次の方法で共有


ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する

Microsoft Entra ID (Microsoft Entra B2B) では、外部ユーザーがそのユーザーの ID でコラボレーションを行います。 組織はローカル ユーザー名とパスワードを外部ユーザーに発行できますが、この方法はお勧めしません。 Microsoft Entra B2B では、ローカル アカウントの作成に比べて、セキュリティが向上し、コストが削減され、複雑さが軽減されています。 さらに、外部ユーザーが管理するローカル資格情報を組織が発行する場合は、代わりに Microsoft Entra B2B を使用できます。 次のドキュメントのガイダンスを使用して、切り替えを行ってください。

詳細情報: Microsoft Entra B2B コラボレーションのデプロイを計画する

開始する前に

この記事は、10 個の記事のシリーズの 10 番めです。 記事を順番に確認することをお勧めします。 シリーズ全体を確認するには、[次のステップ] セクションに移動してください。

外部向けのアプリケーションを特定する

ローカル アカウントを Microsoft Entra B2B に移行する前に、外部ユーザーがアクセスできるアプリケーションとワークロードを確認してください。 たとえば、オンプレミスでホストされているアプリケーションの場合、アプリケーションが Microsoft Entra と統合されていることを検証します。 オンプレミス アプリケーションは、ローカル アカウントを作成する正当な理由です。

詳細情報: Microsoft Entra B2B ユーザーにオンプレミスのアプリケーションへのアクセスを許可する

最適なエンド ユーザー エクスペリエンスのために、外部向けアプリケーションには、Microsoft Entra ID と統合されたシングル サインオン (SSO) とプロビジョニングを設定することをお勧めします。

ローカル ゲスト アカウントを特定する

Microsoft Entra B2B に移行するアカウントを識別します。 Active Directory 内の外部 ID は、属性と値のペアによって識別できます。 たとえば外部ユーザーの場合、 ExtensionAttribute15 = External と指定します。 これらのユーザーに Microsoft Entra Connect 同期または Microsoft Entra Connect クラウド同期が設定されている場合、同期される外部ユーザーの UserType 属性が Guest に設定されるように構成します。 ユーザーがクラウド専用アカウントとして設定されている場合は、ユーザー属性を変更できます。 主目的は、B2B に変換するユーザーを識別することです。

ローカル ゲスト アカウントを外部 ID にマップする

ユーザー ID または外部メール アドレスを識別します。 ローカル アカウント (v-lakshmi@contoso.com) が、ホーム ID とメール アドレス lakshmi@fabrikam.com を持つユーザーであることを確認します。 ホーム ID を識別するには:

  • 外部ユーザーのスポンサーが情報を提供する
  • 外部ユーザーが情報を提供する
  • 情報が既知であり保存されている場合は、内部データベースを参照する

外部ローカル アカウントを ID にマッピングした後、ローカル アカウントの user.mail 属性に外部 ID またはメール アドレスを追加します。

エンド ユーザーへの伝達

移行の時期について外部ユーザーに通知します。 たとえば、外部ユーザーが自宅や会社の資格情報による認証を有効にするために現在のパスワードの使用を停止する必要がある時期などの、予期される情報を伝えます。 伝達方法としては、メールでのキャンペーン、お知らせなどあります。

ローカル ゲスト アカウントを Microsoft Entra B2B に変換する

ローカル アカウントの user.mail 属性に外部 ID とメール アドレスが設定されたら、そのローカル アカウントを招待して、ローカル アカウントを Microsoft Entra B2B に変換します。 PowerShell または Microsoft Graph API を使用できます。

詳細情報: 内部ユーザーを B2B コラボレーションに招待する

移行後に関する考慮事項

外部ユーザー ローカル アカウントがオンプレミスから同期されていた場合は、それらのオンプレミスの占有領域を削減し、B2B ゲスト アカウントを使用します。 次のことを実行できます。

  • 外部ユーザー ローカル アカウントを Microsoft Entra B2B に移行し、ローカル アカウントの作成を停止する
    • Microsoft Entra ID で外部ユーザーを招待する
  • 外部ユーザーのローカル アカウント パスワードをランダム化して、オンプレミス リソースへの認証を防止する
    • このアクションにより、認証とユーザーのライフサイクルが外部ユーザーのホーム ID に確実に接続されます

次のステップ

リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。

  1. Microsoft Entra ID を使用して外部アクセスに対するセキュリティ体制を決定する

  2. 組織内での外部コラボレーションの現在の状態を検出する

  3. リソースへの外部アクセスのセキュリティ プランを作成する

  4. Microsoft Entra ID と Microsoft 365 のグループを使用して外部アクセスをセキュリティで保護する

  5. Microsoft Entra B2B コラボレーションを使用して管理されたコラボレーションに移行する

  6. Microsoft Entra エンタイトルメント管理を使って外部アクセスを管理する

  7. 条件付きアクセス ポリシーを使用して、リソースへの外部アクセスを管理する

  8. 秘密度ラベルを使用して Microsoft Entra ID 内のリソースへの外部アクセスを制御する

  9. Microsoft Entra ID を使って Microsoft Teams、SharePoint、OneDrive for Business への外部アクセスをセキュリティで保護する (現在表示中の記事)

  10. ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する (現在表示中の記事)