コラボレーションについて理解すると、リソースへの外部アクセスをセキュリティで保護できます。 この記事の情報を使用して、外部コラボレーションを Microsoft Entra B2B コラボレーションに移行します。
- 「B2B コラボレーションの概要」を参照してください。
- 詳細情報: Microsoft Entra ID の外部 ID
開始する前に
この記事は、一連の 10 件の記事で 5 番です。 記事を順番に確認することをお勧めします。 [次の ステップ ] セクションに移動して、シリーズ全体を確認します。
コラボレーションを制御する
ユーザーが共同作業を行う組織 (受信と送信) と、組織内でゲストを招待できるユーザーを制限できます。 ほとんどの組織では、部署がコラボレーションを決定し、承認と監視を委任することを許可しています。 たとえば、政府、教育、財務の組織では、オープン コラボレーションが許可されないことがよくあります。 Microsoft Entra の機能を使用して、コラボレーションを制御できます。
テナントへのアクセスを制御するには、次の 1 つ以上のソリューションをデプロイします。
- 外部コラボレーションの設定 - 招待が送信される電子メール ドメインを制限する
- テナント間アクセス設定 – ユーザー、グループ、またはテナント (受信) ごとにゲストによるアプリケーション アクセスを制御します。 外部の Microsoft Entra テナントとアプリケーションへのユーザー アクセスを制御する。
- 接続されている組織 - エンタイトルメント管理でアクセス パッケージを要求できる組織を決定する
コラボレーション パートナーを決定する
必要に応じて、共同作業を行う組織と組織ユーザーのドメインを文書化します。 ドメインベースの制限は実用的ではない可能性があります。 1 つのコラボレーション パートナーは複数のドメインを持つ場合があり、パートナーはドメインを追加できます。 たとえば、異なるドメインを持つ複数の部署を持つパートナーは、同期を構成する際にドメインを追加できます。
ユーザーが Microsoft Entra B2B を使用している場合は、サインイン ログ、PowerShell、またはブックを使用して、共同作業を行っている外部の Microsoft Entra テナントを検出できます。 詳細情報:
次の機能を使用して、将来のコラボレーションを有効にすることができます。
- 外部組織 - 最も包括的
- 外部組織(拒否された組織ではない)
- 特定の外部組織 - 最も制限が厳しい
注
コラボレーション設定の制限が厳しい場合、ユーザーはコラボレーション フレームワークの外部に移動する可能性があります。 セキュリティ要件で許可されている広範なコラボレーションを有効にすることをお勧めします。
1 つのドメインに制限すると、他の関連のないドメインを持つ組織との承認されたコラボレーションを防ぐことができます。 たとえば、Contoso との最初の連絡ポイントは、 .com ドメインを持つ電子メールを持つ米国ベースの従業員である可能性があります。 ただし、 .com ドメインのみを許可する場合は、 .ca ドメインを持つカナダの従業員を省略できます。
ユーザーのサブセットに対して特定のコラボレーション パートナーを許可できます。 たとえば、大学では、学生アカウントが外部テナントにアクセスできないように制限できますが、教員が外部組織と共同作業を行えるようにすることができます。
外部コラボレーション設定を使用した許可リストとブロックリスト
組織の許可リストまたはブロックリストを使用できます。 両方ではなく、許可リストまたはブロックリストを使用できます。
- 許可リスト - ドメインの一覧にコラボレーションを制限します。 その他のドメインはブロックリストにあります。
- ブロックリスト - ブロックリスト にないドメインとのコラボレーションを許可する
詳細情報: 特定の組織からの B2B ユーザーへの招待を許可またはブロックする
重要
許可リストとブロックリストは、ディレクトリ内のユーザーには適用されません。 既定では、OneDrive for Business と SharePoint の許可リストやブロックリストには適用されません。これらのリストは別々です。 ただし、 B2B 統合SharePoint-OneDrive 有効にすることはできます。
一部の組織には、マネージド セキュリティ プロバイダーからの無効なアクター ドメインのブロックリストがあります。 たとえば、組織が Contoso と取引し、 .com ドメインを使用している場合、関係のない組織は .org ドメインを使用してフィッシング攻撃を試みることができます。
クロステナント アクセス設定
テナント間アクセス設定を使用して、受信アクセスと送信アクセスを制御できます。 さらに、外部の Microsoft Entra テナントからの多要素認証、準拠デバイス、および Microsoft Entra ハイブリッド参加済みデバイス (HAAJD) 要求を信頼できます。 組織ポリシーを構成すると、ドメイン サフィックスに関係なく、Microsoft Entra テナントに適用され、そのテナント内のユーザーに適用されます。
21Vianet または Azure Government が運営する Microsoft Azure など、Microsoft クラウド間でのコラボレーションを有効にすることができます。 コラボレーション パートナーが別の Microsoft Cloud に存在するかどうかを判断します。
