テナント間アクセス設定 API の概要

  • [アーティクル]

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

従来のMicrosoft Entra B2B コラボレーションでは、organizationから招待されたユーザーは、ID を使用して外部組織のリソースにアクセスできます。 管理者は、外部組織へのサインインを許可されているテナント内のユーザー ID を制御できませんでした。 これらの制限付き制御により、organizationからの ID が不正な方法で使用されるのを防ぐことが困難になりました。

テナント間アクセス設定を使用すると、organization内のユーザーと他の組織間のコラボレーションを制御および管理できます。 コントロールは、次の構成の 1 つまたは組み合わせで使用できます。

  • 送信アクセス - ユーザーが他の組織と共同作業する方法。
  • 受信アクセス - 他の組織が共同作業を行う方法。
  • テナント制限アクセス - ユーザーがネットワークまたはデバイスから他のorganization ID を使用して他の組織と共同作業する方法。

きめ細かい制御を使用すると、organizationと外部組織の両方で、テナント間コラボレーションに参加できるユーザー、グループ、アプリを決定できます。 これらのコントロールは、次の方法で実装されます。

  • 受信および送信アクセスとテナント制限のベースライン設定を設定する既定のクロステナント アクセス設定。

    • B2B コラボレーションMicrosoft Entraでは、受信と送信の両方のアクセス設定が既定で有効になります。 この既定の構成は、すべてのユーザーを外部組織に招待でき、すべてのユーザーがゲスト ユーザーを招待できることを意味します。
    • B2B 直接接続Microsoft Entraでは、受信と送信の両方のアクセス設定が既定で無効になっています。
    • サービスの既定の設定が更新される場合があります。
    • [テナントの制限] では、すべてのアクセス設定が既定で無効になっています。
    • サービスの既定の設定が更新される場合があります。

  • パートナー固有のアクセス設定 。これにより、個々の組織のカスタマイズされた設定を構成できます。 構成された組織の場合、この構成は既定の設定よりも優先されます。 したがって、B2B コラボレーションMicrosoft Entra、B2B 直接接続Microsoft Entra、およびテナントの制限がorganization全体で無効になっている場合は、特定の外部organizationに対してこれらの機能を有効にすることができます。

重要

B2B 直接接続の送信設定を構成することで、送信設定を有効にした外部組織がユーザーに関する制限付き連絡先データにアクセスできるようにします。 Microsoft は、これらの組織とこのデータを共有して、ユーザーと接続するための要求を送信できるようにします。 限られた連絡先データを含む外部組織によって収集されたデータは、これらの組織のプライバシー ポリシーとプラクティスの対象となります。

既定のクロステナント アクセス設定

既定のクロステナント アクセス設定により、他のすべてのMicrosoft Entra組織との受信と送信のコラボレーションとテナントの制限に対するスタンスが決まります。 クロステナント アクセス設定に明示的に一覧表示されていないorganizationとの外部コラボレーションは、これらの既定の設定を継承します。 既定の設定は、 crossTenantAccessPolicyConfigurationDefault リソースの種類を使用して定義されます。

既定では、Microsoft Entra IDは、すべてのMicrosoft Entraテナントに、テナント間アクセス設定のサービスの既定の構成を割り当てます。 これらのサービスの既定値は、organizationに合わせて独自の構成でオーバーライドできます。 既定のエンドポイントのクエリを実行するときに返される isServiceDefault プロパティを調べることで、サービスの既定の設定またはカスタム設定を使用しているかどうかを確認できます。

パートナーのテナント間アクセス設定

パートナー固有のクロステナント アクセス設定によって、特定のMicrosoft Entra organizationを使用した受信と送信のコラボレーションとテナントの制限に対するスタンスが決まります。 このorganizationとのコラボレーションは、これらのパートナー固有の設定を継承します。 パートナー設定は、 crossTenantAccessPolicyConfigurationPartner リソースの種類を使用して定義されます。

パートナー固有のオブジェクトのすべてのプロパティを構成しない限り、既定の設定の一部が適用される場合があります。 たとえば、テナント間アクセス設定でパートナーに対して b2bCollaborationInbound のみを構成した場合、パートナー構成は、既定のクロステナント アクセス設定から他の設定を継承します。 パートナー エンドポイントに対してクエリを実行するときに、既定のポリシーから設定を継承する null パートナー オブジェクトのプロパティ。

テナント間アクセス設定の受信信頼設定

受信信頼設定を使用すると、MFA ゲスト ユーザーがホーム ディレクトリで実行することを信頼できます。これにより、ゲスト ユーザーはホーム ディレクトリとディレクトリの両方で MFA を実行する必要がありません。 受信信頼設定を使用すると、ゲスト ユーザーのシームレスな認証エクスペリエンスを有効にし、organizationによって発生する MFA コストを節約できます。

たとえば、MFA を信頼するように信頼設定を構成する場合、MFA ポリシーは引き続きゲスト ユーザーに適用されますが、ホーム テナントで MFA を既に完了しているユーザーは、テナントで MFA をもう一度完了する必要はありません。

