Microsoft Entra 外部 ID で B2B の外部コラボレーション設定を構成する
適用対象: 従業員テナント 外部テナント (詳細はこちら)
外部コラボレーション設定を使用すると、組織内のどのロールが、B2B コラボレーションのために外部ユーザーを招待できるかを指定できます。 これらの設定には、特定のドメインを許可またはブロックするためのオプションや、外部のゲストユーザーが Microsoft Entra ディレクトリで表示できる内容を制限するオプションも含まれています。 次のオプションを利用できます。
[ゲスト ユーザーのアクセスを決定する]: Microsoft Entra External ID では、外部のゲスト ユーザーが表示できる Microsoft Entra ディレクトリの内容を制限できます。 たとえば、グループ メンバーシップのゲスト ユーザーによる表示を制限したり、ゲストには自分のプロファイル情報の表示だけを許可したりすることができます。
[ゲストを招待できるユーザーを指定する]: 既定では、組織内のすべてのユーザー (B2B コラボレーションのゲスト ユーザーを含む) が、B2B コラボレーションに外部ユーザーを招待できます。 招待を送信する機能を制限する場合は、ユーザー全員に対して招待をオンまたはオフにすることや、特定のロールに対して招待を制限することができます。
[ユーザー フローによるゲストのセルフサービス サインアップを有効にする]: 構築するアプリケーションのために、ユーザーがアプリにサインアップして新しいゲスト アカウントを作成できるようにするユーザー フローを作成できます。 外部のコラボレーション設定でこの機能を有効にしてから、セルフサービス サインアップのユーザー フローをアプリに追加することができます。
[ドメインを許可またはブロックする]: 指定したドメインへの招待を許可または拒否するために、コラボレーションの制限を使用できます。 詳細については、ドメインの許可またはブロックに関するページを参照してください。
他の Microsoft Entra 組織との B2B コラボレーションの場合、クロステナント アクセス設定を見直して、インバウンドとアウトバウンドの B2B コラボレーションを確認し、特定のユーザー、グループ、アプリケーションへのアクセスのスコープを設定する必要もあります。
テナント間サインインを実行する B2B コラボレーション エンド ユーザーの場合、カスタム ブランド化が指定されていない場合でも、ホーム テナントのブランド化が表示されます。 次の例では、Woodgrove Groceries の会社のブランド化が左側に表示されます。 右側の例では、ユーザーのホーム テナントの既定のブランド化が表示されます。
メモ
構成する外部コラボレーションの設定によっては、異なる管理者ロールが必要になる場合があります。 この記事では、設定の種類ごとに必要なロールを指定します。 外部 ID/B2C のタスク別の最小特権ロール も参照してください。
ポータルで設定を構成する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
ゲスト ユーザー アクセスを構成するには
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
[ゲスト ユーザーのアクセス] で、ゲスト ユーザーに付与するアクセスのレベルを選択します。
ゲスト ユーザーには、メンバーと同じアクセス権があります (最も包括的): このオプションを選択すると、ゲストがメンバー ユーザーと同じように Microsoft Entra リソースとディレクトリ データにアクセスできるようになります。
Guest users have limited access to properties and memberships of directory objects (ゲスト ユーザーに対してディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスを制限する) :(デフォルト) この設定を選択すると、ゲストは、特定のディレクトリ タスク (ユーザー、グループ、またはその他のディレクトリ リソースを列挙するなど) を実行できなくなります。 ゲストは、非表示でないすべてのグループのメンバーシップを表示できます。 既定のゲスト アクセス許可の詳細について説明します。
Guest user access is restricted to properties and memberships of their own directory objects (most restrictive) (ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限)) :この設定では、ゲストは自分のプロファイルのみにアクセスできます。 ゲストは、他のユーザーのプロファイル、グループ、またはグループ メンバーシップを参照することはできません。
ゲスト招待の設定を構成するには
Microsoft Entra 管理センター に少なくとも ゲスト招待元 としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
ゲスト招待の設定 で、適切な設定を選択します。
- ゲストと非管理者を含む組織内のすべてのユーザーがゲスト ユーザーを招待できる (最も包括的): 組織内のゲストが、組織のメンバーではないユーザーも含めて他のゲストを招待できるようにするには、このオプション ボタンを選択します。
