ハイブリッド組織向けの Microsoft Entra B2B コラボレーション
適用対象: 従業員テナント 外部テナント (詳細情報)
Microsoft Entra B2B コラボレーションにより、外部パートナーが組織内のアプリやリソースに簡単にアクセスできるようにすることができます。 これは、オンプレミスとクラウドベースの両方のリソースがあるハイブリッド構成であっても同様です。 現在、外部パートナーのアカウントをオンプレミスの ID システムでローカルに管理していても、または Microsoft Entra B2B ユーザーとしてクラウド内で管理していても構いません。 いずれの場所のリソースに対しても、両方の環境に同じサインイン資格情報を使用して、ユーザーにアクセス権を付与できるようになりました。
Microsoft Entra ID の B2B ユーザーにオンプレミスのアプリへのアクセスを許可する
組織が Microsoft Entra B2B コラボレーション機能を使用して、パートナー組織のゲスト ユーザーを Microsoft Entra ID に招待する場合、これらの B2B ユーザーにオンプレミスのアプリへのアクセスを提供できるようになりました。
SAML ベースの認証を使用するアプリの場合、Azure portal を通じて、認証に Microsoft Entra アプリケーション プロキシを使用して B2B ユーザーがこれらのアプリを入手できるようにすることができます。
統合 Windows 認証 (IWA) を Kerberos の制約付き委任 (KCD) と共に使用するアプリの場合は、認証に Microsoft Entra ID プロキシを使用することもできます。 ただし、承認を機能させるには、オンプレミスの Windows Server Active Directory にユーザー オブジェクトが必要です。 B2B ゲスト ユーザーを表すローカル ユーザー オブジェクトの作成に使用できる方法は 2 つあります。
- Microsoft Identity Manager (MIM) 2016 SP1 と、Microsoft Graph 用 MIM 管理エージェントです。
- PowerShell スクリプトを使用できます。 (このソリューションでは、MIM は不要です。)
これらのソリューションを実装する方法の詳細については、Microsoft Entra B2B ユーザーに対するオンプレミス アプリケーションへのアクセスの許可に関するページを参照してください。
ローカルで管理されているパートナーのアカウントにクラウド リソースへのアクセスを付与する
Microsoft Entra ID 以前は、オンプレミスの ID システムを持つ組織は、パートナーのアカウントを従来、オンプレミスのディレクトリで管理してきました。 このような組織では、アプリとその他のリソースをクラウドに移動した場合に、パートナーが引き続きアクセスできることを確認する必要があります。 これらのユーザーが同じ資格情報セットを使用して、クラウドとオンプレミスの両方のリソースにアクセスできるようにするのが理想的です。
Microsoft Entra Connect を使用して "ゲスト ユーザー" としてこれらのローカル アカウントをクラウドと同期したり、アカウントを Microsoft Entra B2B ユーザーと同じように動作させたりすることができるようになりました。
会社のデータを保護するために、適切なリソースのみへのアクセスを制御し、これらのゲスト ユーザーを自社の従業員と区別して処理する承認ポリシーを構成できます。
実装の詳細については、Microsoft Entra B2B コラボレーションを使用した、ローカルで管理されたパートナー アカウントへに対するクラウド リソースへのアクセスの許可に関するページを参照してください。