概要: Microsoft Entra 外部 ID を使用したクロステナント アクセス
適用対象: 従業員テナント 外部テナント (詳細はこちら)
Microsoft Entra 組織は外部 ID のクロステナント アクセス設定を使用し、B2B コラボレーションと B2B 直接接続を介して、他の Microsoft Entra 組織や Microsoft Azure クラウドとの共同作業を管理することができます。 クロステナント アクセス設定は、受信アクセスと送信アクセスを詳細管理できるようにし、多要素認証 (MFA) と他の組織によるデバイスの信頼性情報を信頼できるようになります。
この記事では、Microsoft クラウド間も含め、外部の Microsoft Entra 組織との B2B コラボレーションや B2B 直接接続を管理するために使用するクロステナント アクセス設定について説明します。 Microsoft Entra 以外の ID (たとえば、ソーシャル ID や IT マネージド以外の外部アカウントなど) を使用して B2B コラボレーションへのその他の設定を行うことができます。 これらの外部コラボレーション設定には、ゲスト ユーザーのアクセスの制限、ゲストを招待できるユーザーの指定、ドメインを許可またはブロックのオプションが含まれます。
クロステナント アクセス設定で追加できる組織の数には制限はありません。
受信と送信の設定を使用して外部アクセスの管理
外部 ID のクロステナント アクセス設定は、他の Microsoft Entra 組織と共同作業をする方法を管理します。 これらの設定は、外部 Microsoft Entra 組織のユーザーがリソースに対して持っている受信アクセスのレベルと、ユーザーが外部組織に対して持つ送信アクセスのレベルの両方を決定します。
次の図では、クロステナント アクセスの受信と送信の設定が示されています。 Resource Microsoft Entra テナントは、共有するリソースを含むテナントです。 B2B コラボレーションの場合、リソース テナントは招待元のテナント (たとえば、外部ユーザーを招待する企業テナント) です。 ユーザーのホームの Microsoft Entra テナントは、外部ユーザーが管理されているテナントです。
既定では、他の Microsoft Entra 組織との B2B コラボレーションは有効であり、B2B 直接接続はブロックされています。 ただし、次の包括的な管理者設定を使用すると、これらの機能を両方とも管理できます。
送信アクセス設定は、ユーザーが外部組織のリソースにアクセスできるかどうかを管理します。 これらの設定は全員に適用するか、個々のユーザー、グループ、アプリケーションを指定することができます。
受信アクセス設定は、外部の Microsoft Entra 組織のユーザーがご自身の組織のリソースにアクセスできるかどうかを管理します。 これらの設定は全員に適用するか、個々のユーザー、グループ、アプリケーションを指定することができます。
信頼の設定 (受信) は、ユーザーがホーム テナントでこれらの要件を既に満たしている場合、条件付きアクセス ポリシーが外部組織からの多要素認証 (MFA)、準拠デバイス、Microsoft Entra ハイブリッド参加済みデバイスの信頼性情報を信頼するかどうかを決定します。 たとえば、信頼設定が MFA を信頼するよう構成すると、MFA ポリシーはまだ外部ユーザーに適用されますが、ホーム テナントで MFA を既に完了しているユーザーはご自身のテナントで MFA を再度完了する必要はありません。
既定の設定
デフォルトのクロステナント アクセス設定は、テナントの外部にあるすべての Microsoft Entra 組織に適用されます (カスタム設定を構成した組織を除く)。 デフォルト設定は変更できますが、B2B コラボレーションと B2B 直接接続の初期デフォルト設定は次のようになります。
B2B コラボレーション: 既定では、すべての内部ユーザーは B2B コラボレーションに対して有効になっています。 この設定では、ユーザーがリソースにアクセスするように外部のゲストを招待でき、ゲストとして外部組織に招待できることを指します。 他の Microsoft Entra 組織からの MFA とデバイスの信頼性情報は信頼されません。
B2B 直接接続: 既定では、B2B 直接接続の信頼関係は確立されません。 Microsoft Entra ID は、すべての外部 Microsoft Entra テナントにすべての受信と送信 B2B 直接接続の機能をブロックします。
組織の設定: 既定では、組織の設定に追加される組織はありません。 従って、すべての外部 Microsoft Entra 組織はご自身の組織との B2B コラボレーションで有効になります。
テナント間同期: テナント間同期により、他のテナントのユーザーがご自身のテナントに同期されることはありません。
