概要: Microsoft Entra External ID を使ったテナント間アクセス
適用対象: 従業員テナント 外部テナント (詳細情報)
Microsoft Entra 組織は、外部 ID テナント間アクセス設定を使用して、B2B コラボレーションと B2B 直接接続を介して、他の Microsoft Entra 組織や他の Microsoft Azure クラウドと共同作業する方法を管理することができます。 テナント間アクセス設定では、受信アクセスと送信アクセスを細かく制御できるため、多要素認証 (MFA) と他の組織からのデバイス要求を信頼できるようになります。
この記事では、Microsoft クラウド間も含めて、外部の Microsoft Entra 組織との B2B コラボレーションや B2B 直接接続を管理するために使うテナント間アクセス設定について説明します。 Microsoft Entra 以外の ID (ソーシャル ID や IT マネージド以外の外部アカウントなど) を使用して B2B コラボレーションを行う場合は、追加の設定を行うことができます。 これらの外部コラボレーション設定には、ゲスト ユーザーのアクセスの制限、ゲストを招待できるユーザーの指定、ドメインを許可またはブロックのオプションが含まれます。
テナント間アクセス設定で追加できる組織の数に制限はありません。
受信と送信の設定を使用して外部アクセスの管理
外部 ID のテナント間アクセス設定によって、他の Microsoft Entra 組織と共同作業する方法を管理します。 これらの設定によって、お客様のリソースに対して外部 Microsoft Entra 組織の受信アクセス ユーザーが持つレベルと、お客様のユーザーが外部組織に対して持つ送信アクセスのレベルの両方が決まります。
次の図は、クロステナント アクセスの受信と送信の設定を示しています。 Resource Microsoft Entra テナントは、共有するリソースを含むテナントです。 B2B コラボレーションの場合、リソース テナントは招待元のテナント (たとえば、外部ユーザーを招待する企業テナント) です。 ユーザーのホームの Microsoft Entra テナントは、外部ユーザーが管理されているテナントです。
既定では、他の Microsoft Entra 組織との B2B コラボレーションは有効であり、B2B 直接接続はブロックされています。 ただし、次の包括的な管理者設定を使用すると、これら両方の機能を管理できます。
送信アクセス設定は、ユーザーが外部組織のリソースにアクセスできるかどうかを制御します。 これらの設定は、すべての人に適用することも、また、個々のユーザー、グループ、アプリケーションを指定することもできます。
受信アクセス設定は、外部の Microsoft Entra 組織のユーザーがお客様の組織のリソースにアクセスできるかどうかを制御します。 これらの設定は、すべての人に適用することも、また、個々のユーザー、グループ、アプリケーションを指定することもできます。
信頼の設定 (受信) は、あなたの条件付きアクセス ポリシーが外部組織からの多要素認証 (MFA)、準拠デバイス、Microsoft Entra ハイブリッド参加済みデバイスの要求を、そのユーザーがホーム テナントでこれらの要件をすでに満たしている場合に、信頼するかどうかを決定します。 たとえば、あなたの信頼設定が MFA を信頼するよう構成すると、MFA ポリシーは引き続き外部ユーザーに適用されますが、ホーム テナントで MFA をすでに完了しているユーザーは、あなたのテナントで MFA を再度完了する必要はありません。
既定の設定
既定のテナント間アクセス設定は、あなたのテナントの外部にあるすべての Microsoft Entra 組織に適用されます (あなたがカスタム設定を構成した組織を除く)。 既定の設定は変更できますが、B2B コラボレーションと B2B 直接接続の初期設定は次のようになります。
B2B コラボレーション: あなたの内部ユーザーはすべて、 既定で B2B コラボレーションに対して有効になっています。 この設定は、あなたのユーザーは外部のゲストをあなたのリソースにアクセスするよう招待でき、外部組織に彼らをゲストとして招待できることを意味します。 他の Microsoft Entra 組織からの MFA とデバイス要求は信頼されません。
B2B 直接接続: 既定では、B2B 直接接続の信頼関係は確立されていません。 Microsoft Entra ID は、すべての外部 Microsoft Entra テナントのすべての受信および送信 B2B 直接接続機能をブロックします。
組織設定: あなたの組織設定に追加される組織は、既定ではありません。 つまり、すべての外部 Microsoft Entra 組織があなたの組織との B2B コラボレーションで有効になります。
テナント間同期: テナント間同期により、他のテナントのユーザーが自分のテナントに同期されることはありません。
