B2B コラボレーションの概要
Azure Active Directory (Azure AD) の B2B コラボレーションは、自分の組織にゲスト ユーザーを招待して共同作業を行うことができる External Identities の機能です。 B2B コラボレーションによって、自社データに対するコントロールを維持したまま、自社のアプリケーションとサービスを外部ユーザーと安全に共有できます。 外部パートナーの規模に関係なく、Azure AD を所有していない場合や IT 部門が存在していない場合でも、外部パートナーとセキュリティで保護された安全な状態で作業できます。
単純な招待と受諾プロセスによって、パートナーは各自の資格情報を使用して、貴社のリソースにアクセスできます。 セルフサービス サインアップ ユーザー フローを有効にして、外部ユーザーに自分でアプリまたはリソースにサインアップさせることもできます。 招待を引き換えた、またはサインアップを完了した外部ユーザーは、ディレクトリでユーザー オブジェクトとして表現されます。 これらの B2B コラボレーション ユーザーのユーザー タイプは通常、"guest" に設定され、ユーザー プリンシパル名には #EXT# 識別子が含まれます。
開発者は、Azure AD の B2B API を使用して、招待プロセスをカスタマイズしたり、セルフサービス サインアップ ポータルなどのアプリケーションを作成ししたりできます。 ゲスト ユーザーに関連したライセンスと価格情報については、「Azure Active Directory 外部 ID の価格」を参照してください。
重要
すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能をオフにすると、フォールバック認証方法は、Microsoft アカウントの作成を招待者に求める方法です。
パートナーの ID を使用してパートナーとコラボレーションする
Azure AD B2B では、パートナーが各自の ID 管理ソリューションを使用するため、組織では外部の管理オーバーヘッドが発生しません。 ゲスト ユーザーは、各自の職場、学校、またはソーシャルの ID を使用して、アプリとサービスにサインインします。
- パートナーは、Azure AD アカウントがあるかどうかにかかわらず、独自の ID と資格情報を使用します。
- 外部アカウントまたはパスワードを管理する必要はありません。
- アカウントの同期もアカウントのライフ サイクルの管理も必要ありません。
他の組織やクラウドとのコラボレーションを管理する
B2B コラボレーションは既定で有効ですが、包括的な管理設定によって、外部のパートナーや組織との受信と送信の B2B コラボレーションを制御できます。
他の Azure AD 組織との B2B コラボレーションの場合、 クロステナント アクセス設定を使用します。 受信および送信の B2B コラボレーションを管理し、特定のユーザー、グループ、アプリケーションへのアクセスのスコープを設定します。 すべての外部組織に適用される既定の構成を設定してから、組織に固有の個別設定を必要に応じて作成します。 クロステナント アクセス設定を使用して、他の Azure AD 組織からの多要素 (MFA) およびデバイス クレーム (準拠クレームおよびハイブリッド Azure AD 参加済みクレーム) を信頼することもできます。
外部コラボレーション設定を使用して、外部ユーザーを招待できるユーザーを定義したり、B2B 固有ドメインを許可またはブロックしたり、ディレクトリへのゲスト ユーザー アクセスの制限を設定したりできます。
Microsoft クラウド設定を使用して、Microsoft Azure グローバル クラウドと Microsoft Azure Government または Microsoft Azure China 21Vianet との間で相互の B2B コラボレーションを確立します。
Azure portal からゲスト ユーザーを簡単に招待する
管理者は、Azure portal でゲスト ユーザーを組織に簡単に追加できます。
- 新しいユーザーを追加するときと同様の方法で Azure AD に新しいゲスト ユーザーを作成する。
- ゲスト ユーザーをアプリまたはグループに割り当てる。
- 引き換えリンクを含む招待メールを送信するか、共有するアプリへの直接リンクを送信します。
![[新しいゲスト ユーザー] 招待入力ページを示すスクリーンショット。](media/what-is-b2b/add-a-b2b-user-to-azure-portal-large.png#lightbox)
- ゲスト ユーザーは、いくつかの簡単な引き換え手順に従ってサインインします。
![[アクセス許可の確認] ページのスクリーンショット。](media/what-is-b2b/consent-screen.png)
セルフサービス サインアップを許可する
セルフサービス サインアップ ユーザー フローを使用すると、アプリにアクセスしようとする外部ユーザーのためにサインアップ エクスペリエンスを作成できます。 サインアップ フローの一部として、さまざまなソーシャル ID プロバイダーまたはエンタープライズ ID プロバイダーのオプションを提供したり、ユーザーに関する情報を収集したりすることができます。 セルフサービス サインアップとその設定方法については、こちらを参照してください。
また、API コネクタを使用して、セルフサービス サインアップ ユーザー フローを外部クラウド システムと統合することもできます。 カスタム承認ワークフローを使用して接続したり、本人確認を実行したり、ユーザー指定の情報を検証したりできます。
ポリシーを使用してアプリとサービスを安全に共有する
認証および認可ポリシーを使用して、会社のコンテンツを保護できます。 多要素認証などの条件付きアクセス ポリシーを次のように適用できます。
- テナント レベルで。
- アプリケーション レベルで。
- 会社のアプリケーションとデータを保護する特定のユーザーに対して。
![[条件付きアクセス] オプションを示すスクリーンショット。](media/what-is-b2b/tutorial-mfa-policy-2.png)
アプリケーションとグループの所有者が自分のゲスト ユーザーを管理できるようにする
ゲスト ユーザーの管理をアプリケーションの所有者に委任できます。これにより、所有者は、共有したいアプリケーションにゲストユーザーを直接追加できるようになります。アプリケーションは Microsoft のapplicationでもそれ以外でもかまいません。
- 管理者は、セルフサービス アプリとグループ管理を設定します。
- 管理者以外のユーザーは、自分のアクセス パネルを使用して、アプリケーションまたはグループにゲスト ユーザーを追加します。
B2B ゲスト ユーザーのオンボード エクスペリエンスをカスタマイズする
貴社のニーズに応じて、外部のパートナーの受け入れ方法をカスタマイズすることができます。
- Azure AD のエンタイトルメント管理を使用して、外部ユーザーのアクセスを管理するポリシーを構成します。
- B2B コラボレーションの招待 API シリーズを使用して、オンボード エクスペリエンスをカスタマイズします。
ID プロバイダーと統合する
Azure AD は、Facebook、Microsoft アカウント、Google、エンタープライズ ID プロバイダーなどの外部 ID プロバイダーをサポートしています。 ID プロバイダーとのフェデレーションを設定できます。 このようにして、外部ユーザーは既存のソーシャル アカウントまたはエンタープライズ アカウントを使用してサインインでき、アプリケーション専用の新しいアカウントを作成せずにすみます。 さらに外部 ID の ID プロバイダーについて説明します。
![[ID プロバイダー] のページを示すスクリーンショット。](media/what-is-b2b/identity-providers.png)
SharePoint および OneDrive との統合
認証と管理に Azure B2B を使用しているとき、SharePoint および OneDrive との統合を有効にし、組織の外部の人とファイル、フォルダー、リスト アイテム、ドキュメント ライブラリ、サイトを共有できます。 リソースを共有するユーザーは通常、ゲストとしてディレクトリではゲスト ユーザーになります。アクセス許可とグループは、内部ユーザーの場合と同じように、それらのゲストにも機能します。 SharePoint および OneDrive との統合を有効にするとき、Azure AD B2B の電子メール ワンタイム パスコード機能を有効にし、フォールバック認証方法として機能させることもできます。
