テナント間アクセス設定 API の概要
名前空間: microsoft.graph
重要
Microsoft Graph の /beta
バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
従来の Microsoft Entra B2B コラボレーションでは、組織から招待されたユーザーは、ID を使用して外部組織のリソースにアクセスできます。 管理者は、外部組織へのサインインを許可されているテナント内のユーザー ID を制御できませんでした。 これらの制限付き制御により、組織の ID が不正な方法で使用されるのを防ぐことが困難になりました。
クロステナント アクセス設定 を使用すると、組織内のユーザーと他の組織の間のコラボレーションを制御および管理できます。 コントロールは、次の構成の 1 つまたは組み合わせで使用できます。
- 送信アクセス - ユーザーが他の組織と共同作業する方法。
- 受信アクセス - 他の組織が共同作業を行う方法。
- テナント制限アクセス - ユーザーがネットワークまたはデバイスの他の組織 ID を使用して他の組織と共同作業する方法。
きめ細かい制御を使用すると、組織と外部組織の両方で、テナント間コラボレーションに参加できるユーザー、グループ、アプリを決定できます。 これらのコントロールは、次の方法で実装されます。
受信および送信アクセスとテナント制限のベースライン設定を設定する既定のクロステナント アクセス設定。
- Microsoft Entra B2B コラボレーションでは、受信と送信の両方のアクセス設定が既定で有効になっています。 この既定の構成は、すべてのユーザーを外部組織に招待でき、すべてのユーザーがゲスト ユーザーを招待できることを意味します。
- Microsoft Entra B2B 直接接続では、受信と送信の両方のアクセス設定が既定で無効になっています。
- サービスの既定の設定が更新される場合があります。
- [テナントの制限] では、すべてのアクセス設定が既定で無効になっています。
パートナー固有のアクセス設定 。これにより、個々の組織のカスタマイズされた設定を構成できます。 構成された組織の場合、この構成は既定の設定よりも優先されます。 そのため、Microsoft Entra B2B コラボレーション、Microsoft Entra B2B 直接接続、テナント制限が組織全体で無効になっている場合は、特定の外部組織に対してこれらの機能を有効にすることができます。
重要
B2B 直接接続の送信設定を構成することで、送信設定を有効にした外部組織がユーザーに関する制限付き連絡先データにアクセスできるようにします。 Microsoft は、これらの組織とこのデータを共有して、ユーザーと接続するための要求を送信できるようにします。 限られた連絡先データを含む外部組織によって収集されたデータは、これらの組織のプライバシー ポリシーとプラクティスの対象となります。
既定のクロステナント アクセス設定
既定のクロステナント アクセス設定により、他のすべての Microsoft Entra 組織との受信と送信のコラボレーションとテナントの制限に対するスタンスが決まります。 クロステナント アクセス設定に明示的に一覧表示されていない組織との外部コラボレーションは、これらの既定の設定を継承します。 既定の設定は、 crossTenantAccessPolicyConfigurationDefault リソースの種類を使用して定義されます。
既定では、Microsoft Entra ID はすべての Microsoft Entra テナントに、テナント間アクセス設定のサービスの既定の構成を割り当てます。 これらのサービスの既定値は、組織に合わせて独自の構成でオーバーライドできます。 既定のエンドポイントのクエリを実行するときに返される isServiceDefault プロパティを調べることで、サービスの既定の設定またはカスタム設定を使用しているかどうかを確認できます。
パートナーのテナント間アクセス設定
パートナー固有のクロステナント アクセス設定によって、特定の Microsoft Entra 組織との受信と送信のコラボレーションとテナントの制限に対する姿勢が決まります。 この組織とのコラボレーションは、これらのパートナー固有の設定を継承します。 パートナー設定は、 crossTenantAccessPolicyConfigurationPartner リソースの種類を使用して定義されます。
パートナー固有のオブジェクトのすべてのプロパティを構成しない限り、既定の設定の一部が適用される場合があります。 たとえば、テナント間アクセス設定でパートナーに対して b2bCollaborationInbound のみを構成した場合、パートナー構成は、既定のクロステナント アクセス設定から他の設定を継承します。 パートナー エンドポイントに対してクエリを実行する場合、 null
されているパートナー オブジェクトのプロパティは、既定のポリシーから設定を継承します。
テナント間アクセス設定の受信信頼設定
受信信頼設定を使用すると、MFA ゲスト ユーザーがホーム ディレクトリで実行することを信頼できます。これにより、ゲスト ユーザーはホーム ディレクトリとディレクトリの両方で MFA を実行する必要がありません。 受信信頼設定を使用すると、ゲスト ユーザーのシームレスな認証エクスペリエンスを有効にし、組織で発生する MFA コストを節約できます。
たとえば、MFA を信頼するように信頼設定を構成する場合、MFA ポリシーは引き続きゲスト ユーザーに適用されますが、ホーム テナントで MFA を既に完了しているユーザーは、テナントで MFA をもう一度完了する必要はありません。