これらの既定の設定は、同じ Microsoft Azure クラウド内の他の Microsoft Entra テナントとの B2B コラボレーションに適用されます。 クロスクラウド シナリオでは、デフォルト設定の動作は少し異なります。 この記事で後述する「Microsoft Cloud 設定」を参照してください。
組織の設定
組織を追加し、その組織の受信と送信の設定を変更することにより、組織固有の設定を構成できます。 組織の設定は、デフォルト設定よりも優先されます。
B2B コラボレーション: クロステナント アクセス設定を使用し、受信と送信の B2B コラボレーションを管理し、特定のユーザー、グループ、アプリケーションへのアクセスをスコーピングします。 すべての外部組織に適用されるデフォルト構成を設定したら、個別で組織固有の設定を必要に応じて作成することができます。 クロステナント アクセス設定を使用すると、他の Microsoft Entra 組織からの多要素 (MFA) とデバイスの信頼性情報 (準拠している信頼性情報と Microsoft Entra ハイブリッド参加済み信頼性情報) を信頼することもできます。
ヒント
外部ユーザーに対して MFA を信頼する場合、Microsoft Entra ID 保護の MFA 登録ポリシーから外部ユーザーを除外することをお勧めします。 両方のポリシーが存在すると、外部ユーザーはアクセスの要件を満たすことができません。
B2B 直接接続: B2B 直接接続の場合、組織の設定を使用して別の Microsoft Entra 組織との相互信頼関係を設定します。 ご自身の組織と外部組織の両方とも、受信と送信のクロステナント アクセス設定を構成することにより、B2B 直接接続を相互に有効にする必要があります。
[外部コラボレーションの設定] を使用し、外部ユーザーを招待できるユーザーの制限、B2B 固有ドメインの許可またはブロック、ディレクトリへのゲスト ユーザー アクセスの制限の設定を行うことができます。
自動引き換え設定
自動引き換え設定は、ユーザーがリソース/ターゲット テナントに初めてアクセスするときに同意プロンプトを受け入れる必要がないように、招待を自動的に引き換えるため、インバウンドとアウトバウンドの組織の信頼設定です。 この設定は、次の名前を持つチェック ボックスです。
- テナントで招待を自動的に引き換え<テナント>
さまざまなシナリオの設定の比較
自動引き換え設定は、次の状況でテナント間同期、B2B コラボレーション、B2B 直接接続に適用されます。
- テナント間同期を使用し、ターゲット テナントでユーザーが作成されるとき。
- B2B コラボレーションを使用し、ユーザーがリソース テナントに追加されるとき。
- B2B 直接接続を使用し、ユーザーが リソース テナントのリソースにアクセスするとき。
次のテーブルでは、これらのシナリオでこの設定を有効にしたときの比較が示されます。
項目 | テナント間同期 | B2B Collaboration | B2B 直接接続 |
---|---|---|---|
自動引き換え設定 | 必須 | 省略可能 | 省略可能 |
ユーザーは B2B コラボレーションの招待メールを受信 | いいえ | いいえ | n/a |
ユーザーは同意プロンプトを承諾する必要があります | いいえ | いいえ | いいえ |
ユーザーは B2B コラボレーションの通知メールを受信します | いいえ | はい | n/a |
この設定は、アプリケーションの同意エクスペリエンスには影響しません。 詳細については、「Microsoft Entra ID のアプリケーションの同意エクスペリエンス」を参照してください。 この設定は、Azure 商用と Azure Government など、異なる Microsoft Cloud 環境間ではサポートされません。
同意プロンプトが抑制される場合
ホーム/ソース テナント (送信) とリソース/ターゲット テナント (受信) の両方でこの設定をチェックした場合のみ、自動引き換え設定は同意プロンプトと招待メールを抑制します。
次のテーブルでは、異なるクロステナント アクセス設定の組み合わせに対して自動引き換え設定がチェックされるとき、ソース テナント ユーザーの同意プロンプト動作が示されています。
ホーム/ソース テナント | リソース/ターゲット テナント | 同意プロンプトの動作 ソース テナント ユーザー用 |
---|---|---|
送信 | 受信 | |
抑制された | ||
抑制されない | ||
抑制されない | ||
抑制されない | ||
受信 | 送信 | |
抑制されない | ||
抑制されない | ||
抑制されない | ||
抑制されない |
Microsoft Graph を使用してこの設定を構成するには、「crossTenantAccessPolicyConfigurationPartner の更新」 API を参照してください。 ご自身のオンボード エクスペリエンスを構築する詳細については、「B2B コラボレーションの招待マネージャー」を参照してください。
詳細については、「テナント間同期の構成」、「B2B コラボレーションにクロステナント アクセス設定の構成」、「B2B 直接接続にクロステナント アクセス設定の構成」を参照してください。
構成可能な引き換え
構成可能な引き換えを使用すると、ゲスト ユーザーが招待を承諾したときにログインできる ID プロバイダーの順序をカスタマイズできます。 この機能を有効にし、[引き換え順序] タブで引き換え順序を指定できます。
ゲスト ユーザーが招待メールの [招待の承諾] リンクを選択すると、Microsoft Entra ID はデフォルトの引き換え順序に基づいて招待を自動的に引き換えます。 新しい [引き換え順序] タブで ID プロバイダーの順序を変更すると、新しい順序によってデフォルトの引き換え順序がオーバーライドされます。
プライマリ ID プロバイダーとフォールバック ID プロバイダーの両方が [引き換え順序] タブにあります。
プライマリ ID プロバイダーは、他の認証ソースとのフェデレーションを持つプロバイダーです。 フォールバック ID プロバイダーは、ユーザーがプライマリ ID プロバイダーと一致しないときに使用されるプロバイダーです。
フォールバック ID プロバイダーには、Microsoft アカウント (MSA) またはメールのワンタイム パスコードのいずれか、あるいはその両方を指定できます。 フォールバック ID プロバイダーを両方とも無効にすることはできませんが、すべてのプライマリ ID プロバイダーを無効にし、引き換えオプションにフォールバック ID プロバイダーのみを使用することができます。
この機能を使用するとき、次の既知の制限事項を考慮してください。
既存のシングル サインオン (SSO) セッションを持つ Microsoft Entra ID ユーザーがメールのワンタイム パスコード (OTP) を使用して認証している場合、[別のアカウントの使用] を選択し、ユーザー名を再入力して OTP フローをトリガーする必要があります。 それ以外の場合、ユーザーは自身のアカウントがリソース テナントに存在しないことを示すエラーを受信します。
ユーザーが Microsoft Entra ID と Microsoft アカウントの両方に同じメールを持っていると、管理者が引き換え方法として Microsoft アカウントを無効にした後でも、Microsoft Entra ID または Microsoft アカウントのどちらを使用するように選択を求められます。 Microsoft アカウントを引き換えオプションとしての選択が無効になっている場合でも、許可されます。
Microsoft Entra ID 検証済みドメインの直接フェデレーション
SAML/WS-Fed ID プロバイダー フェデレーション (直接フェデレーション) は、Microsoft Entra ID 検証済みドメインでサポートされるようになりました。 この機能を使用すると、Microsoft Entra で確認されたドメインの外部 ID プロバイダーとの直接フェデレーションを設定できます。
メモ
直接フェデレーション構成を設定しようとしているテナントと同じテナントでドメインが確認されていないことを確認します。 直接フェデレーションを設定したら、テナントの引き換えユーザー設定を構成し、新しい構成可能な引き換えクロステナント アクセス設定を使用して、SAML/WS-Fed ID プロバイダーを Microsoft Entra ID より上位に移動できます。
ゲスト ユーザーが招待を引き換えると、従来の同意画面が表示されて [マイ アプリ] ページにリダイレクトされます。 リソース テナントでは、この直接フェデレーション ユーザーのプロファイルは、招待の引き換えが成功して発行元が外部フェデレーションであることを表示します。
B2B ユーザーが Microsoft アカウントを使用した招待を引き換えることを阻止
B2B ゲスト ユーザーが Microsoft アカウントを使用して招待を引き換えることを阻止できるようになりました。 代わりに、ゲスト ユーザーは、フォールバックの ID プロバイダーとして、メールで送信されるワンタイム パスコードを使用します。 既存の Microsoft アカウントを使用して招待を引き換えることはできません。また、新しいアカウントの作成を求められることもありません。 この機能は、引き換えの順序設定にあるフォールバックの ID プロバイダー オプションで Microsoft アカウントをオフにすることで有効にできます。
