概要: Microsoft Entra External ID を使ったテナント間アクセス
Microsoft Entra 組織は、外部 ID テナント間アクセス設定を使用して、B2B コラボレーションと B2B 直接接続を介して、他の Microsoft Entra 組織や他の Microsoft Azure クラウドと共同作業する方法を管理することができます。 テナント間アクセス設定を使うと、外部の Microsoft Entra 組織があなたと共同作業する方法 (受信アクセス) と、あなたのユーザーが外部の Microsoft Entra 組織と共同作業する方法 (送信アクセス) をきめ細かく制御できます。 また、これらの設定を使うと、他の Microsoft Entra 組織からの多要素認証 (MFA) とデバイスの信頼性情報 (準拠している信頼性情報と Microsoft Entra ハイブリッド参加済み信頼性情報) を信頼できるようになります。
この記事では、Microsoft クラウド間も含めて、外部の Microsoft Entra 組織との B2B コラボレーションや B2B 直接接続を管理するために使うテナント間アクセス設定について説明します。 Microsoft Entra 以外の ID (ソーシャル ID や IT マネージド以外の外部アカウントなど) を使用して B2B コラボレーションを行う場合は、追加の設定を行うことができます。 この外部コラボレーションの設定には、ゲスト ユーザーのアクセスを制限したり、ゲストを招待できるユーザーを指定したり、ドメインを許可またはブロックしたりするためのオプションが含まれます。
重要
Microsoft は、2023 年 8 月 30 日からテナント間アクセス設定をお使いのお客様を新しいストレージ モデルへと移行し始めました。 自動タスクによって設定が移行されると、テナント間アクセス設定が更新されたことを通知するエントリが監査ログに表示されることがあります。 移行プロセス中は、ごく短期ではありますが設定を変更できない期間があります。 変更できない場合は、しばらく待ってからもう一度変更を試してください。 移行が完了すると、25 KB というストレージ容量の上限がなくなり、追加できるパートナー数の上限もなくなります。
受信と送信の設定を使用して外部アクセスを管理する
外部 ID のテナント間アクセス設定によって、他の Microsoft Entra 組織と共同作業する方法を管理します。 これらの設定によって、お客様のリソースに対して外部 Microsoft Entra 組織の受信アクセス ユーザーが持つレベルと、お客様のユーザーが外部組織に対して持つ送信アクセスのレベルの両方が決まります。
次の図は、クロステナント アクセスの受信と送信の設定を示しています。 Resource Microsoft Entra テナントは、共有するリソースを含むテナントです。 B2B コラボレーションの場合、リソース テナントは招待元のテナント (例えば、外部ユーザーを招待する企業テナント) です。 ユーザーのホームの Microsoft Entra テナントは、外部ユーザーが管理されているテナントです。
既定では、他の Microsoft Entra 組織との B2B コラボレーションは有効であり、B2B 直接接続はブロックされています。 ただし、次の包括的な管理者設定を使用すると、これら両方の機能を管理できます。
送信アクセス設定は、ユーザーが外部組織のリソースにアクセスできるかどうかを制御します。 これらの設定は、すべての人に適用することも、また、個々のユーザー、グループ、アプリケーションを指定することもできます。
受信アクセス設定は、外部の Microsoft Entra 組織のユーザーがお客様の組織のリソースにアクセスできるかどうかを制御します。 これらの設定は、すべての人に適用することも、また、個々のユーザー、グループ、アプリケーションを指定することもできます。
信頼の設定 (受信) は、あなたの条件付きアクセス ポリシーが外部組織からの多要素認証 (MFA)、準拠デバイス、Microsoft Entra ハイブリッド参加済みデバイスの要求を、そのユーザーがホーム テナントでこれらの要件を既に満たしている場合に、信頼するかどうかを決定します。 たとえば、あなたの信頼設定が MFA を信頼するよう構成すると、MFA ポリシーは引き続き外部ユーザーに適用されますが、ホーム テナントで MFA を既に完了しているユーザーは、あなたのテナントで MFA を再度完了する必要はありません。
