外部コラボレーションの設定を構成する

  • [アーティクル]

適用対象: 白いチェック マーク記号がある緑の円。 従業員テナント 灰色の X 記号がある白い円。 外部テナント (詳細はこちら)

外部コラボレーション設定を使用すると、組織内のどのロールが、B2B Collaborationのために外部ユーザーを招待できるかを指定できます。 これらの設定には、特定のドメインを許可またはブロック するためのオプションや、外部のゲストユーザーが Microsoft Entra ディレクトリで表示できる内容を制限するオプションも含まれています。 次のオプションが使用できます。

  • [ゲスト ユーザーのアクセスを決定する]: Microsoft Entra 外部 ID では、外部のゲスト ユーザーが Microsoft Entra ディレクトリで表示できる内容を制限できます。 たとえば、グループ メンバーシップのゲスト ユーザーによる表示を制限したり、ゲストに自分のプロファイル情報の閲覧限定を許可したりすることができます。

  • [ゲストを招待できるユーザーを指定する]: 既定では、組織内のすべてのユーザー (B2B Collaborationのゲスト ユーザーを含む) が、B2B Collaborationに外部ユーザーを招待できます。 招待を送信する機能を制限する場合、ユーザー全員に対して招待をオンまたはオフにしたり、特定のロールに対して招待を制限することができます。

  • [ユーザー フローによるゲストのセルフサービス サインアップを有効にする]: 構築するアプリケーションのために、ユーザーがアプリにサインアップして新しいゲスト アカウントを作成できるようにするユーザー フローを作成できます。 外部のコラボレーション設定でこの機能を有効にしてから、セルフサービス サインアップのユーザー フローをアプリに追加する ことができます。

  • [ドメインを許可またはブロックする]: 指定したドメインへの招待を許可または拒否するために、コラボレーションの制限を使用できます。 詳細については、「ドメインの許可またはブロックする」 を参照してください。

他の Microsoft Entra 組織との B2B Collaboration の場合、クロステナント アクセス設定 を見直して、インバウンドとアウトバウンドの B2B Collaboration、および特定のユーザー、グループ、アプリケーションへのアクセスのスコープを確認する必要もあります。

テナント間サインインを実行する B2B Collaboration エンド ユーザーの場合、カスタム ブランド化が指定されていない場合でも、ホーム テナントのブランド化が表示されます。 次の例では、Woodgrove Groceries の会社のブランド化が左側に表示されます。 右側の例では、ユーザーのホーム テナントの既定のブランド化が表示されます。

ブランド化されたサインイン エクスペリエンスと既定のサインイン エクスペリエンスの比較を示すスクリーンショット。

メモ

構成する外部コラボレーションの設定によっては、異なる管理者ロールが必要になる場合があります。 この記事では、設定の種類ごとに必要なロールを指定します。 外部 ID/B2C のタスク別の最小特権ロール も参照してください。

ポータルで設定を構成する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

ゲスト ユーザー アクセスを構成するには

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. ID>外部ID>外部コラボレーションの設定 に移動します。

  3. [ゲスト ユーザーのアクセス] で、ゲスト ユーザーに付与するアクセスのレベルを選択します。

    ゲスト ユーザー アクセスの設定を示すスクリーンショット。

    • ゲスト ユーザーには、メンバーと同じアクセス権があります (最も包括的): このオプションを選択すると、ゲストがメンバー ユーザーと同じように Microsoft Entra リソースとディレクトリ データにアクセスできるようになります。

    • ゲスト ユーザーに対してディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスを制限する :(デフォルト) この設定を選択すると、ゲストは、特定のディレクトリ タスク、ユーザー、グループ、またはその他のディレクトリ リソースの列挙などを実行できなくなります。 ゲストは、非表示でないすべてのグループのメンバーシップを表示できます。 既定のゲスト アクセス許可の詳細について説明します

    • ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限) :この設定では、ゲストは自分のプロファイルのみにアクセスできます。 ゲストは、他のユーザーのプロファイル、グループ、またはグループ メンバーシップを参照することはできません。

