B2B コラボレーションのテナント間アクセス設定を管理する

適用対象: ワークフォース テナント 外部テナント (詳細)

External Identities クロステナント アクセス設定を使用して、B2B コラボレーションを通じて他の Microsoft Entra 組織とコラボレーションを行う方法を管理します。 これらの設定により、外部の Microsoft Entra 組織の 受信 アクセス ユーザーのレベルと、ユーザーが外部組織に対して持つ 送信 アクセスのレベルの両方が決まります。 また、他の Microsoft Entra 組織からの多要素認証 (MFA) とデバイス要求 (準拠している要求と Microsoft Entra ハイブリッド参加済みクレーム) を信頼することもできます。 詳細と計画に関する考慮事項については、「 Microsoft Entra External ID のテナント間アクセス」を参照してください。

クラウド間のコラボレーション: 異なる Microsoft クラウドのパートナー組織は、互いに B2B コラボレーションを設定できます。 まず、「 Microsoft クラウド設定の構成」の説明に従って、両方の組織が相互にコラボレーションを有効にする必要があります。 その後、各組織は、必要に応じて 、受信アクセス設定 と 送信アクセス設定を以下のように変更できます。

重要

2023 年 8 月 30 日から、Microsoft は、クロステナント アクセス設定をお使いのお客様を新しいストレージ モデルへと移行し始めています。 自動タスクによって設定が移行されると、テナント間アクセス設定が更新されたことを通知するエントリが監査ログに表示されることがあります。 移行プロセス中の短い期間は、設定を変更できません。 変更できない場合は、しばらく待ってからもう一度変更を試してください。 移行が完了 すると、25 kb のストレージ領域が上限 に達しなくなり、追加できるパートナーの数に制限がなくなります。

前提条件

注意事項

既定の受信設定または送信設定を [アクセスのブロック ] に変更すると、組織内またはパートナー組織のアプリへの既存のビジネス クリティカルなアクセスがブロックされる可能性があります。 Microsoft Entra External ID のクロステナント アクセスで説明されているツールを必ず使用し、ビジネス関係者に相談して必要なアクセスを特定してください。

• テナント間アクセス設定を構成する前に、テナント間アクセスの概要の重要な考慮事項に関するセクションを確認してください。
• ツールを使用し、「 受信サインインと送信サインインの識別 」の推奨事項に従って、現在アクセスしている外部の Microsoft Entra 組織とリソースを把握します。
• すべての外部 Microsoft Entra 組織に適用する既定のアクセスのレベルを決定します。
• 組織の設定を構成できるように、カスタマイズされた設定が必要な Microsoft Entra 組織 を特定します。
• 外部組織の特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用する場合は、設定を構成する前に、その組織に情報を問い合わせる必要があります。 設定の対象を正しく指定できるように、ユーザー オブジェクト ID、グループ オブジェクト ID、アプリケーション ID ("クライアント アプリ ID" または "リソース アプリ ID) を入手します。
• 外部の Microsoft Azure クラウドでパートナー組織との B2B コラボレーションを設定する場合は、「 Microsoft クラウド設定の構成」の手順に従います。 パートナー組織の管理者は、テナントに対して同じ操作を行う必要があります。
• 許可/ブロック リストとテナント間アクセスの両方の設定は、招待時に確認されます。 ユーザーのドメインが許可リストにある場合は、テナント間アクセス設定でドメインが明示的にブロックされていない限り、ユーザーを招待できます。 ユーザーのドメインがブロックリストにある場合、テナント間アクセス設定に関係なく、ユーザーを招待することはできません。 ユーザーがどちらのリストにも含まれていない場合は、テナント間アクセス設定をチェックして、ユーザーを招待できるかどうかを判断します。

既定の設定を構成する

既定のクロステナント アクセス設定は、組織固有のカスタマイズした設定を作成していない、すべての外部組織に適用されます。 Microsoft Entra ID で提供されている既定の設定を変更する場合は、以下の手順に従います。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動し、テナント間アクセス設定を選択します。

3. [ 既定の設定 ] タブを選択し、概要ページを確認します。

   

4. 設定を変更するには、[ 受信の既定値の編集] リンクまたは [ 送信の既定値の編集] リンクを 選択します。

   

5. 以下のセクションの詳細な手順に従って、既定の設定を変更します。

   • 受信アクセス設定を変更する
   • 送信アクセス設定を変更する

組織を追加する

以下の手順に従って、特定の組織向けにカスタマイズした設定を構成します。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動し、[組織の設定] を選択します。

3. [ 組織の追加] を選択します。

4. [ 組織の追加 ] ウィンドウで、組織の完全なドメイン名 (またはテナント ID) を入力します。

   

5. 検索結果で組織を選択し、[ 追加] を選択します。

6. 組織が [ 組織設定 ] の一覧に表示されます。 この時点で、この組織のすべてのアクセス設定が、既定の設定から継承されます。 この組織の設定を変更するには、[受信アクセス] 列または [送信アクセス] 列の下にある [既定から継承] リンクを選択します。

   

7. 以下のセクションの詳細な手順に従って、組織の設定を変更します。

   • 受信アクセス設定を変更する
   • 送信アクセス設定を変更する

受信アクセス設定を変更する

受信設定を使用して、選んだ内部アプリケーションに、どの外部ユーザーとグループがアクセスできるかを選びます。 構成しようとしているのが既定の設定であるか、組織固有の設定であるかを問わず、クロステナントの受信アクセス設定を変更するための手順は同一です。 このセクションで説明されているように、[組織の設定] タブで [既定] タブまたは組織に移動し、変更を加えます。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. 変更しようとしている設定に移動します。

   • 既定の設定: 既定の受信設定を変更するには、[ 既定の設定 ] タブを選択し、[ 受信アクセス設定] で [ 受信の既定値の編集] を選択します。
   • 組織の設定: 特定の組織の設定を変更するには、[ 組織の設定 ] タブを選択し、一覧から組織を検索 (または 追加) してから、[ 受信アクセス ] 列でリンクを選択します。

4. 変更しようとしている受信設定については、以下の詳細な手順に従います。

   • 受信 B2B コラボレーション設定を変更するには
   • MFA とデバイスの要求を受け入れるための受信信頼設定を変更するには

注意

Microsoft Entra B2B 統合 を有効にして Microsoft SharePoint と Microsoft OneDrive のネイティブ共有機能を使用している場合は、外部 コラボレーション設定に外部ドメインを追加する必要があります。 そうしないと、外部テナントがテナント間アクセス設定に追加されている場合でも、これらのアプリケーションからの招待が失敗する可能性があります。

