チュートリアル: B2B ゲスト ユーザーに多要素認証を適用する
適用対象: 従業員テナント 外部テナント (詳細情報)
外部の B2B ゲスト ユーザーとコラボレーションするときは、多要素認証ポリシーを使って自社のアプリを保護することをお勧めします。 外部ユーザーがリソースにアクセスするには、ユーザー名とパスワードに加えて、追加の認証が必要になります。 Microsoft Entra ID では、アクセスで MFA を要求する条件付きアクセス ポリシーを使ってこの目標を達成できます。 MFA ポリシーは、組織のメンバーに対して有効にするのと同じ方法で、テナント レベル、アプリ レベル、または個々のゲスト ユーザー レベルで適用できます。 ゲスト ユーザーの組織に多要素認証機能がある場合でも、ユーザーの Microsoft Entra 多要素認証は常にリソース テナントによって実行されます。
例:
- 会社 A の管理者または従業員は、アクセスで MFA を要求するように構成されたクラウドまたはオンプレミスのアプリケーションを使用するようにゲスト ユーザーを招待します。
- ゲスト ユーザーは、自分の職場、学校、またはソーシャルの ID を使用してサインインします。
- ユーザーは、MFA チャレンジを完了するように求められます。
- ユーザーは、会社 A で MFA を設定し、自分の MFA オプションを選択します。 ユーザーは、アプリケーションへのアクセスを許可されます。
Note
予測可能性を確保するため、Microsoft Entra 多要素認証はリソース テナントで実行されます。 ゲスト ユーザーがサインインすると、リソース テナントのサインイン ページが背景に、独自のホーム テナントのサインイン ページと会社のロゴが前景に表示されます。
このチュートリアルでは、次のことについて説明します。
- MFA をセットアップする前に、サインイン エクスペリエンスをテストします。
- 環境内のクラウド アプリへのアクセスで MFA を要求する条件付きアクセス ポリシーを作成します。 このチュートリアルでは、Windows Azure Service Management API アプリを使用してこのプロセスを説明します。
- What If ツールを使用して MFA サインインをシミュレートします。
- 条件付きアクセス ポリシーをテストします。
- テスト ユーザーとポリシーをクリーンアップします。
Azure サブスクリプションがない場合は、開始する前に無料アカウントを作成してください。
前提条件
このチュートリアルのシナリオを完了するための要件を次に示します。
- Microsoft Entra ID P1 または P2 エディションへのアクセス。これには条件付きアクセス ポリシー機能が含まれます。 MFA を適用するには、Microsoft Entra 条件付きアクセス ポリシーを作成する必要があります。 パートナーが MFA 機能を持っているかどうかに関係なく、MFA ポリシーは常に自分の組織に適用されます。
- 有効な外部電子メール アカウント。ゲスト ユーザーとしてテナント ディレクトリに追加し、サインインするために使用できます。 ゲスト アカウントの作成方法がわからない場合は、Microsoft Entra 管理センターでの B2B ゲスト ユーザーの追加に関する記事を参照してください。
Microsoft Entra ID でテスト ゲスト ユーザーを作成する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
[新しいユーザー] を選択してから、[外部ユーザーの招待] を選択します。
[Basic] タブの [ID] に、外部ユーザーのメール アドレスを入力します。 必要に応じて、表示名とウェルカム メッセージを入力します。
必要に応じて、[プロパティ] タブと [割り当て] タブでユーザーに詳細を追加できます。
[レビュー + 招待] を選択して、招待をゲスト ユーザーに自動的に送信します。 ユーザーが正常に招待されたことを示すメッセージが表示されます。
招待を送信すると、ユーザー アカウントがディレクトリにゲストとして自動的に追加されます。
MFA を設定する前にサインイン エクスペリエンスをテストする
- テスト ユーザー名とパスワードを使用して、Microsoft Entra管理センター にサインインします。
- サインイン資格情報のみを使用して、Microsoft Entra管理センターにアクセスできる必要があります。 他の認証は必要ありません。
- サインアウトします。
MFA を要求する条件付きアクセス ポリシーを作成する
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[ポリシー] に移動します。
[新しいポリシー] を選択します。
B2B ポータル アクセスの Require MFA など、ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
[割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [含める] で、[ユーザーとグループを選択] をオンにし、[ゲストまたは外部ユーザー] をオンにします。 ポリシーは、さまざまな外部ユーザーの種類、組み込みのディレクトリ ロール、またはユーザーとグループに割り当てることができます。
リソースのターゲット>リソース (旧称クラウド アプリ)>リソースの選択>リソースの選択で、Windows Azure Service Management API を選択し、選択を選択します。
[アクセス制御]>[許可] で、[アクセス権の付与]、[多要素認証を要求する] の順に選択し、[選択する] を選択します。
[ポリシーの有効化] で、 [オン] を選択します。
[作成] を選択します。
What If オプションを使用してサインインをシミュレートする
[条件付きアクセス | ポリシー] ページで、 [What If] を選択します。
[ユーザー] の下にあるリンクを選択します。
検索ボックスに、テスト用のゲスト ユーザーの名前を入力します。 検索結果内のユーザーを選択し、 [選択] を選択します。
[Cloud apps, actions, or authentication content](クラウド アプリ、アクション、または認証コンテンツ) の下にあるリンクを選択します。 リソースの選択を選択し、Selectの下にあるリンクを選択します。
[クラウド アプリ] ページのアプリケーションの一覧で、 [Windows Azure Service Management API] を選択し、 [選択] を選択します。
[What If] を選択し、 [適用するポリシー] タブの [評価結果] の下に新しいポリシーが表示されることを確認します。
条件付きアクセス ポリシーをテストする
テスト ユーザー名とパスワードを使用して、Microsoft Entra管理センター にサインインします。
他の認証方法を要求するメッセージが表示されます。 ポリシーが有効になるまで少々時間がかかる場合があります。
Note
また、Microsoft Entra のホーム テナントからの MFA を信頼するようにクロステナント アクセス設定を構成することもできます。 これにより、外部の Microsoft Entra ユーザーは、リソース テナントに登録するのではなく、自分のテナントに登録した MFA を使用できるようになります。
サインアウトします。
リソースをクリーンアップする
不要になったら、テスト ユーザーとテスト用の条件付きアクセス ポリシーを削除します。
Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
テスト ユーザーを選択し、 [ユーザーの削除] を選択します。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[ポリシー] に移動します。
[ポリシー名] の一覧で、テスト用のポリシーのコンテキスト メニュー (...) を選択し、 [削除] を選択します。 [はい] を選択して確定します。
次のステップ
このチュートリアルでは、ゲスト ユーザーがいずれかのクラウド アプリにサインインする際に多要素認証 (MFA) を必須とする条件付きアクセス ポリシーを作成しました。 コラボレーションするためのゲスト ユーザーを追加する方法の詳細については、「Microsoft Entra 管理センター で Microsoft Entra B2B コラボレーション ユーザーを追加する」を参照してください。