エンタイトルメント管理で外部ユーザーのアクセスを管理する
エンタイトルメント管理では、Microsoft Entra 企業間 (B2B) を利用してアクセスを共有することで、組織外のユーザーと共同で作業できるようにします。 Microsoft Entra B2B では、外部ユーザーは自分のホーム ディレクトリで認証を行いますが、こちらのディレクトリに表示されます。 こちらのディレクトリ内のその表現により、ユーザーにこちらのリソースへのアクセスを割り当てることができます。
この記事では、外部ユーザーのアクセスを管理するために指定できる設定について説明します。
エンタイトルメント管理の効果
Microsoft Entra B2B 招待状を使用する場合、こちらのリソース ディレクトリに取り込んで共同作業する外部ゲスト ユーザーのメール アドレスをあらかじめ知っている必要があります。 各ユーザーを直接招待することは、小規模または短期間のプロジェクトで作業していて、すべての参加者を既に知っている場合は効果的ですが、一緒に作業するユーザーが多い場合や、参加者の入れ替わりがある場合、このプロセスでは管理が難しくなります。 たとえば、別の組織と仕事をしていて、その組織との連絡窓口が一本化されていたとしても、時間が経てば、その組織からさらに多くのユーザーもアクセスを必要とするようになるでしょう。
エンタイトルメント管理を使用すれば、指定した組織のユーザーがアクセス パッケージを自分で要求できるようにするポリシーを定義できます。 そのポリシーには、承認が必要かどうか、アクセス レビューが必要かどうか、およびそのアクセスの有効期限が含まれます。 ほとんどの場合、どのユーザーがディレクトリに取り込まれるかを適切に監視するために、承認を要求する必要があります。 承認が必要な場合は、主な外部組織パートナーに対して、その外部組織から 1 人以上のユーザーをディレクトリに招待し、スポンサーとして指定して、そのスポンサーが承認者となるように構成することを検討する必要があります。これらのユーザーは、自分の組織のどの外部ユーザーがアクセスを必要とするか、知っている可能性が高いからです。 アクセス パッケージを構成したら、外部組織の連絡先担当者 (スポンサー) に送信できるように、アクセス パッケージの要求リンクを取得します。 その連絡先は外部組織の他のユーザーと共有することができるほか、それらのユーザーがこのリンクを使用してアクセス パッケージを要求できます。 その組織に属する、ディレクトリに招待済みのユーザーもそのリンクを使用できます。
エンタイトルメント管理を使用して、独自の Microsoft Entra ディレクトリを持たない組織からユーザーを取り込むこともできます。 そのドメイン用のフェデレーション ID プロバイダーを構成するか、メールベースの認証を使用することができます。 Microsoft アカウントを持つユーザーを含め、ソーシャル ID プロバイダーからユーザーを取り込むこともできます。
一般的に、要求が承認されると、エンタイトルメント管理によって必要なアクセス権がユーザーにプロビジョニングされます。 ユーザーがまだディレクトリに参加していない場合は、エンタイトルメント管理によって先にそのユーザーが招待されます。 ユーザーが招待されると、Microsoft Entra ID によってそれらのユーザーの B2B ゲスト アカウントが自動的に作成されますが、ユーザーにメールは送信されません。 管理者が、他組織のドメインへの招待を許可またはブロックする B2B 許可/ブロックリストを設定して、共同作業を許可する組織を制限していた可能性があります。 ユーザーのドメインがそれらのリストによって許可されていない場合、それらのユーザーは招待されず、リストが更新されるまでアクセス権を割り当てることはできません。
外部ユーザーのアクセスを恒久的にしたくない場合、180 日などの有効期限をポリシーに指定します。 180 日経ってもアクセス権が延長されない場合、エンタイトルメント管理ではそのアクセス パッケージに関連付けられているすべてのアクセス権が削除されます。 既定では、エンタイトルメント管理によって招待されたユーザーに他のアクセス パッケージが割り当てられていない場合、最後の割り当てを失った時点で、そのゲスト アカウントは 30 日間サインインからブロックされ、その後削除されます。 これにより、不要なアカウントの拡散を防ぎます。 以下のセクションで説明するように、これらの設定は構成可能です。
外部ユーザーのアクセスのしくみ
次の図と手順では、アクセス パッケージへのアクセスを外部ユーザーに許可する方法の概要を説明します。
共同作業する Microsoft Entra ディレクトリまたはドメインに対して、接続された組織を追加します。 ソーシャル ID プロバイダーに接続された組織を構成することもできます。
カタログ内でアクセス パッケージを含めるためのカタログ設定 [外部ユーザーに対して有効] が [はい] であることをチェックします。
ディレクトリに含まれないユーザー用のポリシーを含むアクセス パッケージをディレクトリに作成し、要求を行える接続された組織、承認者、ライフサイクルの設定を指定します。 ポリシーで "特定の接続された組織" オプションまたは "すべての接続された組織" オプションを選択した場合は、以前に構成されたことのある組織のユーザーのみが要求を行えます。 ポリシーで "すべてのユーザー" オプションを選択した場合、まだディレクトリの一員でもなく、接続された組織のどれかの一員でもないユーザーも含め、すべてのユーザーが要求を行えます。