ゲスト招待の設定を構成するには

  1. Microsoft Entra 管理センター に少なくとも ゲスト招待元 としてサインインします。

  2. ID>外部ID>外部コラボレーションの設定 に移動します。

  3. ゲスト招待の設定 で、適切な設定を選択します。

    ゲスト招待の設定を示すスクリーンショット。

    • 組織内の全員がゲストと非管理者を含むゲスト ユーザーを招待できます (最も包括的): 組織内のゲストが、組織のメンバーではないユーザーも含めて他のゲストを招待できるようにするには、このラジオ ボタンを選択します。
    • メンバーユーザーおよび特定の管理者ロールに割り当てられたユーザーは、メンバーアクセス許可を持つゲストを含むゲストユーザーを招待することができます: メンバー ユーザーと特定の管理者の役割を持つユーザーがゲストを招待できるようにするには、このラジオ ボタンを選択します。
    • 特定の管理者の役割に割り当てられているユーザーのみがゲスト ユーザーを招待できます: ユーザー管理者 または ゲスト招待元 ロールを持つユーザーだけがゲストを招待できるようにするには、このラジオ ボタンを選択します。
    • 管理者を含む組織内のすべてのユーザーがゲスト ユーザーを招待できない (最も制限的) : 組織内の全員がゲストを招待できないようにするには、このラジオ ボタンを選択します。

ゲストのセルフサービス サインアップを構成するには

  1. Microsoft Entra 管理センターユーザー管理者以上としてサインインします。

  2. ID>外部ID>外部コラボレーションの設定 に移動します。

  3. ユーザーがアプリにサインアップできるようにユーザー フローを作成したい場合は、ユーザー フローによるゲスト セルフサービス サインアップを有効にする[はい] を選択します。 この設定の詳細については、アプリへのセルフサービス サインアップ ユーザー フローの追加 を参照してください。

    ユーザー フローによるセルフサービス サインアップの設定を示すスクリーンショット。

外部ユーザーの脱退設定を構成するには

  1. Microsoft Entra 管理センター に少なくとも 外部 ID プロバイダー管理者 としてサインインします。

  2. ID>外部ID>外部コラボレーションの設定 に移動します。

  3. [外部ユーザーの脱退設定] で、外部ユーザーが組織から自分を削除できるかどうかを制御できます。

    • はい: ユーザーは、管理者またはプライバシー連絡先からの承認なしに、組織を脱退することが可能です。
    • いいえ: ユーザーは自分で組織を離れることはできません。 管理者またはプライバシー連絡先に連絡して組織からの削除を依頼するようにガイドするメッセージが表示されます。

    重要

    外部ユーザーの脱退設定 は、Microsoft Entra テナントに プライバシー情報を追加した 場合にのみ構成できます。 それ以外の場合、この設定は使用できなくなります。

    ポータルの外部ユーザーの脱退設定を示すスクリーンショット。

コラボレーションの制限 (ドメインを許可またはブロックする) を構成するには

重要

Microsoft は、アクセス許可が最も少ない役割を使用することを推奨しています。 組織のセキュリティ向上に貢献します。 グローバル管理者は高い特権を持つ役割であり、既存の役割を使用できないときは緊急シナリオに限定する必要があります。

  1. Microsoft Entra 管理センター に 少なくとも 全体管理者 としてサインインします。

  2. ID>外部ID>外部コラボレーションの設定 に移動します。

  3. [コラボレーションの制限] で、指定したドメインへの招待を許可するか拒否するかを選択し、テキスト ボックスに特定のドメイン名を入力できます。 複数ドメインの場合、それぞれのドメインを新しい行に入力します。 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。

    コラボレーションの制限の設定を示すスクリーンショット。

Microsoft Graph を使用して設定を構成する

外部コラボレーションの設定は、Microsoft Graph APIを使用して構成できます。

  • ゲスト ユーザーのアクセス制限ゲスト招待の制限 には、authorizationPolicy リソースの種類を使用します。
  • ユーザー フローによるゲストのセルフサービス サインアップを有効にする 設定には、authenticationFlowsPolicy リソースの種類を使用します。
  • メールのワンタイム パスコード設定 (現在 Microsoft Entra 管理センターの [すべての ID プロバイダー] ページに表示) には、emailAuthenticationMethodConfiguration リソースの種類を使用します。

ゲスト招待元ロールをユーザーに割り当てる

ゲスト招待元 ロールを使用すると、個々のユーザーにより高い特権管理者の役割を割り当てなくても、ゲストを招待する機能を付与できます。 ゲスト招待ロールがあるユーザーは、[特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] オプションが(ゲスト招待設定 の下) 選択されている場合でも、ゲストを招待できます。

Microsoft Graph PowerShell を使用してユーザーを Guest Inviter ロールに追加する方法の例を次に示します:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

B2B ユーザーのサインイン ログ

B2B ユーザーが共同作業を行うリソース テナントにサインインすると、ホーム テナントとリソース テナントの両方にサインイン ログが生成されます。 これらのログには、使用されているアプリケーション、メール アドレス、テナント名、ホーム テナントとリソース テナントの両方のテナント ID などの情報が含まれます。

次のステップ

Microsoft Entra B2B コラボレーションに関する以下の記事を参照してください: