ゲスト アカウントの前提条件

  • [アーティクル]

Microsoft Managed Desktop では、ゲスト アカウントへのアクセスのために、Microsoft Entra organizationで次の設定が必要です。 これらの設定は、[外部 ID/ 外部コラボレーション] のAzure portalで調整できます。

  • 管理者とゲスト招待者ロールを持つユーザーは、招待を [はい] に設定できます。
  • [コラボレーションの制限] で、次のいずれかのオプションを選択します。
    • [ 任意のドメインへの招待の送信を許可する (最も包括的)] を選択した場合、他の構成は必要ありません。
    • [指定したドメインへの招待を拒否する] を選択した場合は、ターゲット ドメインに Microsoft.com が一覧表示されていないことを確認します。
    • [指定されたドメインへの招待のみ許可する(最も厳しい制限)] を選択した場合、対象ドメインに Microsoft.comが表示されて いる ことを確認します。

登録中のロールとグループの作成

テナントがサービスに登録されると、Microsoft はMicrosoft Entra organizationでロールごとに 1 つのグループを作成します。

ゲスト アカウントのアクセス プロセスの例

  1. アラート通知は、Microsoft Managed Desktop Secure Operations Center (SOC) チームによって受信されます。
  2. SOC エンジニアが、セキュリティ管理者ロールに対して 1 回限りのアクセス要求を送信します。
  3. タスクの要件によっては、チームが承認または自動承認で 1 回限りのアクセスを要求する必要がある場合があります。
    1. ロール固有の要求が完了すると、SOC サービス エンジニアはテナントのMicrosoft Defender ポータルにサインインし、アラートを調査します。 一般的なアラート調査中の主な調査アクションには、次のような項目が含まれる場合があります。
      1. Defender によって設定されたアラート固有の詳細を確認します。
      2. インシデントまたはアラートの分類、状態の設定、またはコメント。
      3. デバイスのタイムラインとインシデント ページの詳細を確認します。
      4. 修復アクションを承認または拒否します。
      5. 自動調査を開始します。
    2. 高度なハント機能を使用します。
  4. これらのアクションが完了すると、SOC エンジニアはテナントからサインアウトし、要求を閉じます。

外部コラボレーションの設定

Microsoft マネージド デスクトップでは、ゲスト アカウントへのアクセスのために、Microsoft Entra organizationで次の構成をお勧めします。 これらの設定は、[外部 ID / 外部コラボレーションの設定][Azure ポータル] で調整できます。

Setting 説明
ゲスト アクセス ゲストは、ディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスが制限されています。
ゲスト招待設定 メンバーユーザーと特定の管理者ロールに割り当てられたユーザーは、メンバー権限を持つゲストを含め、ゲストを招待することができます。

Microsoft Managed Desktop では、ゲスト アカウントへのアクセスのために、Microsoft Entra organizationで次の構成が必要です。 この設定は、[外部 ID / 外部コラボレーションの設定][Azure ポータル] で調整できます。

Setting オプション
共同作業における制限事項 次のいずれかのオプションを選択します。
  • [任意のドメインに招待状を送信できるようにする(最も包括的)] を選択した場合、他の構成は必要ありません。
  • [指定したドメインへの招待を拒否する] を選択した場合は、Microsoft.com がターゲット ドメインに一覧表示されていないことを確認します。
  • [指定されたドメインへの招待のみ許可する(最も厳しい制限)] を選択した場合、対象ドメインに Microsoft.comが表示されて いる ことを確認します。

    これらの設定と対話する制限を設定する場合は、Microsoft Entra ID Modern Workplace サービス アカウントを除外してください。 たとえば、ゲスト アカウントが Intune ポータルにアクセスできないようにする条件付きアクセス ポリシーがある場合は、このポリシーから Modern Workplace サービス アカウント グループを除外します。

    詳細については、「B2B の外部コラボレーションを有効にしてゲストを招待できるユーザー管理する」 を参照してください。

    ライセンスのない Intune 管理者

    ライセンスのない管理者へのアクセスを許可する 設定を有効にする必要があります。 この設定を有効にしないと、サービスのMicrosoft Entra organizationにアクセスしようとしたときにエラーが発生する可能性があります。 セキュリティへの影響を気にすることなく、この設定を安全に有効にすることができます。 アクセスのスコープは、運用スタッフを含め、ユーザーに割り当てられたロールによって定義されます。

    この設定を有効にする方法:

    1. Microsoft Intune管理センターに移動します。
    2. [テナント管理] に移動し、[ロール] を選択します。 次に、[管理者ライセンス] を選択します。
    3. [ライセンスのない管理者へのアクセスを許可する] セクションで、[はい] を選択します。

    重要

    この設定を元に戻すには、[はい] を選択します。

    詳細については、「Microsoft Intune のライセンスのない管理者」 を参照してください。