詳細情報:
- 21Vianet によって運営される Microsoft Azure
- Azure Government 開発者ガイド
- B2B コラボレーション (プレビュー) の Microsoft Cloud 設定を構成します。
特定のテナント (許可リスト) への受信アクセスを許可し、アクセスをブロックするように既定のポリシーを設定できます。 次に、ユーザー、グループ、またはアプリケーションによるアクセスを許可する組織ポリシーを作成します。
テナント (ブロックリスト) へのアクセスをブロックできます。 既定のポリシーを [許可] に設定し、一部のテナントへのアクセスをブロックする組織ポリシーを作成します。
注
テナント間アクセスの設定では、受信アクセスによって、ユーザーが招待を送信したり、招待を利用したりすることが妨げられることはありません。 ただし、アプリケーション アクセスと、トークンがゲスト ユーザーに発行されるかどうかを制御します。 ゲストが招待を利用できる場合、ポリシーはアプリケーション アクセスをブロックします。
外部組織ユーザーのアクセスを制御するには、受信アクセス (許可リストとブロックリスト) と同様に送信アクセス ポリシーを構成します。 既定のポリシーと組織固有のポリシーを構成します。
詳細情報: B2B コラボレーションのテナント間アクセス設定を構成する
注
テナント間アクセス設定は、Microsoft Entra テナントに適用されます。 Microsoft Entra ID を使用していないパートナーのアクセスを制御するには、外部コラボレーション設定を使用します。
権限管理と連携する組織
エンタイトルメント管理を使用して、ゲスト ライフサイクルの自動ガバナンスを確保します。 アクセス パッケージを作成し、外部ユーザーまたは Microsoft Entra テナントやその他のドメインをサポートする接続された組織に発行します。 アクセス パッケージを作成する場合は、接続されている組織へのアクセスを制限します。
詳細情報: エンタイトルメント管理とは
外部ユーザー アクセスを制御する
コラボレーションを開始するには、パートナーにリソースへのアクセスを招待または有効にします。 ユーザーは次の方法でアクセスできます。
Microsoft Entra B2B を有効にすると、リンクと電子メールの招待を使用してゲスト ユーザーを招待できます。 セルフサービス サインアップとマイ アクセス ポータルへのアクセス パッケージの発行には、より多くの構成が必要です。
注
セルフサービス サインアップでは、外部コラボレーション設定に許可リストまたはブロックリストは適用されません。 代わりに、テナント間アクセス設定を使用します。 カスタム API コネクタを使用して、許可リストとブロックリストをセルフサービス サインアップと統合できます。 「 ユーザー フローに API コネクタを追加する」を参照してください。
ゲスト ユーザーの招待
リソースにアクセスするためにゲスト ユーザーを招待できるユーザーを決定します。
- 最も制限が厳しい: ゲスト招待元ロールを持つ管理者とユーザーのみを許可する
- 「外部コラボレーション設定の構成」を参照してください
- セキュリティ要件が許可されている場合は、すべての Member UserType にゲストの招待を許可します
- ゲスト UserType がゲストを招待できるかどうかを判断する
ゲストは既定の Microsoft Entra B2B ユーザー アカウントです
外部ユーザー情報
Microsoft Entra エンタイトルメント管理を使用して、外部ユーザーが回答する質問を構成します。 質問は承認者に表示され、決定を下すのに役立ちます。 各アクセス パッケージ ポリシーの質問セットを構成して、承認者が承認するアクセスに関する関連情報を得ることができます。 たとえば、仕入先に仕入先契約番号を要求します。
詳細情報: エンタイトルメント管理でアクセス パッケージの承認と要求者情報の設定を変更する
セルフサービス ポータルを使用する場合は、API コネクタを使用してサインアップ時にユーザー属性を収集します。 属性を使用してアクセスを割り当てます。 Azure portal でカスタム属性を作成し、セルフサービス サインアップ ユーザー フローで使用できます。 Microsoft Graph API を使用して、これらの属性の読み取りと書き込みを行います。
詳細情報:
Microsoft Entra ユーザーへの招待交換の問題解決
コラボレーション パートナーから招待されたゲスト ユーザーが、招待を利用できない場合があります。 軽減策については、次の一覧を参照してください。
- ユーザー ドメインが許可リストにない
- パートナーのホーム テナントの制限により、外部コラボレーションが妨げる
- ユーザーがパートナーの Microsoft Entra テナントにいない。 たとえば、contoso.com のユーザーは Active Directory にいます。
- メール ワンタイム パスワード (OTP) を使用して招待を引き換えることができます
- Microsoft Entra B2B コラボレーション招待の受け入れをご覧ください
外部ユーザーのアクセス
一般に、外部ユーザーと共有できるリソースと、共有できないリソースがあります。 外部ユーザーがアクセスする内容を制御できます。
