外部ユーザーに対する条件付きアクセス認証強度の機能
認証方法ポリシーは、外部ユーザーに対してフィッシングに強い方法などの特定の認証方法を適用できるため、組織内の機密アプリへの外部アクセスを制限する場合に特に役立ちます。
認証強度の条件付きアクセス ポリシーを外部の Microsoft Entra ユーザーに適用すると、ポリシーはクロステナント アクセス設定の MFA 信頼設定と連携して、外部ユーザーが MFA を実行する必要がある場所と方法を決定します。 Microsoft Entra ユーザーは、ホームの Microsoft Entra テナントで認証を行います。 その後、リソースにアクセスするときに、Microsoft Entra ID によってポリシーが適用され、MFA 信頼が有効になっているかどうかが確認されます。 MFA 信頼を有効にすることは、B2B コラボレーションでは省略可能ですが、B2B 直接接続では "必須" であることに注意してください。
外部ユーザーのシナリオでは、ユーザーがホーム テナントまたはリソース テナントのどちらで MFA を完了しているかにより、認証強度を満たすことができる認証方法が異なります。 次の表では、各テナントで許容される方法を示します。 リソース テナントで外部の Microsoft Entra 組織からの要求を信頼することが選ばれている場合は、下の「ホーム テナント」列にリストされている要求のみが、リソース テナントで MFA に対して受け入れられます。 リソース テナントで MFA 信頼が無効になっている場合、外部ユーザーは、「リソース テナント」列で指定されているいずれかの方法を使って、リソース テナントでの MFA を完了する必要があります。
| 認証方法 | ホーム テナント | リソース テナント |
|---|---|---|
| 第 2 要素としてのテキスト メッセージ | ✅ | ✅ |
| 音声通話 | ✅ | ✅ |
| Microsoft Authenticator プッシュ通知 | ✅ | ✅ |
| Microsoft Authenticator の電話によるサインイン | ✅ | |
| OATH ソフトウェア トークン | ✅ | ✅ |
| OATH ハードウェア トークン | ✅ | |
| FIDO2 セキュリティ キー | ✅ | |
| Windows Hello for Business | ✅ | |
| 証明書ベースの認証 | ✅ |
外部ユーザーの認証強度を設定する方法の詳細については、「条件付きアクセス: 外部ユーザー向けの認証強度を要求する」を参照してください。
外部ユーザーのユーザー エクスペリエンス
認証強度の条件付きアクセス ポリシーは、クロステナント アクセス設定の MFA 信頼設定と連携します。 Microsoft Entra ユーザーは、まず、ホーム テナントで自分のアカウントを使って認証を行います。 その後、このユーザーがリソースへのアクセスを試みると、Microsoft Entra ID は認証強度の条件付きアクセス ポリシーを適用し、MFA 信頼が有効になっているかどうかを確認します。
- MFA 信頼が有効になっている場合、Microsoft Entra ID はユーザーの認証セッションで、ユーザーのホーム テナント内で MFA が満たされたことを示す要求を確認します。 外部ユーザーのホーム テナントで完了した場合に MFA で許容される認証方法については、前の表を参照してください。 ユーザーのホーム テナントで MFA ポリシーが既に満たされていることを示す要求がセッションに含まれていて、その方法が認証強度要件を満たしている場合、ユーザーはアクセスを許可されます。 それ以外の場合、Microsoft Entra ID は、受け入れ可能な認証方法を使用して、ホーム テナントで MFA を完了するチャレンジをユーザーに提示します。
- MFA 信頼が無効な場合、Microsoft Entra ID は、受け入れ可能な認証方法を使用して、リソース テナントで MFA を完了するチャレンジをユーザーに提示します。 外部ユーザーが MFA で使用できる認証方法については、前の表を参照してください。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示