フォールバックの ID プロバイダーは、常に少なくとも 1 つは有効になっている必要があります。 そのため、Microsoft アカウントを無効にする場合、メールで送信されるワンタイム パスコードのオプションを有効にする必要があります。 既に Microsoft アカウントでサインインしている既存ゲスト ユーザーは、今後のログインで引き続きそのアカウントを使用できます。新しい設定を適用するには、引き換えの状態をリセットする必要があります。
テナント間同期の設定
テナント間同期の設定は、ソース テナントの管理者がユーザーをターゲット テナントに同期できるようにする受信専用の組織の設定です。 この設定は、ターゲット テナントに指定される [ユーザーにこのテナントへの同期を許可] という名前のチェック ボックスです。 この設定は、手動招待や Microsoft Entra エンタイトルメント管理などの他のプロセスによって作成された B2B 招待には影響しません。
Microsoft Graph を使用してこの設定を構成するには、「crossTenantIdentitySyncPolicyPartner の更新」 API を参照してください。 詳細については、「テナント間同期の構成」を参照してください。
テナント制限
テナント制限設定を使用すると、次のように管理するデバイスでユーザーが使用できる外部アカウントの種類を管理できます。
- ユーザーが不明なテナントで作成したアカウント。
- 外部組織が、その組織のリソースにアクセスできるようにユーザーに付与したアカウント。
これらの外部アカウントの種類を禁止して代わりに B2B コラボレーションを使用するように、テナントの制限を構成することをお勧めします。 B2B コラボレーションを使用すると、次の機能を利用できます。
- 条件付きアクセスを使用し、B2B コラボレーション ユーザーに多要素認証を強制します。
- 受信アクセスと送信アクセスを管理します。
- B2B コラボレーション ユーザーの雇用状態が変更されたときにセッションと認証情報を終了しないと、認証情報が侵害されます。
- サインイン ログを使用して B2B コラボレーション ユーザーに関する詳細を表示します。
テナントの制限はクロステナント アクセス設定に依存しないため、構成する受信、送信、信頼の設定はテナントの制限に影響しません。 テナント制限の構成の詳細については、「テナント制限 V2 の設定」を参照してください。
Microsoft Cloud 設定
Microsoft クラウド設定を使用すると、さまざまな Microsoft Azure クラウドの組織と共同作業を行うことができます。 Microsoft クラウド設定を使用すると、次のクラウド間で相互 B2B コラボレーションを確立できます。
- Microsoft Azure商用クラウドと Microsoft Azure Government (Office GCC-High と DoDクラウドを含む)
- Microsoft Azure 商用クラウドと 21Vianet が運用する Microsoft Azure (21Vianet が運用)
メモ
B2B 直接接続は、別の Microsoft Cloud の Microsoft Entra テナントとの共同作業をサポートしていません。
詳細については、「B2B コラボレーションの Microsoft Cloud 設定の構成」にの記事を参照してください。
重要な考慮事項
重要
デフォルトの受信または送信の設定を変更してアクセスをブロックすると、組織内またはパートナー組織内のアプリに対する既存のビジネス クリティカルなアクセスがブロックされる可能性があります。 この記事で説明されているツールを必ず使用し、ビジネスの利害関係者と相談して必要なアクセスを特定してください。
Azure Portal でクロステナント アクセス設定を構成するには、少なくともセキュリティ管理者またはカスタム役割を持つアカウントが必要になります。
信頼設定を構成するか。特定のユーザー、グループ、アプリケーションにアクセス設定を適用するには、Microsoft Entra ID P1 ライセンスが必要になります。 構成するテナントにはライセンスが必要です。 別の Microsoft Entra 組織との相互の信頼関係が必要な B2B 直接接続の場合、両方のテナントに Microsoft Entra ID P1 ライセンスが必要です。
クロステナント アクセス設定は、他の Microsoft Entra 組織と B2B コラボレーションや B2B 直接接続を管理するために使用されます。 Microsoft Entra 以外の ID (たとえば、ソーシャル ID や IT マネージド以外の外部アカウントなど) を使用して B2B コラボレーションを行う場合、外部コラボレーション設定を使用してください。 外部コラボレーションの設定には、ゲスト ユーザーのアクセスの制限、ゲストを招待できるユーザーの指定、ドメインの許可またはブロックを行う B2B コラボレーションオプションが含まれます。
