SharePoint および OneDrive の Azure AD B2B との統合

この記事では、Microsoft SharePoint および Microsoft OneDrive と Azure AD B2B を統合する方法について説明します。

Azure AD B2B は、ゲストの認証と管理を提供します。 認証は、職場または学校のアカウントまたは Microsoft アカウントをまだ持っていない場合に、ワンタイム パスコードを介して実行されます。

SharePoint と OneDrive を Azure B2B Invitation Manager と統合すると、Azure B2B Invitation Manager を使用して、ファイル、フォルダー、リスト アイテム、ドキュメント ライブラリ、およびサイトを組織外のユーザーと共有できます。 この機能により、既存のセキュリティで保護された外部共有受信者の操作環境 がアップグレードされます。 さらに、Azure B2B Invitation Manager のワンタイム パスコード機能を使用すると、既存の職場または学校のアカウントまたは Microsoft アカウントを持っていないユーザーは、認証のためにアカウントを作成する必要がなく、代わりにワンタイム パスコードを使用して ID を確認できます。

この統合を有効にしても、共有設定は変更されません。 たとえば、外部共有が無効になっているサイトコレクションがある場合は、そのまま無効になります。

統合を有効にすると、ユーザーは、以前共有していたゲストに対して、再度共有したり、手動で移行したりする必要がなくなります。 代わりに、Azure AD B2B の統合を有効にする前に作成されたリンクを組織外のユーザーがクリックすると、SharePoint によって自動的に B2B ゲスト アカウントが作成されます。 このゲスト アカウントは、最初に共有リンクを作成したユーザー向けに作成されます。 (リンクを作成したユーザーが組織に存在しないか、共有する権限がない場合、ゲストはディレクトリに追加されず、ファイルを再共有する必要があります。)

SharePoint および OneDrive の Azure AD B2B ワンタイムパスコード機能との統合は、現在既定で有効になっていません。

Azure AD B2B には次の利点があります。

  • 招待された組織外のユーザーは、ディレクトリ内のアカウントを取得でき、多要素認証などの Azure AD アクセスポリシーの対象となります。
  • SharePoint サイトへ招待するには、Azure AD B2B を使用します。ユーザーが Microsoft アカウントを作成する必要はなくなります。
  • Azure AD で Google フェデレーションを構成した場合、フェデレーション ユーザーは、共有している SharePoint および OneDrive リソースにアクセスできるようになります。
  • SharePoint と OneDrive の共有には、Azure AD の組織リレーションシップの設定が必要です。メンバーが招待 および ゲストが招待などの設定が必要です。 Microsoft 365 グループや Teams と同様に、Azure AD の組織関係の設定が SharePoint や OneDrive の設定よりも厳しく制限されている場合、Azure AD の設定が優先されます。

この統合は、次の Microsoft 365 サービスではサポートされていません。

  • 21 Vianet が運用している Office 365
  • GCC High および DoD

注:

現時点では、国内のクラウドおよび制限付きクラウドで Azure B2B と SharePoint Online との統合を有効にしているお客様は、これらの環境外の受信者とファイルやフォルダーを共有できません。

統合を有効にする

この統合では、組織が Azure AD メールのワンタイム パスコード認証も有効にする必要があります。

注:

統合を有効にすると、SharePoint から共有するときに、組織外のユーザーが Azure B2B プラットフォームを介して招待されます。 Azure B2B ワンタイム パスコード オプションが有効になっている場合、パスワードでバックアップされたアカウントを持たない受信者は、ワンタイム パスコードを使用する Azure AD を介してサインイン エクスペリエンスを取得します。Azure B2B One Time Passcode オプションを有効にすると、パスワードで保護されたアカウントを持たない受信者は、One Time Passcodes を使用したAzure AD によるサインインを体験することができます。 それ以外の場合は、独自の Azure AD アカウントまたは MSA アカウントを介して認証されます。 統合が有効になっていない場合、組織外のユーザーは、以前にテナントに招待されたときに作成された既存のアカウントを引き続き使用します。 組織外の新しいユーザーと共有すると、Azure AD がサポートするアカウント、または SharePoint ワンタイム パスコード エクスペリエンスを使用してサインインする SharePoint のみのメール認証ゲストが発生する可能性があります。

注:

SharePoint および OneDrive のカスタム ドメイン共有の制限を確認し、Azure AD B2B 許可/拒否リストに移動する必要があるかどうかを決定します。 Azure AD 許可/拒否リストは、Teams や Microsoft 365 グループのような他の Microsoft 365 サービスにも影響を与えます。

Azure AD パスコード認証を有効にするには

  1. Azure AD グローバル管理者としてAzure portalにサインインします。
  2. ナビゲーション ウィンドウで、[Azure Active Directory] を選択します。
  3. [管理][外部 ID] をクリックします。
  4. [すべての ID プロバイダー] をクリックします。
  5. [構成済み ID プロバイダー] で、[メールのワンタイム パスコード] を選択し、[今すぐ有効なゲストのメールのワンタイム パスコードを有効にする] を選択します。
  6. [保存] を選択します。

SharePoint および OneDrive の Azure AD B2B との統合を有効にするには

  1. 最新の SharePoint Online 管理シェルをダウンロードします

    注:

    SharePoint Online 管理シェルの以前のバージョンがインストールされている場合は、[プログラムの追加と削除] に移動して、"SharePoint Online 管理シェル" をアンインストールします。

  2. Microsoft 365 の グローバル管理者または SharePoint 管理者として SharePoint に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。

  3. 次のコマンドレットを実行します。

    Set-SPOTenant -EnableAzureADB2BIntegration $true
    Set-SPOTenant -SyncAadB2BManagementPolicy $true
    

統合を無効にする

'Set-SPOTenant -EnableAzureADB2BIntegration $false' を実行すると、統合を無効にできます。

重要

無効にすると、統合が有効になっている間に共有されたユーザーは、将来の共有のために常に AAD ゲスト ユーザーになります。 ユーザーを AAD ゲスト ユーザーから SharePoint OTP ユーザーに戻すには、AAD のゲストを削除し、そのゲスト ユーザーを参照する組織内のすべての SPUser オブジェクトを削除する必要があります。

関連項目

SPO テナントの設定

外部共有の概要