トレーニング
B2B 同期
OneDrive 同期アプリを使用すると、他の組織から共有されている Microsoft SharePoint または Microsoft OneDrive 内のライブラリまたはフォルダーをユーザーが同期できるようになりました。 このシナリオは、多くの場合、ビジネス間 (B2B) コラボレーションと呼ばれます。 この新機能は、OneDrive 同期アプリ "B2B Sync" で呼び出しています。
Microsoft Entra ゲスト アカウントは、B2B コラボレーションを可能にする上で重要な役割を果たします。 ある組織のゲスト アカウントは、別の組織のメンバー アカウントにリンクします。 ゲスト アカウントを作成すると、OneDrive や SharePoint などの Microsoft 365 サービスは、組織内のメンバーにアクセス許可が付与されるのと同じ方法で、サイトやフォルダーにゲストアクセス許可を付与できます。 2 つの組織のアカウントはリンクされているため、ユーザーは自分の組織のアカウントのユーザー名とパスワードのみを記憶する必要があります。 その結果、自分のアカウントへのシングル サインインを使用すると、自分の組織や、ゲスト アカウントを作成した他の組織のコンテンツにアクセスできます。
重要
SharePoint と OneDrive と Microsoft Entra B2B の統合を有効にして、共有受信者に必要な Microsoft Entra ゲスト アカウントが組織のディレクトリに作成されるようにすることをお勧めします。
組織外のユーザーが共有ライブラリとフォルダーを同期する場合:
- 組織で外部共有を有効にする必要があります。
- サイトまたは OneDrive で外部共有を有効にする必要があります。
- コンテンツは、サイトまたはフォルダー レベルで組織外のユーザーと共有する必要があります。 フォルダーが共有されている場合は、サインインが必要なリンク経由である必要があります。
- 共有受信者は、コンテンツ テナントと同じクラウド (Microsoft Azure Commercial、Microsoft Azure Government、または Microsoft Azure China) に Microsoft 365 職場または学校アカウント (Microsoft Entra ID) を持っている必要があります。 (Microsoft Azure Commercial には Microsoft 365 商用および GCC クラウド環境が含まれており、Microsoft Azure Government には GCC High および DoD クラウド環境が含まれていることに注意してください)。
- Microsoft Entra 条件付きアクセス ポリシーは、ゲストと互換性がある必要があります (以下の詳細)。
- 19.086.*より前のビルドを使用している場合、ADAL を有効にしないでください。
この記事では、B2B 同期エクスペリエンスの概要と、これらの要件について詳しく説明します。
- 1 つのクラウド (Microsoft Azure China など) のテナントから共有されたコンテンツは、別のクラウド (Microsoft Azure Commercial など) のユーザーが同期することはできません。
- Mac では、Files On-Demand サムネイルは外部組織のサイトからは表示されません。 サムネイルは、ユーザー自身の組織のファイルに対して正しく表示されます。
- Mac で、ゲスト アカウントが同期アプリで使用しているフォームとは異なるメール アドレス形式で作成された場合、外部サイトのコンテンツを同期できません。 たとえば、 first.last@fabrikam.com と です alias@fabrikam.com。
- Mac では、外部コンテンツは、外部組織の名前ではなく、ユーザー自身の組織のフォルダー内のローカル コンピューターに配置できます。
- 外部組織のゲスト アカウントの対話型認証 UI は、同期クライアントではサポートされていません。
"Contoso" のユーザーが "Fabrikam" のユーザーとサイトまたはフォルダーを共有した後の動作の例を次に示します。
Fabrikam 受信者は、次のようなメールを受信します。
受信者がメール内のリンクをクリックして共有アイテムに移動すると、Fabrikam アカウントでサインインするために [組織アカウント] をクリックする必要があります。 バックグラウンドでは、Microsoft Entra ID で Contoso ゲスト アカウントが作成されます。
受信者は Fabrikam のユーザー名またはパスワードを入力する必要があり、共有アイテムを表示できます。 共有されたすべてを同期したくない場合は、同期するライブラリまたはフォルダーを参照できます。同期を設定するには、[同期] ボタンをクリックする必要があります。
ゲストのブラウザーには、"Microsoft OneDrive" を開くかどうかを確認するメッセージが表示され、これを許可する必要があります。
ゲストが Fabrikam アカウントで同期アプリを初めて使用する場合は、サインインする必要があります。 メール アドレスは、前の手順で使用した Fabrikam アカウントに自動的に設定されます。 ゲストは [サインイン] を選択する必要があります。
