次の方法で共有

リソースへの外部アクセスのセキュリティ プランを作成する

  • [アーティクル]

外部アクセスのセキュリティ プランを作成する前に、セキュリティ プランのためのコンテキストと情報を追加する次の 2 つの記事を確認してください。

開始する前に

この記事は、10 個の記事のシリーズの 3 番めです。 記事を順番に確認することをお勧めします。 シリーズ全体を確認するには、[次のステップ] セクションに移動してください。

セキュリティ プランのドキュメント

セキュリティ プランの場合は、次の情報を文書化します。

  • アクセスのためにグループ化されるアプリケーションとリソース
  • 外部ユーザーのサインインの条件
    • デバイス状態、サインインの場所、クライアント アプリケーションの要件、ユーザー リスクなど。
  • レビューとアクセスの削除のタイミングを決定するためのポリシー
  • 同様のエクスペリエンスに関してグループ化されるユーザー母集団

セキュリティ プランを実装するために、Microsoft ID およびアクセス管理ポリシーまたは別の ID プロバイダー (IdP) を使用できます。

詳細情報: ID とアクセス管理の概要

アクセスにグループを使用する

リソースのグループ化戦略に関する記事への次のリンクを参照してください。

グループ化されるアプリケーションを文書化します。 考慮事項は次のとおりです。

  • リスク プロファイル - 悪意のあるアクターがアプリケーションへのアクセス権を取得した場合のリスクを評価します
    • アプリケーションを高、中、または低リスクとして識別します。 高リスクと低リスクをグループ化しないことをお勧めします。
    • 外部ユーザーと共有できないアプリケーションを文書化する
  • コンプライアンス フレームワーク - アプリのコンプライアンス フレームワークを決定する
    • アクセスとレビューの要件を識別する
  • ロールまたは部門のためのアプリケーション - ロールまたは部門のアクセスのためにグループ化されるアプリケーションを評価する
  • コラボレーション アプリケーション - 外部ユーザーがアクセスできるコラボレーション アプリケーション (Teams や SharePoint など) を識別する
    • 生産性アプリケーションでは、外部ユーザーがライセンスを持っているか、またはアクセスが提供される場合がある

外部ユーザーによるアプリケーションやリソース グループへのアクセスの場合は、次の情報を文書化します。

  • わかりやすいグループ名 (High_Risk_External_Access_Finance など)
  • グループ内のアプリケーションとリソース
  • アプリケーションとリソースの所有者と連絡先情報
  • IT チームがアクセスを制御するか、制御がビジネス所有者に委任される
  • アクセスの前提条件: バックグラウンド チェック、トレーニングなど。
  • リソースにアクセスするためのコンプライアンス要件
  • 一部のリソースでの多要素認証などの課題
  • レビューの頻度、レビュー担当者、結果が文書化されている場所

ヒント

この種類のガバナンス プランは、内部アクセスに使用します。

外部ユーザーに対するサインイン条件の文書化

アクセスを要求する外部ユーザーのサインイン要件を決定します。 要件をリソース リスク プロファイルと、サインイン中のユーザーのリスク評価に基づくようにします。 条件付きアクセス (条件と結果) を使用してサインインの条件を構成します。 たとえば、多要素認証を要求できます。

詳細情報: 条件付きアクセスとは

リソース リスク プロファイルのサインインの条件

多要素認証をトリガーするには、次のリスク ベースのポリシーを検討してください。

  • - 一部のアプリケーション セットのための多要素認証
  • - 他のリスクが存在する場合の多要素認証
  • - 外部ユーザーは常に多要素認証を使用します

詳細情報:

ユーザーとデバイスのサインインの条件

次の表を使用して、アクセス ポリシーでのリスクへの対処に役立ててください。

ユーザーまたはサインインのリスク 提案されるポリシー
Device Require compliant devices (準拠しているデバイスが必須)
モバイル アプリ 承認済みのアプリを必須とする
ID 保護が高リスクである ユーザーにパスワードの変更を要求する
ネットワークの場所 機密プロジェクトにアクセスするには、IP アドレス範囲からのサインインを要求する

