外部コラボレーションの設定を構成する

  • [アーティクル]

外部コラボレーション設定を使用すると、組織内のどのロールが、B2B コラボレーションのために外部ユーザーを招待できるかを指定できます。 これらの設定には、特定のドメインを許可またはブロックするためのオプションや、外部のゲストユーザーが Microsoft Entra ディレクトリで表示できる内容を制限するオプションも含まれています。 次のオプションを利用できます。

  • [ゲスト ユーザーのアクセスを決定する]: Microsoft Entra External ID では、外部のゲスト ユーザーが表示できる Microsoft Entra ディレクトリの内容を制限できます。 たとえば、グループ メンバーシップのゲスト ユーザーによる表示を制限したり、ゲストには自分のプロファイル情報の表示だけを許可したりすることができます。

  • [ゲストを招待できるユーザーを指定する]: 既定では、組織内のすべてのユーザー (B2B コラボレーションのゲスト ユーザーを含む) が、B2B コラボレーションに外部ユーザーを招待できます。 招待を送信する機能を制限する場合は、ユーザー全員に対して招待をオンまたはオフにすることや、特定のロールに対して招待を制限することができます。

  • [ユーザー フローによるゲストのセルフサービス サインアップを有効にする]: 構築するアプリケーションのために、ユーザーがアプリにサインアップして新しいゲスト アカウントを作成できるようにするユーザー フローを作成できます。 外部のコラボレーション設定でこの機能を有効にしてから、セルフサービス サインアップのユーザー フローをアプリに追加することができます。

  • [ドメインを許可またはブロックする]: 指定したドメインへの招待を許可または拒否するために、コラボレーションの制限を使用できます。 詳細については、ドメインの許可またはブロックに関するページを参照してください。

他の Microsoft Entra 組織との B2B コラボレーションの場合、クロステナント アクセス設定を見直して、インバウンドとアウトバウンドの B2B コラボレーションを確認し、特定のユーザー、グループ、アプリケーションへのアクセスのスコープを設定する必要もあります。

テナント間サインインを実行する B2B コラボレーション エンド ユーザーの場合、カスタム ブランド化が指定されていない場合でも、ホーム テナントのブランド化が表示されます。 次の例では、Woodgrove Groceries の会社のブランド化が左側に表示されます。 右側の例では、ユーザーのホーム テナントの既定のブランド化が表示されます。

Screenshots showing a comparison of the branded sign-in experience and the default sign-in experience.

ポータルで設定を構成する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. Microsoft Entra 管理センター に少なくとも 外部 ID プロバイダー管理者 としてサインインしてください。

  2. ID>外部ID>外部コラボレーションの設定 に移動します。

  3. [ゲスト ユーザーのアクセス] で、ゲスト ユーザーに付与するアクセスのレベルを選択します。

    Screenshot showing Guest user access settings.

    • ゲスト ユーザーには、メンバーと同じアクセス権があります (最も包括的): このオプションを選択すると、ゲストがメンバー ユーザーと同じように Microsoft Entra リソースとディレクトリ データにアクセスできるようになります。

    • Guest users have limited access to properties and memberships of directory objects (ゲスト ユーザーに対してディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスを制限する) :(デフォルト) この設定を選択すると、ゲストは、特定のディレクトリ タスク (ユーザー、グループ、またはその他のディレクトリ リソースを列挙するなど) を実行できなくなります。 ゲストは、非表示でないすべてのグループのメンバーシップを表示できます。 既定のゲスト アクセス許可の詳細について説明します

    • Guest user access is restricted to properties and memberships of their own directory objects (most restrictive) (ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限)) :この設定では、ゲストは自分のプロファイルのみにアクセスできます。 ゲストは、他のユーザーのプロファイル、グループ、またはグループ メンバーシップを参照することはできません。

  4. [Guest invite settings](ゲスト招待の設定) で、適切な設定を選択します。

    Screenshot showing Guest invite settings.