これらの既定の設定は、同じ Microsoft Azure クラウド内の他の Microsoft Entra テナントとの B2B コラボレーションに適用されます。 クラウド間のシナリオでは、既定の設定の動作が少し異なります。 この記事で後述する Microsoft クラウド設定 を参照してください。
組織の設定
組織固有の設定を構成するには、組織を追加し、その組織の受信と送信の設定を変更します。 組織の設定は、既定の設定よりも優先されます。
B2B コラボレーション: テナント間アクセス設定を使用して、受信および送信の B2B コラボレーションを管理したり、特定のユーザー、グループ、およびアプリケーションへのアクセスのスコープを設定したりします。 すべての外部組織に適用される既定の構成を設定してから、組織に固有の個別設定を必要に応じて作成することができます。 テナント間アクセス設定を使用して、他の Microsoft Entra 組織からの多要素 (MFA) およびデバイスの信頼性情報 (準拠している信頼性情報および Microsoft Entra ハイブリッド参加済み信頼性情報) を信頼することもできます。
ヒント
外部ユーザーに対して MFA を信頼する場合、Microsoft Entra ID 保護の MFA 登録ポリシーから外部ユーザーを除外することをお勧めします。 両方のポリシーが存在すると、外部ユーザーはアクセスの要件を満たすことができません。
B2B 直接接続: B2B 直接接続では、組織の設定を使って、別の Microsoft Entra 組織との相互信頼関係を設定します。 お客様の組織と外部組織の両方で、受信および送信のテナント間アクセス設定を構成することで、B2B 直接接続を相互に有効にする必要があります。
[外部コラボレーションの設定] を使って、外部ユーザーを招待できるユーザーの制限、B2B 固有ドメインの許可またはブロック、自分のディレクトリへのゲスト ユーザー アクセスの制限の設定を行うことができます。
自動引き換えの設定
自動引き換えの設定は、ユーザーがリソース/ターゲット テナントに初めてアクセスするときに同意プロンプトを受け入れる必要がないように、招待を自動的に引き換えるための、インバウンドとアウトバウンドの組織の信頼設定です。 この設定は、次のように表示されるチェック ボックスで行えます。
- Automatically redeem invitations with the tenant<テナント名> (テナント <テナント名> で招待を自動的に引き換える)
さまざまなシナリオの設定を比較する
自動引き換え設定は、次の状況でテナント間同期、B2B コラボレーション、B2B 直接接続に適用されます。
- テナント間同期を使って、ターゲット テナントでユーザーが作成されるとき。
- B2B コラボレーションを使って、ユーザーがリソース テナントに追加されるとき。
- B2B 直接接続を使って、ユーザーが リソース テナント内のリソースにアクセスするとき。
次の表では、これらのシナリオでこの設定を有効にした場合の比較を示します。
Item | テナント間同期 | B2B コラボレーション | B2B 直接接続 |
---|---|---|---|
自動引き換えの設定 | 必須 | オプション | オプション |
ユーザーが B2B コラボレーションの招待メールを受け取る | いいえ | いいえ | 該当なし |
ユーザーは同意プロンプトに同意する必要がある | いいえ | いいえ | いいえ |
ユーザーが B2B コラボレーションの通知メールを受け取る | いいえ | イエス | 該当なし |
この設定は、アプリケーションの同意エクスペリエンスには影響しません。 詳細については、「Microsoft Entra ID でのアプリケーションの同意エクスペリエンス」を参照してください。 この設定は、Azure 商用と Azure Government など、Microsoft クラウド環境が異なる組織の間ではサポートされません。
同意プロンプトが抑制される場合
自動引き換え設定によって同意プロンプトと招待メールが抑制されるのは、ホーム/ソース テナント (アウトバウンド) とリソース/ターゲット テナント (インバウンド) の両方でこの設定がチェックされる場合のみです。
次の表は、テナント間アクセス設定の異なる組み合わせに対して自動引き換え設定がチェックされるときの、ソース テナント ユーザーに対する同意プロンプトの動作を示したものです。
ホーム/ソース テナント | リソース/ターゲット テナント | ソース テナント ユーザーに対する 同意プロンプトの動作 |
---|---|---|
Outbound | 受信 | |
抑制される | ||
抑制されない | ||
抑制されない | ||
抑制されない | ||
受信 | Outbound | |
抑制されない | ||
抑制されない | ||
抑制されない | ||
抑制されない |