ゲストが同じアカウントで Windows にサインインしている場合、Fabrikam パスワードを入力せずに同期アプリにサインインできる場合があります。 それ以外の場合は、パスワードを入力する必要があります。
ゲストは、自分のコンピューター上の共有アイテムを同期する場所を確認します。
注意
コンテンツは、組織の名前 (この例では "SharePoint - Contoso") を含む名前のフォルダーに配置されます。 ユーザーが Fabrikam から SharePoint コンテンツも同期している場合は、"SharePoint - Fabrikam" フォルダーもあります。
ゲストは、OneDrive 同期アプリのセットアップを続行します。
ゲストのセットアップが完了すると、サイトの同期が開始されます。 ユーザーは、通知領域の青いクラウド アイコンをクリックして OneDrive 同期アクティビティ センターを開き、ファイルの同期を確認したり、ファイルを含むローカル フォルダーを開いたり、Web ブラウザーで SharePoint サイトを開いたりすることができます。
組織のユーザーが他の組織のパートナーと共有できるようにするには、組織レベルで外部共有を有効にする必要があります。 これを行うには、Microsoft 365 のグローバル管理者または SharePoint 管理者である必要があります。 組織レベルで外部共有を有効にした後、サイトごとにサイトを制限できます。 サイトの設定は、組織の設定と同じにすることも、制限を厳しくすることもできますが、制限は厳しくすることはできません。
組織レベルの共有設定は、2 つの異なる場所で変更できます (両方とも同じことを制御します)。
- 新しい SharePoint 管理センターの [共有] ページで。 詳細については、「組織レベルの外部共有設定を変更する」を参照してください。
- Microsoft 365 管理センターの [組織の設定] ページ > SharePoint。
重要
[すべてのユーザー] リンク ("匿名アクセス" リンクとも呼ばれます) を許可した場合、これらのリンクはゲスト アカウントを作成しないため、外部共有受信者は、そのリンクの種類を受信するときに B2B 同期を利用できません。
詳細については、「 外部共有の概要」を参照してください。
ユーザーが組織のコンテンツを外部で共有できるようにする場合は、Microsoft 365 のいくつかの機能を使用して、コンテンツにアクセスできるユーザーを管理できます。 管理者とサイト所有者は、アクセス許可を確認し、サイトへのアクセスを監査できます。 詳しくは、「 組織外のユーザーと共有されているサイト コンテンツを検索する 」および「 外部共有通知を有効にする」をご覧ください。 特定のインターネット ドメインでのみ外部共有を有効にすることも、特定のドメインをブロックすることもできます。 詳細については、「 制限付きドメインの共有」を参照してください。 また、特定のセキュリティ グループのメンバーのみが外部で共有できるようにすることもできます。 詳しくは、「 外部共有を有効または無効にする」をご覧ください。
外部で共有する作業単位ごとに個別のサイト (サブサイトではなくサイト コレクション) を作成することをお勧めします。 これにより、サイトに明確に注釈を付けて、組織外のユーザーがアクセスできることを示し、意図しない情報漏えいを避けることができます。 OneDrive からコンテンツを共有する個々のユーザーには、さまざまなプロジェクトまたはコラボレーション グループ用に個別のフォルダーを作成することをお勧めします。
サイトまたはフォルダーに対するゲストのアクセス許可を削除することも、ゲスト アカウントを削除して組織のすべてのコンテンツからアクセス許可を削除することもできます。
重要
同期されたコンテンツは、アクセス許可が削除された後もユーザーのコンピューターに残ります。
任意のサイトの共有設定を表示または変更するには、新しい SharePoint 管理センターを使用します。
SharePoint 管理センター の[アクティブなサイト] に移動し、組織の管理者権限を持つアカウントでサインインします。
注意
21Vianet (中国) によって運用されている Office 365 を使用している場合は、Microsoft 365 管理センターにサインインし、次に SharePoint 管理センターに移動して [アクティブなサイト] ページを開きます。
必要に応じてビューをカスタマイズして、[外部共有] 列を表示します。
必要に応じて、 サイトの外部共有設定を変更します。
テナント管理者は、テナントで複数の種類の条件付きアクセス ポリシーを有効にすることができます。 ゲストがテナントのコンテンツにアクセスする場合、ゲストがアクセスできるように、それらのポリシーを調整する必要がある場合があります。
現在、同期クライアントは、外部コンテンツを同期する際に対話型認証 UI をサポートしていません。 MFA (多要素認証) や TOU (使用条件) プロンプトなどのサインイン UI を必要とするポリシーは、そのテナントからの外部コンテンツの同期を防ぎます。 ゲストがそのテナントからの同期を開始する前にテナント管理者がこのようなポリシーをデプロイした場合、ユーザーは同期関係を確立できません。 ゲストがテナントからコンテンツを同期した後にポリシーが展開された場合、そのゲストはエラーを受け取り、テナントからの同期を続行できません。