受信信頼設定を使用すると、準拠しているデバイスや、ホーム ディレクトリに参加している Microsoft Entra ハイブリッドを信頼することもできます。 クロステナント アクセス設定の受信信頼設定を使用すると、ゲスト ユーザーに準拠したデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスの使用を要求することで、アプリとリソースへのアクセスを保護できるようになりました。
クロステナント アクセス設定での受信クロステナント同期
テナント間同期を有効にして、パートナー テナントのユーザーを同期できます。 テナント間同期は、組織内のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化する Microsoft Entra ID の一方向同期サービスです。 マルチテナント組織のユーザー間のコラボレーションを効率化するためのユーザー同期ポリシーを作成します。 パートナー ユーザー同期設定は、 crossTenantIdentitySyncPolicyPartner リソースの種類を使用して定義されます。
さまざまな Microsoft クラウドで Microsoft Entra ID を使用して組織と共同作業する
テナント間アクセス設定は、別の Microsoft クラウドで Microsoft Entra 組織とのコラボレーションを可能にするために使用されます。
allowedCloudEndpoints
プロパティを使用すると、コラボレーションを拡張する Microsoft クラウドを指定できます。 B2B コラボレーションは、次の Microsoft クラウド間でサポートされています。
- Microsoft Azure Commercial と Microsoft Azure Government
- Microsoft Azure Commercial と Microsoft Azure China
別の Microsoft クラウドからの組織との共同作業について詳しくは、こちらをご覧ください。
API 応答の解釈
クロステナント アクセス設定 API を使用して、組織との間のアクセスを許可またはブロックするための複数の構成を設定できます。 次の表では、シナリオを示し、API 応答の例と、その応答の解釈を示します。 b2bSetting は、B2B 受信 (b2bCollaborationInbound または b2bDirectConnectInbound) または送信 (b2bCollaborationOutbound または b2bDirectConnectOutbound) またはテナント制限 (tenantRestrictions) 構成のプレースホルダーとして使用されます。
シナリオ | API 出力 | 解釈 |
---|---|---|
すべてのユーザーをブロックし、すべてのアプリケーションをブロックする |
|
- |
すべてのユーザーを許可し、すべてのアプリケーションを許可する |
|
- |
グループ 'g1' のユーザーが任意のアプリにアクセスできるようにする |
|
グループ 'g1' のユーザーは、任意のアプリにアクセスできます。 グループ 'g1' に含まれていない他のすべてのユーザーはブロックされます。 |
アプリケーション 'a1' へのアクセスのみを許可する |
|
すべてのユーザーは、アプリケーション 'a1' へのアクセスのみが許可されます |
グループ 'g1' のユーザーを許可し、アプリケーション 'a1' へのアクセスをブロックする |
|
グループ 'g1' のすべてのユーザーは、アプリケーション 'a1' を除く すべてのアプリケーションにアクセスできます。 |
グループ 'g1' のユーザーがアプリケーションにアクセスできないようにブロックする |
|
グループ 'g1' のユーザーはどのアプリケーションにもアクセスできません。 グループ 'g1' に含まれていない他のユーザーは、すべてのアプリケーションにアクセスできます。 |
グループ 'g1' のユーザーをブロックし、アプリケーション 'a1' へのアクセスのみを許可する |
|
グループ 'g1' のユーザーはどのアプリケーションにもアクセスできません。 グループ 'g1' に含まれていないユーザーは、アプリケーション 'a1' にのみアクセスできます。 |
グループ 'g1' のユーザーがアプリケーション 'a1' にのみアクセスできるようにする |
|
グループ 'g1' のユーザーは、アプリケーション 'a1' にのみアクセスできます。 グループ 'g1' のユーザーを含むすべてのユーザーは、他のアプリケーションへのアクセスをブロックされます。 |
グループ 'g1' のユーザーがアプリケーション 'a1' にアクセスできないようにブロックする |
|
グループ 'g1' のユーザーは、アプリケーション 'a1' へのアクセスのみがブロックされます。 グループ 'g1' のユーザーを含むすべてのユーザーは、他のアプリケーションにアクセスできます。 |
ゲスト ユーザー招待の引き換え中に、Azure AD よりも外部フェデレーションを使用する優先順位を設定する |
|
認証のために Azure AD を試す前に、ゲスト ユーザーが外部フェデレーション パートナーからのユーザーかどうかを確認します。 |
テナント間アクセス設定とテナント制限
テナント間アクセス設定の送信制御は、他の Microsoft Entra 組織のリソースへのアクセスに 組織のアカウント を使用する方法を制御するためのものです。 テナント制限は、従業員が ネットワークまたはデバイス上にいる間に、従業員が他の Microsoft Entra 組織のアカウントを使用する方法を制御するためのものです。 重要なことに、送信制御はアカウントに関連付けられているため常に機能しますが、テナント制限では、テナント制限はアカウントではなくネットワークとデバイスにスコープされるため、認証要求に追加のシグナルを挿入する必要があります。 テナントの制限について詳しくは、こちらをご覧ください。