チュートリアル: B2B ゲスト ユーザーに多要素認証を適用する

  • [アーティクル]

外部の B2B ゲスト ユーザーとコラボレーションするときは、多要素認証ポリシーを使って自社のアプリを保護することをお勧めします。 そうすると、外部ユーザーがリソースにアクセスするために必要なものがユーザー名とパスワードだけではなくなります。 Microsoft Entra ID では、アクセスで MFA を要求する条件付きアクセス ポリシーを使ってこの目標を達成できます。 MFA ポリシーは、組織のメンバーに対して有効にするのと同じ方法で、テナント レベル、アプリ レベル、または個々のゲスト ユーザー レベルで適用できます。 ゲスト ユーザーの組織に多要素認証機能がある場合でも、ユーザーの Microsoft Entra 多要素認証は常にリソース テナントによって実行されます。

例:

Diagram showing a guest user signing into a company's apps.

  1. 会社 A の管理者または従業員は、アクセスで MFA を要求するように構成されたクラウドまたはオンプレミスのアプリケーションを使用するようにゲスト ユーザーを招待します。
  2. ゲスト ユーザーは、自分の職場、学校、またはソーシャルの ID を使用してサインインします。
  3. ユーザーは、MFA チャレンジを完了するように求められます。
  4. ユーザーは、会社 A で MFA を設定し、自分の MFA オプションを選択します。 ユーザーは、アプリケーションへのアクセスを許可されます。

Note

予測可能性を確保するため、Microsoft Entra 多要素認証はリソース テナントで実行されます。 ゲスト ユーザーがサインインすると、リソース テナントのサインイン ページが背景に、独自のホーム テナントのサインイン ページと会社のロゴが前景に表示されます。

このチュートリアルでは、次のことについて説明します。

  • MFA をセットアップする前に、サインイン エクスペリエンスをテストします。
  • 環境内のクラウド アプリへのアクセスで MFA を要求する条件付きアクセス ポリシーを作成します。 このチュートリアルでは、Windows Azure Service Management API アプリを使用してこのプロセスを説明します。
  • What If ツールを使用して MFA サインインをシミュレートします。
  • 条件付きアクセス ポリシーをテストします。
  • テスト ユーザーとポリシーをクリーンアップします。

Azure サブスクリプションがない場合は、開始する前に無料アカウントを作成してください。

前提条件

このチュートリアルのシナリオを完了するための要件を次に示します。

  • Microsoft Entra ID P1 または P2 エディションへのアクセス。これには条件付きアクセス ポリシー機能が含まれます。 MFA を適用するには、Microsoft Entra 条件付きアクセス ポリシーを作成する必要があります。 パートナーが MFA 機能を持っているかどうかに関係なく、MFA ポリシーは常に自分の組織に適用されます。
  • 有効な外部電子メール アカウント。ゲスト ユーザーとしてテナント ディレクトリに追加し、サインインするために使用できます。 ゲスト アカウントの作成方法がわからない場合は、Microsoft Entra 管理センターでの B2B ゲスト ユーザーの追加に関する記事を参照してください。

Microsoft Entra ID でテスト ゲスト ユーザーを作成する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. [新しいユーザー] を選択してから、[外部ユーザーの招待] を選択します。

    Screenshot showing where to select the new guest user option.

  4. [Basic] タブの [ID] に、外部ユーザーのメール アドレスを入力します。 必要に応じて、表示名とウェルカム メッセージを入力します。

    Screenshot showing where to enter the guest email.

  5. 必要に応じて、[プロパティ] タブと [割り当て] タブでユーザーに詳細を追加できます。

  6. [レビュー + 招待] を選択して、招待をゲスト ユーザーに自動的に送信します。 ユーザーが正常に招待されたことを示すメッセージが表示されます。

  7. 招待を送信すると、ユーザー アカウントがディレクトリにゲストとして自動的に追加されます。

MFA を設定する前にサインイン エクスペリエンスをテストする

  1. テスト ユーザー名とパスワードを使用して、Microsoft Entra管理センター にサインインします。
  2. サインイン資格情報のみを使用して、Microsoft Entra管理センターにアクセスできる必要があります。 他の認証は必要ありません。
  3. サインアウトします。