テナントは、使用条件 (TOU) を随時更新できます。 ポリシーを使用すると、対話型の認証プロンプトを使用して、更新された TOU を表示して受け入れるユーザーをトリガーできます。 同期では外部テナント サインイン UI がサポートされていないため、同期は外部サイトのコンテンツを同期できないことを示します。
デバイス コンプライアンスでは、ユーザー マシンをテナントによって管理し、要件を満たす最新の状態にする必要があります。 ゲストの場合、マシンは自分の組織によって管理される可能性が高いため、コンテンツ共有テナントによってマシンを管理する必要がある場合と互換性がありません。
通常、場所ベースの条件付きアクセス ポリシーは、ユーザーが信頼された場所 (テナントのオフィス ネットワークなど) から接続していない場合に MFA などの追加要件を適用するために使用されます。 通常、ゲスト シナリオでは、クライアント マシンは信頼できる場所に配置されず、同期では MFA がサポートされていないため、ゲストにこのポリシーを適用したくない可能性があります。
詳細については、「 外部 ID の認証と条件付きアクセス」を参照してください。
サイトとフォルダーは、SharePoint と OneDrive のさまざまな方法で共有できます。
- ユーザーがフォルダーを同期している場合は、エクスプローラーでフォルダーを右クリックして共有できます。
- ユーザーは、Web 上の SharePoint サイトまたはフォルダーに移動し、[共有] ボタンをクリックして共有できます。
- ユーザーは、SharePoint モバイル アプリと OneDrive モバイル アプリでサイトとフォルダーを共有できます。
- 管理者は、ゲスト アカウントを作成し、管理センターまたは PowerShell を使用してサイトに追加できます。
注意
これらの方法の詳細については、「 サイトを共有する方法」 および 「フォルダーを共有する方法」を参照してください。
B2B Sync は、これらすべての共有方法で動作します。 次の要件のみが含まれます。
- ゲストが共有コンテンツを同期するには、コンテンツをサイトまたはフォルダー レベルで共有する必要があります。 ゲストは、個別に共有されているファイル (Office アプリなど) を同期できません。
- B2B 同期は、組織内でゲスト アカウントが作成され、受信者が Microsoft Entra アカウントを持っている場合にのみ機能します。 ユーザーが [すべてのユーザー] リンク ("匿名アクセス" リンク) を作成して共有したり、Microsoft アカウントやその他の個人アカウントを持つユーザーと共有したりしても機能しません。
Microsoft 365 の管理者は、 Microsoft Entra 管理センターでゲストを個別に作成し、SharePoint チーム サイトに個別に追加するか、共有するサイトへのアクセス許可が既にあるセキュリティ グループに追加することで、組織外のユーザーと共有できます。 ([サイトの共有] ボタンを使用する代わりに) 高度なアクセス許可ページを使用してアクセス許可を付与する場合は、サイトにアクセス許可を付与したことをゲストに通知する必要があります。 招待メールは届きません。
重要
[高度なアクセス許可] ページを使用する場合は、ドキュメント ライブラリまたはフォルダー レベルではなく、サイト レベルでアクセス許可を付与することをお勧めします。
多くのゲスト アカウントを作成してアクセス許可を付与する必要がある場合は、次の PowerShell スクリプトを使用してゲスト アカウントを作成し、サイトへのアクセス許可を付与できます。 スクリプトは、CSV (コンマ区切り値) ファイルを入力として受け取り、ユーザーの表示名と電子メール アドレスの一覧を含みます。 名前とメール アドレスごとにゲスト アカウントが作成され、そのアカウントがセキュリティ グループに追加され、アクセス許可が付与されます。 スクリプトは、後続の実行時に結果の出力 CSV をスクリプトへの入力としてフィードできるように設計されています。 これにより、CSV ファイルにユーザーを追加したり、失敗したアカウントの作成を再試行したりできます。
注意
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。
バージョン 1.0 に注意してください。x of MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。
ユーザーが Microsoft Entra グループに追加されると、ユーザーをグループに招待するメールを受信する必要があります。 スクリプトを実行したら、アクセス許可を付与した SharePoint サイトへの直接リンクをユーザーに電子メールで送信する必要があります。 リンクをクリックすると、以下の UI が表示され、招待の条件に同意します。 受け入れると、共有したサイトに連れて行かれます。 その時点で、[同期] ボタンをクリックして、サイト ファイルの PC または Mac への同期を開始できます。
# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview
# customizable properties for this script
$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'
$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'
# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com
$csv = import-csv $csvInput
# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin
$group = (Get-AzureADGroup -SearchString $groupName)
foreach ($row in $csv)
{
Try
{
if ((Get-Member -inputobject $row -name 'error') -and `
($row.error -eq 'success'))
{
$out = $row #nothing to do, user already invited and added to group
}
else
{
echo ("name='$($row.Name)' email='$($row.Email)'")
$inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
-InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)
$out = $row
$out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
$out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
$out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
$out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
$out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}
# this will send a welcome to the group email
Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
}
}
Catch
{
$err = $PSItem.Exception.Message
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
}
Finally
{
$out | export-csv -Path $csvOutput -Append
}
}
# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script
詳細については、以下を参照してください。
ユーザーのゲスト アカウントが削除された場合、または共有コンテンツへのアクセス許可が削除された場合、同期アプリにエラーが表示されます。
ライブラリを同期できないことを示す通知が表示されます。
通知領域の OneDrive アイコンにエラーが表示されます。
ゲストがアイコンをクリックすると、アクティビティ センターにエラー バナーが表示されます。
必要です
OneDrive 同期アプリの B2B 同期機能を使用すると、組織のユーザーは別の組織から共有されているコンテンツを同期できます。 組織のユーザーが B2B Sync を使用できないようにする場合は、ユーザーの Windows PC または Mac にポリシー値を設定して外部同期をブロックできます。
これらのアクションを実行する必要があるのは、組織のユーザーが B2B 同期機能を使用できないようにする場合のみです (他の組織から共有されているライブラリやフォルダーの同期を防ぐために)。
新しい BlockExternalSync 設定は、OneDrive 同期製品ビルド 19.086.* 以降の一部としてインストールされている adm\OneDrive.admx ファイルと OneDrive.adml ファイルで説明されています。 ADM を使用して同期アプリ ポリシーを管理する場合は、新しい設定を確認するために、通常どおり新しいファイルをインポートします。
他の管理システムを使用してユーザーの Windows PC にポリシーを展開する場合は、次のコマンドと同等のコマンドを使用して B2B 同期を防ぎます。
reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1
Apple Store バージョンの OneDrive を使用している Mac では、次のコマンドと同等のコマンドを使用して B2B 同期を防ぎます。
defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES
スタンドアロン バージョンの OneDrive を使用する Mac では、次のコマンドと同等のコマンドを使用して B2B 同期を防ぎます。
defaults write com.microsoft.OneDrive BlockExternalSync -bool YES