B2B ユーザーに対する特定組織からの招待を許可またはブロックするAllow or block invitations to B2B users from specific organizations

B2B ユーザーに対する特定組織からの招待を許可またはブロックする、許可リストまたは拒否リストを使用できます。You can use an allow list or a deny list to allow or block invitations to B2B users from specific organizations. たとえば、個人の電子メール アドレス ドメインをブロックする場合は、gmail.com や Outlook.com などのドメインを含む拒否リストを設定できます。For example, if you want to block personal email address domains, you can set up a deny list that contains domains like Gmail.com and Outlook.com. または、企業が Contoso.com、Fabrikam.com、Litware.com などの他の企業と協力していて、招待をこれらの組織のみに制限する場合は、許可リストに Contoso.com、Fabrikam.com、および Litware.com を追加することができます。Or, if your business has a partnership with other businesses like Contoso.com, Fabrikam.com, and Litware.com, and you want to restrict invitations to only these organizations, you can add Contoso.com, Fabrikam.com, and Litware.com to your allow list.

重要な考慮事項Important considerations

  • 許可リストまたは拒否リストのいずれかを作成できます。You can create either an allow list or a deny list. 両方の種類のリストを設定することはできません。You can't set up both types of lists. 既定では、許可リストに含まれないドメインはすべて拒否リストに含まれます。また、その逆も言えます。By default, whatever domains are not in the allow list are on the deny list, and vice versa.
  • 各組織に作成できるポリシーは 1 つだけです。You can create only one policy per organization. ポリシーを更新してより多くのドメインを含めることも、ポリシーを削除して新規に作成することもできます。You can update the policy to include more domains, or you can delete the policy to create a new one.
  • 許可リストまたは拒否リストに追加できるドメインの数は、ポリシーのサイズによってのみ制限されます。The number of domains you can add to an allow list or deny list is limited only by the size of the policy. ポリシー全体の最大サイズは 25 KB (25,000 文字) です。これには、許可リストまたは拒否リストと、他の機能向けに構成された他のパラメーターが含まれます。The maximum size of the entire policy is 25 KB (25,000 characters), which includes the allow list or deny list and any other parameters configured for other features.
  • このリストは、OneDrive for Business や SharePoint Online の許可/ブロック リストとは無関係に機能します。This list works independently from OneDrive for Business and SharePoint Online allow/block lists. SharePoint Online で個々のファイルの共有を制限する場合は、OneDrive for Business および SharePoint Online の許可リストまたは拒否リストを設定する必要があります。If you want to restrict individual file sharing in SharePoint Online, you need to set up an allow or deny list for OneDrive for Business and SharePoint Online. 詳細については、「SharePoint Online と OneDrive for Business の制限付きドメイン共有」を参照してください。For more information, see Restricted domains sharing in SharePoint Online and OneDrive for Business.
  • このリストは、招待を既に使用した外部ユーザーには適用されません。The list does not apply to external users who have already redeemed the invitation. リストは、リストの設定後に適用されます。The list will be enforced after the list is set up. ユーザーの招待が保留中の状態にあり、ドメインをブロックするポリシーを設定した場合、ユーザーが招待の使用を試みると失敗します。If a user invitation is in a pending state, and you set a policy that blocks their domain, the user's attempt to redeem the invitation will fail.

ポータルで許可リストまたは拒否リストのポリシーを設定するSet the allow or deny list policy in the portal

既定では、 [Allow invitations to be sent to any domain (most inclusive) (どのドメインに送信される招待も許可する (最も包括的)] の設定が有効になっています。By default, the Allow invitations to be sent to any domain (most inclusive) setting is enabled. この場合、任意の組織から B2B ユーザーを招待できます。In this case, you can invite B2B users from any organization.

拒否リストを追加するAdd a deny list

これは、ある組織が、ほぼすべての組織と協力するが、特定ドメインのユーザーが B2B ユーザーとして招待されないようにする最も一般的なシナリオです。This is the most typical scenario, where your organization wants to work with almost any organization, but wants to prevent users from specific domains to be invited as B2B users.