デバイス状態をポリシー入力として使用するには、そのデバイスを登録するか、テナントに参加させます。 ホーム テナントからのデバイス要求を信頼するようにするには、クロステナント アクセス設定を構成します。 「受信アクセス設定を変更する」を参照してください。

ID 保護のリスク ポリシーを使用できます。 ただし、ユーザー ホーム テナント内の問題を軽減してください。 「一般的な条件付きアクセス ポリシー: サインイン リスク ベースの多要素認証」を参照してください。

ネットワークの場所については、自分が所有している IP アドレスの範囲にアクセスを制限できます。 この方法は、外部パートナーが、あなたの場所にいる間にアプリケーションにアクセスする場合に使用します。 「条件付きアクセス: 場所ごとにアクセスをブロックする」を参照してください。

アクセス レビュー ポリシーの文書化

リソース アクセスをレビューしたり、外部ユーザーのアカウント アクセスを削除したりするタイミングが記述されたポリシーを文書化します。 入力に含まれる可能性があるものは次のとおりです。

  • コンプライアンス フレームワークの要件
  • 内部のビジネス ポリシーとプロセス
  • ユーザーの動作

一般に、組織ではポリシーがカスタマイズされますが、次のパラメーターを考慮してください。

アクセス制御方法

エンタイトルメント管理などの一部の機能は、Microsoft Entra ID P1 または P2 ライセンスで利用できます。 Microsoft 365 E5 と Office 365 E5 のライセンスには、Microsoft Entra ID P2 ライセンスが含まれています。 詳細については、次のエンタイトルメント管理に関するセクションを参照してください。

注意

ライセンスは 1 人のユーザーのためのものです。 そのため、ユーザー、管理者、ビジネス所有者は、委任されたアクセス制御を使用できます。 このシナリオは Microsoft Entra ID P2 または Microsoft 365 E5 で発生する場合があり、すべてのユーザーに対してライセンスを有効にする必要はありません。 最初の 50,000 件分の外部ユーザーは無料です。 他の内部ユーザーに対して P2 ライセンスを有効にしない場合、それらのユーザーはエンタイトルメント管理を使用できません。

Microsoft 365、Office 365、Microsoft Entra ID のその他の組み合わせには、外部ユーザーを管理する機能があります。 「セキュリティとコンプライアンスのための Microsoft 365 ガイダンス」を参照してください。

Microsoft Entra ID P2 と Microsoft 365 または Office 365 E5 を使用してアクセスを制御する

Microsoft 365 E5 に含まれる Microsoft Entra ID P2 には、追加のセキュリティとガバナンス機能があります。

アクセスのプロビジョニング、サインイン、レビューとアクセスのプロビジョニング解除

太字の項目は推奨されるアクションです。

機能 外部ユーザーのプロビジョニング サインイン要件の強制 アクセスのレビュー アクセスのプロビジョニング解除
Microsoft Entra B2B コラボレーション 電子メール、ワンタイム パスワード (OTP)、セルフサービスによる招待 N/A 定期的なパートナー レビュー Remove account
サインインの制限
エンタイトルメント管理 割り当てまたはセルフサービス アクセスによるユーザーの追加 N/A アクセス レビュー アクセス パッケージの期限切れ、またはパッケージからの削除
Office 365 グループ N/A N/A グループ メンバーシップのレビュー グループの有効期限または削除
グループからの削除
Microsoft Entra のセキュリティ グループ 該当なし 条件付きアクセス ポリシー: 必要に応じてセキュリティ グループに外部ユーザーを追加する N/A N/A