Microsoft Graph を使ったこの設定の構成について、「crossTenantAccessPolicyConfigurationPartner の更新」 API をご覧ください。 独自のオンボード エクスペリエンスの構築については、「B2B コラボレーションの招待マネージャー」をご覧ください。
詳しくは、「テナント間同期を構成する」、「B2B コラボレーションのためにテナント間アクセス設定を構成する」、「B2B 直接接続のためにクロステナント アクセス設定を構成する」をご覧ください。
構成可能な引き換え
構成可能な引き換えを使用すると、ゲスト ユーザーが招待を受けたときにサインインできる ID プロバイダーの順序をカスタマイズできます。 この機能を有効にして、[引き換え順序] タブで引き換え順序を指定できます。
ゲスト ユーザーが招待メールの [招待の承諾] リンクを選択すると、Microsoft Entra ID で既定の引き換え順序に基づいて招待が自動的に引き換えられます。 新しい [引き換え順序] タブで ID プロバイダーの順序を変更すると、新しい順序によって既定の引き換え順序がオーバーライドされます。
プライマリ ID プロバイダーとフォールバック ID プロバイダーの両方が [引き換え順序] タブにあります。
プライマリ ID プロバイダーは、他の認証ソースとのフェデレーションをもつプロバイダーです。 フォールバック ID プロバイダーは、ユーザーがプライマリ ID プロバイダーで一致しない場合に使用されるプロバイダーです。
フォールバック ID プロバイダーには、Microsoft アカウント (MSA)、電子メール ワンタイム パスコード、またはその両方を指定できます。 フォールバック ID プロバイダーを両方とも無効にすることはできませんが、すべてのプライマリ ID プロバイダーを無効にして、引き換えオプションにフォールバック ID プロバイダーのみを使用することはできます。
この機能を使用する際は、以下の既知の制限事項にご注意ください。
既存のシングル サインオン (SSO) セッションを持つ Microsoft Entra ID ユーザーがメールのワンタイム パスコード (OTP) を使用して認証している場合は、[別のアカウントを使用する] を選び、ユーザー名を再入力して OTP フローをトリガーする必要があります。 それ以外の場合、ユーザーは自分のアカウントがリソース テナントに存在しないことを示すエラーを受け取ります。
ユーザーが Microsoft Entra ID と Microsoft アカウントの両方に同じメールを持っているシナリオでは、管理者が引き換え方法として Microsoft アカウントを無効にした後でも、Microsoft Entra ID または Microsoft アカウントのどちらを使用するかの選択を求められます。 Microsoft アカウントを引き換えオプションとして選択することは、その方法が無効になっている場合でも許可されています。
Microsoft Entra ID 検証済みドメインの直接フェデレーション
SAML/WS-Fed ID プロバイダー フェデレーション (直接フェデレーション) が、Microsoft Entra ID 検証済みドメインでサポートされるようになりました。 この機能を使用すると、Microsoft Entra で検証されたドメインの外部 ID プロバイダーとの直接フェデレーションを設定できます。
Note
直接フェデレーション構成を設定しようとしているのと同じテナントでドメインが検証されていないことを確認します。 直接フェデレーションを設定したら、テナントの引き換え設定を構成し、新しい構成可能なテナント間アクセス設定を使用して、SAML/WS-Fed ID プロバイダーを Microsoft Entra ID より上位に移動できます。
ゲスト ユーザーが招待を引き換えると、従来の同意画面が表示され、[マイ アプリ] ページにリダイレクトされます。 リソース テナントでは、この直接フェデレーション ユーザーのプロファイルに、招待が正常に引き換え済みで、発行元が外部フェデレーションであると表示されます。
B2B ユーザーが Microsoft アカウントを使用した招待の引き換えをできないようにする
B2B ゲスト ユーザーが Microsoft アカウントを使用して招待を引き換えることを阻止できるようになりました。 代わりに、ゲスト ユーザーは、フォールバックの ID プロバイダーとして、電子メールで送信されるワンタイム パスコードを使用することになります。 既存の Microsoft アカウントを使用して招待を引き換えることはできません。また、新しいアカウントの作成を求められることもありません。 この機能は、引き換えの順序設定にあるフォールバックの ID プロバイダー オプションで Microsoft アカウントをオフにすることで有効にできます。