拒否リストを追加するには:To add a deny list:

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. [Azure Active Directory] > [ユーザー] > [ユーザー設定] の順に選択します。Select Azure Active Directory > Users > User settings.

  3. [外部ユーザー] で、 [Manage external collaboration settings (外部コラボレーション設定の管理)] を選択します。Under External users, select Manage external collaboration settings.

  4. [Collaboration restrictions (コラボレーション制限)] で、 [Deny invitations to the specified domains (指定したドメインへの招待を拒否)] を選択します。Under Collaboration restrictions, select Deny invitations to the specified domains.

  5. [TARGET DOMAINS (ターゲット ドメイン)] で、ブロックするドメインの 1 つの名前を入力します。Under TARGET DOMAINS, enter the name of one of the domains that you want to block. 複数ドメインの場合は、それぞれのドメインを新しい行に入力します。For multiple domains, enter each domain on a new line. 例:For example:

    追加したドメインと共に拒否オプションを表示する

  6. 終了したら [保存] をクリックします。When you're done, click Save.

ポリシーの設定後、ブロックしたドメインからユーザーを招待しようとすると、ユーザーのドメインは現在、招待ポリシーによってブロックされていることを示すメッセージが表示されます。After you set the policy, if you try to invite a user from a blocked domain, you receive a message saying that the domain of the user is currently blocked by your invitation policy.

許可リストを追加するAdd an allow list

これは、より制限の厳しい構成で、許可リストに特定のドメインを設定し、その他すべての組織や記載されていないドメインに対する招待を制限することができます。This is a more restrictive configuration, where you can set specific domains in the allow list and restrict invitations to any other organizations or domains that aren't mentioned.

許可リストを使用する場合は、どのようなビジネス ニーズであるかを十分に評価するために時間をかけるようにしてください。If you want to use an allow list, make sure that you spend time to fully evaluate what your business needs are. このポリシーを厳しくしすぎると、ユーザーはドキュメントを電子メールで送信したり、IT による認可を伴わないコラボレーションの方法を別に見つけたりするようになります。If you make this policy too restrictive, your users may choose to send documents over email, or find other non-IT sanctioned ways of collaborating.

許可リストを追加するには、次の手順を実行します。To add an allow list:

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. [Azure Active Directory] > [ユーザー] > [ユーザー設定] の順に選択します。Select Azure Active Directory > Users > User settings.

  3. [外部ユーザー] で、 [Manage external collaboration settings (外部コラボレーション設定の管理)] を選択します。Under External users, select Manage external collaboration settings.

  4. [Collaboration restrictions](コラボレーション制限)[Allow invitations only to the specified domains (most restrictive)](指定したドメインへの招待を許可 (制限が最も厳しい)) を選択します。Under Collaboration restrictions, select Allow invitations only to the specified domains (most restrictive).

  5. [TARGET DOMAINS](ターゲット ドメイン) で、許可するドメインの 1 つの名前を入力します。Under TARGET DOMAINS, enter the name of one of the domains that you want to allow. 複数ドメインの場合は、それぞれのドメインを新しい行に入力します。For multiple domains, enter each domain on a new line. 例:For example:

    追加したドメインと共に許可オプションを表示する

  6. 終了したら [保存] をクリックします。When you're done, click Save.

ポリシーの設定後、許可リストにないドメインからユーザーを招待しようとすると、ユーザーのドメインは現在、招待ポリシーによってブロックされていることを示すメッセージが表示されます。After you set the policy, if you try to invite a user from a domain that's not on the allow list, you receive a message saying that the domain of the user is currently blocked by your invitation policy.

許可リストと拒否リストの切り替えSwitch from allow to deny list and vice versa

あるポリシーから別のポリシーに切り替えると、既存のポリシー構成は破棄されます。If you switch from one policy to the other, this discards the existing policy configuration. 切り替えを実行する前に、構成の詳細情報をバックアップしてください。Make sure to back up details of your configuration before you perform the switch.