既定の設定
既定のテナント間アクセス設定は、あなたのテナントの外部にあるすべての Microsoft Entra 組織に適用されます (あなたが組織設定を構成した組織を除く)。 既定の設定は変更できますが、B2B コラボレーションと B2B 直接接続の初期設定は次のようになります。
B2B コラボレーション: あなたの内部ユーザーはすべて、 既定で B2B コラボレーションに対して有効になっています。 この設定は、あなたのユーザーは外部のゲストをあなたのリソースにアクセスするよう招待でき、外部組織に彼らをゲストとして招待できることを意味します。 他の Microsoft Entra 組織からの MFA とデバイス要求は信頼されません。
B2B 直接接続: 既定では、B2B 直接接続の信頼関係は確立されていません。 Microsoft Entra ID は、すべての外部 Microsoft Entra テナントのすべての受信および送信 B2B 直接接続機能をブロックします。
組織設定: あなたの組織設定に追加される組織は、既定ではありません。 つまり、すべての外部 Microsoft Entra 組織があなたの組織との B2B コラボレーションで有効になります。
テナント間同期: テナント間同期により、他のテナントのユーザーが自分のテナントに同期されることはありません。
上記の動作は、同じ Microsoft Azure クラウド内の他の Microsoft Entra テナントとの B2B コラボレーションに適用されます。 クラウド間のシナリオでは、既定の設定の動作が少し異なります。 この記事で後述する Microsoft クラウド設定 を参照してください。
組織の設定
組織固有の設定を構成するには、組織を追加し、その組織の受信と送信の設定を変更します。 組織の設定は、既定の設定よりも優先されます。
B2B コラボレーション: 他の Microsoft Entra 組織との B2B コラボレーションでは、テナント間アクセスの設定を使って、インバウンドとアウトバウンドの B2B コラボレーションを管理し、特定のユーザー、グループ、アプリケーションにアクセスのスコープを設定します。 すべての外部組織に適用される既定の構成を設定してから、組織に固有の個別設定を必要に応じて作成することができます。 テナント間アクセス設定を使用して、他の Microsoft Entra 組織からの多要素 (MFA) およびデバイスの信頼性情報 (準拠している信頼性情報および Microsoft Entra ハイブリッド参加済み信頼性情報) を信頼することもできます。
ヒント
外部ユーザーに対して MFA を信頼する場合は、Identity Protection MFA 登録ポリシーから外部ユーザーを除外することをお勧めします。 両方のポリシーが存在する場合、外部ユーザーはアクセスの要件を満たすことができません。
B2B 直接接続: B2B 直接接続では、組織の設定を使って、別の Microsoft Entra 組織との相互信頼関係を設定します。 お客様の組織と外部組織の両方で、受信および送信のテナント間アクセス設定を構成することで、B2B 直接接続を相互に有効にする必要があります。
[外部コラボレーションの設定] を使って、外部ユーザーを招待できるユーザーの制限、B2B 固有ドメインの許可またはブロック、自分のディレクトリへのゲスト ユーザー アクセスの制限の設定を行うことができます。
自動引き換えの設定
自動引き換えの設定は、ユーザーがリソース/ターゲット テナントに初めてアクセスするときに同意プロンプトを受け入れる必要がないように、招待を自動的に引き換えるための、インバウンドとアウトバウンドの組織の信頼設定です。 この設定は、次のように表示されるチェック ボックスで行えます。
- Automatically redeem invitations with the tenant<テナント名> (テナント <テナント名> で招待を自動的に引き換える)
さまざまなシナリオの設定を比較する
自動引き換え設定は、次の状況でテナント間同期、B2B コラボレーション、B2B 直接接続に適用されます。
- テナント間同期を使って、ターゲット テナントでユーザーが作成されるとき。
- B2B コラボレーションを使って、ユーザーがリソース テナントに追加されるとき。
- B2B 直接接続を使って、ユーザーが リソース テナント内のリソースにアクセスするとき。
次の表では、これらのシナリオでこの設定を有効にした場合の比較を示します。