- メンバー アクセス許可を持つゲストを含むメンバー ユーザーと特定の管理者ロールに割り当てられたユーザーがゲスト ユーザーを招待できる: メンバー ユーザーと特定の管理者の役割を持つユーザーがゲストを招待できるようにするには、このオプション ボタンを選択します。
- 特定の管理者の役割に割り当てられているユーザーのみがゲスト ユーザーを招待できる: ユーザー管理者またはゲスト招待元ロールを持つユーザーだけがゲストを招待できるようにするには、このオプション ボタンを選択します。
- 管理者を含む組織内のすべてのユーザーがゲスト ユーザーを招待できない (最も制限的) : 組織内の全員がゲストを招待できないようにするには、このラジオ ボタンを選択します。
ゲストのセルフサービス サインアップを構成するには
Microsoft Entra 管理センターにユーザー管理者以上としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
ユーザーがアプリにサインアップできるようにユーザー フローを作成したい場合は、ユーザー フローによるゲスト セルフサービス サインアップを有効にする で [はい] を選択します。 この設定の詳細については、アプリへのセルフサービス サインアップ ユーザー フローの追加に関するページを参照してください。
外部ユーザーの脱退設定を構成するには
Microsoft Entra 管理センター に少なくとも 外部 ID プロバイダー管理者 としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
[外部ユーザーの脱退設定] で、外部ユーザーが組織から自分を削除できるかどうかを制御できます。
- はい: ユーザーは、管理者またはプライバシー連絡先からの承認なしに、組織を脱退することが可能です。
- いいえ: ユーザーは自分で組織を離れることはできません。 管理者またはプライバシー連絡先に連絡して組織からの削除を依頼するようにガイドするメッセージが表示されます。
重要
外部ユーザーの脱退設定は、Microsoft Entra テナントにプライバシー情報を追加した場合にのみ構成できます。 それ以外の場合、この設定は使用できなくなります。
コラボレーションの制限 (ドメインを許可またはブロックする) を構成するには
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つ役割であり、既存の役割を使用できないときは緊急シナリオに限定する必要があります。
Microsoft Entra 管理センター に 少なくとも 全体管理者 としてサインインします。
ID>外部ID>外部コラボレーションの設定 に移動します。
[コラボレーションの制限] で、指定したドメインへの招待を許可するか拒否するかを選択し、テキスト ボックスに特定のドメイン名を入力できます。 複数ドメインの場合は、それぞれのドメインを新しい行に入力します。 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。
Microsoft Graph を使用して設定を構成する
外部コラボレーションの設定は、Microsoft Graph APIを使用して構成できます。
- ゲスト ユーザーのアクセス制限とゲスト招待の制限には、authorizationPolicy リソースの種類を使用します。
- ユーザー フローによるゲストのセルフサービス サインアップを有効にする設定には、authenticationFlowsPolicy リソースの種類を使用します。
- メールのワンタイム パスコード設定 (Microsoft Entra 管理センターの [すべての ID プロバイダー] ページに表示) には、emailAuthenticationMethodConfiguration リソースの種類を使用します。
ゲスト招待元ロールをユーザーに割り当てる
ゲスト招待元ロールを使用すると、個々のユーザーにより高い特権管理者の役割を割り当てなくても、ゲストを招待する機能を付与できます。 ゲスト招待ロールがあるユーザーは、[特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] ([Guest invite settings] (ゲスト招待設定) の下) が選択されていても、ゲストを招待できます。
Microsoft Graph PowerShell を使用してユーザーを Guest Inviter
ロールに追加する方法を示す例を次に示します:
Import-Module Microsoft.Graph.Identity.DirectoryManagement
$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>
$DirObject = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
}
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject
B2B ユーザーのサインイン ログ
B2B ユーザーが共同作業を行うリソース テナントにサインインすると、ホーム テナントとリソース テナントの両方にサインイン ログが生成されます。 これらのログには、使用されているアプリケーション、メール アドレス、テナント名、ホーム テナントとリソース テナントの両方のテナント ID などの情報が含まれます。
次のステップ
Microsoft Entra B2B コラボレーションに関する以下の記事を参照してください。