先に連絡する必要があります。
- はい: ユーザーは、管理者またはプライバシー連絡先からの承認なしに、組織を離れることが可能です。
- いいえ: ユーザーは自分で組織を離れることはできません。 管理者またはプライバシー連絡先に連絡して組織からの削除を依頼するようにガイドするメッセージが表示されます。
重要
外部ユーザーの脱退設定は、Azure AD テナントにプライバシー情報を追加した場合にのみ構成できます。 それ以外の場合、この設定は使用できなくなります。
[コラボレーションの制限] で、指定したドメインへの招待を許可するか拒否するかを選択し、テキスト ボックスに特定のドメイン名を入力できます。 複数ドメインの場合は、それぞれのドメインを新しい行に入力します。 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。
Microsoft Graph を使用して設定を構成する
外部コラボレーションの設定は、Microsoft Graph APIを使用して構成できます。
- ゲスト ユーザーのアクセス制限とゲスト招待の制限には、authorizationPolicy リソースの種類を使用します。
- ユーザー フローによるゲストのセルフサービス サインアップを有効にする設定には、authenticationFlowsPolicy リソースの種類を使用します。
- 電子メール ワンタイム パスコード設定 (Azure portalの [すべての ID プロバイダー] ページに表示) には、emailAuthenticationMethodConfiguration リソースの種類を使用します。
ゲスト招待元ロールをユーザーに割り当てる
ゲスト招待元ロールを使用すると、個々のユーザーにグローバル管理者ロールなどの管理者ロールを割り当てなくても、ゲストを招待する機能を付与できます。 ゲスト招待元ロールを個々のユーザーに割り当てます。 次に、 [管理者とゲスト招待元ロールのユーザーは招待ができる] が [はい] に設定されていることを確認します。
次の例は、PowerShell を使って、ゲストの招待元ロールにユーザーを追加する方法を示しています。
Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>
B2B ユーザーのサインイン ログ
B2B ユーザーが共同作業を行うリソース テナントにサインインすると、ホーム テナントとリソース テナントの両方にサインイン ログが生成されます。 これらのログには、使用されているアプリケーション、メール アドレス、テナント名、ホーム テナントとリソース テナントの両方のテナント ID などの情報が含まれます。
次のステップ
Azure AD B2B コラボレーションに関する以下の記事を参照してください。