組織内での外部コラボレーションの現在の状態を検出する

外部コラボレーションの現在の状態について学習する前に、セキュリティ体制を決定します。 制御の一元化と委任、さらにガバナンス、規制、コンプライアンスの目標を検討します。

詳細情報: Microsoft Entra ID を使用した外部アクセスに対するセキュリティ態勢を決定する

組織内のユーザーが、他の組織のユーザーと共同作業を行う可能性があります。 コラボレーションは、Microsoft 365 などの生産性アプリケーション、電子メール、または外部ユーザーとのリソース共有で行われます。 これらのシナリオには、次のユーザーが含まれます。

• 外部コラボレーションを開始する
• 外部ユーザーや組織とコラボレーションを行う
• 外部ユーザーにアクセス権を付与する

開始する前に

この記事は、10 個の記事シリーズの 2 番目です。 記事を順番に確認することをお勧めします。 シリーズ全体を確認するには、[次のステップ] セクションに移動してください。

外部コラボレーションを開始するユーザーを決定する

一般的に、外部コラボレーションを求めるユーザーは、使用するアプリケーションと、アクセスの終了時期がわかっています。 そのため、外部ユーザーの招待、アクセス パッケージの作成、アクセス レビューの完了を委任されたアクセス許可を持つユーザーを決定します。

共同作業を行うユーザーを見つけるには:

• Microsoft 365 監査ログ アクティビティ - イベントを検索し、Microsoft 365 で監査されたアクティビティを検出します
• B2B Collaboration ユーザーの監査とレポート - ゲスト ユーザーのアクセスを確認し、システムとユーザーのアクティビティのレコードを確認します

ゲスト ユーザーと組織を列挙する

外部ユーザーは、パートナーが管理する資格情報をもつ Microsoft Entra B2B ユーザーであることも、ローカルにプロビジョニングされた資格情報をもつ外部ユーザーであることもあります。 通常、これらのユーザーの UserType は Guest です。 ゲスト ユーザーの招待とリソースの共有については、「B2B コラボレーションの概要」を参照してください。

ゲスト ユーザーは次の方法で列挙できます。

• Microsoft Graph API
• PowerShell
• Azure Portal

次のツールを使用して、Microsoft Entra B2B コラボレーション、外部 Microsoft Entra テナント、アプリケーションにアクセスするユーザーを特定します。

• PowerShell モジュール Get MsIdCrossTenantAccessActivity
• テナント間アクセス アクティビティ ブック

メール ドメインと companyName プロパティを検出する

外部ユーザーのメール アドレスのドメイン名によって外部の組織を特定できます。 この検出は、コンシューマー ID プロバイダーでは不可能な場合があります。 外部組織を識別するために、companyName 属性を記述することをお勧めします。

許可リスト、ブロックリスト、エンタイトルメント管理を使用する

許可リストまたはブロックリストを使用して、組織とのテナント レベルでのコラボレーション、またはブロックを有効にします。 ソース (Microsoft Teams、SharePoint、Azure portal など) に関係なく B2B の招待と引き換えを制御します。

「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。

エンタイトルメント管理を使用する場合は、Identity Governance の [新しいアクセス パッケージ] の [特定の接続された組織] オプションを使用して、アクセス パッケージをパートナーのサブセットに限定できます。

外部ユーザー アクセスを決定する

外部ユーザーと組織のインベントリを使用して、これらのユーザーに付与するアクセス権を決定します。 Microsoft Graph API を使用して、Microsoft Entra グループのメンバーシップまたはアプリケーションの割り当てを決定できます。

• Microsoft Graph でのグループの操作
• Applications API の概要

アプリケーションのアクセス許可を列挙する

外部アクセスを認識できるように、機密性の高いアプリへのアクセスを調査します。 API のアクセス許可をプログラムで許可または取り消す方法に関するページを参照してください。

非公式の共有を検出する

メールとネットワーク プランが有効になっている場合、メールや許可されていないサービスとしてのソフトウェア (SaaS) アプリ経由で共有されているコンテンツを調査できます。

• 偶発的な共有を特定、防止、監視する
  • データ損失防止 (DLP) に関する詳細をご確認ください
• 許可されていないアプリを特定する
  • Microsoft Defender for Cloud Apps の概要

次のステップ

リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。

1. Microsoft Entra ID を使用して外部アクセスに対するセキュリティ体制を決定する

2. 組織内での外部コラボレーションの現在の状態を検出する (この記事)

3. リソースへの外部アクセスのセキュリティ プランを作成する

4. Microsoft Entra ID と Microsoft 365 のグループを使用して外部アクセスをセキュリティで保護する

5. Microsoft Entra B2B コラボレーションを使用して管理されたコラボレーションに移行する

6. Microsoft Entra エンタイトルメント管理を使って外部アクセスを管理する

7. 条件付きアクセス ポリシーを使用して、リソースへの外部アクセスを管理する

8. 秘密度ラベルを使って Microsoft Entra ID 内のリソースへの外部アクセスを制御する

9. Microsoft Entra ID を使用して Microsoft Teams、SharePoint、および OneDrive for Business への外部アクセスをセキュリティで保護する

10. ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する