編集

Microsoft Teams ゲスト ユーザーのガバナンス

Microsoft Entra ID
Microsoft 365
Microsoft Teams

このシナリオ例では、Microsoft Entra B2B コラボレーションを使用する際に外部ユーザーの ID とガバナンスを管理して、ユーザーが他の組織と共同作業を行うことができます。

アーキテクチャ

Architecture for governance of Teams guest users.

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

  1. リソース ディレクトリ - これは、リソース (すなわち、Microsoft 365 のグループとチーム) を格納する Microsoft Entra ディレクトリです。 この例では、リソースはアクセス パッケージに追加されるプロジェクト チームであり、これにより組織の外部のユーザーがアクセスを要求することが可能になります。

  2. 外部ディレクトリ (接続済み組織) - これは、接続済み組織の外部ユーザーを格納する外部 Microsoft Entra ディレクトリです。 これらのユーザーは、ポリシーによって、プロジェクト チームへのアクセスを要求することを許可されます。

  3. カタログ 1 - カタログとは、関連するリソースとアクセス パッケージのコンテナーのことです。 カタログ 1 には、プロジェクト チームとそのアクセス パッケージが格納されています。

    カタログにより委任が許可され、管理者以外のユーザーがアクセス パッケージを作成できるようになります。 カタログ所有者は、自分が所有するリソースをカタログに追加できます。

  4. リソース - これらは、アクセス パッケージに存在するリソースです。 これには、セキュリティ グループ、アプリケーション、SharePoint Online サイトが含まれます。 この例では、プロジェクト チームです。

  5. アクセス 1 - アクセス パッケージは、それぞれのアクセスの種類を持つリソースのコレクションです。 アクセス パッケージは、内部ユーザーと外部ユーザーのアクセスを制御するために使用されます。 この例では、プロジェクト チームは、外部ユーザーがアクセスを要求することを許可する 1 つのポリシーを持つリソースです。 この例の内部ユーザーは Microsoft Entra エンタイトルメント管理を使用する必要はありません。 内部ユーザーは、Microsoft Teams を使用してプロジェクト チームに追加されます。

  6. グループ 1 リソース ロール - リソース ロールは、リソースに関連付けられ、リソースによって定義されるアクセス許可です。 グループには、メンバーと所有者の 2 つのロールがあります。 SharePoint サイトには通常 3 つのロールがありますが、追加のカスタム ロールを使用することもできます。 アプリケーションにはカスタム ロールを設定できます。

  7. 外部アクセス ポリシー - これは、アクセス パッケージへの割り当てに関する規則を定義するポリシーです。 この例のポリシーは、接続済み組織のユーザーがプロジェクト チームへのアクセスを要求できるようにするために使用されています。 要求がなされた後、ポリシーで定義されている承認者による承認が必要になります。 このポリシーは、時間制限と更新設定も指定します。

  8. 承認者 - 承認者は、アクセス要求を承認します。 これは、内部ユーザーでも外部ユーザーでもかまいません。

  9. 要求者 - これは、マイ アクセス ポータル経由でアクセスを要求する外部ユーザーです。 ポータルには、要求者が要求することを許可されているアクセス パッケージのみが表示されます。

組織フローの外部のユーザーのためにリソースへのアクセスを要求する

Microsoft 365 グループまたはチームへのアクセスが外部ユーザーにどのように付与されるかを示す大まかなワークフローを次に示します。 このワークフローには、アクセスが不要になるか制限時間に達したときに実行されるゲスト アカウントの削除も含まれます。

Flow diagram with steps that shows how access works for external users.

