Azure Active Directory B2B コラボレーションの招待の利用Azure Active Directory B2B collaboration invitation redemption

この記事では、ゲスト ユーザーがリソースにアクセスできる方法と実行する同意プロセスについて説明します。This article describes the ways guest users can access your resources and the consent process they'll encounter. 招待メールをゲストに送信する場合、その招待には、ゲストがアプリまたはポータルにアクセスするために利用できるリンクを含めます。If you send an invitation email to the guest, the invitation includes a link the guest can redeem to get access to your app or portal. 招待メールは、ゲストがリソースにアクセスできる方法の 1 つにすぎません。The invitation email is just one of the ways guests can get access to your resources. 別の方法として、ゲストをディレクトリに追加し、共有したいポータルまたはアプリへの直接リンクを提供することができます。As an alternative, you can add guests to your directory and give them a direct link to the portal or app you want to share. 使用する方法に関係なく、ゲストには初回の同意プロセスが示されます。Regardless of the method they use, guests are guided through a first-time consent process. このプロセスにより、ゲストは確実にプライバシー条項に同意し、設定された利用規約を承諾することになります。This process ensures that your guests agree to privacy terms and accept any terms of use you've set up.

ゲスト ユーザーをディレクトリに追加すると、そのゲスト ユーザーのアカウントは同意状態 (PowerShell で表示可能) になります。これは、最初は PendingAcceptance に設定されます。When you add a guest user to your directory, the guest user account has a consent status (viewable in PowerShell) that’s initially set to PendingAcceptance. ゲストが招待を受け入れ、プライバシー ポリシーと利用規約に同意するまで、この設定は維持されます。This setting remains until the guest accepts your invitation and agrees to your privacy policy and terms of use. その後、同意の状態が承認済みに変わり、同意ページはゲストに表示されなくなります。After that, the consent status changes to Accepted, and the consent pages are no longer presented to the guest.

重要

2021 年 3 月 31 日以降、Microsoft では、B2B コラボレーション シナリオ向けのアンマネージド Azure AD アカウントとテナントを作成することによる招待の利用をサポートしなくなります。Starting March 31, 2021, Microsoft will no longer support the redemption of invitations by creating unmanaged Azure AD accounts and tenants for B2B collaboration scenarios. 準備として、お客様は、電子メール ワンタイム パスコード認証をオプトインすることをお勧めします。In preparation, we encourage customers to opt into email one-time passcode authentication. さらに多くの方法で共同作業を行うことができるように、このパブリック プレビュー機能についてフィードバックをお待ちしております。We welcome your feedback on this public preview feature and are excited to create even more ways to collaborate.

招待メールによる利用Redemption through the invitation email

Azure portal を使用してディレクトリにゲスト ユーザーを追加すると、そのプロセスで招待メールがゲストに送信されます。When you add a guest user to your directory by using the Azure portal, an invitation email is sent to the guest in the process. ゲスト ユーザーをディレクトリに追加するために PowerShell を使用する際に、招待メールを送信するように選択することもできます。You can also choose to send invitation emails when you’re using PowerShell to add guest users to your directory. 以下は、メールのリンクを利用する場合のゲストのエクスペリエンスの説明です。Here’s a description of the guest’s experience when they redeem the link in the email.

  1. ゲストは、Microsoft Invitations から送信される招待メールを受け取ります。The guest receives an invitation email that's sent from Microsoft Invitations.
  2. ゲストは、電子メールで [招待の承諾] を選択します。The guest selects Accept invitation in the email.
  3. ゲストは、自分の資格情報を使用してディレクトリにサインインします。The guest will use their own credentials to sign in to your directory. ゲストがディレクトリにフェデレーションできるアカウントを持っておらず、電子メール ワンタイム パスコード (OTP) 機能が有効になっていない場合、ゲストは個人用 MSA または Azure AD セルフサービス アカウントを作成するように求められます。If the guest does not have an account that can be federated to your directory and the email one-time passcode (OTP) feature is not enabled; the guest is prompted to create a personal MSA or an Azure AD self-service account. 詳細については、「招待の引き換えフロー」を参照してください。Refer to the invitation redemption flow for details.
  4. ゲストには、以下に説明されている同意エクスペリエンスが示されます。The guest is guided through the consent experience described below.

招待メールの代わりに、アプリまたはポータルへの直接リンクをゲストに提供することができます。As an alternative to the invitation email, you can give a guest a direct link to your app or portal. まず、Azure portal または PowerShell を介して、ゲスト ユーザーをディレクトリに追加する必要があります。You first need to add the guest user to your directory via the Azure portal or PowerShell. その後、直接サインオン リンクを含む、ユーザーにアプリケーションをデプロイするためのカスタマイズ可能な方法のいずれかを使用できます。Then you can use any of the customizable ways to deploy applications to users, including direct sign-on links. ゲストには、招待メールではなく直接リンクを使用する際にも、初回の同意エクスペリエンスが示されます。When a guest uses a direct link instead of the invitation email, they’ll still be guided through the first-time consent experience.