B2B Collaboration の受信設定を変更するには

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動し、[組織の設定] を選択します

3. [受信アクセス] 列と [B2B コラボレーション] でリンクを選択します。すべての外部ユーザーとグループのアクセスをブロックする場合は、すべての内部アプリケーションへのアクセスもブロックする必要があります。

4. 特定の組織の受信アクセス設定を構成している場合は、オプションを選びます。

   • 既定の設定: 組織で既定の受信設定を使用する場合は、このオプションを選択します ( [既定の 設定] で構成されているように、すべての外部ユーザーとグループのアクセスをブロックする場合は、すべての内部アプリケーションへのアクセスもブロックする必要があります。 この組織に対してカスタマイズされた設定が既に構成されている場合は、[ はい ] を選択して、すべての設定を既定の設定に置き換えることを確認する必要があります。 次に、[ 保存] を選択し、この手順の残りの手順をスキップします。

   • 設定のカスタマイズ: 既定の設定ではなく、この組織に適用する設定をカスタマイズする場合は、このオプションを選択します。 この手順の残りの部分を続けます。

5. [外部ユーザーとグループ] を選択します。

6. [ アクセスの状態] で、次のいずれかを選択します。

   • アクセスを許可する: [ 適用 ] で指定されたユーザーとグループを B2B コラボレーションに招待できるようにします。
   • アクセスをブロックする: [ 適用 対象] で指定されたユーザーとグループが B2B コラボレーションに招待されないようにブロックします。

   

7. [ 適用対象] で、次のいずれかを選択します。

   • すべての外部ユーザーとグループ: [アクセスの状態 ] で選択したアクションを、外部の Microsoft Entra 組織のすべてのユーザーとグループに適用します。
   • 外部ユーザーとグループを選択 します (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [アクセスの状態 ] で選択したアクションを外部組織内の特定のユーザーとグループに適用できます。

   注意

   すべての外部ユーザーとグループのアクセスをブロックする場合は、([ アプリケーション ] タブで) すべての内部アプリケーションへのアクセスをブロックする必要もあります。 テナント間同期を構成している場合、すべての外部ユーザーとグループのアクセスをブロックすると、テナント間の同期がブロックされる可能性があります。

   

8. [外部ユーザーとグループの選択] を選択した場合は、追加するユーザーまたはグループごとに次の操作を行います。

   • [ 外部ユーザーとグループの追加] を選択します。
   • [ 他のユーザーとグループの追加 ] ウィンドウの検索ボックスに、パートナー組織から取得したユーザー オブジェクト ID またはグループ オブジェクト ID を入力します。
   • 検索ボックスの横にあるメニューで、 ユーザー または グループを選択します。
   • [ 追加] を選択します。

   注意

   受信の既定の設定では、ユーザーまたはグループをターゲットにすることはできません。

   

9. ユーザーとグループの追加が完了したら、[ 送信] を選択します。

   

10. [アプリケーション] タブ を 選択します。

11. [ アクセスの状態] で、次のいずれかを選択します。

    • アクセスを許可する: [ 適用 ] で指定されたアプリケーションに B2B コラボレーション ユーザーがアクセスできるようにします。
    • アクセスをブロックする: [ 適用 対象] で指定されたアプリケーションが B2B コラボレーション ユーザーによってアクセスされないようにブロックします。

    

12. [ 適用対象] で、次のいずれかを選択します。

    • すべてのアプリケーション: [アクセスの状態 ] で選択したアクションをすべてのアプリケーションに適用します。
    • アプリケーションの選択 (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [ アクセスの状態 ] で選択したアクションを組織内の特定のアプリケーションに適用できます。

    注意

    すべてのアプリケーションへのアクセスをブロックする場合は、([外部ユーザーと グループ] タブ で) すべての外部ユーザーとグループのアクセスをブロックする必要もあります。

    

13. [アプリケーションの選択] を選択した場合は、追加するアプリケーションごとに次の操作を行います。

    • [ Microsoft アプリケーションの追加] または [他のアプリケーションの追加] を選択します。
    • [選択] ウィンドウで、検索ボックスにアプリケーション名またはアプリケーション ID (クライアント アプリ ID またはリソース アプリ ID) を入力します。 次に、検索結果でアプリケーションを選択します。 追加するアプリケーションごとに繰り返します。
    • アプリケーションの選択が完了したら、[選択] を 選択します。

    

14. [保存] を選択します。

Microsoft アプリケーションを許可するための考慮事項

指定された一連のアプリケーションのみを許可するように テナント間アクセス設定 を構成する場合は、次の表に示す Microsoft アプリケーションを追加することを検討してください。 たとえば、許可リストを構成し、SharePoint Online のみを許可する場合、ユーザーはマイ アプリにアクセスしたり、リソース テナントで MFA に登録したりすることはできません。 スムーズなエンド ユーザー エクスペリエンスを実現するには、受信と送信のコラボレーション設定に次のアプリケーションを含めます。

アプリケーション	リソース ID	ポータルで使用可能	詳細
マイ アプリ	2793995e-0a7d-40d7-bd35-6968ba142197	はい	招待を引き換えた後の既定のランディング ページ。 へのアクセスを定義します myapplications.microsoft.com。
Microsoft アプリ アクセス パネル	0000000c-0000-0000-c000-000000000000	いいえ	マイ サインイン内の特定のページを読み込むときに、遅延バインディング呼び出しで使用されます。たとえば、[セキュリティ情報] ブレードや [組織] スイッチャーなどです。
自分のプロファイル	8c59ead7-d703-4a27-9e55-c96a0054c8d2	はい	マイ グループとマイ アクセス ポータルを myaccount.microsoft.com 含めるアクセスを定義します。 マイ プロファイル内の一部のタブでは、機能するためにここに記載されている他のアプリが必要です。
マイ サインイン	19db86c3-b2b9-44cc-b339-36da233a3be2	いいえ	セキュリティ情報へのアクセスを mysignins.microsoft.com 含めるアクセスを定義します。 ユーザーにリソース テナントでの MFA の登録と使用を要求する場合は、このアプリを許可します (たとえば、MFA はホーム テナントから信頼されていません)。

前の表の一部のアプリケーションでは、Microsoft Entra 管理センターからの選択が許可されていません。 許可するには、次の例に示すように Microsoft Graph API で追加します。

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

注意

PATCH 要求には、以前に構成したアプリケーションが上書きされるため、許可する追加のアプリケーションを必ず含めるようにしてください。 既に構成されているアプリケーションは、ポータルから手動で取得するか、パートナー ポリシーで GET 要求を実行することで取得できます。 たとえば、GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id> のように指定します。

注意

Microsoft Entra 管理センターで使用できるアプリケーションにマップされていない Microsoft Graph API を介して追加されたアプリケーションは、アプリ ID として表示されます。

Microsoft Entra 管理センターの受信および送信のクロステナント アクセス設定に Microsoft 管理ポータル アプリを追加することはできません。 Microsoft 管理ポータルへの外部アクセスを許可するには、Microsoft Graph API を使用して、Microsoft 管理ポータル アプリ グループに含まれる次のアプリを個別に追加します。

• Azure portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra 管理センター (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune 管理センター (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview コンプライアンス ポータル (80ccca67-54bd-44ab-8625-4b79c4dc7775)

引き換え順序を構成する

ゲスト ユーザーが招待を受けるときにサインインに使用できる ID プロバイダーの順序をカスタマイズするには、以下の手順を実行します。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. [ 既定の設定 ] タブの [ 受信アクセス設定] で、[ 受信の既定値の編集] を選択します。

4. [B2B コラボレーション] タブで、[引き換え注文] タブを選択します。

5. ゲスト ユーザーが招待を受けたときにサインインできる ID プロバイダーを上下に動かして、順序を変更します。 引き換え順序を既定の設定にリセットすることもここでできます。

   

6. [保存] を選択します。

Microsoft Graph API を使用して引き換え順序をカスタマイズすることもできます。

1. Microsoft Graph エクスプローラーを開きます。

2. 少なくとも セキュリティ管理者 としてリソース テナントにサインインします。

3. 次のクエリを実行して、現在の引き換え順序を取得します。

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. この例では、SAML/WS-Fed IdP フェデレーションを Microsoft Entra ID プロバイダーの上の引き換え順序に移動して、先頭にします。 次の要求本文で同じ URI にパッチを適用します。

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. 変更を確認するには、GET クエリをもう一度実行します。

6. 引き換え順序を既定の設定にリセットするには、次のクエリを実行します。

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Microsoft Entra ID 検証済みドメインの SAML/WS-Fed フェデレーション (直接フェデレーション)

参加している Microsoft Entra ID 検証済みドメインを追加して、直接フェデレーション関係を設定できるようになりました。 まず、 管理センター または API を使用して、直接フェデレーション構成を設定する必要があります。 ドメインが同じテナントで検証されていないことを確認します。 構成を設定したら、引き換え順序をカスタマイズできます。 SAML/WS-Fed IdP が、最後のエントリとして引き換え順序に追加されます。 引き換え順序で上に移動して、Microsoft Entra ID プロバイダーの上に設定できます。

B2B ユーザーが Microsoft アカウントを使用した招待の引き換えをできないようにする

B2B ゲスト ユーザーが既存の Microsoft アカウントを使用して招待を引き換えたり、招待を受けるための新しいアカウントを作成したりできないようにするには、次の手順に従います。

1. Microsoft Entra 管理センターに少なくともセキュリティ管理者としてサインインする

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. [ 既定の設定 ] タブの [ 受信アクセス設定] で、[ 受信の既定値の編集] を選択します。

4. [B2B コラボレーション] タブで、[引き換え注文] タブを選択します。

5. [ フォールバック ID プロバイダー] で、 Microsoft サービス アカウント (MSA) を無効にします。

   

6. [保存] を選択します。

任意の時点で少なくとも 1 つのフォールバック ID プロバイダーが有効になっている必要があります。 Microsoft アカウントを無効にする場合は、電子メールのワンタイム パスコードを有効にする必要があります。 両方のフォールバック ID プロバイダーを無効にすることはできません。 Microsoft アカウントでサインインしている既存のゲスト ユーザーは、以降のサインイン中も引き続き使用します。この設定を適用するには、 引き換えの状態をリセット する必要があります。

MFA およびデバイスの信頼性情報に関する受信の信頼の設定を変更するには

1. [ 信頼 設定] タブを選択します。

2. (この手順は 組織の設定 にのみ適用されます)。組織の設定を構成する場合は、次のいずれかを選択します。

   • 既定の設定: 組織は、[ 既定 の設定] タブで構成された設定を使用します。この組織に対してカスタマイズされた設定が既に構成されている場合は、[ はい ] を選択して、すべての設定を既定の設定に置き換えることを確認します。 次に、[ 保存] を選択し、この手順の残りの手順をスキップします。

   • 設定のカスタマイズ: 既定の設定ではなく、この組織に適用する設定をカスタマイズできます。 この手順の残りの部分を続けます。

3. 次のオプションの中から、1つまたは複数選択します。

   • Microsoft Entra テナントからの多要素認証を信頼する: 条件付きアクセス ポリシーが外部組織からの MFA 要求を信頼できるようにするには、このチェック ボックスをオンにします。 ユーザーが MFA を完了したことを示す要求については、認証時に Microsoft Entra ID はユーザーの資格情報を確認します。 それ以外の場合は、ユーザーのホーム テナントで MFA チャレンジが開始されます。 この設定は、テナント内のサービスを管理するクラウド サービス プロバイダーの技術者が使用するなど、詳細 な委任された管理者特権 (GDAP) を使用して外部ユーザーがサインインする場合は適用されません。 外部ユーザーが GDAP を使用してサインインする場合、MFA は常にユーザーのホーム テナントで必要であり、リソース テナントでは常に信頼されます。 GDAP ユーザーの MFA 登録は、ユーザーのホーム テナントの外部ではサポートされていません。 組織で、ユーザーのホーム テナントの MFA に基づいてサービス プロバイダーの技術者へのアクセスを禁止する必要がある場合は、 Microsoft 365 管理センターで GDAP 関係を削除できます。

   • 準拠デバイスを信頼する: 条件付きアクセス ポリシーが、ユーザーがリソースにアクセスするときに外部組織からの 準拠デバイス要求 を信頼できるようにします。

   • Microsoft Entra ハイブリッド参加済みデバイスを信頼する: 条件付きアクセス ポリシーが、ユーザーがリソースにアクセスするときに外部組織からの Microsoft Entra ハイブリッド参加済みデバイス要求を信頼できるようにします。

   

4. (この手順は 組織の設定 にのみ適用されます)。 自動引き換え オプションを確認します。

   • テナントで招待を自動的に引き換えます<tenant>: 招待を自動的に使用する場合は、この設定をオンにします。 その場合、指定したテナントのユーザーは、テナント間同期、B2B コラボレーション、または B2B 直接接続を使用して、このテナントに初めてアクセスする際に同意プロンプトで同意する必要はありません。 この設定では、指定したテナントが、この設定で送信アクセスも確認する場合にのみ同意プロンプトが表示されなくなります。