PowerShell を使用して許可リストまたは拒否リストのポリシーを設定するSet the allow or deny list policy using PowerShell

前提条件Prerequisite

PowerShell を使用して許可リストまたは拒否リストを設定するには、Windows PowerShell 用 Azure Active Directory モジュールのプレビュー バージョンをインストールする必要があります。To set the allow or deny list by using PowerShell, you must install the preview version of the Azure Active Directory Module for Windows PowerShell. 具体的には、AzureADPreview モジュール バージョン 2.0.0.98 またはそれ以降をインストールします。Specifically, install the AzureADPreview module version 2.0.0.98 or later.

モジュールのバージョン (およびモジュールがインストールされているかどうか) を確認するには:To check the version of the module (and see if it's installed):

  1. 管理者特権で Windows PowerShell を開きます (管理者として実行)。Open Windows PowerShell as an elevated user (Run as Administrator).

  2. 次のコマンドを実行し、コンピューターに任意のバージョンの Windows PowerShell 用 Azure Active Directory モジュールがインストールされているかどうかを確認します。Run the following command to see if you have any versions of the Azure Active Directory Module for Windows PowerShell installed on your computer:

    Get-Module -ListAvailable AzureAD*
    

モジュールがインストールされていない場合や、必要なバージョンがない場合は、次のいずれかを行います。If the module is not installed, or you don't have a required version, do one of the following:

  • 結果が返されない場合は、次のコマンドを実行し、AzureADPreview モジュールの最新バージョンをインストールします。If no results are returned, run the following command to install the latest version of the AzureADPreview module:

    Install-Module AzureADPreview
    
  • 結果に AzureAD モジュールだけが表示される場合は、次のコマンドを実行し、AzureADPreview モジュールをインストールします。If only the AzureAD module is shown in the results, run the following commands to install the AzureADPreview module:

    Uninstall-Module AzureAD 
    Install-Module AzureADPreview 
    
  • 結果に AzureADPreview モジュールだけが表示され、バージョンが 2.0.0.98 より前の場合は、次のコマンドを実行してモジュールを更新します。If only the AzureADPreview module is shown in the results, but the version is less than 2.0.0.98, run the following commands to update it:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • 結果に AzureAD モジュールと AzureADPreview モジュールの両方が表示され、AzureADPreview モジュールのバージョンが 2.0.0.98 より前の場合は、次のコマンドを実行してモジュールを更新します。If both the AzureAD and AzureADPreview modules are shown in the results, but the version of the AzureADPreview module is less than 2.0.0.98, run the following commands to update it:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

AzureADPolicy コマンドレットを使用してポリシーを構成するUse the AzureADPolicy cmdlets to configure the policy

許可リストまたは拒否リストを作成するには、New-AzureADPolicy コマンドレットを使用します。To create an allow or deny list, use the New-AzureADPolicy cmdlet. 次の例は、"live.com" ドメインをブロックする拒否リストの設定方法を示しています。The following example shows how to set a deny list that blocks the "live.com" domain.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

次は同じ例を示していますが、ポリシーの定義がインラインになっています。The following shows the same example, but with the policy definition inline.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

許可リストまたは拒否リストのポリシーを設定するには、Set-AzureADPolicy コマンドレットを使用します。To set the allow or deny list policy, use the Set-AzureADPolicy cmdlet. 例:For example:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

ポリシーを取得するには、Get-AzureADPolicy コマンドレットを使用します。To get the policy, use the Get-AzureADPolicy cmdlet. 例:For example:

$currentpolicy = Get-AzureADPolicy | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

ポリシーを削除するには、Remove-AzureADPolicy コマンドレットを使用します。To remove the policy, use the Remove-AzureADPolicy cmdlet. 例:For example:

Remove-AzureADPolicy -Id $currentpolicy.Id 

次の手順Next steps