B2B 外部コラボレーションを有効にしてゲストを招待できるユーザーを管理するEnable B2B external collaboration and manage who can invite guests

この記事では、Azure Active Directory (Azure AD) B2B コラボレーションを有効にする方法、ゲストを招待できるユーザーを指定する方法、および Azure AD でゲスト ユーザーに付与するアクセス許可を決定する方法について説明します。This article describes how to enable Azure Active Directory (Azure AD) B2B collaboration, designate who can invite guests, and determine the permissions that guest users have in your Azure AD.

既定では、管理者ロールに割り当てられていなくても、ディレクトリ内のすべてのユーザーとゲストがゲストを招待できます。By default, all users and guests in your directory can invite guests even if they're not assigned to an admin role. 外部コラボレーションの設定を使用することで、組織内のユーザーの種類ごとに、ゲストの招待を有効にしたり無効にしたりすることができます。External collaboration settings let you turn guest invitations on or off for different types of users in your organization. また、ゲストの招待を許可するロールを割り当てることによって、個々のユーザーに招待を委任することもできます。You can also delegate invitations to individual users by assigning roles that allow them to invite guests.

Azure AD を使用すると、外部のゲスト ユーザーに表示される Azure AD ディレクトリの内容を制限することができます。Azure AD allows you to restrict what external guest users can see in your Azure AD directory. 既定では、ゲスト ユーザーはユーザー、グループ、またはその他のディレクトリ リソースの列挙がブロックされ、非表示グループのメンバーシップのみ閲覧可能な、制限付きのアクセス許可レベルに設定されています。By default, guest users are set to a limited permission level that blocks them from enumerating users, groups, or other directory resources, but lets them see membership of non-hidden groups. 新しいプレビュー設定では、ゲストが自分のプロファイル情報のみを表示できるように、ゲスト アクセスをさらに制限することができます。A new preview setting lets you restrict guest access even further, so that guests can only view their own profile information. 詳細については、ゲスト ユーザーのアクセス制御 (プレビュー) に関する記事を参照してください。For details, see Restrict guest access permissions (preview).

B2B 外部コラボレーションの設定を構成するConfigure B2B external collaboration settings

Azure AD B2B コラボレーションでは、テナント管理者が次の招待ポリシーを設定できます。With Azure AD B2B collaboration, a tenant admin can set the following invitation policies:

  • 招待を無効にするTurn off invitations
  • 管理者と、ゲストの招待元ロールのユーザーのみが招待できるOnly admins and users in the Guest Inviter role can invite
  • 管理者、ゲストの招待元ロール、およびメンバーが招待できるAdmins, the Guest Inviter role, and members can invite
  • ゲストを含むすべてのユーザーが招待できるAll users, including guests, can invite

既定では、ゲストを含むすべてのユーザーが、ゲスト ユーザーを招待できます。By default, all users, including guests, can invite guest users.

外部コラボレーションの設定を構成するには、次のようにします。To configure external collaboration settings:

  1. テナント管理者として Azure portal にサインインします。Sign in to the Azure portal as a tenant administrator.

  2. [Azure Active Directory] を選択します。Select Azure Active Directory.

  3. [外部 ID] > [外部コラボレーションの設定] を選択します。Select External Identities > External collaboration settings.

  4. [ゲスト ユーザーのアクセス制限 (プレビュー)] で、ゲスト ユーザーに付与するアクセス レベルを選択します。Under Guest user access restrictions (Preview), choose the level of access you want guest users to have:

    • Guest users have the same access as members (most inclusive) (ゲスト ユーザーにメンバーと同じアクセス権を付与する (最も包括的)) :このオプションを選択すると、ゲストがメンバー ユーザーと同じように Azure AD リソースとディレクトリ データにアクセスできるようになります。Guest users have the same access as members (most inclusive): This option gives guests the same access to Azure AD resources and directory data as member users.

