Microsoft Entra の一部である Microsoft Entra ID を使うと、外部のゲスト ユーザーが Microsoft Entra ID での自分の組織で表示できる内容を制限できます。 既定では、ゲスト ユーザーは Microsoft Entra ID で制限されたアクセス許可レベルに設定されますが、メンバー ユーザーの既定値は、ユーザー アクセス許可の完全なセットになります。 Microsoft Entra 組織の外部コラボレーション設定には、さらに制限されたアクセス用の別のゲスト ユーザーのアクセス許可レベルがあるため、ゲスト アクセス レベルは次のようになります。
| アクセス許可レベル | アクセス レベル | 価値 |
|---|---|---|
| メンバー ユーザーと同じ | ゲストは、Microsoft Entra リソースに対してメンバー ユーザーと同じアクセス権を持っています | A0B1B346-4D3E-4E8B-98F8-753987BE4970 |
| 制限付きアクセス (既定) | ゲストは、非表示でないすべてのグループのメンバーシップを表示できます | 10DAE51F-B6AF-4016-8D66-8C2A99B929B3 |
| 制限付きアクセス (新規) | ゲストは、どのグループのメンバーシップも表示できません | 2AF84B1E-32C8-42B7-82BC-DAA82404023B |
ゲスト アクセスが制限されている場合、ゲストは自分のユーザー プロファイルのみを表示できます。 ゲストがユーザー プリンシパル名または objectId で検索している場合でも、他のユーザーを表示するアクセス許可は許可されません。 制限付きアクセスでは、ゲスト ユーザーが所属しているグループのメンバーシップも表示できないように制限されます。 ゲスト ユーザーのアクセス許可を含めた全体的な既定のユーザー アクセス許可については、「Microsoft Entra ID の既定のユーザー アクセス許可とは」を参照してください。
Microsoft Entra 管理センターの更新
Microsoft Entra 管理センターにユーザー管理者としてサインインします。
「Entra ID>External Identities」を選択します。
[外部コラボレーションの設定] を選択します。
[外部コラボレーションの設定] ページで、 [Guest user access is restricted to properties and memberships of their own directory objects] (ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する) オプションを選択します。
![Microsoft Entra の [外部コラボレーション設定] ページのスクリーンショット。](media/users-restrict-guest-permissions/external-collaboration-settings.png)
[保存] を選択します。 変更は、ゲスト ユーザーに対して有効になるまでに最大 15 分かかることがあります。
Microsoft Graph API を使用して更新する
Microsoft Entra 組織でゲストアクセス許可を構成するための新しい Microsoft Graph API があります。 次の API 呼び出しを実行して、任意のアクセス許可レベルを割り当てることができます。 ここで使用する guestUserRoleId の値は、最も制限の厳しいゲスト ユーザー設定を示すためのものです。 Microsoft Graph を使用してゲストのアクセス許可を設定する方法の詳細については、authorizationPolicy リソース タイプに関するページを参照してください。
初めての設定を行う
POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
応答は Success 204 です。
メモ
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。
既存の値の更新
PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
応答は Success 204 です。
現在の値を表示する
GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
応答の例:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
"id": "authorizationPolicy",
"displayName": "Authorization Policy",
"description": "Used to manage authorization related settings across the company.",
"enabledPreviewFeatures": [],
"guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"permissionGrantPolicyIdsAssignedToDefaultUserRole": [
"user-default-legacy"
]
}
PowerShell コマンドレットで更新する
この機能では、PowerShell v2 コマンドレットを使用して制限されたアクセス許可を構成できるようにしました。 PowerShell のGetおよびUpdateコマンドレットは、バージョン2.0.2.85で公開されています。
Get コマンド: Get-MgPolicyAuthorizationPolicy
例:
Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom : everyone
AllowUserConsentForRiskyApps :
AllowedToSignUpEmailBasedSubscriptions : True
AllowedToUseSspr : True
BlockMsolPowerShell : False
DefaultUserRolePermissions : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime :
Description : Used to manage authorization related settings across the company.