   

5. [保存] を選択します。

このテナントへの同期をユーザーに許可する

追加した組織の 受信アクセス を選択すると、[ テナント間の同期 ] タブと [ ユーザーがこのテナントへの同期を許可 する] チェック ボックスが表示されます。 テナント間同期は、Microsoft Entra ID 一方向同期サービスであり、組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化します。 詳細については、 テナント間同期の構成 と マルチテナント組織のドキュメントを参照してください。

送信アクセス設定を変更する

送信設定を使用して、選んだ外部アプリケーションに、どのユーザーとグループがアクセスできるかを選びます。 構成しようとしているのが既定の設定であるか、組織固有の設定であるかを問わず、クロステナントの送信アクセス設定を変更するための手順は同一です。 このセクションで説明されているように、[組織の設定] タブで [既定] タブまたは組織に移動し、変更を加えます。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. 変更しようとしている設定に移動します。

   • 既定の送信設定を変更するには、[ 既定の設定 ] タブを選択し、[ 送信アクセス設定] で [ 送信の既定値の編集] を選択します。

   • 特定の組織の設定を変更するには、[ 組織の設定 ] タブを選択し、一覧から組織を見つけて (または 追加)、[ 送信アクセス ] 列でリンクを選択します。

4. [B2B コラボレーション] タブを選択します。

5. (この手順は 組織の設定 にのみ適用されます)。組織の設定を構成する場合は、次のオプションを選択します。

   • 既定の設定: 組織は、[ 既定 の設定] タブで構成された設定を使用します。この組織に対してカスタマイズされた設定が既に構成されている場合は、[ はい ] を選択して、すべての設定を既定の設定に置き換えることを確認する必要があります。 次に、[ 保存] を選択し、この手順の残りの手順をスキップします。

   • 設定のカスタマイズ: 既定の設定ではなく、この組織に適用する設定をカスタマイズできます。 この手順の残りの部分を続けます。

6. [ ユーザーとグループ] を選択します。

7. [ アクセスの状態] で、次のいずれかを選択します。

   • アクセスを許可する: [ 適用 対象] で指定したユーザーとグループを、B2B コラボレーションのために外部組織に招待できるようにします。
   • アクセスをブロックする: [ 適用 対象] で指定されたユーザーとグループが B2B コラボレーションに招待されないようにブロックします。 すべてのユーザーとグループに対してアクセスをブロックすると、B2B コラボレーションを介したすべての外部アプリケーションへのアクセスもブロックされます。

   

8. [ 適用対象] で、次のいずれかを選択します。

   • すべての <組織> ユーザー: [アクセスの状態 ] で選択したアクションを、すべてのユーザーとグループに適用します。
   • 組織>ユーザーとグループ<選択します (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [アクセスの状態] で選択したアクションを特定のユーザーとグループに適用できます。

   注意

   すべてのユーザーとグループのアクセスをブロックする場合は、([外部アプリケーション] タブで) すべての外部アプリケーションへのアクセスをブロック する 必要もあります。

   

9. [ 組織 <選択> ユーザーとグループを選択した場合は、追加するユーザーまたはグループごとに次の操作を行います。

   • [組織>ユーザーとグループ<追加] を選択します。
   • [選択] ウィンドウで、検索ボックスにユーザー名またはグループ名を入力します。
   • 検索結果で、ユーザーまたはグループを選択します。
   • 追加するユーザーとグループの選択が完了したら、[選択] を 選択します。

   注意

   ユーザーとグループを対象にすると、 SMS ベースの認証を構成したユーザーを選択することはできません。 これは、外部ユーザーが送信アクセス設定に追加されないように、ユーザー オブジェクトに "フェデレーション資格情報" を持つユーザーがブロックされるためです。 回避策として、 Microsoft Graph API を使用して、ユーザーのオブジェクト ID を直接追加するか、ユーザーが属するグループをターゲットにすることができます。

10. [ 外部アプリケーション ] タブを選択します。

11. [ アクセスの状態] で、次のいずれかを選択します。

    • アクセスを許可する: [ 適用 ] で指定された外部アプリケーションに、B2B コラボレーションを介してユーザーがアクセスできるようにします。
    • アクセスをブロックする: [ 適用 対象] で指定された外部アプリケーションが、B2B コラボレーションを介してユーザーによってアクセスされないようにブロックします。

    

12. [ 適用対象] で、次のいずれかを選択します。

    • すべての外部アプリケーション: [アクセスの状態 ] で選択したアクションをすべての外部アプリケーションに適用します。
    • 外部アプリケーションの選択: [アクセスの状態 ] で選択したアクションをすべての外部アプリケーションに適用します。

    注意

    すべての外部アプリケーションへのアクセスをブロックする場合は、([ ユーザーとグループ ] タブで) すべてのユーザーとグループのアクセスをブロックする必要もあります。

    

13. [外部アプリケーションの選択] を選択した場合は、追加するアプリケーションごとに次の操作を行います。

    • [ Microsoft アプリケーションの追加] または [他のアプリケーションの追加] を選択します。
    • 検索ボックスに、アプリケーション名またはアプリケーション ID ("クライアント アプリ ID" または "リソース アプリ ID") を入力します。 次に、検索結果でアプリケーションを選択します。 追加するアプリケーションごとに繰り返します。
    • アプリケーションの選択が完了したら、[選択] を 選択します。

    

14. [保存] を選択します。

送信の信頼の設定を変更するには

(このセクションは 組織の設定 にのみ適用されます)。

1. [ 信頼 設定] タブを選択します。

2. 自動引き換えオプションを確認します。

   • テナントで招待を自動的に引き換えます<tenant>: 招待を自動的に使用する場合は、この設定をオンにします。 その場合、このテナントのユーザーは、テナント間同期、B2B コラボレーション、または B2B 直接接続を使用して、指定したテナントに初めてアクセスする際に同意プロンプトで同意する必要はありません。 この設定では、指定したテナントが、この設定で受信アクセスも確認する場合にのみ同意プロンプトが表示されなくなります。

     

3. [保存] を選択します。

組織を削除する

組織の設定から組織を削除すると、その組織で、既定のテナント間アクセス設定が有効になります。

注意

組織が組織のクラウド サービス プロバイダーである場合 (Microsoft Graph パートナー固有の構成 の isServiceProvider プロパティが true の場合)、組織を削除することはできません。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. [ 組織の設定 ] タブを選択します。