フォールバックの ID プロバイダーは、常に少なくとも 1 つは有効になっている必要があります。 そのため、Microsoft アカウントを無効にする場合は、代わりにメールで送信されるワンタイム パスコードによる認証を有効にする必要があります。 すでに Microsoft アカウントでサインインしているゲスト ユーザーは、今後も引き続きそのアカウントを使用できます。新しい設定を適用するには、引き換えの状態をリセットする必要があります。
テナント間同期の設定
テナント間同期の設定は、ソース テナントの管理者がユーザーをターゲット テナントに同期できるようにするための、インバウンドのみの組織の設定です。 この設定は、ターゲット テナントで指定する [ユーザーにこのテナントへの同期を許可する] という名前のチェック ボックスです。 この設定は、手動招待や Microsoft Entra エンタイトルメント管理などの他のプロセスによって作成された B2B 招待には影響しません。
Microsoft Graph を使用してこの設定を構成するには、「crossTenantIdentitySyncPolicyPartner の更新」 API をご覧ください。 詳しくは、「テナント間同期を構成する」をご覧ください。
テナント制限
テナント制限設定を使用すると、以下のような、ユーザーが管理するデバイスでユーザーが使用できる外部アカウントの種類を制御できます。
- ユーザーが不明なテナントで作成したアカウント。
- 外部組織が、その組織のリソースにアクセスできるようにユーザーに付与したアカウント。
これらの種類の外部アカウントを禁止し、代わりに B2B コラボレーションを使用するようにテナントの制限を構成することをお勧めします。 B2B コラボレーションを使うと、次の機能を利用できます。
- 条件付きアクセスを使って、B2B コラボレーション ユーザーに多要素認証を強制します。
- 受信アクセスと送信アクセスを管理します。
- B2B コラボレーション ユーザーの雇用状態が変更された場合、または資格情報が侵害された場合にセッションと資格情報を終了します。
- サインイン ログを使用して、B2B コラボレーション ユーザーに関する詳細を表示します。
テナントの制限は、他のテナント間アクセス設定に依存しないため、構成した受信、送信、または信頼の設定はテナントの制限に影響しません。 テナント制限の構成の詳細については、「テナント制限 V2 の設定」を参照してください。
Microsoft クラウド設定
Microsoft クラウド設定を使用すると、さまざまな Microsoft Azure クラウドからの組織とコラボレーションを行うことができます。 Microsoft クラウド設定を使用すると、次のクラウド間で相互 B2B コラボレーションを確立できます。
- Microsoft Azure商用クラウドとMicrosoft Azure Government(Office GCC-HighおよびDoDクラウドを含む)
- Microsoft Azure 商用クラウドと 21Vianet が運用する Microsoft Azure (21Vianet が運用)
メモ
B2B 直接接続は、別の Microsoft Cloud の Microsoft Entra テナントとの共同作業をサポートしていません。
詳細については、「B2B コラボレーションの Microsoft クラウド設定を構成する」についての記事をご覧ください。
重要な考慮事項
重要
既定の受信または送信の設定を変更してアクセスをブロックするようにすると、お客様の組織内またはパートナー組織内のアプリに対する既存のビジネス クリティカルなアクセスがブロックされる可能性があります。 この記事で説明されているツールを必ず使用し、ビジネスの利害関係者と相談して、必要なアクセスを特定してください。
Azure portal でテナント間アクセス設定を構成するには、少なくともセキュリティ管理者、またはカスタム役割を持つアカウントが必要になります。
信頼設定を構成したり特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用したりするには、Microsoft Entra ID P1 ライセンスが必要になります。 構成するテナントにはライセンスが必要です。 別の Microsoft Entra 組織との相互の信頼関係が必要な B2B 直接接続の場合は、両方のテナントに Microsoft Entra ID P1 ライセンスが必要です。
テナント間アクセス設定は、他の Microsoft Entra 組織との B2B コラボレーションと B2B 直接接続を管理するために使用されます。 Microsoft Entra 以外の ID (ソーシャル ID や IT マネージド以外の外部アカウントなど) を使用して B2B コラボレーションを行う場合は、外部コラボレーション設定を使用してください。 外部コラボレーションの設定には、ゲスト ユーザーのアクセスを制限したり、ゲストを招待できるユーザーを指定したり、ドメインを許可またはブロックしたりするための B2B コラボレーションオプションが含まれます。
