組織との B2B コラボレーションの許可またはブロック
適用対象: 従業員テナント 外部テナント (詳細はこちら)
特定組織の B2B コラボレーション ユーザーへの招待を許可またはブロックするため、許可リストまたはブロックリストを使用できます。 たとえば、個人のメール アドレス ドメインをブロックする場合、gmail.com や Outlook.com などのドメインを含むブロックリストを設定できます。 または、企業が Contoso.com、Fabrikam.com、Litware.com などの他の企業とのパートナーシップがあり、招待をそれらの組織のみに制限する場合、許可リストに Contoso.com、Fabrikam.com、Litware.com を追加することができます。
この記事では、B2B コラボレーションの許可リストまたはブロックリストを構成する 2 つの方法について説明します。
- ポータルで、組織の外部コラボレーション設定でコラボレーションの制限を構成する
- PowerShell の使用
重要な考慮事項
- 許可リストまたはブロックリストのいずれかを作成できます。 両方の種類のリストを設定することはできません。 既定では、許可リストに含まれていないすべてのドメインは、ブロックリストに含まれることになります。その逆も同様です。
- 組織ごとに作成できるポリシーは 1 つのみです。 ポリシーを更新してより多くのドメインを含めるか、ポリシーを削除して新規に作成することができます。
- 許可リストまたはブロックリストに追加できるドメインの数は、ポリシーのサイズによってのみ制限されます。 この制限は文字数に適用されるため、短いドメインを多数登録するか、長いドメインを少数登録できます。 ポリシー全体の最大サイズは 25 KB (25,000 文字) です。許可リストまたはブロックリストに加え、他の機能向けに構成された他のパラメーターも含まれます。
- このリストは、OneDrive や SharePoint Online の許可/ブロック リストとは独立して機能します。 SharePoint Online で個々のファイルの共有を制限する場合、OneDrive と SharePoint Online の許可リストまたはブロックリストを設定する必要があります。 詳細については、「ドメイン別に SharePoint と OneDrive のコンテンツ共有の制限」を参照してください。
- このリストは、招待を既に使用した外部ユーザーには適用されません。 リストは、設定した後に実施されます。 ユーザーの招待が保留中の状態にあり、ドメインをブロックするポリシーを設定した場合、ユーザーが招待の使用を試みると失敗します。
- 許可/ブロック リストとクロステナント アクセスの両方の設定は、招待時に確認されます。
ポータルで許可リストまたはブロックリストのポリシーの設定
既定では、[すべてのドメインに招待の送信の許可 (最も包括的)] の設定が有効になっています。 この場合、任意の組織から B2B ユーザーを招待できます。
重要
Microsoft は、アクセス許可が最も少ない役割を使用することを推奨しています。 組織のセキュリティ向上に貢献します。 グローバル管理者は高い特権を持つ役割であり、既存の役割を使用できないときは緊急シナリオに限定する必要があります。
ブロックリストの追加
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
ご自身の組織がほぼすべての組織と協力しても、特定ドメインのユーザーが B2B ユーザーとして招待されないようにする最も一般的なシナリオです。
ブロックリストを追加する方法
Microsoft Entra 管理センターに全体管理者としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
[コラボレーション制限] で、[指定したドメインへの招待の拒否] を選択します。
[対象ドメイン] で、ブロックするドメイン名を 1 つ入力します。 複数ドメインの場合、それぞれのドメインを新しい行に入力します。 次に例を示します。
終了したら、[保存] を選択します。
ポリシーの設定後、ブロックしたドメインのユーザーを招待しようとすると、ユーザーのドメインが招待ポリシーによって現在ブロックされていることを記載したメッセージが表示されます。
許可リストの追加
制限がより厳しいこの構成を使用すると、許可リストに特定のドメインを設定し、記載されていないその他の組織やドメインに対して招待を制限することができます。
許可リストを使用する場合、ご自身が必要とするビジネス ニーズを十分に評価するため、時間をかけるようにしてください。 このポリシーを厳しくしすぎると、ユーザーはドキュメントを電子メールで送信したり、IT での承認を伴わない別のコラボレーションの方法を見つけたりする可能性があります。
許可リストを追加する方法
Microsoft Entra 管理センターに全体管理者としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
[コラボレーション制限)] で [指定したドメインへの招待の許可 (最も厳格)] を選択します。
[対象ドメイン] で、許可するドメイン名を 1 つ入力します。 複数ドメインの場合、それぞれのドメインを新しい行に入力します。 次に例を示します。
終了したら、[保存] を選択します。
ポリシーの設定後、許可リストにないドメインのユーザーを招待しようとすると、ユーザーのドメインが招待ポリシーによって現在ブロックされていることを記載したメッセージが表示されます。
許可リストとブロックリストの切り替え、その逆も同様に実行
あるポリシーから別のポリシーに切り替えると、既存のポリシー構成は破棄されます。 切り替えを実行する前に、構成の詳細情報をバックアップしてください。
PowerShell を使用して許可リストまたはブロックリストのポリシーの設定
前提条件
メモ
AzureADPreview モジュールはプレビュー段階であるため、完全にはサポートされていません。
PowerShell を使用して許可リストまたはブロックリストを設定するには、Azure AD PowerShell モジュールのプレビュー バージョンをインストールする必要があります。 具体的には、AzureADPreview モジュール バージョン 2.0.0.98 以降をインストールします。
モジュールのバージョン (また、インストール有無の確認) を確認する方法
昇格したユーザーとして Windows PowerShell を開きます (管理者として実行)。
次のコマンドを実行し、コンピューターに Azure AD PowerShell モジュールのいずれかのバージョンがインストールされているかどうかを確認します。
Get-Module -ListAvailable AzureAD*
モジュールがインストールされていないか、必要なバージョンがない場合、次のいずれかを実行します。
結果が返されない場合、次のコマンドを実行して
AzureADPreview
モジュールの最新バージョンをインストールします。Install-Module AzureADPreview
結果に
AzureAD
モジュールのみが表示される場合、次のコマンドを実行してAzureADPreview
モジュールをインストールします。Uninstall-Module AzureAD Install-Module AzureADPreview
結果に
AzureADPreview
モジュールのみが表示され、バージョンが2.0.0.98
よりも前の場合、次のコマンドを実行して更新します。Uninstall-Module AzureADPreview Install-Module AzureADPreview
結果に
AzureAD
とAzureADPreview
モジュールの両方が表示され、AzureADPreview
モジュールのバージョンが2.0.0.98
よりも前の場合、次のコマンドを実行して更新します。Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
AzureADPolicy コマンドレットを使用してポリシーの構成
許可リストまたはブロックリストを作成するには、New-AzureADPolicy コマンドレットを使用します。 次の例では、「live.com」ドメインをブロックするブロックリストの設定方法を示しています。
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
次の内容では、同じ例が示されていますが、ポリシーの定義がインラインになっています。
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
許可リストまたはブロックリストのポリシーを設定するには、Set-AzureADPolicy コマンドレットを使用します。 次に例を示します。
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
ポリシーを取得するには、Get-AzureADPolicy コマンドレットを使用します。 次に例を示します。
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
ポリシーを削除するには、Remove-AzureADPolicy コマンドレットを使用します。 次に例を示します。
Remove-AzureADPolicy -Id $currentpolicy.Id