4. 一覧で組織を見つけ、その行のごみ箱アイコンを選択します。

関連するコンテンツ

• 外部コラボレーションの設定を構成する
• B2B 直接接続のためにクロステナント アクセス設定を構成する

適用対象: ワークフォース テナント 外部テナント (詳細)

External Identities クロステナント アクセス設定を使用して、B2B コラボレーションを通じて他の Microsoft Entra 組織とコラボレーションを行う方法を管理します。 これらの設定により、外部の Microsoft Entra 組織の 受信 アクセス ユーザーのレベルと、ユーザーが外部組織に対して持つ 送信 アクセスのレベルの両方が決まります。 また、他の Microsoft Entra 組織からの多要素認証 (MFA) とデバイス要求 (準拠している要求と Microsoft Entra ハイブリッド参加済みクレーム) を信頼することもできます。 詳細と計画に関する考慮事項については、「 Microsoft Entra External ID のテナント間アクセス」を参照してください。

クラウド間のコラボレーション: 異なる Microsoft クラウドのパートナー組織は、互いに B2B コラボレーションを設定できます。 まず、「 Microsoft クラウド設定の構成」の説明に従って、両方の組織が相互にコラボレーションを有効にする必要があります。 その後、各組織は、必要に応じて 、受信アクセス設定 と 送信アクセス設定を以下のように変更できます。

重要

2023 年 8 月 30 日から、Microsoft は、クロステナント アクセス設定をお使いのお客様を新しいストレージ モデルへと移行し始めています。 自動タスクによって設定が移行されると、テナント間アクセス設定が更新されたことを通知するエントリが監査ログに表示されることがあります。 移行プロセス中の短い期間は、設定を変更できません。 変更できない場合は、しばらく待ってからもう一度変更を試してください。 移行が完了 すると、25 kb のストレージ領域が上限 に達しなくなり、追加できるパートナーの数に制限がなくなります。

注意事項

既定の受信設定または送信設定を [アクセスのブロック ] に変更すると、組織内またはパートナー組織のアプリへの既存のビジネス クリティカルなアクセスがブロックされる可能性があります。 Microsoft Entra External ID のクロステナント アクセスで説明されているツールを必ず使用し、ビジネス関係者に相談して必要なアクセスを特定してください。

• テナント間アクセス設定を構成する前に、テナント間アクセスの概要の重要な考慮事項に関するセクションを確認してください。
• ツールを使用し、「 受信サインインと送信サインインの識別 」の推奨事項に従って、現在アクセスしている外部の Microsoft Entra 組織とリソースを把握します。
• すべての外部 Microsoft Entra 組織に適用する既定のアクセスのレベルを決定します。
• 組織の設定を構成できるように、カスタマイズされた設定が必要な Microsoft Entra 組織 を特定します。
• 外部組織の特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用する場合は、設定を構成する前に、その組織に情報を問い合わせる必要があります。 設定の対象を正しく指定できるように、ユーザー オブジェクト ID、グループ オブジェクト ID、アプリケーション ID ("クライアント アプリ ID" または "リソース アプリ ID) を入手します。
• 外部の Microsoft Azure クラウドでパートナー組織との B2B コラボレーションを設定する場合は、「 Microsoft クラウド設定の構成」の手順に従います。 パートナー組織の管理者は、テナントに対して同じ操作を行う必要があります。
• 許可/ブロック リストとテナント間アクセスの両方の設定は、招待時に確認されます。 ユーザーのドメインが許可リストにある場合は、テナント間アクセス設定でドメインが明示的にブロックされていない限り、ユーザーを招待できます。 ユーザーのドメインがブロックリストにある場合、テナント間アクセス設定に関係なく、ユーザーを招待することはできません。 ユーザーがどちらのリストにも含まれていない場合は、テナント間アクセス設定をチェックして、ユーザーを招待できるかどうかを判断します。

既定のクロステナント アクセス設定は、組織固有のカスタマイズした設定を作成していない、すべての外部組織に適用されます。 Microsoft Entra ID で提供されている既定の設定を変更する場合は、以下の手順に従います。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動し、テナント間アクセス設定を選択します。

3. [ 既定の設定 ] タブを選択し、概要ページを確認します。

   

4. 設定を変更するには、[ 受信の既定値の編集] リンクまたは [ 送信の既定値の編集] リンクを 選択します。

   

5. 以下のセクションの詳細な手順に従って、既定の設定を変更します。

   • 受信アクセス設定を変更する
   • 送信アクセス設定を変更する

以下の手順に従って、特定の組織向けにカスタマイズした設定を構成します。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動し、[組織の設定] を選択します。

3. [ 組織の追加] を選択します。

4. [ 組織の追加 ] ウィンドウで、組織の完全なドメイン名 (またはテナント ID) を入力します。

   

5. 検索結果で組織を選択し、[ 追加] を選択します。

6. 組織が [ 組織設定 ] の一覧に表示されます。 この時点で、この組織のすべてのアクセス設定が、既定の設定から継承されます。 この組織の設定を変更するには、[受信アクセス] 列または [送信アクセス] 列の下にある [既定から継承] リンクを選択します。

   

7. 以下のセクションの詳細な手順に従って、組織の設定を変更します。

   • 受信アクセス設定を変更する
   • 送信アクセス設定を変更する

受信設定を使用して、選んだ内部アプリケーションに、どの外部ユーザーとグループがアクセスできるかを選びます。 構成しようとしているのが既定の設定であるか、組織固有の設定であるかを問わず、クロステナントの受信アクセス設定を変更するための手順は同一です。 このセクションで説明されているように、[組織の設定] タブで [既定] タブまたは組織に移動し、変更を加えます。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. 変更しようとしている設定に移動します。

   • 既定の設定: 既定の受信設定を変更するには、[ 既定の設定 ] タブを選択し、[ 受信アクセス設定] で [ 受信の既定値の編集] を選択します。
   • 組織の設定: 特定の組織の設定を変更するには、[ 組織の設定 ] タブを選択し、一覧から組織を検索 (または 追加) してから、[ 受信アクセス ] 列でリンクを選択します。

4. 変更しようとしている受信設定については、以下の詳細な手順に従います。

   • 受信 B2B コラボレーション設定を変更するには
   • MFA とデバイスの要求を受け入れるための受信信頼設定を変更するには

注意

Microsoft Entra B2B 統合 を有効にして Microsoft SharePoint と Microsoft OneDrive のネイティブ共有機能を使用している場合は、外部 コラボレーション設定に外部ドメインを追加する必要があります。 そうしないと、外部テナントがテナント間アクセス設定に追加されている場合でも、これらのアプリケーションからの招待が失敗する可能性があります。