アクセス パッケージの非表示設定をチェックして、アクセス パッケージが非表示になっていることを確認します。 非表示になっていない場合、そのアクセス パッケージのポリシー設定によって許可されているユーザーはすべて、テナントのマイ アクセス ポータルでこのアクセス パッケージを参照できます。
外部組織の連絡先にマイ アクセス ポータルのリンクを送信し、アクセス パッケージを要求するためにユーザーと共有できるようにします。
外部ユーザー (この例では要求者 A) は、マイ アクセス ポータルのリンクを使用して、アクセス パッケージへのアクセスを要求します。 マイ アクセス ポータルでは、ユーザーが接続された組織の一員としてサインインする必要があります。 ユーザーのサインイン方法は、接続された組織と外部ユーザーの設定で定義されているディレクトリまたはドメインの認証の種類によって異なります。
承認者が要求を承認します (ポリシーが承認を要求すると仮定)。
要求は配信中状態になります。
B2B 招待プロセスを使用して、ゲスト ユーザー アカウントがディレクトリに作成されます (この例では要求者 A (ゲスト) )。 許可リストまたはブロックリストが定義されている場合、リストの設定が適用されます。
ゲスト ユーザーに、アクセス パッケージ内のすべてのリソースへのアクセスが割り当てられます。 Microsoft Entra ID および他の Microsoft Online Services や接続された SaaS アプリケーションに対して変更が行われるまで、しばらく時間がかかることがあります。 詳細については、「変更が適用されるタイミング」を参照してください。
外部ユーザーは、アクセスが配信されたことを示すメールを受信します。
外部ユーザーは、メールのリンクを選択するか、ディレクトリ リソースのいずれかに直接アクセスを試みて招待プロセスを完了することにより、リソースにアクセスできます。
ポリシーの設定に有効期限が設定されている場合は、後に外部ユーザーに対するアクセス パッケージの割り当てが期限切れになると、そのアクセス パッケージからの外部ユーザーのアクセス権限が削除されます。
外部ユーザーの設定のライフサイクルによっては、外部ユーザーにアクセス パッケージの割り当てがなくなった場合、外部ユーザーはサインインをブロックされ、外部ユーザー アカウントはディレクトリから削除されます。
外部ユーザーの設定
組織外のユーザーがアクセス パッケージを要求し、それらのアクセス パッケージ内のリソースに確実にアクセスできるようにするには、適切に構成されていることを確認しなければならない設定がいくつかあります。
外部ユーザーに対してカタログを有効にする
既定では、新しいカタログを作成すると、外部ユーザーがカタログ内のアクセス パッケージを要求できるようになります。 [外部ユーザーに有効] が [はい] に設定されていることを確認してください。
自分が管理者またはカタログ所有者である場合は、Microsoft Entra 管理センターのカタログ一覧内で、[外部ユーザーに有効] のフィルター設定を [はい] に変更することで、外部ユーザーに対して現在有効になっているカタログの一覧を表示できます。 そのフィルター処理されたビューに表示されるカタログのどれかが 0 以外のアクセス パッケージ数を持つ場合、それらのアクセス パッケージには、外部ユーザーが要求を行うことを許可するディレクトリに含まれないユーザー用のポリシーが含まれている可能性があります。
Microsoft Entra B2B の外部コラボレーション設定を構成する
ゲストが他のゲストをディレクトリに招待できるようにすることは、エンタイトルメント管理の外部でゲストの招待が発生する可能性があることを意味します。 [ゲストは招待ができる] を [いいえ] に設定して、適切に管理された招待のみを許可することをお勧めします。
以前に B2B 許可リストを使用していた場合は、そのリストを削除するか、エンタイトルメント管理を使用してパートナーにする必要があるすべての組織のすべてのドメインがリストに追加されていることを確認する必要があります。 または、B2B ブロックリストを使用している場合は、パートナーにする必要があるすべての組織のすべてのドメインがリストに追加されていることを確認する必要があります。
すべてのユーザー (すべての接続されている組織と新しい外部ユーザー) にエンタイトルメント管理ポリシーを作成し、ユーザーがディレクトリ内の接続されている組織に属していない場合は、パッケージを要求するときに、接続されている組織が自動的に作成されます。 ただし、お使いの B2B の許可またはブロックリストの設定が優先されます。 したがって、許可リストを使用していた場合は、それを削除して、すべてのユーザーがアクセスを要求できるようにし、ブロックリストを使用している場合は、ブロックリストからすべての認可済みドメインを除外することをお勧めします。
すべてのユーザー (すべての接続されている組織とすべての新しい外部ユーザーを含む) のエンタイトルメント管理ポリシーを作成する場合は、まず、ディレクトリに対してメールのワンタイム パスコード認証を有効にする必要があります。 詳細については、「電子メール ワンタイム パスコード認証」を参照してください。