MFA を要求する条件付きアクセス ポリシーを作成する

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

  2. ID>保護>Security Center を参照します。

  3. [保護] で、 [条件付きアクセス] を選択します。

  4. [条件付きアクセス] ページで、上部のツール バーの [新しいポリシーの作成] を選択します。

  5. [新規] ページの [名前] テキスト ボックスに、「B2B ポータルにアクセスするには MFA が必要」と入力します。

  6. [割り当て] セクションで、 [ユーザーとグループ] の下にあるリンクを選択します。

  7. [ユーザーとグループ] ページで、[ユーザーとグループの選択] を選択し、[ゲストまたは外部ユーザー] を選択します。 ポリシーは、さまざまな外部ユーザーの種類、組み込みのディレクトリ ロール、またはユーザーとグループに割り当てることができます。

    Screenshot showing selecting all guest users.

  8. [割り当て] セクションで、 [クラウド アプリまたは操作] の下にあるリンクを選択します。

  9. [アプリを選択] を選択し、 [選択] の下にあるリンクを選択します。

    Screenshot showing the Cloud apps page and the Select option.

  10. [選択] ページで [Windows Azure Service Management API] を選択し、 [選択] を選択します。

  11. [新規] ページの [アクセス制御] セクションで、 [許可] の下にあるリンクを選択します。

  12. [付与] ページで、[アクセスの許可] を選び、[多要素認証を要求する] チェック ボックスをオンにし、[選択] を選びます。

    Screenshot showing the Require multifactor authentication option.

  13. [ポリシーの有効化] で、 [オン] を選択します。

    Screenshot showing the Enable policy option set to On.

  14. [作成] を選択します。

What If オプションを使用してサインインをシミュレートする

  1. [条件付きアクセス | ポリシー] ページで、 [What If] を選択します。

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. [ユーザー] の下にあるリンクを選択します。

  3. 検索ボックスに、テスト用のゲスト ユーザーの名前を入力します。 検索結果内のユーザーを選択し、 [選択] を選択します。

    Screenshot showing a guest user selected.

  4. [Cloud apps, actions, or authentication content](クラウド アプリ、アクション、または認証コンテンツ) の下にあるリンクを選択します。 [アプリを選択] を選択し、 [選択] の下にあるリンクを選択します。

    Screenshot showing the Windows Azure Service Management API app selected.

  5. [クラウド アプリ] ページのアプリケーションの一覧で、 [Windows Azure Service Management API] を選択し、 [選択] を選択します。

  6. [What If] を選択し、 [適用するポリシー] タブの [評価結果] の下に新しいポリシーが表示されることを確認します。

    Screenshot showing the results of the What If evaluation.

条件付きアクセス ポリシーをテストする

  1. テスト ユーザー名とパスワードを使用して、Microsoft Entra管理センター にサインインします。

  2. 他の認証方法を要求するメッセージが表示されます。 ポリシーが有効になるまで少々時間がかかる場合があります。

    Screenshot showing the More information required message.

    Note

    また、Microsoft Entra のホーム テナントからの MFA を信頼するようにクロステナント アクセス設定を構成することもできます。 これにより、外部の Microsoft Entra ユーザーは、リソース テナントに登録するのではなく、自分のテナントに登録した MFA を使用できるようになります。

  3. サインアウトします。

リソースをクリーンアップする

不要になったら、テスト ユーザーとテスト用の条件付きアクセス ポリシーを削除します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. テスト ユーザーを選択し、 [ユーザーの削除] を選択します。
  4. ID>保護>Security Center を参照します。
  5. [保護] で、 [条件付きアクセス] を選択します。
  6. [ポリシー名] の一覧で、テスト用のポリシーのコンテキスト メニュー (...) を選択し、 [削除] を選択します。 [はい] を選択して確定します。

次のステップ

このチュートリアルでは、ゲスト ユーザーがいずれかのクラウド アプリのサインインするときに MFA を使用することを要求する条件付きアクセス ポリシーを作成しました。 コラボレーションするためのゲスト ユーザーを追加する方法の詳細については、Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関する記事を参照してください。