受信信頼設定を使用すると、準拠しているデバイスや、ホーム ディレクトリに参加しているハイブリッドMicrosoft Entraを信頼することもできます。 クロステナント アクセス設定の受信信頼設定を使用すると、ゲスト ユーザーが準拠しているデバイスを使用するか、ハイブリッド参加済みデバイスをMicrosoft Entraするように要求することで、アプリとリソースへのアクセスを保護できるようになりました。

クロステナント アクセス設定での受信クロステナント同期

テナント間同期を有効にして、パートナー テナントのユーザーを同期できます。 クロステナント同期は、Microsoft Entra IDの一方向同期サービスであり、organization内のテナント間での B2B コラボレーション ユーザーの作成、更新、削除を自動化します。 マルチテナント組織のユーザー間のコラボレーションを効率化するためのユーザー同期ポリシーを作成します。 パートナー ユーザー同期設定は、 crossTenantIdentitySyncPolicyPartner リソースの種類を使用して定義されます。

さまざまな Microsoft クラウドでMicrosoft Entra IDを使用して組織と共同作業する

テナント間アクセス設定は、別の Microsoft クラウド内のMicrosoft Entra組織とのコラボレーションを可能にするために使用されます。 allowedCloudEndpointsプロパティを使用すると、コラボレーションを拡張する Microsoft クラウドを指定できます。 B2B コラボレーションは、次の Microsoft クラウド間でサポートされています。

  • Microsoft Azure 商用および Microsoft Azure Government
  • Microsoft Azure Commercial と Microsoft Azure China

別の Microsoft クラウドからの組織との共同作業について詳しくは、こちらをご覧ください。

API 応答の解釈

テナント間アクセス設定 API を使用して、organizationとの間のアクセスを許可またはブロックするための複数の構成を設定できます。 次の表では、シナリオを示し、API 応答の例と、その応答の解釈を示します。 b2bSetting は、B2B 受信 (b2bCollaborationInbound または b2bDirectConnectInbound) または送信 (b2bCollaborationOutbound または b2bDirectConnectOutbound) またはテナント制限 (tenantRestrictions) 構成のプレースホルダーとして使用されます。


シナリオ API 出力 解釈
すべてのユーザーをブロックし、すべてのアプリケーションをブロックする 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
すべてのユーザーを許可し、すべてのアプリケーションを許可する 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
グループ 'g1' のユーザーが任意のアプリにアクセスできるようにする 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
グループ 'g1' のユーザーは、任意のアプリにアクセスできます。 グループ 'g1' に含まれていない他のすべてのユーザーはブロックされます。
アプリケーション 'a1' へのアクセスのみを許可する 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
すべてのユーザーは、アプリケーション 'a1' へのアクセスのみが許可されます
グループ 'g1' のユーザーを許可し、アプリケーション 'a1' へのアクセスをブロックする 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
グループ 'g1' のすべてのユーザーは、アプリケーション 'a1' を除く すべてのアプリケーションにアクセスできます。
グループ 'g1' のユーザーがアプリケーションにアクセスできないようにブロックする 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
グループ 'g1' のユーザーはどのアプリケーションにもアクセスできません。 グループ 'g1' に含まれていない他のユーザーは、すべてのアプリケーションにアクセスできます。
グループ 'g1' のユーザーをブロックし、アプリケーション 'a1' へのアクセスのみを許可する 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
グループ 'g1' のユーザーはどのアプリケーションにもアクセスできません。 グループ 'g1' に含まれていないユーザーは、アプリケーション 'a1' にのみアクセスできます。
グループ 'g1' のユーザーがアプリケーション 'a1' にのみアクセスできるようにする 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
グループ 'g1' のユーザーは、アプリケーション 'a1' にのみアクセスできます。 グループ 'g1' のユーザーを含むすべてのユーザーは、他のアプリケーションへのアクセスをブロックされます。
グループ 'g1' のユーザーがアプリケーション 'a1' にアクセスできないようにブロックする 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
グループ 'g1' のユーザーは、アプリケーション 'a1' へのアクセスのみがブロックされます。 グループ 'g1' のユーザーを含むすべてのユーザーは、他のアプリケーションにアクセスできます。
ゲスト ユーザー招待の引き換え中に、Azure AD よりも外部フェデレーションを使用する優先順位を設定する 
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
}
認証のために Azure AD を試す前に、ゲスト ユーザーが外部フェデレーション パートナーからのユーザーかどうかを確認します。

テナント間アクセス設定とテナント制限

テナント間アクセス設定の送信制御は、organizationのアカウントを他のMicrosoft Entra組織のリソースへのアクセスに使用する方法を制御するためのものです。 テナント制限は、従業員がネットワークまたはデバイス上にいる間に、従業員が他のMicrosoft Entra組織のアカウントを使用する方法を制御することです。 重要なことに、送信制御はアカウントに関連付けられているため常に機能しますが、テナント制限では、テナント制限はアカウントではなくネットワークとデバイスにスコープされるため、認証要求に追加のシグナルを挿入する必要があります。 テナントの制限について詳しくは、こちらをご覧ください。

関連コンテンツ