外部組織の特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用するには、設定を構成する前に、その組織に情報を問い合わせる必要があります。 設定の対象を正しく指定できるように、ユーザー オブジェクト ID、グループ オブジェクト ID、アプリケーション ID (クライアント アプリ ID またはリソース アプリ ID) を入手します。
ヒント
サインイン ログを調べると、外部組織のアプリのアプリケーションの ID が見つかる場合があります。 「受信サインインと送信サインインを識別する」セクションを参照してください。
ユーザーとグループに対して構成するアクセス設定は、アプリケーションのアクセス設定と一致している必要があります。 競合する設定は許可されません。それらを構成しようとすると警告メッセージが表示されます。
例 1: すべての外部のユーザーとグループに対して受信 アクセスをブロックする場合は、すべてのアプリケーションへのアクセスもブロックする必要があります。
例 2: すべてのユーザー (または特定のユーザーまたはグループ) に対して送信アクセスを許可すると、外部アプリケーションへのすべてのアクセスをブロックすることはできません。少なくとも 1 つのアプリケーションへのアクセスを許可する必要があります。
外部組織との B2B 直接接続を許可する必要があり、条件付きアクセス ポリシーで MFA が必要な場合は、外部組織からの MFA 要求を受け入れるように、信頼設定を構成する必要があります。
すべてのアプリへのアクセスを既定でブロックすると、ユーザーは Microsoft Rights Management Service (Office 365 Message Encryption、OME とも呼ばれる) で暗号化された電子メールを読み取れなくなります。 この問題を回避するには、送信設定を構成してユーザーがアプリ ID: 00000012-0000-0000-c000-000000000000 にアクセスできるようにすることをお勧めします。 このアプリケーションのみを許可すると、他のすべてのアプリへのアクセスは自動的にブロックされます。
クロステナント アクセス設定を管理するためのカスタム役割
カスタム ロールを作成して、テナント間のアクセス設定を管理できます。 推奨されるカスタムロールの詳細については、こちらをご覧ください。
クロステナント アクセスの管理アクションの保護
テナント間アクセス設定を変更するすべてのアクションは、保護されたアクションと見なされ、条件付きアクセス ポリシーを使用してさらに保護できます。 構成手順の詳細については、「保護されたアクション」を参照してください。
受信サインインと送信サインインを識別する
受信アクセスと送信アクセス設定を設定する前にユーザーやパートナーが必要とするアクセスを識別するのに役立つさまざまなツールが用意されています。 ユーザーとパートナーが必要とするアクセス削除しないようにするため、現在のサインイン動作を調べる必要があります。 この準備手順を行うことで、エンド ユーザーとパートナー ユーザーに必要なアクセスが失われるのを防ぐのに役立ちます。 ただし、場合によってはこれらのログは 30 日間のみ保持されるため、ビジネスの利害関係者と相談して必要なアクセスが失われないようにすることを強く推奨します。
ツール | 方法 |
---|---|
テナント間サインイン アクティビティ用の PowerShell スクリプト | 外部組織に関連付けられたユーザー サインイン アクティビティを確認するには、MSIdentityTools の テナント間ユーザー サインイン アクティビティ PowerShell スクリプトを使用します。 |
サインイン ログ PowerShell スクリプト | ユーザーの外部 Microsoft Entra 組織へのアクセスを確認するには、Get-MgAuditLogSignIn コマンドレットを使用します。 |
Azure Monitor | 組織が Azure Monitor サービスをサブスクライブしている場合は、 テナント 間アクセス アクティビティ ブックを使用します。 |
セキュリティ情報イベント管理 (SIEM) システム | 組織がサインイン ログをセキュリティ情報イベント管理 (SIEM) システムにサインイン ログをエクスポートすると、必要な情報を SIEM システムから取得できます。 |
クロステナントアクセス設定に対する変更の特定
Microsoft Entra 監査ログには、テナント間のアクセス設定の変更とアクティビティに関するすべてのアクティビティが取り込まれます。 クロステナント アクセス設定の変更を監査するには、CrossTenantAccessSettingsのカテゴリカテゴリを使用してすべてのアクティビティをフィルター処理し、クロステナント アクセス設定の変更を表示します。