B2B Collaboration の受信設定を変更するには

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動し、[組織の設定] を選択します

3. [受信アクセス] 列と [B2B コラボレーション] でリンクを選択します。すべての外部ユーザーとグループのアクセスをブロックする場合は、すべての内部アプリケーションへのアクセスもブロックする必要があります。

4. 特定の組織の受信アクセス設定を構成している場合は、オプションを選びます。

   • 既定の設定: 組織で既定の受信設定を使用する場合は、このオプションを選択します ( [既定の 設定] で構成されているように、すべての外部ユーザーとグループのアクセスをブロックする場合は、すべての内部アプリケーションへのアクセスもブロックする必要があります。 この組織に対してカスタマイズされた設定が既に構成されている場合は、[ はい ] を選択して、すべての設定を既定の設定に置き換えることを確認する必要があります。 次に、[ 保存] を選択し、この手順の残りの手順をスキップします。

   • 設定のカスタマイズ: 既定の設定ではなく、この組織に適用する設定をカスタマイズする場合は、このオプションを選択します。 この手順の残りの部分を続けます。

5. [外部ユーザーとグループ] を選択します。

6. [ アクセスの状態] で、次のいずれかを選択します。

   • アクセスを許可する: [ 適用 ] で指定されたユーザーとグループを B2B コラボレーションに招待できるようにします。
   • アクセスをブロックする: [ 適用 対象] で指定されたユーザーとグループが B2B コラボレーションに招待されないようにブロックします。

   

7. [ 適用対象] で、次のいずれかを選択します。

   • すべての外部ユーザーとグループ: [アクセスの状態 ] で選択したアクションを、外部の Microsoft Entra 組織のすべてのユーザーとグループに適用します。
   • 外部ユーザーとグループを選択 します (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [アクセスの状態 ] で選択したアクションを外部組織内の特定のユーザーとグループに適用できます。

   注意

   すべての外部ユーザーとグループのアクセスをブロックする場合は、([ アプリケーション ] タブで) すべての内部アプリケーションへのアクセスをブロックする必要もあります。 テナント間同期を構成している場合、すべての外部ユーザーとグループのアクセスをブロックすると、テナント間の同期がブロックされる可能性があります。

   

8. [外部ユーザーとグループの選択] を選択した場合は、追加するユーザーまたはグループごとに次の操作を行います。

   • [ 外部ユーザーとグループの追加] を選択します。
   • [ 他のユーザーとグループの追加 ] ウィンドウの検索ボックスに、パートナー組織から取得したユーザー オブジェクト ID またはグループ オブジェクト ID を入力します。
   • 検索ボックスの横にあるメニューで、 ユーザー または グループを選択します。
   • [ 追加] を選択します。

   注意

   受信の既定の設定では、ユーザーまたはグループをターゲットにすることはできません。

   

9. ユーザーとグループの追加が完了したら、[ 送信] を選択します。

   

10. [アプリケーション] タブ を 選択します。

11. [ アクセスの状態] で、次のいずれかを選択します。

    • アクセスを許可する: [ 適用 ] で指定されたアプリケーションに B2B コラボレーション ユーザーがアクセスできるようにします。
    • アクセスをブロックする: [ 適用 対象] で指定されたアプリケーションが B2B コラボレーション ユーザーによってアクセスされないようにブロックします。

    

12. [ 適用対象] で、次のいずれかを選択します。

    • すべてのアプリケーション: [アクセスの状態 ] で選択したアクションをすべてのアプリケーションに適用します。
    • アプリケーションの選択 (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [ アクセスの状態 ] で選択したアクションを組織内の特定のアプリケーションに適用できます。

    注意

    すべてのアプリケーションへのアクセスをブロックする場合は、([外部ユーザーと グループ] タブ で) すべての外部ユーザーとグループのアクセスをブロックする必要もあります。

    

13. [アプリケーションの選択] を選択した場合は、追加するアプリケーションごとに次の操作を行います。

    • [ Microsoft アプリケーションの追加] または [他のアプリケーションの追加] を選択します。
    • [選択] ウィンドウで、検索ボックスにアプリケーション名またはアプリケーション ID (クライアント アプリ ID またはリソース アプリ ID) を入力します。 次に、検索結果でアプリケーションを選択します。 追加するアプリケーションごとに繰り返します。
    • アプリケーションの選択が完了したら、[選択] を 選択します。

    

14. [保存] を選択します。

Microsoft アプリケーションを許可するための考慮事項

指定された一連のアプリケーションのみを許可するように テナント間アクセス設定 を構成する場合は、次の表に示す Microsoft アプリケーションを追加することを検討してください。 たとえば、許可リストを構成し、SharePoint Online のみを許可する場合、ユーザーはマイ アプリにアクセスしたり、リソース テナントで MFA に登録したりすることはできません。 スムーズなエンド ユーザー エクスペリエンスを実現するには、受信と送信のコラボレーション設定に次のアプリケーションを含めます。

アプリケーション	リソース ID	ポータルで使用可能	詳細
マイ アプリ	2793995e-0a7d-40d7-bd35-6968ba142197	はい	招待を引き換えた後の既定のランディング ページ。 へのアクセスを定義します myapplications.microsoft.com。
Microsoft アプリ アクセス パネル	0000000c-0000-0000-c000-000000000000	いいえ	マイ サインイン内の特定のページを読み込むときに、遅延バインディング呼び出しで使用されます。たとえば、[セキュリティ情報] ブレードや [組織] スイッチャーなどです。
自分のプロファイル	8c59ead7-d703-4a27-9e55-c96a0054c8d2	はい	マイ グループとマイ アクセス ポータルを myaccount.microsoft.com 含めるアクセスを定義します。 マイ プロファイル内の一部のタブでは、機能するためにここに記載されている他のアプリが必要です。
マイ サインイン	19db86c3-b2b9-44cc-b339-36da233a3be2	いいえ	セキュリティ情報へのアクセスを mysignins.microsoft.com 含めるアクセスを定義します。 ユーザーにリソース テナントでの MFA の登録と使用を要求する場合は、このアプリを許可します (たとえば、MFA はホーム テナントから信頼されていません)。

前の表の一部のアプリケーションでは、Microsoft Entra 管理センターからの選択が許可されていません。 許可するには、次の例に示すように Microsoft Graph API で追加します。

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

注意

PATCH 要求には、以前に構成したアプリケーションが上書きされるため、許可する追加のアプリケーションを必ず含めるようにしてください。 既に構成されているアプリケーションは、ポータルから手動で取得するか、パートナー ポリシーで GET 要求を実行することで取得できます。 たとえば、GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id> のように指定します。

