管理されたゲストで B2B エクストラネットを作成する

  • [アーティクル]

エンタイトルメント管理を使用して B2B エクストラネットを作成し、Azure Active Directory を使用するパートナー organizationと共同作業できます。 これにより、ユーザーはエクストラネット サイトやチームに自己登録し、承認ワークフローを介してアクセス権限を受け取ることができます。

コラボレーションのためにリソースを共有するこの方法を使用して、パートナー組織側でゲストのメンテナンスや承認を行うことができるため、IT 部門の負担が軽減され、コラボレーション契約に最も精通した担当者がユーザー アクセスを管理することができます。

この記事では、セルフサービスのアクセス登録モデルを通してパートナー組織と共有できるリソースのパッケージ (ここではサイトやチーム) を作成するための手順を説明します。

開始する前に、パートナー組織と共有するサイトやチームを作成し、ゲスト共有できるようにします。 詳細については、「サイト内のゲストとのコラボレーション」または「チーム内のゲストとのコラボレーション」を参照してください。 また、ゲストとのコラボレーション時にガバナンス ポリシーを維持するために使用できるセキュリティおよびコンプライアンス機能に関する詳細については、「セキュリティで保護されたゲスト共有の環境を作成する」を参照することをお勧めします。

ライセンス要件

この機能を使用するには、Microsoft Entra ID ガバナンスライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Azure ADの一般公開機能を比較する」を参照してください。

Azure Germany や Azure China 21Vianet などの特殊なクラウドは、現在使用できません。

ビデオ デモンストレーション

このビデオでは、この記事で取り上げた手順を紹介しています。

パートナー組織と接続する

パートナー組織からゲストを招待するには、パートナーのドメインを Azure Active Directory に接続している組織として追加する必要があります。

接続している組織を追加するには

  1. Microsoft Entra管理センターで、[ID ガバナンス] を選択します。

  2. [ 接続済み組織] を選択します。

  3. [接続organizationの追加] を選択します。

  4. organizationの名前と説明を入力し、[次へ: ディレクトリ + ドメイン] を選択します。

  5. [ ディレクトリとドメインの追加] を選択します。

  6. 接続するorganizationのドメインを入力し、[追加] を選択します。

  7. [ 接続] を選択し、[ 次へ: スポンサー] を選択します。

  8. 所属している組織または接続している組織から、ゲストのアクセスを承認するユーザーを追加します。

  9. [ 次へ: 確認と作成] を選択します

  10. 選択した設定を確認し、[ 作成] を選択します。

    Microsoft Entraの [接続された組織] ページのスクリーンショット。

リソースを選択して共有する

パートナー組織と共有するリソースを選択する最初の手順は、そのリソースを含むカタログを作成することです。

カタログを作成するには

  1. Microsoft Entra管理センターで、[ID ガバナンス] を選択します。

  2. [ カタログ] を選択します

  3. [ 新しいカタログ] を選択します。

  4. カタログ用の名前と説明を入力し、[有効にする][外部ユーザーに有効にする] の両方で [はい] に設定されていることを確認します。

  5. [作成] を選択します。

    Microsoft Entra 管理 センターのカタログ ページのスクリーンショット。

カタログが作成されたら、パートナー組織と共有する SharePoint サイトやチームを追加します。

カタログにリソースを追加

  1. Microsoft Entra 管理 センターで、[カタログ] を選択し、リソースを追加するカタログを選択します。

  2. [ リソース ] を選択し、[ リソースの追加] を選択します。

  3. エクストラネットに含めるチームまたは SharePoint サイトを選択し、[ 追加] を選択します。

    Microsoft Entra 管理 センターのカタログ リソース ページのスクリーンショット。

共有するリソースを定義したら、次の手順ではアクセス パッケージを作成します。アクセス パッケージでは、パートナー ユーザーに付与されるアクセスの種類と、アクセスを要求する新しいパートナー ユーザーの承認プロセスを定義します。

アクセス パッケージを作成するには

  1. Microsoft Entra 管理 センターで、[カタログ] を選択し、アクセス パッケージを作成するカタログを選択します。

  2. [ アクセス パッケージ] を選択し、[ 新しいアクセス パッケージ] を選択します。

  3. アクセス パッケージの名前と説明を入力し、[ 次へ: リソース ロール] を選択します。

  4. エクストラネットに使用するカタログからリソースを選択します。

  5. 各リソースの [役割] 列では、エクストラネットを使用するゲストに付与するユーザー ロールを選択します。

  6. [ 次へ: 要求] を選択します

  7. [アクセス許可を要求できるユーザー] で、[ディレクトリにいないユーザー] を選択します。

  8. [特定の接続済み組織] オプションが選択されていることを確認し、[ディレクトリの追加] を選択します。

  9. 前に追加した接続organizationを選択し、[選択] を選択します。

  10. [承認][商品を要求する][はい] を選択します。

  11. [最初の承認者] で、以前に追加したスポンサーの 1 人を選択するか、特定のユーザーを選択します。

  12. CliSelectck フォールバックを追加 し、フォールバック承認者を選択します。

  13. [有効にする] で、[はい] を選択します。

  14. [ 次へ: ライフサイクル] を選択します。

  15. 使用する有効期限とアクセス レビュー設定を選択し、[ 次へ: 確認と作成] を選択します。

  16. 設定を確認し、[ 作成] を選択します。

    Microsoft Entra 管理 センターのアクセス パッケージ画面のスクリーンショット。

大規模な組織と提携している場合は、アクセス パッケージを非表示にすることができます。 パッケージが非表示の場合、パートナー organizationのユーザーはマイ アクセス ポータルにパッケージを表示しません。 代わりに、パッケージにサインアップするための直接リンクを送信してもらう必要があります。 アクセス パッケージを非表示にすることで、不適切なアクセス要求の数を減らすことができ、また、パートナー組織のポータルで利用可能なアクセス パッケージを保持することにも役立ちます。

アクセス パッケージを非表示の設定にするには

  1. Microsoft Entra管理センターで、[アクセス パッケージ] を選択し、アクセス パッケージを選択します。

  2. [ 概要 ] ページで、[ 編集] を選択します。

  3. [プロパティ] で、[非表示] で [はい] を選択し、[保存] を選択します

    アクセス パッケージのプロパティ画面のスクリーンショット。

パートナー ユーザーを招待する

アクセス パッケージを非表示に設定した場合は、パートナー組織が自分のサイトやチームへのアクセスを要求できるように、直接リンクを送信する必要があります。

アクセス ポータル リンクを検索するには

  1. Microsoft Entra 管理 センターで、[アクセス パッケージ] を選択し、アクセス パッケージを選択します。

  2. [概要] ページで、[マイ アクセス ポータル] リンク[クリップボードにコピー] リンクを選択します。

    アクセス ポータル リンクを備えたアクセス パッケージ プロパティのスクリーンショット。

リンクをコピーしたら、パートナー organizationで連絡先と共有し、コラボレーション チームのユーザーに送信できます。

関連項目

セキュリティで保護されたゲスト共有の環境を作成する