コンポーネント

  • Microsoft Entra ID は、クラウドベースの ID およびアクセス管理サービスを提供し、ユーザーがリソースにサインインしてアクセスできるようにします。 これには次のような特徴と機能があります。
    • Microsoft Entra エンタイトルメント管理は、アクセス要求ワークフロー、アクセス割り当て、レビュー、期限切れ処理を自動化して、組織が ID とアクセスのライフサイクルを大規模に管理できる、ID ガバナンス機能です。
    • Microsoft Entra 企業間 (B2B) コラボレーションは、Microsoft Entra エンタイトルメント管理によってアクセス権を共有するために使用されます。これにより、内部ユーザーが外部ユーザーと共同作業できるようになります。
    • Microsoft Entra アクセス レビューを組織で使用すると、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理できます。 ユーザー アクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。
    • Microsoft Teams ゲスト アクセスを使用すると、企業リソースに対する制御を維持したままで、外部ユーザーがチーム、チャネル、リソース、チャット、およびアプリケーションにアクセスできるようになります。
    • Microsoft Entra 条件付きアクセスは、決定を行うためにシグナルをまとめ、組織のポリシーを適用します。 このソリューションの条件付きアクセスは、使用条件の条項と多要素認証を適用し、ゲスト アカウントのセッション タイムアウトを設定するために使用されました。

代替

Microsoft Entra エンタイトルメント管理の代替ソリューションとなるのは、内部ユーザーが外部ユーザーをチームに招待できるようにすることです。 招待されたユーザーは、リソース ディレクトリにゲスト アカウントを作成できます。

この代替手段では、お客様が必要としていた ID とガバナンスの制御は提供されません。 AD エンタイトルメント管理と比較した場合、次のような欠点があります。

  • 外部ユーザーはアクセスを要求できず、招待が必要である。 外部ユーザーは、招待を要求する方法を知っている必要がありますが、そのプロセスはチームごとに異なる場合があり、時間が経つと変わる場合もあります。
  • 業務上の正当な理由、メールによる通知、レビュー プロセス、承認プロセスがなく、監査上の問題がある。
  • 特定のリソースへのアクセスを簡単に管理、削除、更新できない。 プロジェクト リソースは変更される可能性が高いので、これは効率上の問題になります。
  • ある外部ユーザーを招待しても、そのユーザーの組織が許可されていない場合、そのユーザーはアクセスを拒否され、混乱を招く。
  • ゲスト アカウントは自動的に削除されず、有効期限の設定が存在しない。 有効期限を処理する手動プロセスはエラーが発生しやすく、アカウント作成時に制限を設定する必要がある自動プロセスよりも効率は低下します。 これはセキュリティ上の問題であると同時に、効率上の問題でもあります。

これらの問題を処理するカスタム ソリューションを構築しても、AD エンタイトルメント管理と並ぶコスト競争力や機能競争力はほとんど期待できません。

シナリオの詳細

この例のシナリオは、COVID-19 のパンデミック中に、あるお客様が他の組織とすぐに共同作業する必要が生じた時に構築されました。 これは、外部ユーザーに対して ID とガバナンスの制御を提供することを意味していました。

Microsoft Teams は、企業コミュニケーションのためのそのお客様の主要なツールでした。 ユーザーは、Teams のチャット、会議、通話を使用して共同作業をしていました。 Teams チャネルは、それらのユーザーにファイルと会話へのアクセスを提供していました。

Teams 会議は、外部ユーザーと会議を行うための効果的な方法を提供していました。 しかし、外部ユーザーはチームやチャネルにアクセスできなかったため、彼らとの共同作業はスムーズには行えず、生産性が低下していました。 そのお客様には、もっとよいものが必要でした。

Teams は、外部ユーザーとのコミュニケーションおよび共同作業のための 2 つのオプションを提供しています。

  • 外部アクセス - 内部ユーザーが外部ユーザーを検索し、呼び出して、彼らとチャットできるようにするフェデレーションの一種です。 ゲスト アクセスを使用してゲストとして招待されている場合を除き、外部アクセス ユーザーをチームに追加することはできません。
  • ゲスト アクセス - 内部ユーザーが外部ユーザーをチームに参加するように招待することができます。 招待されたユーザーは、Microsoft Entra ID でゲスト アカウントを取得します。 ゲスト アクセスを使用すると外部ユーザーをチームに招待でき、チャネル内のドキュメントや、リソース、チャット、アプリケーションへのアクセスをそのユーザーに提供できます。 顧客は、必要に応じて企業データに対する制御を維持します。