外部組織の特定のユーザー、グループ、アプリケーションにアクセス設定を適用するには、設定を構成する前にその組織に情報について問い合わせる必要があります。 設定の対象を正しく指定するため、ユーザー オブジェクト ID、グループ オブジェクト ID、アプリケーション ID (クライアント アプリ ID またはリソース アプリ ID) を入手します。
ヒント
サインイン ログを調べることにより、外部組織のアプリのアプリケーション ID が見つけられる場合があります。 「受信ログインと送信ログインの識別」セクションを参照してください。
ユーザーとグループに対して構成するアクセス設定は、アプリケーションのアクセス設定と一致する必要があります。 競合する設定は許可されません。構成しようとすると警告メッセージが表示されます。
例 1: すべての外部のユーザーとグループに対して受信アクセスをブロックする場合、すべてのアプリケーションへのアクセスもブロックする必要があります。
例 2: すべてのユーザー (または特定のユーザーやグループ) に対して送信アクセスを許可する場合、外部アプリケーションへのすべてのアクセスをブロックすることはできません。少なくとも 1 つのアプリケーションへのアクセスを許可する必要があります。
外部組織との B2B 直接接続を許可するとき、条件付きアクセス ポリシーで MFA が必要な場合、外部組織からの MFA 要求を承諾するために信頼設定を構成する必要があります。
デフォルトですべてのアプリへのアクセスをブロックする場合、ユーザーは Microsoft Rights Management Service (Office 365 Message Encryption (OME) とも呼ばれる) で暗号化されたメールを読めなくなります。 この問題を回避するには、送信設定を構成してユーザーが「00000012-0000-0000-c000-000000000000」のアプリ ID にアクセスできるようにすることをお勧めします。 このアプリケーションのみを許可した場合、他のすべてのアプリへのアクセスは自動的にブロックされます。
クロステナント アクセス設定を管理するためのカスタム役割
カスタム役割を作成してクロステナント アクセス設定を管理できます。 推奨されるカスタム役割の詳細については、「こちら」をご覧ください。
クロステナント アクセスの管理アクションの保護
クロステナント アクセス設定を変更するすべてのアクションは保護されたアクションと見なされ、条件付きアクセス ポリシーで追加保護を適用できます。 構成手順の詳細については、「保護されたアクション」を参照してください。
受信ログインと送信ログインの識別
受信アクセスと送信アクセスの設定を設定する前に、ユーザーとパートナーが必要とするアクセスを識別できるようにするため、いくつかのツールが用意されています。 ユーザーとパートナーが必要とするアクセス権を削除しないようにするには、現在のログイン行動を調べる必要があります。 この準備手順を行うと、エンド ユーザーとパートナー ユーザーに必要なアクセスが失われることを防止するうえで役立ちます。 ただし、場合によってはこれらのログは 30 日間のみ保持されるため、ビジネスの利害関係者と相談して必要なアクセスが失われないようにすることを強く推奨します。
ツール | 方法 |
---|---|
クロステナント ログイン アクティビティの PowerShell スクリプト | 外部組織に関連付けられたユーザー ログイン アクティビティを確認するには、MSIdentityTools の クロステナント ユーザー ログイン アクティビティ PowerShell スクリプトを使用します。 |
サインイン ログ PowerShell スクリプト | ユーザーの外部 Microsoft Entra 組織へのアクセスを確認するには、Get-MgAuditLogSignIn コマンドレットを使用します。 |
Azure Monitor | 組織が Azure Monitor サービスにサブスクライブしている場合、クロステナント アクセス アクティビティ ブックを使用します。 |
セキュリティ情報イベント管理 (SIEM) システム | 組織がログイン ログをセキュリティ情報イベント管理 (SIEM) システムにエクスポートする場合、必要な情報を SIEM システムから取得できます。 |
クロステナント アクセス設定の変更の特定
Microsoft Entra 監査ログは、テナント間のアクセス設定の変更とアクティビティに関するすべてのアクティビティを取り込みます。 クロステナント アクセス設定の変更を監査するには、CrossTenantAccessSettings のカテゴリを使用してすべてのアクティビティをフィルター処理し、クロステナント アクセス設定の変更を表示します。