Microsoft Entra B2B コラボレーションのデプロイを計画する
外部パートナーとの安全なコラボレーションにより、予想される期間にわたって、内部リソースへの適切なアクセス権を保証します。 セキュリティ リスクを軽減し、コンプライアンス目標を達成し、正確なアクセス権を保証するためのガバナンス プラクティスについて説明します。
ガバナンスの利点
管理コラボレーションにより、アクセスの所有権の明確さが向上し、機密性の高いリソースの露出が軽減され、アクセス ポリシーへの準拠を証明できるようになります。
- リソースにアクセスする外部組織とそのユーザーを管理する
- アクセス権が適切であり、レビューされ、期限が設定されていることを確認する
- ビジネス所有者が委任を使用してコラボレーションを管理できるようにする
コラボレーションの方法
これまで、組織は次の 2 つの方法のいずれかを使用してコラボレーションを行ってきました。
- 外部ユーザー用にローカルで管理される資格情報を作成する
- パートナー ID プロバイダー (IdP) とのフェデレーションを確立する
どちらの方法にも欠点があります。 詳細については、後の表を参照してください。
| 懸念のある領域 | ローカルの資格情報 | フェデレーション |
|---|---|---|
| セキュリティ | - 外部ユーザーが終了した後もアクセスが続行する - UserType は既定で Member であり、既定で過剰なアクセス権が付与される |
- ユーザー レベルの可視性なし - 不明なパートナーのセキュリティ体制 |
| [Expense] | - パスワードと多要素認証 (MFA) の管理 - オンボード プロセス - ID クリーンアップ - 別のディレクトリを実行するオーバーヘッド |
小規模なパートナーは、インフラストラクチャを提供する余裕がなく、専門知識が不足していて、コンシューマー メールを使用している可能性がある |
| 複雑さ | パートナー ユーザーが管理する資格情報が多くなる | 新しいパートナーごとに複雑さが増し、パートナーにとっての負担が増す |
Microsoft Entra B2B は、Microsoft Entra ID、および Microsoft 365 サービスの他のツールと統合されます。 Microsoft Entra B2B では、コラボレーションが簡素化され、費用が削減され、セキュリティが向上しています。
Microsoft Entra B2B の利点
- ホーム ID が無効になっているかまたは削除されている場合、外部ユーザーはリソースにアクセスできない
- ユーザー ホーム IdP が認証と資格情報の管理を処理する
- リソース テナントがゲスト ユーザーのアクセスと承認を制御する
- メール アドレスを持っているがインフラストラクチャがないユーザーとコラボレーションを行う
- IT 部門が帯域外で接続してアクセスまたはフェデレーションを設定することはない
- ゲスト ユーザーのアクセスは、内部ユーザーと同じセキュリティ プロセスによって保護される
- 追加の資格情報を必要としない快適なエンド ユーザー エクスペリエンス
- ユーザーは、IT 部門の関与なしにパートナーとコラボレーションを行う
- Microsoft Entra ディレクトリのゲストの既定のアクセス許可が制限されたり、厳しく規制されたりすることがない
次のステップ
- 外部アクセスに対するセキュリティ体制を決定する
- 組織内での外部コラボレーションの現在の状態を検出する
- 外部アクセスのセキュリティ プランを作成する
- グループを使用して外部アクセスをセキュリティで保護する
- Microsoft Entra B2B コラボレーションによって管理されるコラボレーションに移行する
- エンタイトルメント管理を使用して外部アクセスを管理する
- 条件付きアクセス ポリシーを使用してアクセスをセキュリティで保護する
- 秘密度ラベルを使用してアクセスを制御する
- Microsoft Teams、SharePoint、OneDrive for Business への外部アクセスをセキュリティで保護する
- ローカル ゲスト アカウントを変換する
- 外部ユーザーを基幹業務アプリケーションにオンボードする