Share via

ゲストのアクセスと B2B 外部ユーザーのアクセスを許可するためのポリシー

  • [アーティクル]

この記事では、Microsoft Entra 企業間 (B2B) アカウントを持つゲストおよび外部ユーザーのアクセスを許可するように、推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを調整する方法について説明します。 このガイダンスは、一般的な ID とデバイスのアクセス ポリシーに基づいています。

これらの推奨事項は、開始点保護レベルに適用するように設計されています。 ただし、エンタープライズ特殊なセキュリティの保護のための特定のニーズに基づいて、推奨事項を調整することもできます。

Microsoft Entra テナントでの認証のために B2B アカウントのパスを指定しても、これらのアカウントが環境全体にアクセスできるようになることはありません。 B2B ユーザーとそのアカウントは、条件付きアクセス ポリシーによって共有されているファイルなどのサービスとリソースにアクセスできます。

ゲストと外部ユーザーのアクセスを許可および保護するための一般的なポリシーの更新

この図は、B2B のゲストと外部ユーザーのアクセスのために一般的な ID とデバイスのアクセス ポリシーで追加または更新するポリシーを示したものです。

ゲスト アクセスを保護するためのポリシー更新の概要を示す図。

次の表は、作成および更新する必要があるポリシーの一覧です。 一般的なポリシーは、一般的な ID とデバイスのアクセス ポリシーに関する記事の関連する構成手順にリンクしています。

防護等級 ポリシー 詳細
開始ポイント ゲストと外部ユーザーに対して常に MFA を要求する この新しいポリシーを作成して構成します。
  • [割り当て] > [ユーザーとグループ] > [含める] で、[ユーザーとグループの選択] を選んで、[すべてのゲストおよび外部ユーザー] を選びます。
  • [割り当て] > [条件] > [サインイン リスク] で、すべてのサインイン リスク レベルを選びます。
ログインリスクが程度またはレベルの場合はMFAが必要 ゲストと外部ユーザーを除外するように、このポリシーを変更します。

条件付きアクセス ポリシーにゲストと外部ユーザーを含めたり除外したりするには、[割り当て] > [ユーザーとグループ] > [含む] または [含まない] で、[すべてのゲストおよび外部ユーザー] をオンにします。

ゲストと外部ユーザーを除外するためのコントロールのスクリーンショット。

詳細

Microsoft Teams でのゲストと外部ユーザーのアクセス

Microsoft Teams で次のユーザーを定義します。

  • ゲスト アクセスは、チームのメンバーとして追加でき、チームの通信とリソースにアクセスできる、Microsoft Entra B2B アカウントを使います。

  • 外部アクセスは、B2B アカウントを持たない外部ユーザー用です。 外部ユーザーのアクセスには招待、通話、チャット、会議が含まれますが、チーム メンバーシップやチームのリソースへのアクセスは含まれません。

詳しくは、Teams でのゲストと外部ユーザーのアクセスの比較に関する記事をご覧ください。

Teams での ID とデバイスのアクセスのセキュリティ保護のポリシーについて詳しくは、「Teams のチャット、グループ、ファイルをセキュリティで保護するためのポリシーに関する推奨事項」をご覧ください。

ゲストと外部ユーザーに対して常に MFA を要求する

このポリシーは、ゲストがホーム テナントで MFA に登録されているかどうかに関係なく、そのテナントでの MFA に登録するよう求めます。 そのテナント内のリソースにアクセスするゲストと外部ユーザーは、すべての要求に MFA を使う必要があります。

リスクベースの MFA からのゲストと外部ユーザーの除外

組織は Microsoft Entra ID 保護を使って B2B ユーザーにリスクベースのポリシーを適用できますが、ID がホーム ディレクトリに存在するため、リソース ディレクトリでの B2B コラボレーション ユーザーに対する Microsoft Entra ID 保護の実装には制限があります。 これらの制限のため、Microsoft は、リスクベースの MFA ポリシーからゲストを除外し、これらのユーザーには常に MFA の使用を要求することをお勧めします。

詳しくは、「B2B コラボレーション ユーザーの ID Protection に関する制限事項」をご覧ください。

デバイス管理からのゲストと外部ユーザーの除外

1 つのデバイスを管理できる組織は 1 つだけです。 デバイスのコンプライアンスを要求するポリシーからゲストと外部ユーザーを除外しない場合、これらのポリシーはこれらのユーザーをブロックします。

次のステップ

Microsoft 365 クラウド アプリと Microsoft Defender for Cloud Apps のポリシーのスクリーンショット。

次のものに対する条件付きアクセス ポリシーを構成します。