Microsoft Entra B2B コラボレーションを使用してローカルで管理されたパートナーのアカウントにクラウド リソースへのアクセスを許可する
適用対象: 従業員テナント 外部テナント (詳細情報)
Microsoft Entra ID 以前は、オンプレミスの ID システムを持つ組織は、パートナーのアカウントを従来、オンプレミスのディレクトリで管理してきました。 このような組織では、アプリケーションを Microsoft Entra ID に移行するときに、パートナーが必要なリソースにアクセスできるようにする必要があります。 リソースがオンプレミスにあるかクラウド内にあるかは問題ではありません。 また、パートナー ユーザーがオンプレミスと Microsoft Entra の両方のリソースに同じサインイン資格情報を使用できるようにする必要があります。
オンプレミス ディレクトリに外部パートナーのアカウントを作成する場合 (たとえば、partners.contoso.com ドメインで Maria Sullivan という外部ユーザーのためにサインイン名が "msullivan" のアカウントを作成する場合)、これらのアカウントをクラウドと同期できます。 具体的には、Microsoft Entra Connect を使用して、パートナー アカウントをクラウドと同期させることができます。これにより、UserType = Guest でユーザー アカウントが作成されます。 その結果、パートナー ユーザーは、ローカル アカウントと同じ資格情報を使用してクラウド リソースにアクセスすることができます。 ローカル ゲスト アカウントの変換の詳細については、「ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する」をご覧ください。
Note
B2B コラボレーションに内部ユーザーを招待する方法に関するページを参照してください。 この機能を使用すると、B2B コラボレーションを使用するように内部ゲスト ユーザーを招待することができます。そのアカウントをオンプレミス ディレクトリからクラウドに同期したかどうかは関係ありません。 ユーザーは、B2B コラボレーションを使用するための招待を受け入れると、自分の ID と資格情報を使用して、アクセスするよう指定されたリソースにサインインできるようになります。 パスワードを維持したり、アカウントのライフサイクルを管理したりする必要はありません。
UserType の一意の属性を識別する
UserType 属性の同期を有効にする前に、まず、UserType 属性をオンプレミス Active Directory から派生させる方法を決める必要があります。 つまり、オンプレミス環境内で、外部コラボレーターに対して一意のパラメーターはどれでしょうか。 こうした外部コラボレーターと、組織のメンバーを区別するパラメーターを特定してください。
パラメーターを定義する 2 つの一般的な方法は次のとおりです。
- ソース属性として使用する未使用のオンプレミス Active Directory 属性 (extensionAttribute1 など) を指定する。
- または、UserType 属性の値を他のプロパティから派生させる。 たとえば、オンプレミス Active Directory UserPrincipalName 属性の末尾がドメイン @partners.contoso.com である場合、すべてのユーザーをゲストとして同期する必要があるとします。
詳細な属性要件については、UserType の同期の有効化に関するページをご覧ください。
Microsoft Entra Connect を構成してユーザーをクラウドに同期する
一意の属性を特定したら、これらのユーザーをクラウドに同期させるように Microsoft Entra Connect を構成できます。これにより、UserType = Guest でユーザー アカウントが作成されます。 承認の観点から、これらのユーザーと、Microsoft Entra B2B コラボレーション招待プロセスによって作成された B2B ユーザーを区別することはできません。
実装手順については、UserType の同期の有効化に関するページをご覧ください。