    • Guest users have limited access to properties and memberships of directory objects (ゲスト ユーザーに対してディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスを制限する) :(デフォルト) この設定を選択すると、ゲストは、特定のディレクトリ タスク (ユーザー、グループ、またはその他のディレクトリ リソースを列挙するなど) を実行できなくなります。Guest users have limited access to properties and memberships of directory objects: (Default) This setting blocks guests from certain directory tasks, like enumerating users, groups, or other directory resources. ゲストは、非表示でないすべてのグループのメンバーシップを表示できます。Guests can see membership of all non-hidden groups.

    • Guest user access is restricted to properties and memberships of their own directory objects (most restrictive) (ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限)) :この設定では、ゲストは自分のプロファイルのみにアクセスできます。Guest user access is restricted to properties and memberships of their own directory objects (most restrictive): With this setting, guests can access only their own profiles. ゲストは、他のユーザーのプロファイル、グループ、またはグループ メンバーシップを参照することはできません。Guests are not allowed to see other users' profiles, groups, or group memberships.

    ゲスト ユーザーのアクセス制限設定

  5. [Guest invite settings](ゲスト招待の設定) で、適切な設定を選択します。Under Guest invite settings, choose the appropriate settings:

    • [管理者とゲスト招待元ロールのユーザーは招待ができる] : 管理者と "ゲスト招待元" ロールのユーザーがゲストを招待できるようにするには、このポリシーを [はい] に設定します。Admins and users in the guest inviter role can invite: To allow admins and users in the "Guest Inviter" role to invite guests, set this policy to Yes.

    • [メンバーは招待ができる] : ディレクトリ内の管理者以外のメンバーがゲストを招待できるようにするには、このポリシーを [はい] に設定します。Members can invite: To allow non-admin members of your directory to invite guests, set this policy to Yes.

    • [ゲストは招待ができる] : ゲストが他のゲストを招待できるようにするには、このポリシーを [はい] に設定します。Guests can invite: To allow guests to invite other guests, set this policy to Yes.

    • [ゲストの電子メール ワンタイム パスコードを有効にする (プレビュー)] : ワンタイム パスコード機能の詳細については、「電子メール ワンタイム パスコード認証 (プレビュー)」を参照してください。Enable Email One-Time Passcode for guests (Preview): For more information about the one-time passcode feature, see Email one-time passcode authentication (Preview).

    • ユーザー フローによるゲストのセルフサービス サインアップを有効にする (プレビュー) :この設定の詳細については、「セルフサービス サインアップのユーザー フローをアプリに追加する (プレビュー)」を参照してください。Enable guest self-service sign up via user flows (Preview): For more information about this setting, see Add a self-service sign-up user flow to an app (Preview).

    注意

    [メンバーは招待ができる][いいえ] に設定され、 [管理者とゲスト招待元ロールのユーザーは招待ができる][はい] に設定されている場合、ゲスト招待元ロールのユーザーは引き続きゲストを招待できます。If Members can invite is set to No and Admins and users in the guest inviter role can invite is set to Yes, users in the Guest Inviter role will still be able to invite guests.

    ゲスト招待の設定

  6. [コラボレーションの制限] で、指定したドメインへの招待を許可または拒否するかを選択します。Under Collaboration restrictions, choose whether to allow or deny invitations to the domains you specify. 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。For more information, see Allow or block invitations to B2B users from specific organizations.

ゲスト招待元ロールをユーザーに割り当てるAssign the Guest Inviter role to a user

ゲスト招待元ロールを使用すると、個々のユーザーにグローバル管理者ロールなどの管理者ロールを割り当てなくても、ゲストを招待する機能を付与できます。With the Guest Inviter role, you can give individual users the ability to invite guests without assigning them a global administrator or other admin role. ゲスト招待元ロールを個々のユーザーに割り当てます。Assign the Guest inviter role to individuals. 次に、 [管理者とゲスト招待元ロールのユーザーは招待ができる][はい] に設定されていることを確認します。Then make sure you set Admins and users in the guest inviter role can invite to Yes.

次の例は、PowerShell を使って、ゲストの招待元ロールにユーザーを追加する方法を示しています。Here's an example that shows how to use PowerShell to add a user to the Guest Inviter role:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

次のステップNext steps

Azure AD B2B コラボレーションに関する以下の記事を参照してください。See the following articles on Azure AD B2B collaboration: