Microsoft Entra B2B のベスト プラクティス
この記事では、Microsoft Entra 外部 ID での企業間 (B2B) コラボレーションに関するレコメンデーションとベストプラクティスを取り上げます。
重要
すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能をオフにすると、フォールバック認証方法は、Microsoft アカウントの作成を招待者に求める方法です。
B2B の推奨事項
| 推奨 | コメント |
|---|---|
| 外部パートナーとのコラボレーションをセキュリティで保護するには、Microsoft Entra ガイダンスを参照してください | 「Microsoft Entra ID および Microsoft 365 での外部コラボレーションのセキュリティ保護」の推奨事項に沿って、組織の外部パートナーとのコラボレーションに対して、包括的なガバナンス アプローチをどのようにとるべきかを説明しています。 |
| テナント間のアクセスと外部コラボレーションの設定を慎重に計画する | Microsoft Entra 外部 ID により、外部ユーザーや組織とのコラボレーションを管理するための柔軟なコントロール セットが提供されます。 すべてのコラボレーションを許可またはブロックしたり、または特定の組織、ユーザー、アプリに対してのみコラボレーションを構成することができます。 テナント間アクセスと外部コラボレーションの設定を構成する前に、勤務していたり、パートナーである組織の慎重なインベントリを作成してください。 その後、他の Microsoft Entra テナントとの B2B 直接接続または B2B コラボレーションを有効にするかどうかを、そして B2B コラボレーションの招待をどのように管理するのかを決定します。 |
| ネットワークやマネージド デバイスでの外部アカウントの使用方法を制御するには、テナント制限を使います。 | テナント制限を使うと、ユーザーが不明なテナントで作成したアカウントや、外部組織から受け取ったアカウントを使用できないようにすることができます。 このようなアカウントは禁止し、代わりに B2B コラボレーションを使うことをお勧めします。 |
| 最適なサインイン エクスペリエンスを実現するには、ID プロバイダーとフェデレーションする | 可能な限り、ID プロバイダーと直接フェデレーションすることで、招待されたユーザーが Microsoft アカウント (MSA) や Microsoft Entra アカウントを作成しなくても、共有するアプリやリソースにサインインできるようにします。 Google フェデレーション機能を使用すると、B2B ゲスト ユーザーが自分の Google アカウントでサインインできるようにすることができます。 または、SAML/WS-Fed ID プロバイダー (プレビュー) 機能を使用してSAML 2.0 または WS-Fed プロトコルが、ID プロバイダー (IdP) によってサポートされている組織とのフェデレーションを設定することもできます。 |
| 他の手段で認証できない B2B ゲストに電子メール ワンタイム パスコード機能を使用する | メールによるワンタイム パスコード機能では、B2B ゲスト ユーザーが Microsoft Entra ID、Microsoft アカウント (MSA)、Google フェデレーションなどの他の手段で認証できない場合に、ユーザーの認証を行います。 ゲスト ユーザーは、招待に応じるか、共有リソースにアクセスするときに、自分のメール アドレスに送信される一時的なコードを要求することができます。 その後は、このコードを入力してサインインを続けます。 |
| サインイン ページに会社のブランドを追加する | B2B ゲスト ユーザー向けに、より直感的になるようにサインイン ページをカスタマイズできます。 サインイン ページとアクセス パネル ページに会社のブランドを追加する方法に関するページを参照してください。 |
| B2B ゲスト ユーザーの利用エクスペリエンスにプライバシーに関する声明を追加する | 組織のプライバシーに関する声明の URL を最初の招待の利用プロセスに追加することができます。これにより、招待されたユーザーは続行するために、プライバシー条項に同意する必要があります。 Microsoft Entra ID に組織のプライバシー ポリシーを追加する方法に関する記事を参照してください。 |
| 一括招待 (プレビュー) 機能を使用して複数の B2B ゲスト ユーザーを同時に招待する | Azure portal の一括招待のプレビュー機能を使用して、複数のゲスト ユーザーを組織に同時に招待します。 この機能を使用すると、CSV ファイルをアップロードして B2B ゲスト ユーザーを作成し、招待状を一括で送信することができます。 B2B ユーザーを一括招待するためのチュートリアルを参照してください。 |
| Microsoft Entra の多要素認証の条件付きアクセス ポリシーを適用します | パートナーの B2B ユーザーと共有するアプリに MFA ポリシーを適用することをお勧めします。 これにより、パートナー組織が MFA を使用しているかどうかに関係なく、テナント内のアプリに MFA が一貫して適用されます。 「B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。 |
| デバイスベースの条件付きアクセス ポリシーを適用している場合、除外リストを使用して B2B ユーザーへのアクセスを許可する | 組織でデバイスベースの条件付きアクセス ポリシーが有効になっている場合、B2B ゲスト ユーザーのデバイスは組織で管理されていないため、ブロックされます。 特定のパートナー ユーザーを含む除外リストを作成して、デバイスベースの条件付きアクセス ポリシーから除外することができます。 「B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。 |
| B2B ゲスト ユーザーに直接リンクを提供するときにテナント固有の URL を使用する | 招待メールの代わりに、アプリまたはポータルへの直接リンクをゲストに提供することができます。 この直接リンクはテナント固有である必要があります。つまり、共有アプリが配置されているテナントでゲストを認証できるように、テナント ID または確認済みドメインが含まれている必要があります。 ゲスト ユーザーの利用エクスペリエンスに関するページを参照してください。 |
| アプリの開発時に UserType を使用してゲスト ユーザーエクスペリエンスを決定する | アプリケーションを開発しているときに、テナント ユーザーとゲスト ユーザーに異なるエクスペリエンスを提供する場合は、UserType プロパティを使用します。 UserType 要求は、現在トークンに含まれていません。 アプリケーションで Microsoft Graph API を使用して、ディレクトリでユーザーを照会して、UserType を取得する必要があります。 |
| ユーザーと組織の関係が変更された場合にのみ UserType プロパティを変更する | PowerShell を使用してユーザーの UserType プロパティをメンバーからゲスト (またはその逆) に変換できますが、ユーザーと組織の関係が変更された場合にのみ、このプロパティを変更するようにしてください。 B2B ゲスト ユーザーのプロパティに関するページを参照してください。 |
| 環境が Microsoft Entra ディレクトリの制限の影響を受けるかどうかを確認します | Microsoft Entra B2B には、Microsoft Entra サービス ディレクトリの制限適用されます。 ユーザーが作成できるディレクトリ数と、ユーザーまたはゲスト ユーザーが所属できるディレクトリ数の詳細については、「Microsoft Entra サービスの制限と制約」を参照してください。 |
| スポンサー機能を使用して B2B アカウントのライフサイクルを管理する | スポンサーは、ゲスト ユーザーを担当するユーザーまたはグループです。 この新機能の詳細については、「B2B ユーザーのスポンサー フィールド」を参照してください。 |