| Item | テナント間同期 | B2B コラボレーション | B2B 直接接続 |
|---|---|---|---|
| 自動引き換えの設定 | 必須 | オプション | オプション |
| ユーザーが B2B コラボレーションの招待メールを受け取る | いいえ | いいえ | 該当なし |
| ユーザーは同意プロンプトに同意する必要がある | いいえ | 番号 | いいえ |
| ユーザーが B2B コラボレーションの通知メールを受け取る | いいえ | イエス | 該当なし |
この設定は、アプリケーションの同意エクスペリエンスには影響しません。 詳細については、「Microsoft Entra ID でのアプリケーションの同意エクスペリエンス」を参照してください。 この設定は、Azure 商用と Azure Government など、Microsoft クラウド環境が異なる組織の間ではサポートされません。
同意プロンプトが抑制される場合
自動引き換え設定によって同意プロンプトと招待メールが抑制されるのは、ホーム/ソース テナント (アウトバウンド) とリソース/ターゲット テナント (インバウンド) の両方でこの設定がチェックされる場合のみです。
次の表は、テナント間アクセス設定の異なる組み合わせに対して自動引き換え設定がチェックされるときの、ソース テナント ユーザーに対する同意プロンプトの動作を示したものです。
| ホーム/ソース テナント | リソース/ターゲット テナント | ソース テナント ユーザーに対する 同意プロンプトの動作 |
|---|---|---|
| Outbound | 受信 | |
 |
|
抑制される |
|
 |
抑制されない |
|
|
抑制されない |
|
|
抑制されない |
| 受信 | Outbound | |
|
|
抑制されない |
|
|
抑制されない |
|
|
抑制されない |
|
|
抑制されない |
Microsoft Graph を使ったこの設定の構成について、「crossTenantAccessPolicyConfigurationPartner の更新」 API をご覧ください。 独自のオンボード エクスペリエンスの構築については、「B2B コラボレーションの招待マネージャー」をご覧ください。
詳しくは、「テナント間同期を構成する」、「B2B コラボレーションのためにテナント間アクセス設定を構成する」、「B2B 直接接続のためにクロステナント アクセス設定を構成する」をご覧ください。
構成可能な引き換え
構成可能な引き換えを使用すると、ゲスト ユーザーが招待を受けたときにサインインできる ID プロバイダーの順序をカスタマイズできます。 この機能を有効にして、[引き換え順序] タブで引き換え順序を指定できます。
![[引き換え順序] タブのスクリーンショット。](media/cross-tenant-access-overview/redemption-order-tab-entra.png#lightbox)
ゲスト ユーザーが招待メールの [招待の承諾] リンクを選択すると、Microsoft Entra ID で既定の引き換え順序に基づいて招待が自動的に引き換えられます。 新しい [引き換え順序] タブで ID プロバイダーの順序を変更すると、新しい順序によって既定の引き換え順序がオーバーライドされます。
プライマリ ID プロバイダーとフォールバック ID プロバイダーの両方が [引き換え順序] タブにあります。
プライマリ ID プロバイダーは、他の認証ソースとのフェデレーションをもつプロバイダーです。 フォールバック ID プロバイダーは、ユーザーがプライマリ ID プロバイダーで一致しない場合に使用されるプロバイダーです。
フォールバック ID プロバイダーには、Microsoft アカウント (MSA)、電子メール ワンタイム パスコード、またはその両方を指定できます。 フォールバック ID プロバイダーを両方とも無効にすることはできませんが、すべてのプライマリ ID プロバイダーを無効にして、引き換えオプションにフォールバック ID プロバイダーのみを使用することはできます。
この機能の既知の制限事項を以下に示します。
既存のシングル サインオン (SSO) セッションを持つ Microsoft Entra ID ユーザーがメールのワンタイム パスコード (OTP) を使用して認証している場合は、[別のアカウントを使用する] を選び、ユーザー名を再入力して OTP フローをトリガーする必要があります。 それ以外の場合、ユーザーは自分のアカウントがリソース テナントに存在しないことを示すエラーを受け取ります。