ゲスト アクセスはそのお客様のコラボレーション要件を満たしていましたが、セキュリティとガバナンスの問題が生じました。

  • ゲストは、必要に応じて特定のチームにのみ、必要な期間に限ってアクセスできるようにする必要があります。 プロジェクトが完了したら、そのゲスト アカウントは削除される必要があります。
  • ゲスト アカウントの作成にあたっては、監査要件を満たす承認プロセスが必要です。 内部ユーザーが要求を確認し、ふさわしい場合にその要求を承認できるようにする必要があります。
  • ソリューションを迅速に構築し、自動化することが可能でなければなりません。 適切なセキュリティとガバナンスの制御が実施されるまで、ゲスト アカウントを作成することはできません。

Microsoft Entra エンタイトルメント管理は、セキュリティとガバナンスの要件を満たすための主要なツールでした。

  • これは、内部ユーザーと外部ユーザーの両方について、チーム、アプリケーション、SharePoint Online サイトなどの Microsoft 365 グループへのアクセスを効率的に管理するのに役立ちます。
  • また、アクセス要求ワークフロー、アクセス割り当て、レビュー、および失効処理を自動化する機能を提供します。

ゲスト アクセスと Microsoft Entra のエンタイトルメントを組み合わせて、そのお客様のコラボレーション要件を満たすことができました。 外部ユーザーは選択したチームに参加でき、アクセスは管理されます。 さらに、Microsoft Entra エンタイトルメント管理で、チーム以外のリソースへのアクセスの管理など、将来考えられる使用のための機能が提供されます。

考えられるユース ケース

このソリューションは、アクセスを必要とする内部ユーザーと外部ユーザーの双方に対して、グループ、アプリケーション、および SharePoint Online サイトへのアクセスを管理する必要があるあらゆる状況に適用されます。 Microsoft Entra エンタイトルメント管理には、次の機能と利点があります。

  • 次のようなリソースへの従業員アクセスのための簡単なオンボードと管理が用意されています。
    • Microsoft Entra のセキュリティ グループ。
    • Microsoft 365 グループ。
    • Microsoft 365 チーム。
    • SaaS アプリケ―ションを含むアプリケーション。
    • 適切なセキュリティ対策を実装するカスタム アプリケーション。
    • SharePoint Online サイト。
  • 外部ユーザーが必要なリソースにアクセスできるようにする簡単な手順が用意されています。
  • アクセスを要求できる外部ユーザーの提供をどの接続済み組織に許可するかを指定できます。
  • アクセスを要求して許可されたユーザーは、自動的にチーム ディレクトリに招待され、リソースへのアクセスを割り当てられます。
  • ユーザーによるリソースへのアクセスに対して時間制限を設定し、制限時間に達した時点で自動的に削除できます。
  • 他にアクセス パッケージが割り当てられていない外部ユーザーのアクセスが期限切れになった時点で、そのユーザーのアカウントを自動的に削除できます。
  • ユーザーに必要以上のアクセスが割り当てられないようにすることができます。
  • 管理者など、指定された個人による承認を含むアクセス要求の承認プロセスが用意されています。
  • Microsoft Entra セキュリティ グループまたは Microsoft 365 グループに依存する他のリソースへのアクセスを管理できます。 例として、グループベースのライセンスを使用してユーザーにライセンスを付与する場合が挙げられます。
  • ユーザーが要求できるリソースを含むアクセス パッケージを作成する機能を、管理者以外のユーザーに委任できます。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

重要な実装手順は、外部ユーザーを許可するテナント設定を構成することです。

A list of seven settings that require verification.