Microsoft Entra B2B の外部コラボレーション設定の詳細については、「外部コラボレーションの設定を構成する」を参照してください。
テナント間のアクセス設定を確認する
- 受信 B2B コラボレーションのクロステナント アクセス設定で、アクセスの要求と割り当てを許可していることを確認します。 現在または将来の接続されている組織の一部であるテナントが設定で許可されていること、およびそれらのテナントのユーザーが招待をブロックされていないことを確認する必要があります。 さらに、これらのユーザーが、コラボレーション シナリオを有効にするアプリケーションに対して認証できるように、テナント間アクセス設定によって許可されていることを確認します。 詳しくは、「テナント間アクセス設定を構成する」をご覧ください。
- Microsoft Entra テナント用に接続された組織を別の Microsoft クラウドから作成する場合は、テナント間アクセス設定も適切に構成する必要があります。 詳細については、「 Microsoft クラウド設定の構成」を参照してください。
条件付きアクセス ポリシーを確認する
ゲスト ユーザーに影響を与える条件付きアクセス ポリシーからエンタイトルメント管理アプリを除外してください。 そうしないと、条件付きアクセス ポリシーによって、MyAccess へのアクセスやディレクトリへのサインインがブロックされる可能性があります。 たとえば、ゲストに登録済みのデバイスがなく、既知の場所にも登録されておらず、多要素認証 (MFA) に再登録したくない場合、条件付きアクセス ポリシーにこれらの要件を追加すると、ゲストのエンタイトルメント管理の使用がブロックされます。 詳細については、「Microsoft Entra 条件付きアクセスの条件とは」を参照してください。
条件付きアクセスによってすべてのクラウド アプリケーションがブロックされる場合は、エンタイトルメント管理アプリを除外するだけでなく、必ず条件付きアクセス (CA) ポリシーで [要求承認読み取りプラットフォーム] も除外してください。 まず、自分に必要なロール (条件付きアクセス管理者、アプリケーション管理者、属性割り当て管理者、および属性定義管理者) が割り当てられていることを確認します。 次に、適切な名前と値を使用してカスタム セキュリティ属性を作成します。 エンタープライズ アプリケーションで [要求承認読み取りプラットフォーム] のサービス プリンシパルを見つけ、選択した値が設定されたカスタム属性をこのアプリケーションに割り当てます。 CA ポリシーで、[要求承認読み取りプラットフォーム] に割り当てられたカスタム属性の名前と値に基づいて、選択したアプリケーションを除外するフィルターを適用します。 CA ポリシーでのアプリケーションのフィルター処理の詳細については、「条件付きアクセス: アプリケーションのフィルター」を参照してください
Note
エンタイトルメント管理アプリには、MyAccess のエンタイトルメント管理側、Microsoft Entra 管理センターのエンタイトルメント管理側、MS グラフのエンタイトルメント管理部分が含まれます。 後者の 2 つではアクセスに追加のアクセス許可が必要なため、明示的なアクセス許可が指定されていない限り、ゲストはアクセスできません。
SharePoint Online の外部共有設定を確認する
外部ユーザーのアクセス パッケージに SharePoint Online サイトを含めるには、組織レベルの外部共有設定が [すべてのユーザー] (ユーザーがサインインを必要としない)、または [新規および既存のゲスト] (ゲストがサインインするか、確認コードを入力する必要がある) に設定されていることを確認してください。 詳細については、「外部共有を有効または無効にする」を参照してください。
エンタイトルメント管理の外部で外部共有を制限するには、外部共有設定を [既存のゲスト] に設定します。 その後は、エンタイトルメント管理を通じて招待された新しいユーザーのみが、これらのサイトへのアクセス権を獲得することができます。 詳細については、「外部共有を有効または無効にする」を参照してください。
サイトレベルの設定で、ゲスト アクセスが有効になっていることを確認します (前述と同じオプションを選択します)。 詳細については、「サイトの外部共有を有効または無効にする」を参照してください。
Microsoft 365 グループの共有設定を確認する
外部ユーザーのアクセス パッケージに Microsoft 365 グループを含めるには、 [ユーザーが組織に新しいゲストを追加できるようにします] が [オン] に設定されていることを確認して、ゲスト アクセスを許可します。 詳細については、「Microsoft 365 グループへのゲスト アクセスの管理」を参照してください。
Microsoft 365 グループに関連付けられている SharePoint Online サイトとリソースに外部ユーザーがアクセスできるようにするには、SharePoint Online の外部共有がオンになっていることを確認してください。 詳細については、「外部共有を有効または無効にする」を参照してください。