    • ゲストと非管理者を含む組織内のすべてのユーザーがゲスト ユーザーを招待できる (最も包括的): 組織内のゲストが、組織のメンバーではないユーザーも含めて他のゲストを招待できるようにするには、このオプション ボタンを選択します。
    • メンバー アクセス許可を持つゲストを含むメンバー ユーザーと特定の管理者ロールに割り当てられたユーザーがゲスト ユーザーを招待できる: メンバー ユーザーと特定の管理者の役割を持つユーザーがゲストを招待できるようにするには、このオプション ボタンを選択します。
    • 特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる: 管理者の役割を持つユーザーだけがゲストを招待できるようにするには、このオプション ボタンを選択します。 管理者の役割には、全体管理者ユーザー管理者、およびゲスト招待元が含まれます。
    • 管理者を含む組織内のすべてのユーザーがゲスト ユーザーを招待できない (最も制限的) : 組織内のだれもがゲストを招待できないようにするには、このオプション ボタンを選択します。

  5. ユーザーがアプリにサインアップできるようにユーザー フローを作成する場合は、 [Enable guest self-service sign up via user flows](ユーザー フローによるゲスト セルフサービス サインアップを有効にする)[はい] を選択します。 この設定の詳細については、アプリへのセルフサービス サインアップ ユーザー フローの追加に関するページを参照してください。

    Screenshot showing Self-service sign up via user flows setting.

  6. [外部ユーザーの脱退設定] で、外部ユーザーが組織から自分自身を削除できるかどうかを制御できます。

    • はい: ユーザーは、管理者またはプライバシー連絡先からの承認なしに、組織を脱退することが可能です。
    • いいえ: ユーザーは自分で組織を離れることはできません。 管理者またはプライバシー連絡先に連絡して組織からの削除を依頼するようにガイドするメッセージが表示されます。

    重要

    外部ユーザーの脱退設定は、Microsoft Entra テナントにプライバシー情報を追加した場合にのみ構成できます。 それ以外の場合、この設定は使用できなくなります。

    Screenshot showing External user leave settings in the portal.

  7. [コラボレーションの制限] で、指定したドメインへの招待を許可するか拒否するかを選択し、テキスト ボックスに特定のドメイン名を入力できます。 複数ドメインの場合は、それぞれのドメインを新しい行に入力します。 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。

    Screenshot showing Collaboration restrictions settings.

Microsoft Graph を使用して設定を構成する

外部コラボレーションの設定は、Microsoft Graph APIを使用して構成できます。

  • ゲスト ユーザーのアクセス制限ゲスト招待の制限には、authorizationPolicy リソースの種類を使用します。
  • ユーザー フローによるゲストのセルフサービス サインアップを有効にする設定には、authenticationFlowsPolicy リソースの種類を使用します。
  • メールのワンタイム パスコード設定 (Microsoft Entra 管理センターの [すべての ID プロバイダー] ページに表示) には、emailAuthenticationMethodConfiguration リソースの種類を使用します。

ゲスト招待元ロールをユーザーに割り当てる

ゲスト招待元ロールを使用すると、個々のユーザーにグローバル管理者などの管理者ロールを割り当てなくても、ゲストを招待する機能を付与できます。 ゲスト招待ロールがあるユーザーは、[特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] ([Guest invite settings] (ゲスト招待設定) の下) が選択されていても、ゲストを招待できます。

Microsoft Graph PowerShell を使用してユーザーを Guest Inviter ロールに追加する方法を示す例を次に示します:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

B2B ユーザーのサインイン ログ

B2B ユーザーが共同作業を行うリソース テナントにサインインすると、ホーム テナントとリソース テナントの両方にサインイン ログが生成されます。 これらのログには、使用されているアプリケーション、メール アドレス、テナント名、ホーム テナントとリソース テナントの両方のテナント ID などの情報が含まれます。

次のステップ

Microsoft Entra B2B コラボレーションに関する以下の記事を参照してください。