ゲスト ユーザーが招待状を引き換えるためにメールのワンタイム パスコードのみを使用できる場合、現在、SharePoint の使用はブロックされます。 これは、OTP を使って引き換える Microsoft Entra ID ユーザーに固有です。 他のすべてのユーザーは影響を受けません。
ユーザーが Microsoft Entra ID と Microsoft アカウントの両方に同じメールを持っているシナリオでは、管理者が引き換え方法として Microsoft アカウントを無効にした後でも、Microsoft Entra ID または Microsoft アカウントのどちらを使用するかの選択を求められます。 Microsoft アカウントを選択した場合、無効になっている場合でも引き換えオプションとして許可されます。
Microsoft Entra ID 検証済みドメインの直接フェデレーション
SAML/WS-Fed ID プロバイダー フェデレーション (直接フェデレーション) が、Microsoft Entra ID 検証済みドメインでサポートされるようになりました。 この機能を使用すると、Microsoft Entra で検証されたドメインの外部 ID プロバイダーとの直接フェデレーションを設定できます。
Note
直接フェデレーション構成を設定しようとしているのと同じテナントでドメインが検証されていないことを確認します。 直接フェデレーションを設定したら、テナントの引き換え設定を構成し、新しい構成可能なテナント間アクセス設定を使用して、SAML/WS-Fed ID プロバイダーを Microsoft Entra ID より上位に移動できます。
ゲスト ユーザーが招待を引き換えると、従来の同意画面が表示され、続いて [マイ アプリ] ページにリダイレクトされます。 リソース テナントでこの直接フェデレーション ユーザーのユーザー プロファイルに移動すると、ユーザーが発行者である外部フェデレーションを使用して引き換えられていることがわかります。
B2B ユーザーが Microsoft アカウントを使用した招待の引き換えをできないようにする
B2B ゲスト ユーザーが Microsoft アカウントを使用して招待を引き換えることを抑止できるようになりました。 つまり、新しい B2B ゲスト ユーザーは、フォールバック ID プロバイダーとして電子メール ワンタイム パスコードを使用することになり、既存の Microsoft アカウントを使用して招待を引き換えることはできません。新しい Microsoft アカウントの作成を求めらることもありません。 これを行うには、引き換え順序設定のフォールバック ID プロバイダーで Microsoft アカウントを無効にします。
任意の時点で少なくとも 1 つのフォールバック ID プロバイダーが有効になっている必要があることに注意してください。 これは、Microsoft アカウントを無効にする場合には、電子メールのワンタイム パスコードを有効にする必要があるということです。 Microsoft アカウントでサインインしている既存のゲスト ユーザーは、以降のサインイン時に引き続きそのアカウントを使用します。この設定を適用するには、引き換えの状態をリセットする必要があります。
テナント間同期の設定
テナント間同期の設定は、ソース テナントの管理者がユーザーをターゲット テナントに同期できるようにするための、インバウンドのみの組織の設定です。 この設定は、ターゲット テナントで指定する [ユーザーにこのテナントへの同期を許可する] という名前のチェック ボックスです。 この設定は、手動招待や Microsoft Entra エンタイトルメント管理などの他のプロセスによって作成された B2B 招待には影響しません。
![[テナント間同期] タブと [ユーザーにこのテナントへの同期を許可する] チェック ボックスを示すスクリーンショット。](../media/external-identities/access-settings-users-sync.png#lightbox)
Microsoft Graph を使用してこの設定を構成するには、「crossTenantIdentitySyncPolicyPartner の更新」 API をご覧ください。 詳しくは、「テナント間同期を構成する」をご覧ください。
テナント制限
テナント制限設定を使用すると、以下のような、ユーザーが管理するデバイスでユーザーが使用できる外部アカウントの種類を制御できます。