DisplayName : Authorization Policy
GuestUserRoleId : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id : authorizationPolicy
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}
Update コマンド:Update-MgPolicyAuthorizationPolicy
例:
Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'
サポートされている Microsoft 365 サービス
サポートされているサービス
サポートされているということは、エクスペリエンスが期待どおりであるということです。具体的には、現在のゲスト エクスペリエンスと同じです。
- チーム
- 見通し(OWA)
- SharePoint
- Teams 内の Planner
- Planner モバイル アプリ
- Planner Web アプリ
- ウェブ用のプロジェクト
- プロジェクト運営
現時点ではサポートされていないサービス
現在サポートされていないサービスには、新しいゲスト制限設定に関する互換性の問題がある可能性があります。
- フォーム
- プロジェクトオンライン
- Yammer
- SharePoint の Planner
よく寄せられる質問 (FAQ)
| 質問 | 答え |
|---|---|
| これらのアクセス許可はどこに適用されますか。 | これらのディレクトリ レベルのアクセス許可は、Microsoft Graph、PowerShell v2、Azure portal、マイ アプリ ポータルなどの Microsoft Entra サービスに適用されます。 コラボレーション シナリオに Microsoft 365 グループを使用する Microsoft 365 サービスも影響を受けます(特に Outlook、Microsoft Teams、SharePoint)。 |
| 制限付きアクセス許可は、ゲストが表示できるグループにどのように影響しますか。 | 既定または制限付きのゲスト アクセス許可に関係なく、ゲストはグループまたはユーザーの一覧を列挙できません。 ゲストは、アクセス許可に応じて、Azure portal とマイ アプリ ポータルの両方で自身がメンバーであるグループを表示できます。
Graph API から取得するディレクトリ アクセス許可の詳細な比較については、既定のユーザー アクセス許可に関するページを参照してください。 |
| この機能によって影響を受けるのは、マイ アプリ ポータルのどの部分ですか。 | マイ アプリ ポータルのグループ機能では、これらの新しいアクセス許可が適用されます。 この機能には、マイ アプリのグループ一覧とグループ メンバーシップを表示するためのすべてのパスが含まれます。 グループ タイルの可用性に変更は加えられていません。 グループ タイルの可用性は、Azure portal の既存のグループ設定によって引き続き制御されます。 |
| これらのアクセス許可は、SharePoint または Microsoft Teams のゲスト設定をオーバーライドしますか。 | いいえ。 これらの既存の設定は、引き続きこれらのアプリケーションのエクスペリエンスとアクセスを制御します。 たとえば、SharePoint で問題が発生した場合は、外部共有の設定を再確認してください。 チーム レベルでチーム所有者によって追加されたゲストは、プライベート チャネルと共有チャネルを除き、標準チャネルでのみチャネル会議チャットにアクセスできます。 |
| Yammer には、互換性に関する既知の問題がありますか。 | アクセス許可が "制限付き" に設定されている場合、Yammer にサインインしたゲストはグループから離れることができません。 |
| テナントの既存のゲスト アクセス許可は変更されますか。 | 現在の設定に変更は加えられていません。 既存の設定に対して下位互換性を維持しています。 変更を行うタイミングを決定してください。 |
| これらのアクセス許可は既定で設定されますか。 | いいえ。 既存の既定のアクセス許可は変更されていません。 必要に応じて、より制限の厳しいアクセス許可を設定することもできます。 |
| この機能のライセンス要件はありますか。 | いいえ。この機能には新しいライセンスの要件はありません。 |
次のステップ
- Microsoft Entra ID の既存のゲストアクセス許可の詳細については、「Microsoft Entra ID の既定のユーザー アクセス許可とは」を参照してください
- ゲスト アクセスを制限するための Microsoft Graph API のメソッドについては、
authorizationPolicyリソース タイプに関するページを参照してください。 - ユーザーのすべてのアクセスを取り消すには、「Microsoft Entra ID でユーザー アクセスを取り消す」を参照してください