注意

Microsoft Entra 管理センターで使用できるアプリケーションにマップされていない Microsoft Graph API を介して追加されたアプリケーションは、アプリ ID として表示されます。

Microsoft Entra 管理センターの受信および送信のクロステナント アクセス設定に Microsoft 管理ポータル アプリを追加することはできません。 Microsoft 管理ポータルへの外部アクセスを許可するには、Microsoft Graph API を使用して、Microsoft 管理ポータル アプリ グループに含まれる次のアプリを個別に追加します。

• Azure portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra 管理センター (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune 管理センター (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview コンプライアンス ポータル (80ccca67-54bd-44ab-8625-4b79c4dc7775)

引き換え順序を構成する

ゲスト ユーザーが招待を受けるときにサインインに使用できる ID プロバイダーの順序をカスタマイズするには、以下の手順を実行します。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. [ 既定の設定 ] タブの [ 受信アクセス設定] で、[ 受信の既定値の編集] を選択します。

4. [B2B コラボレーション] タブで、[引き換え注文] タブを選択します。

5. ゲスト ユーザーが招待を受けたときにサインインできる ID プロバイダーを上下に動かして、順序を変更します。 引き換え順序を既定の設定にリセットすることもここでできます。

   

6. [保存] を選択します。

Microsoft Graph API を使用して引き換え順序をカスタマイズすることもできます。

1. Microsoft Graph エクスプローラーを開きます。

2. 少なくとも セキュリティ管理者 としてリソース テナントにサインインします。

3. 次のクエリを実行して、現在の引き換え順序を取得します。

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. この例では、SAML/WS-Fed IdP フェデレーションを Microsoft Entra ID プロバイダーの上の引き換え順序に移動して、先頭にします。 次の要求本文で同じ URI にパッチを適用します。

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. 変更を確認するには、GET クエリをもう一度実行します。

6. 引き換え順序を既定の設定にリセットするには、次のクエリを実行します。

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Microsoft Entra ID 検証済みドメインの SAML/WS-Fed フェデレーション (直接フェデレーション)

参加している Microsoft Entra ID 検証済みドメインを追加して、直接フェデレーション関係を設定できるようになりました。 まず、 管理センター または API を使用して、直接フェデレーション構成を設定する必要があります。 ドメインが同じテナントで検証されていないことを確認します。 構成を設定したら、引き換え順序をカスタマイズできます。 SAML/WS-Fed IdP が、最後のエントリとして引き換え順序に追加されます。 引き換え順序で上に移動して、Microsoft Entra ID プロバイダーの上に設定できます。

B2B ユーザーが Microsoft アカウントを使用した招待の引き換えをできないようにする

B2B ゲスト ユーザーが既存の Microsoft アカウントを使用して招待を引き換えたり、招待を受けるための新しいアカウントを作成したりできないようにするには、次の手順に従います。

1. Microsoft Entra 管理センターに少なくともセキュリティ管理者としてサインインする

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. [ 既定の設定 ] タブの [ 受信アクセス設定] で、[ 受信の既定値の編集] を選択します。

4. [B2B コラボレーション] タブで、[引き換え注文] タブを選択します。

5. [ フォールバック ID プロバイダー] で、 Microsoft サービス アカウント (MSA) を無効にします。

   

6. [保存] を選択します。

任意の時点で少なくとも 1 つのフォールバック ID プロバイダーが有効になっている必要があります。 Microsoft アカウントを無効にする場合は、電子メールのワンタイム パスコードを有効にする必要があります。 両方のフォールバック ID プロバイダーを無効にすることはできません。 Microsoft アカウントでサインインしている既存のゲスト ユーザーは、以降のサインイン中も引き続き使用します。この設定を適用するには、 引き換えの状態をリセット する必要があります。

MFA およびデバイスの信頼性情報に関する受信の信頼の設定を変更するには

1. [ 信頼 設定] タブを選択します。

2. (この手順は 組織の設定 にのみ適用されます)。組織の設定を構成する場合は、次のいずれかを選択します。

   • 既定の設定: 組織は、[ 既定 の設定] タブで構成された設定を使用します。この組織に対してカスタマイズされた設定が既に構成されている場合は、[ はい ] を選択して、すべての設定を既定の設定に置き換えることを確認します。 次に、[ 保存] を選択し、この手順の残りの手順をスキップします。

   • 設定のカスタマイズ: 既定の設定ではなく、この組織に適用する設定をカスタマイズできます。 この手順の残りの部分を続けます。

3. 次のオプションの中から、1つまたは複数選択します。

   • Microsoft Entra テナントからの多要素認証を信頼する: 条件付きアクセス ポリシーが外部組織からの MFA 要求を信頼できるようにするには、このチェック ボックスをオンにします。 ユーザーが MFA を完了したことを示す要求については、認証時に Microsoft Entra ID はユーザーの資格情報を確認します。 それ以外の場合は、ユーザーのホーム テナントで MFA チャレンジが開始されます。 この設定は、テナント内のサービスを管理するクラウド サービス プロバイダーの技術者が使用するなど、詳細 な委任された管理者特権 (GDAP) を使用して外部ユーザーがサインインする場合は適用されません。 外部ユーザーが GDAP を使用してサインインする場合、MFA は常にユーザーのホーム テナントで必要であり、リソース テナントでは常に信頼されます。 GDAP ユーザーの MFA 登録は、ユーザーのホーム テナントの外部ではサポートされていません。 組織で、ユーザーのホーム テナントの MFA に基づいてサービス プロバイダーの技術者へのアクセスを禁止する必要がある場合は、 Microsoft 365 管理センターで GDAP 関係を削除できます。

   • 準拠デバイスを信頼する: 条件付きアクセス ポリシーが、ユーザーがリソースにアクセスするときに外部組織からの 準拠デバイス要求 を信頼できるようにします。

   • Microsoft Entra ハイブリッド参加済みデバイスを信頼する: 条件付きアクセス ポリシーが、ユーザーがリソースにアクセスするときに外部組織からの Microsoft Entra ハイブリッド参加済みデバイス要求を信頼できるようにします。

   

4. (この手順は 組織の設定 にのみ適用されます)。 自動引き換え オプションを確認します。

   • テナントで招待を自動的に引き換えます<tenant>: 招待を自動的に使用する場合は、この設定をオンにします。 その場合、指定したテナントのユーザーは、テナント間同期、B2B コラボレーション、または B2B 直接接続を使用して、このテナントに初めてアクセスする際に同意プロンプトで同意する必要はありません。 この設定では、指定したテナントが、この設定で送信アクセスも確認する場合にのみ同意プロンプトが表示されなくなります。