- ユーザーが不明なテナントで作成したアカウント。
- 外部組織が、その組織のリソースにアクセスできるようにユーザーに付与したアカウント。
これらの種類の外部アカウントを禁止し、代わりに B2B コラボレーションを使用するようにテナントの制限を構成することをお勧めします。 B2B コラボレーションを使うと、次の機能を利用できます。
- 条件付きアクセスを使って、B2B コラボレーション ユーザーに多要素認証を強制します。
- 受信アクセスと送信アクセスを管理します。
- B2B コラボレーション ユーザーの雇用状態が変更された場合、または資格情報が侵害された場合にセッションと資格情報を終了します。
- サインイン ログを使用して、B2B コラボレーション ユーザーに関する詳細を表示します。
テナントの制限は、他のテナント間アクセス設定に依存しないため、構成した受信、送信、または信頼の設定はテナントの制限に影響しません。 テナント制限の構成の詳細については、「テナント制限 V2 の設定」を参照してください。
Microsoft クラウド設定
Microsoft クラウド設定を使用すると、さまざまな Microsoft Azure クラウドからの組織とコラボレーションを行うことができます。 Microsoft クラウド設定を使用すると、以下のクラウド間で B2B の相互コラボレーションを確立できます。
- Microsoft Azure 商用クラウドと Microsoft Azure Government
- Microsoft Azure 商用クラウドと 21Vianet によって運営される Microsoft Azure (21Vianet によって運営される)
Note
Microsoft Azure Government には Office GCC-High および DoD クラウドが含まれています。
B2B コラボレーションを設定するために、両方の組織が Microsoft クラウド設定を構成して、パートナーのクラウドを有効にします。 次に各組織は、パートナーのテナント ID を使用して、パートナーを検索し、組織の設定に追加します。 そこから、各組織は、既定のテナント間アクセス設定をパートナーに適用することを許可するか、パートナー固有の受信と送信の設定を構成できます。 別のクラウドのパートナーとの B2B コラボレーションを確立すると、次のことが可能になります。
- B2B コラボレーションを使用して、パートナー テナントのユーザーを招待し、Web 基幹業務アプリ、SaaS アプリ、SharePoint Online サイト、ドキュメント、ファイルなど、組織内リソースにアクセスする。
- B2B コラボレーションを使用して、パートナー テナントのユーザーに Power BI コンテンツを共有する。
- B2B コラボレーション ユーザーに条件付きアクセス ポリシーを適用し、ユーザーのホーム テナントから多要素認証またはデバイスの信頼性情報 (準拠している信頼性情報と Microsoft Entra ハイブリッド参加済み信頼性情報) を信頼することを選びます。
Note
B2B 直接接続は、別の Microsoft クラウド内の Microsoft Entra テナントとのコラボレーションではサポートされていません。
構成手順については、「B2B コラボレーションの Microsoft クラウド設定の構成」を参照してください。
クラウド間のシナリオでの既定の設定
別の Microsoft Azure クラウドでパートナー テナントと共同作業するには、両方の組織が相互に B2B コラボレーションを有効にする必要があります。 最初の手順は、テナント間の設定でパートナーのクラウドを有効にすることです。 最初に別のクラウドを有効にするときは、そのクラウド内のすべてのテナントに対して B2B コラボレーションがブロックされます。 共同作業するテナントを組織の設定に追加する必要があり、その時点で、既定の設定はそのテナントに対してのみ有効になります。 既定の設定を引き続き有効にすることも、そのテナントについて組織設定を変更することもできます。
重要な考慮事項
重要
既定の受信または送信の設定を変更してアクセスをブロックするようにすると、お客様の組織内またはパートナー組織内のアプリに対する既存のビジネス クリティカルなアクセスがブロックされる可能性があります。 この記事で説明されているツールを必ず使用し、ビジネスの利害関係者と相談して、必要なアクセスを特定してください。