詳細情報: エンタイトルメント管理を使用して外部アクセスを管理する
既定では、ゲスト ユーザーには、テナント メンバーおよびグループ メンバーシップを含む他のパートナーに関する情報と属性が表示されます。 この情報への外部ユーザー アクセスを制限することを検討してください。
次のゲスト ユーザー制限をお勧めします。
- ディレクトリ内の閲覧グループやその他のプロパティへのゲスト アクセスを制限する
- 外部コラボレーション設定を使用して、ゲストがメンバーではないグループの閲覧を制限する
- 従業員専用アプリへのアクセスをブロックする
- ゲスト以外のユーザーの Microsoft Entra 統合アプリケーションへのアクセスをブロックする条件付きアクセス ポリシーを作成する
- Azure portal へのアクセスをブロックする
- 必要な例外を作成できます
- すべてのゲスト ユーザーと外部ユーザーを含む条件付きアクセス ポリシーを作成します。 アクセスをブロックするポリシーを実装します。
詳細情報: 条件付きアクセス: クラウド アプリ、アクション、認証コンテキスト
アクセス権を必要としないユーザーを削除する
アクセスを必要としないユーザーを確認および削除するプロセスを確立します。 テナントに外部ユーザーをゲストとして含め、メンバー アカウントを持つユーザーを含めます。
詳細情報: Microsoft Entra ID ガバナンスを使用して、リソースアクセス権を持たなくなった外部ユーザーを確認および削除する
一部の組織では、外部ユーザーをメンバー (ベンダー、パートナー、請負業者) として追加します。 属性またはユーザー名を割り当てます。
- ベンダー - v-alias@contoso.com
- パートナー - p-alias@contoso.com
- 請負業者 - c-alias@contoso.com
メンバー アカウントを持つ外部ユーザーを評価して、アクセスを決定します。 ゲスト ユーザーがエンタイトルメント管理または Microsoft Entra B2B を通じて招待されていない可能性があります。
これらのユーザーを検索するには:
- Microsoft Entra ID ガバナンスを使用して、リソースアクセス権を持たなくなった外部ユーザーを確認および削除する
- access-reviews-samples/ExternalIdentityUse/ でサンプル PowerShell スクリプトを使用する
現在の外部ユーザーを Microsoft Entra B2B に移行する
Microsoft Entra B2B を使用しない場合は、テナントに従業員以外のユーザーがいる可能性があります。 これらのアカウントを Microsoft Entra B2B 外部ユーザー アカウントに移行してから、UserType を Guest に変更することをお勧めします。 外部ユーザーを処理するには、Microsoft Entra ID と Microsoft 365 を使用します。
次を含めるか除外します。
- 条件付きアクセス ポリシーのゲスト ユーザー
- アクセス パッケージとアクセス レビューのゲスト ユーザー
- Microsoft Teams、SharePoint、およびその他のリソースへの外部アクセス
現在のアクセス、ユーザー プリンシパル名 (UPN)、およびグループ メンバーシップを維持しながら、これらの内部ユーザーを移行できます。
Lear more: B2B コラボレーションに外部ユーザーを招待する
コラボレーション方法の廃止
管理されたコラボレーションへの移行を完了するには、不要なコラボレーション方法を使用停止します。 使用停止は、コラボレーションに対して実行する制御のレベルとセキュリティ体制に基づいています。 「外部アクセスのセキュリティ体制を決定する」を参照してください。
Microsoft Teamsの招待状
既定では、Teams は外部アクセスを許可します。 組織は外部ドメインと通信できます。 Teams のドメインを制限または許可するには、 Teams 管理センターを使用します。
SharePoint と OneDrive を使用した共有
SharePoint と OneDrive を介して共有すると、エンタイトルメント管理プロセスに含まれていないユーザーが追加されます。
電子メールで送信されたドキュメントと秘密度ラベル
ユーザーは、電子メールで外部ユーザーにドキュメントを送信します。 秘密度ラベルを使用して、ドキュメントへのアクセスを制限および暗号化できます。
機密性ラベルについて学びましょう。
承認されていないコラボレーション ツール
一部のユーザーは、Google Docs、Dropbox、Slack、または Zoom を使用している可能性があります。 これらのツールの使用は、企業ネットワーク、ファイアウォール レベル、および組織が管理するデバイスのモバイル アプリケーション管理でブロックできます。 ただし、このアクションは承認されたインスタンスをブロックし、アンマネージド デバイスからのアクセスをブロックしません。 不要なツールをブロックし、承認されていない使用のためのポリシーを作成します。
アプリケーションの管理の詳細については、以下を参照してください。
次のステップ
リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。