PowerShell のディレクトリ レベルで Microsoft 365 グループのゲスト ポリシーを設定する方法については、「例:ディレクトリ レベルでグループのゲスト ポリシーを構成する」を参照してください。
Teams の共有設定を確認する
- 外部ユーザーのアクセス パッケージに Teams を含めるには、 [Microsoft Teams へのゲスト アクセスを許可する] が [オン] に設定されていることを確認してください。 詳細については、Microsoft Teams 管理センターでのゲスト アクセスの構成に関する記事を参照してください。
外部ユーザーのライフサイクルを管理する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
アクセス パッケージ要求が作成されることでディレクトリに招待された外部ユーザーが、アクセス パッケージの割り当てを失ったときに行われる処理を選択できます。 これは、ユーザーがアクセス パッケージの割り当てをすべて放棄した場合、または最後のアクセス パッケージの割り当てが期限切れになった場合に、行われる可能性があります。 既定では、アクセス パッケージの割り当てをすべて失った外部ユーザーは、ディレクトリへのサインインをブロックされます。 30 日後に、ゲスト ユーザー アカウントがディレクトリから削除されます。 外部ユーザーのサインインがブロックまたは削除されたりしないように構成したり、外部ユーザーのサインインがブロックされずに削除されるように構成したりすることもできます。
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[Identity Governance]> [エンタイトルメント管理]>[設定] に移動します。
[編集] を選択します。
[外部ユーザーのライフサイクルを管理する] セクションで、外部ユーザーに対するさまざまな設定を選択します。
外部ユーザーがアクセス パッケージへの最後の割り当てを失ったときに、そのユーザーによるこのディレクトリへのサインインをブロックする場合は、 [外部ユーザーによるこのディレクトリへのサインインをブロックする] を [はい] に設定します。
Note
エンタイトルメント管理では、エンタイトルメント管理を通じて招待された、またはライフサイクル管理のためにエンタイトルメント管理に追加された外部ゲスト ユーザー アカウントのサインインのみが、そのゲスト ユーザー アカウントを管理対象に変換することでブロックされます。 また、ユーザーがこのディレクトリ内のアクセス パッケージの割り当てではないリソースに追加されていた場合でも、そのユーザーはサインインをブロックされることに注意してください。 ユーザーがこのディレクトリへのサインインをブロックされている場合、このユーザーはアクセス パッケージを再要求したり、このディレクトリで追加のアクセスを要求したりすることができなくなります。 その後、これらのユーザーがこのアクセス パッケージまたは他のアクセス パッケージへのアクセスを要求する必要がある場合は、サインインをブロックするように構成しないでください。
外部ユーザーがアクセス パッケージへの最後の割り当てを失ったときに、このディレクトリ内のゲスト ユーザー アカウントを削除する場合は、 [Remove external user](外部ユーザーを削除) を [はい] に設定します。
Note
エンタイトルメント管理では、エンタイトルメント管理を通じて招待された、またはライフサイクル管理のためにエンタイトルメント管理に追加された外部ゲスト ユーザー アカウントのみが、そのゲスト ユーザー アカウントを管理対象に変換することで削除されます。 また、ユーザーがこのディレクトリ内のアクセス パッケージの割り当てではないリソースに追加されていた場合でも、そのユーザーはこのディレクトリから削除されることに注意してください。 アクセス パッケージの割り当てを受け取る前に、ゲストがこのディレクトリ内に存在していた場合は、そのまま残ります。 ただし、ゲストがアクセス パッケージの割り当てによって招待され、招待された後で OneDrive for Business または SharePoint Online サイトにも割り当てられた場合でも、そのゲストは削除されます。 [外部ユーザーを削除] 設定を [いいえ] に変更したときに影響を受けるのは、その後に最後のアクセス パッケージの割り当てを失うユーザーだけです。削除がスケジュール済みであり、サインインがブロックされているユーザーは、元のスケジュールどおりに削除されます。
このディレクトリ内のゲスト ユーザー アカウントを削除する場合は、削除するまでの日数を設定できます。 アクセス パッケージの有効期限が切れると、外部ユーザーに通知されますが、アカウントが削除されても通知されません。 アクセス パッケージへの最後の割り当てが失われた直後にゲスト ユーザー アカウントを削除する場合は、 [Number of days before removing external user from this directory](このディレクトリから外部ユーザーを削除するまでの日数) を 0 に設定します。 この値を変更したときに影響を受けるのは、その後に最後のアクセス パッケージの割り当てを使用するユーザーのみです。削除がスケジュールされているユーザーは、引き続き元のスケジュールどおりに削除されます。
[保存] を選択します。