Azure portal でテナント間アクセス設定を構成するには、グローバル管理者、セキュリティ管理者、または定義済みのカスタム役割を持つアカウントが必要になります。
信頼設定を構成したり特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用したりするには、Microsoft Entra ID P1 ライセンスが必要になります。 構成するテナントにはライセンスが必要です。 別の Microsoft Entra 組織との相互の信頼関係が必要な B2B 直接接続の場合は、両方のテナントに Microsoft Entra ID P1 ライセンスが必要です。
テナント間アクセス設定は、他の Microsoft Entra 組織との B2B コラボレーションと B2B 直接接続を管理するために使用されます。 Microsoft Entra 以外の ID (ソーシャル ID や IT マネージド以外の外部アカウントなど) を使用して B2B コラボレーションを行う場合は、外部コラボレーション設定を使用してください。 外部コラボレーションの設定には、ゲスト ユーザーのアクセスを制限したり、ゲストを招待できるユーザーを指定したり、ドメインを許可またはブロックしたりするための B2B コラボレーションオプションが含まれます。
外部組織の特定のユーザー、グループ、またはアプリケーションにアクセス設定を適用する場合は、設定を構成する前に、その組織に情報を問い合わせる必要があります。 設定の対象を正しく指定できるように、ユーザー オブジェクト ID、グループ オブジェクト ID、アプリケーション ID (クライアント アプリ ID またはリソース アプリ ID) を入手します。
ヒント
サインイン ログを調べると、外部組織のアプリのアプリケーションの ID が見つかる場合があります。 「受信サインインと送信サインインを識別する」セクションを参照してください。
ユーザーとグループに対して構成するアクセス設定は、アプリケーションのアクセス設定と一致している必要があります。 競合する設定は許可されません。それらを構成しようとすると警告メッセージが表示されます。
例 1: すべての外部のユーザーとグループに対して受信 アクセスをブロックする場合は、すべてのアプリケーションへのアクセスもブロックする必要があります。
例 2: すべてのユーザー (または特定のユーザーまたはグループ) に対して送信アクセスを許可すると、外部アプリケーションへのすべてのアクセスをブロックすることはできません。少なくとも 1 つのアプリケーションへのアクセスを許可する必要があります。
外部組織との B2B 直接接続を許可する必要があり、条件付きアクセス ポリシーで MFA が必要な場合は、条件付きアクセス ポリシーが外部組織からの MFA 要求を受け入れるように、信頼設定を構成する必要があります。
すべてのアプリへのアクセスを既定でブロックすると、ユーザーは Microsoft Rights Management Service (Office 365 Message Encryption、OME とも呼ばれる) で暗号化された電子メールを読み取れなくなります。 この問題を回避するには、送信設定を構成してユーザーがアプリ ID: 00000012-0000-0000-c000-000000000000 にアクセスできるようにすることをお勧めします。 これが許可する唯一のアプリケーションである場合、他のすべてのアプリへのアクセスは既定でブロックされます。
テナント間アクセス設定を管理するためのカスタム ロール
テナント間アクセス設定は、組織によって定義されたカスタム ロールで管理できます。 これにより、テナント間アクセス設定を管理するために、組み込みのロールの 1 つを使用するのではなく、詳細に範囲指定された独自のロールを定義できます。 組織では、テナント間アクセス設定を管理するためのカスタム ロールを定義できます。 これにより、テナント間アクセス設定を管理するために、組み込みのロールを使用するのではなく、詳細に範囲指定された独自のロールを作成できます。
推奨されるカスタム ロール
テナント間アクセス管理者
このロールでは、既定の設定や組織ベースの設定など、テナント間アクセス設定のすべての設定を管理できます。 このロールは、テナント間アクセス設定のすべての設定を管理する必要があるユーザーに割り当てる必要があります。
このロールで推奨されるアクションの一覧を以下に示します。
| アクション |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