  1. 外部ユーザーに対してカタログを有効にする - カタログの [外部ユーザーに対して有効][はい] に設定されていることを確認します。 既定では、Microsoft Entra エンタイトルメント管理で新しいカタログを作成すると、これが有効になり、外部ユーザーによるカタログ内のパッケージへのアクセス要求が許可されます。
  2. Microsoft Entra B2B 外部コラボレーション設定 - Azure B2B 外部コラボレーション設定は、Microsoft Entra エンタイトルメント管理を使用して外部ユーザーをリソースに招待できるかどうかに影響する可能性があります。 以下の設定を確認します。
    • ゲストがお客様のディレクトリに他のゲストを招待することを許可されているかどうかを確認します。 [ゲストは招待ができる][いいえ] に設定して、管理された招待のみを許可することをお勧めします。
    • 招待が適切に許可またはブロックされていることを確認します。 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。
  3. 条件付きアクセス ポリシーを確認する - 条件付きアクセスを確認して、満たすことができない条件付きアクセス ポリシーからゲスト ユーザーが除外されていることを確認します。 そのようにしないと、ゲスト ユーザーがディレクトリにサインインできず、リソースにアクセスできなくなります。
  4. SharePoint Online の外部共有設定を確認する - 外部ユーザーのためのアクセス パッケージに SharePoint Online サイトを含める場合は、組織レベルの外部共有設定を構成する必要があります。 サインインが不要な場合は [Anyone](すべてのユーザー) として設定し、招待されたユーザーの場合は [既存のゲスト] として設定します。 詳細については、「組織レベルの外部共有設定を変更する」を参照してください。
  5. Microsoft 365 グループの共有設定を確認する - 外部ユーザーのためのアクセス パッケージに Microsoft 365 グループまたはチームを含める場合は、[ユーザーが組織に新しいゲストを追加できるようにします][オン] に設定して、ゲスト アクセスを許可します。
  6. Teams の共有設定を確認する - 外部ユーザーのためのアクセス パッケージにチームを含める場合は、[Allow guest access in Microsoft Teams](Microsoft Teams でのゲスト アクセスを許可する)[オン] に設定して、ゲスト アクセスを許可します。 また、Teams の [ゲスト アクセス設定] が構成されていることを確認します。
  7. 外部ユーザーのライフサイクルを管理する - 外部ユーザーにアクセス パッケージが割り当てられていない状態になった時点でどのような処理を実行するかを選択できます。 これは、すべての割り当てがユーザーによって放棄されるか、期限切れになった場合に発生します。 既定では、そのユーザーはディレクトリにサインインできなくなります。 30 日後に、そのゲスト ユーザー アカウントはディレクトリから削除されます。

その他の考慮事項:

  • アクセス権の割り当て - アクセス パッケージは、アクセス権の割り当てに関する他のメカニズムに取って代わるものではありません。 アクセス パッケージは、次のような状況で使用するのに適しています。
    • 特定のタスクのために、従業員に期限付きのアクセス権が必要な場合。
    • アクセスに、マネージャーまたは他の指定された個人の承認が必要な場合。
    • 各部門で、IT 部門が関与しなくてもリソースを管理できるようにしたいと考えている場合。
    • 1 つのプロジェクトで 2 つ以上の組織が共同作業しており、ある組織の複数のユーザーを招待して別の組織のリソースにアクセスできるようにする必要がある場合。
  • リソースの更新 - Microsoft Entra エンタイトルメント管理を使用すると、アクセス パッケージ内のリソースをいつでも変更できます。 パッケージのユーザーは、変更されたパッケージと一致するようにリソース アクセスを自動的に調整します。

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

  • Microsoft Entra のエンタイトルメント管理を使用するには、Microsoft Entra ID P2 ライセンスが必要です。
  • ゲスト アクセスは、Microsoft 365 Business Standard、Microsoft 365 Business Premium、および Microsoft 365 Education のすべてのサブスクリプションで使用できます。 追加の Microsoft 365 ライセンスは必要ありません。
  • Microsoft Entra 外部 ID の課金モデルが Microsoft 365 のゲストに適用されます。 外部ユーザーのみをゲストとして招待できます。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

次のステップ