組織との B2B Collaboration を許可またはブロックする
適用対象: 従業員テナント 外部テナント (詳細はこちら)
B2B コラボレーション ユーザーに対する特定組織からの招待を許可またはブロックする、許可リストまたはブロックリストを使用できます。 たとえば、個人の電子メール アドレス ドメインをブロックする場合は、gmail.com や Outlook.com などのドメインを含むブロックリストを設定できます。 または、企業が Contoso.com、Fabrikam.com、Litware.com などの他の企業と協力していて、招待をこれらの組織のみに制限する場合は、許可リストに Contoso.com、Fabrikam.com、および Litware.com を追加することができます。
この記事では、B2B コラボレーションの許可リストまたはブロックリストを構成する 2 つの方法について説明します。
- ポータルで、組織の外部コラボレーション設定でコラボレーションの制限を構成する
- PowerShell の使用
重要な考慮事項
- 許可リストまたはブロックリストを作成できます。 両方の種類のリストを設定することはできません。 既定では、許可リストに含まれないドメインはすべてブロックリストに含まれます。また、その逆も言えます。
- 各組織に作成できるポリシーは 1 つだけです。 ポリシーを更新してより多くのドメインを含めることも、ポリシーを削除して新規に作成することもできます。
- 許可リストまたはブロックリストに追加できるドメインの数は、ポリシーのサイズによってのみ制限されます。 この制限は文字数に適用されるため、多数の短いドメインを使用するか、少数の長いドメインを使用できます。 ポリシー全体の最大サイズは 25 KB (25,000 文字) です。これには、許可リストまたはブロックリストと、他の機能向けに構成された他のパラメーターが含まれます。
- このリストは、OneDrive や SharePoint Online の許可/ブロック リストとは無関係に機能します。 SharePoint Online で個々のファイルの共有を制限する場合は、OneDrive および SharePoint Online の許可リストまたはブロックリストを設定する必要があります。 詳細については、「ドメインによる SharePoint コンテンツと OneDrive コンテンツの共有を制限する」を参照してください。
- このリストは、招待を既に使用した外部ユーザーには適用されません。 リストは、リストの設定後に適用されます。 ユーザーの招待が保留中の状態にあり、ユーザーのドメインをブロックするポリシーを設定した場合、ユーザーが招待の使用を試みると失敗します。
- 許可/ブロック リストとテナント間アクセスの両方の設定は、招待時に確認されます。
ポータルで許可リストまたはブロックリストのポリシーを設定する
既定では、[Allow invitations to be sent to any domain (most inclusive) (どのドメインに送信される招待も許可する (最も包括的)] の設定が有効になっています。 この場合、任意の組織から B2B ユーザーを招待できます。
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つ役割であり、既存の役割を使用できないときは緊急シナリオに限定する必要があります。
ブロックリストの追加
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
これは、ある組織が、ほぼすべての組織と協力するが、特定ドメインのユーザーが B2B ユーザーとして招待されないようにする最も一般的なシナリオです。
ブロックリストを追加するには:
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
[Collaboration restrictions (コラボレーション制限)] で、[Deny invitations to the specified domains (指定したドメインへの招待を拒否)] を選択します。
[ターゲット ドメイン] で、ブロックするドメイン名を 1 つ入力します。 複数ドメインの場合は、それぞれのドメインを新しい行に入力します。 次に例を示します。
終了したら、 [保存] を選択します。
ポリシーの設定後、ブロックしたドメインからユーザーを招待しようとすると、ユーザーのドメインは現在、招待ポリシーによってブロックされていることを示すメッセージが表示されます。
許可リストを追加する
より制限の厳しいこの構成を使用すると、許可リストに特定のドメインを設定し、記載されていないその他すべての組織やドメインに対する招待を制限することができます。
許可リストを使用する場合は、どのようなビジネス ニーズであるかを十分に評価するために時間をかけるようにしてください。 このポリシーを厳しくしすぎると、ユーザーはドキュメントを電子メールで送信したり、IT による認可を伴わないコラボレーションの方法を別に見つけたりする可能性があります。
許可リストを追加するには:
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
[Collaboration restrictions](コラボレーション制限) の [Allow invitations only to the specified domains (most restrictive)](指定したドメインへの招待を許可 (制限が最も厳しい)) を選択します。
[ターゲット ドメイン] で、許可するドメイン名を 1 つ入力します。 複数ドメインの場合は、それぞれのドメインを新しい行に入力します。 次に例を示します。
終了したら、 [保存] を選択します。
ポリシーの設定後、許可リストにないドメインからユーザーを招待しようとすると、ユーザーのドメインは現在、招待ポリシーによってブロックされていることを示すメッセージが表示されます。
許可リストとブロックリストの切り替え
あるポリシーから別のポリシーに切り替えると、既存のポリシー構成は破棄されます。 切り替えを実行する前に、構成の詳細情報をバックアップしてください。
PowerShell を使用して許可リストまたはブロックリストのポリシーを設定する
前提条件
注意
AzureADPreview モジュールはプレビュー段階であるため、完全にはサポートされていません。
PowerShell を使用して許可リストまたはブロックリストを設定するには、Azure AD PowerShell モジュールのプレビュー バージョンをインストールする必要があります。 具体的には、AzureADPreview モジュール バージョン 2.0.0.98 またはそれ以降をインストールします。
モジュールのバージョン (およびモジュールがインストールされているかどうか) を確認するには:
管理者特権で Windows PowerShell を開きます (管理者として実行)。
次のコマンドを実行し、コンピューターに任意のバージョンの Azure AD PowerShell モジュールがインストールされているかどうかを確認します。
Get-Module -ListAvailable AzureAD*
モジュールがインストールされていない場合や、必要なバージョンがない場合は、次のいずれかを行います。
結果が返されない場合は、次のコマンドを実行し、
AzureADPreview
モジュールの最新バージョンをインストールします。Install-Module AzureADPreview
結果に
AzureAD
モジュールだけが表示される場合は、次のコマンドを実行してAzureADPreview
モジュールをインストールします。Uninstall-Module AzureAD Install-Module AzureADPreview
結果に
AzureADPreview
モジュールだけが表示され、バージョンが2.0.0.98
より前の場合は、次のコマンドを実行して更新します。Uninstall-Module AzureADPreview Install-Module AzureADPreview
結果に
AzureAD
とAzureADPreview
モジュールの両方が表示され、AzureADPreview
モジュールのバージョンが2.0.0.98
より前の場合は、次のコマンドを実行して更新します。Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
AzureADPolicy コマンドレットを使用してポリシーを構成する
許可リストまたはブロックリストを作成するには、New-AzureADPolicy コマンドレットを使用します。 次の例は、"live.com" ドメインをブロックするブロックリストの設定方法を示しています。
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
次は同じ例を示していますが、ポリシーの定義がインラインになっています。
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
許可リストまたはブロックリストのポリシーを設定するには、Set-AzureADPolicy コマンドレットを使用します。 次に例を示します。
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
ポリシーを取得するには、Get-AzureADPolicy コマンドレットを使用します。 次に例を示します。
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
ポリシーを削除するには、Remove-AzureADPolicy コマンドレットを使用します。 次に例を示します。
Remove-AzureADPolicy -Id $currentpolicy.Id