テナント間アクセス閲覧者
このロールでは、既定の設定や組織ベースの設定など、テナント間アクセス設定のすべての設定を読み取ることができます。 このロールは、テナント間アクセス設定で設定を確認する必要はあるが、管理する必要はないユーザーに割り当てる必要があります。
このロールで推奨されるアクションの一覧を以下に示します。
| アクション |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
テナント間アクセス パートナー管理者
このロールでは、パートナーに関連するすべての設定を管理し、既定の設定を読み取ることができます。 このロールは、組織ベースの設定を管理する必要はあるが、既定の設定を変更できないようにする必要があるユーザーに割り当てる必要があります。
このロールで推奨されるアクションの一覧を以下に示します。
| アクション |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
テナント間アクセス管理アクションを保護する
テナント間アクセス設定を変更するすべてのアクションは、保護されたアクションと見なされ、条件付きアクセス ポリシーを使用してさらに保護できます。 詳細と構成手順については、「保護されたアクション」を参照してください。
受信サインインと送信サインインを識別する
受信アクセスと送信アクセス設定を設定する前にユーザーやパートナーが必要とするアクセスを識別するのに役立つさまざまなツールが用意されています。 ユーザーとパートナーが必要とするアクセス削除しないようにするため、現在のサインイン動作を調べる必要があります。 この準備手順を行うことで、エンド ユーザーとパートナー ユーザーに必要なアクセスが失われるのを防ぐのに役立ちます。 ただし、場合によってはこれらのログが保持されるのは 30 日間だけなので、ビジネスの利害関係者と話をして必要なアクセスが失われないようにすることを強く推奨します。
テナント間サインイン アクティビティの PowerShell スクリプト
外部テナントに関連付けられているユーザー サインイン アクティビティを確認するために、テナント間ユーザー サインイン アクティビティ PowerShell スクリプトを使用します。 たとえば、受信アクティビティ (ローカル テナント内のリソースにアクセスする外部ユーザー) と送信アクティビティ (外部テナント内のリソースにアクセスするローカル ユーザー) に対して使用可能なすべてのサインイン イベントを表示するには、次のコマンドを実行します。
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
出力は、受信アクティビティと送信アクティビティで使用可能なすべてのサインイン イベントの概要であり、外部テナント ID 別と外部テナント名別に一覧表示されます。
サインイン ログ PowerShell スクリプト
外部 Microsoft Entra 組織へのユーザーのアクセス権を確認するには、Microsoft Graph PowerShell SDK の Get-MgAuditLogSignIn コマンドレットを使用して、過去 30 日間のサインイン ログのデータを表示します。 たとえば、次のコマンドを実行します。
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
出力は、ユーザーが外部テナント内のアプリに対して開始した送信サインインの一覧です。
Azure Monitor
組織が Azure Monitor サービスをサブスクライブしている場合は、テナント間アクセス アクティビティ ブック (Azure portal の監視ブック ギャラリーにある) を使用して、より長い期間の受信サインインと送信サインインを視覚的に探索します。
セキュリティ情報イベント管理 (SIEM) システム
組織がサインイン ログをセキュリティ情報イベント管理 (SIEM) システムにサインイン ログをエクスポートすると、必要な情報を SIEM システムから取得できます。
クロステナントアクセス設定に対する変更の特定
Microsoft Entra 監査ログには、テナント間のアクセス設定の変更とアクティビティに関するすべてのアクティビティが取り込まれます。 クロステナント アクセス設定の変更を監査するには、CrossTenantAccessSettingsのカテゴリカテゴリを使用してすべてのアクティビティをフィルター処理し、クロステナント アクセス設定の変更を表示します。