   

5. [保存] を選択します。

このテナントへの同期をユーザーに許可する

追加した組織の 受信アクセス を選択すると、[ テナント間の同期 ] タブと [ ユーザーがこのテナントへの同期を許可 する] チェック ボックスが表示されます。 テナント間同期は、Microsoft Entra ID 一方向同期サービスであり、組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化します。 詳細については、 テナント間同期の構成 と マルチテナント組織のドキュメントを参照してください。

送信アクセス設定を変更する

送信設定を使用して、選んだ外部アプリケーションに、どのユーザーとグループがアクセスできるかを選びます。 構成しようとしているのが既定の設定であるか、組織固有の設定であるかを問わず、クロステナントの送信アクセス設定を変更するための手順は同一です。 このセクションで説明されているように、[組織の設定] タブで [既定] タブまたは組織に移動し、変更を加えます。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. 変更しようとしている設定に移動します。

   • 既定の送信設定を変更するには、[ 既定の設定 ] タブを選択し、[ 送信アクセス設定] で [ 送信の既定値の編集] を選択します。

   • 特定の組織の設定を変更するには、[ 組織の設定 ] タブを選択し、一覧から組織を見つけて (または 追加)、[ 送信アクセス ] 列でリンクを選択します。

4. [B2B コラボレーション] タブを選択します。

5. (この手順は 組織の設定 にのみ適用されます)。組織の設定を構成する場合は、次のオプションを選択します。

   • 既定の設定: 組織は、[ 既定 の設定] タブで構成された設定を使用します。この組織に対してカスタマイズされた設定が既に構成されている場合は、[ はい ] を選択して、すべての設定を既定の設定に置き換えることを確認する必要があります。 次に、[ 保存] を選択し、この手順の残りの手順をスキップします。

   • 設定のカスタマイズ: 既定の設定ではなく、この組織に適用する設定をカスタマイズできます。 この手順の残りの部分を続けます。

6. [ ユーザーとグループ] を選択します。

7. [ アクセスの状態] で、次のいずれかを選択します。

   • アクセスを許可する: [ 適用 対象] で指定したユーザーとグループを、B2B コラボレーションのために外部組織に招待できるようにします。
   • アクセスをブロックする: [ 適用 対象] で指定されたユーザーとグループが B2B コラボレーションに招待されないようにブロックします。 すべてのユーザーとグループに対してアクセスをブロックすると、B2B コラボレーションを介したすべての外部アプリケーションへのアクセスもブロックされます。

   

8. [ 適用対象] で、次のいずれかを選択します。

   • すべての <組織> ユーザー: [アクセスの状態 ] で選択したアクションを、すべてのユーザーとグループに適用します。
   • 組織>ユーザーとグループ<選択します (Microsoft Entra ID P1 または P2 サブスクリプションが必要): [アクセスの状態] で選択したアクションを特定のユーザーとグループに適用できます。

   注意

   すべてのユーザーとグループのアクセスをブロックする場合は、([外部アプリケーション] タブで) すべての外部アプリケーションへのアクセスをブロック する 必要もあります。

   

9. [ 組織 <選択> ユーザーとグループを選択した場合は、追加するユーザーまたはグループごとに次の操作を行います。

   • [組織>ユーザーとグループ<追加] を選択します。
   • [選択] ウィンドウで、検索ボックスにユーザー名またはグループ名を入力します。
   • 検索結果で、ユーザーまたはグループを選択します。
   • 追加するユーザーとグループの選択が完了したら、[選択] を 選択します。

   注意

   ユーザーとグループを対象にすると、 SMS ベースの認証を構成したユーザーを選択することはできません。 これは、外部ユーザーが送信アクセス設定に追加されないように、ユーザー オブジェクトに "フェデレーション資格情報" を持つユーザーがブロックされるためです。 回避策として、 Microsoft Graph API を使用して、ユーザーのオブジェクト ID を直接追加するか、ユーザーが属するグループをターゲットにすることができます。

10. [ 外部アプリケーション ] タブを選択します。

11. [ アクセスの状態] で、次のいずれかを選択します。

    • アクセスを許可する: [ 適用 ] で指定された外部アプリケーションに、B2B コラボレーションを介してユーザーがアクセスできるようにします。
    • アクセスをブロックする: [ 適用 対象] で指定された外部アプリケーションが、B2B コラボレーションを介してユーザーによってアクセスされないようにブロックします。

    

12. [ 適用対象] で、次のいずれかを選択します。

    • すべての外部アプリケーション: [アクセスの状態 ] で選択したアクションをすべての外部アプリケーションに適用します。
    • 外部アプリケーションの選択: [アクセスの状態 ] で選択したアクションをすべての外部アプリケーションに適用します。

    注意

    すべての外部アプリケーションへのアクセスをブロックする場合は、([ ユーザーとグループ ] タブで) すべてのユーザーとグループのアクセスをブロックする必要もあります。

    

13. [外部アプリケーションの選択] を選択した場合は、追加するアプリケーションごとに次の操作を行います。

    • [ Microsoft アプリケーションの追加] または [他のアプリケーションの追加] を選択します。
    • 検索ボックスに、アプリケーション名またはアプリケーション ID ("クライアント アプリ ID" または "リソース アプリ ID") を入力します。 次に、検索結果でアプリケーションを選択します。 追加するアプリケーションごとに繰り返します。
    • アプリケーションの選択が完了したら、[選択] を 選択します。

    

14. [保存] を選択します。

送信の信頼の設定を変更するには

(このセクションは 組織の設定 にのみ適用されます)。

1. [ 信頼 設定] タブを選択します。

2. 自動引き換えオプションを確認します。

   • テナントで招待を自動的に引き換えます<tenant>: 招待を自動的に使用する場合は、この設定をオンにします。 その場合、このテナントのユーザーは、テナント間同期、B2B コラボレーション、または B2B 直接接続を使用して、指定したテナントに初めてアクセスする際に同意プロンプトで同意する必要はありません。 この設定では、指定したテナントが、この設定で受信アクセスも確認する場合にのみ同意プロンプトが表示されなくなります。

     

3. [保存] を選択します。

組織の設定から組織を削除すると、その組織で、既定のテナント間アクセス設定が有効になります。

注意

組織が組織のクラウド サービス プロバイダーである場合 (Microsoft Graph パートナー固有の構成 の isServiceProvider プロパティが true の場合)、組織を削除することはできません。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>External Ids>Cross-tenant アクセス設定に移動します。

3. [ 組織の設定 ] タブを選択します。

4. 一覧で組織を見つけ、その行のごみ箱アイコンを選択します。