リソース アクセス

太字の項目は推奨されるアクションです。

機能 アプリおよびリソース アクセス SharePoint と OneDrive のアクセス Teams へのアクセス 電子メールとドキュメントのセキュリティ
エンタイトルメント管理 割り当てまたはセルフサービス アクセスによるユーザーの追加 アクセス パッケージ アクセス パッケージ N/A
Office 365 グループ 該当なし サイトとグループ コンテンツへのアクセス チームとグループ コンテンツへのアクセス N/A
秘密度ラベル N/A アクセスを手動および自動で分類して制限 アクセスを手動および自動で分類して制限 アクセスを手動および自動で分類して制限
Microsoft Entra のセキュリティ グループ アクセス パッケージに含まれていないアクセスのための条件付きアクセス ポリシー N/A 該当なし N/A

エンタイトルメント管理

グループとチーム、アプリケーション、SharePoint サイトへのアクセスをプロビジョニングおよびプロビジョニング解除するには、エンタイトルメント管理を使用します。 接続されている組織で許可されるアクセス、セルフサービス要求、承認ワークフローを定義します。 アクセスが常に正しく終了するようにするには、パッケージの有効期限ポリシーとアクセス レビューを定義します。

詳細情報: エンタイトルメント管理で新しいアクセス パッケージを作成する

Microsoft Entra ID P1、Microsoft 365、Office 365 E3 を使用してアクセスを管理する

アクセスのプロビジョニング、サインイン、レビューとアクセスのプロビジョニング解除

太字の項目は推奨されるアクションです。

機能 外部ユーザーのプロビジョニング サインイン要件の強制 アクセスのレビュー アクセスのプロビジョニング解除
Microsoft Entra B2B コラボレーション 電子メール、OTP、セルフサービスによる招待 直接 B2B フェデレーション 定期的なパートナー レビュー Remove account
サインインの制限
Microsoft 365 または Office 365 グループ N/A 該当なし N/A グループの有効期限または削除
グループからの削除
セキュリティ グループ 該当なし 外部ユーザーをセキュリティ グループ (組織、チーム、プロジェクトなど) に追加 該当なし N/A
条件付きアクセス ポリシー N/A 外部ユーザーのためのサインイン条件付きアクセス ポリシー N/A N/A

リソース アクセス

機能 アプリおよびリソース アクセス SharePoint と OneDrive のアクセス Teams へのアクセス 電子メールとドキュメントのセキュリティ
Microsoft 365 または Office 365 グループ 該当なし グループ サイトとそれに関連付けられたコンテンツへのアクセス Microsoft 365 グループ チームとそれに関連付けられたコンテンツへのアクセス N/A
秘密度ラベル N/A アクセスを手動で分類してアクセスを制限 アクセスを手動で分類してアクセスを制限 手動で分類して制限し、暗号化
条件付きアクセス ポリシー アクセス制御のための条件付きアクセス ポリシー N/A 該当なし N/A
その他の方法 N/A セキュリティ グループを使用した SharePoint サイト アクセスの制限
直接の共有の禁止		 チームからの外部招待の制限 該当なし

次のステップ

リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。

  1. Microsoft Entra ID を使用して外部アクセスに対するセキュリティ体制を決定する

  2. 組織内での外部コラボレーションの現在の状態を検出する

  3. リソースへの外部アクセスのセキュリティ プランを作成する (現在表示中)

  4. Microsoft Entra ID と Microsoft 365 のグループを使用して外部アクセスをセキュリティで保護する

  5. Microsoft Entra B2B コラボレーションを使用して管理されたコラボレーションに移行する

  6. Microsoft Entra エンタイトルメント管理を使って外部アクセスを管理する

  7. 条件付きアクセス ポリシーを使用して、リソースへの外部アクセスを管理する

  8. 秘密度ラベルを使って Microsoft Entra ID 内のリソースへの外部アクセスを制御する

  9. Microsoft Entra ID を使用して Microsoft Teams、SharePoint、および OneDrive for Business への外部アクセスをセキュリティで保護する

  10. ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する