重要

直接リンクはテナントに固有である必要があります。The direct link must be tenant-specific. つまり、共有アプリが配置されている、テナントでゲストを認証できるように、テナント ID または確認済みドメインが含まれている必要があります。In other words, it must include a tenant ID or verified domain so the guest can be authenticated in your tenant, where the shared app is located. https://myapps.microsoft.com のような一般的な URL では、認証のためにホーム テナントにリダイレクトされるため、ゲスト向けには機能しません。A common URL like https://myapps.microsoft.com won’t work for a guest because it will redirect to their home tenant for authentication. テナント コンテキストを含む直接リンクの例をいくつか以下に示します。Here are some examples of direct links with tenant context:

  • アプリ アクセス パネル: https://myapps.microsoft.com/?tenantid=<tenant id>Apps access panel: https://myapps.microsoft.com/?tenantid=<tenant id>
  • 確認済みドメインのアプリ アクセス パネル: https://myapps.microsoft.com/<;verified domain>Apps access panel for a verified domain: https://myapps.microsoft.com/<;verified domain>
  • Azure portal: https://portal.azure.com/<tenant id>Azure portal: https://portal.azure.com/<tenant id>
  • 個々のアプリ: 直接サインオン リンクの使用方法を参照してくださいIndividual app: see how to use a direct sign-on link

直接リンク経由の招待メールが推奨されるケースがいくつかあります。There are some cases where the invitation email is recommended over a direct link. このような特殊なケースが組織にとって重要な場合は、引き続き招待メールを送信する方法を使用してユーザーを招待することをお勧めします。If these special cases are important to your organization, we recommend that you invite users by using methods that still send the invitation email:

  • ユーザーが Azure AD、MSA、あるいはフェデレーション組織のメール アカウントを持っていません。The user doesn’t have an Azure AD account, an MSA, or an email account in a federated organization. ワンタイム パスコード機能を使用していない場合は、ゲストは、MSA の作成手順が示される招待メールを利用する必要があります。Unless you're using the one-time passcode feature, the guest needs to redeem the invitation email to be guided through the steps for creating an MSA.
  • 連絡先オブジェクト (Outlook の連絡先オブジェクトなど) と競合するため、招待されたユーザー オブジェクトにメール アドレスを持っていないことがあります。Sometimes the invited user object may not have an email address because of a conflict with a contact object (for example, an Outlook contact object). この場合、ユーザーは招待メールの利用 URL をクリックする必要があります。In this case, the user must click the redemption URL in the invitation email.
  • ユーザーは、招待されたメール アドレスの別名でサインインすることができますThe user may sign in with an alias of the email address that was invited. (エイリアスは、メール アカウントに関連付けられた追加のメール アドレスです)。この場合、ユーザーは招待メールの利用 URL をクリックする必要があります。(An alias is an additional email address associated with an email account.) In this case, the user must click the redemption URL in the invitation email.

招待の引き換えフローInvitation redemption flow

ユーザーが招待メール[招待の承諾] リンクをクリックすると、Azure AD では下の画像のように、引き換えフローに基づいて招待が自動的に引き換えられます。When a user clicks the Accept invitation link in an invitation email, Azure AD automatically redeems the invitation based on the redemption flow as shown below:

引き換えフローを図解したスクリーンショット

"*ユーザーのユーザー プリンシパル名 (UPN) が既存の Azure AD と個人用 MSA アカウントの両方と一致する場合、ユーザーは引き換えるアカウントを選択するように求められます。 "*If the user’s User principle name (UPN) matches with both an existing Azure AD and personal MSA account, the user will be prompted to choose which account they want to redeem with.

  1. Azure AD ではユーザー基準の検出が実行され、既存の Azure AD テナントにユーザーが存在するかどうかが判断されます。Azure AD performs user-based discovery to determine if the user exists in an existing Azure AD tenant.

  2. 管理者が直接フェデレーションを有効にしている場合、Azure AD では、構成されている SAML/WS-Fed ID プロバイダーのドメインにユーザーのドメイン サフィックスが一致するかどうかが確認され、事前に構成されている ID プロバイダーにユーザーがリダイレクトされます。If an admin has enabled direct federation, Azure AD checks if the user’s domain suffix matches the domain of a configured SAML/WS-Fed identity provider and redirects the user to the pre-configured identity provider.

  3. 管理者が Google フェデレーションを有効にしている場合、Azure AD では、ユーザーのドメイン サフィックスが gmail.com か googlemail.com であるかどうかが確認され、ユーザーが Google にリダイレクトされます。If an admin has enabled Google federation, Azure AD checks if the user’s domain suffix is gmail.com or googlemail.com and redirects the user to Google.

  4. 引き換えプロセスでは、ユーザーに個人用の Microsoft アカウント (MSA) が既に与えられているかどうかが確認されます。The redemption process checks if the user has an existing personal Microsoft account (MSA).

  5. ユーザーのホーム ディレクトリが確認されると、ユーザーはサインインするため、それに対応する ID プロバイダーの元に送られます。Once the user’s home directory is identified, the user is sent to the corresponding identity provider to sign in.

  6. 手順 1 から 4 によって招待したユーザーのホーム ディレクトリを見つけられない場合、Azure AD によって、招待元のテナントがゲスト用の電子メール ワンタイム パスコード (OTP) を有効にしているかどうかが判断されます。If steps 1 to 4 fail to find a home directory for the invited user, then Azure AD determines whether the inviting tenant has enabled the email one-time passcode (OTP) feature for guests.

  7. ゲスト用の電子メール ワンタイム パスコードが有効になっている場合、招待メール経由でパスコードがユーザーに送信されます。If email one-time passcode for guests is enabled, a passcode is sent to the user through the invited email. ユーザーはこのパスコードを取得し、Azure AD サインイン ページで入力します。The user will retrieve and enter this passcode in the Azure AD sign-in page.

  8. ゲスト用の電子メール ワンタイム パスコードが無効になっている場合、Azure AD によって、ドメイン サフィックスがチェックされ、コンシューマー アカウントに属しているかどうかが判断されます。If email one-time passcode for guests is disabled, Azure AD checks the domain suffix to determine if it belongs to a consumer account. 該当する場合、ユーザーは、個人用 Microsoft アカウントを作成するように求められます。If so, the user is prompted to create a personal Microsoft account. 該当しない場合、Azure AD セルフサービス アカウントを作成するように求められます。If not, the user is prompted to create an Azure AD self-service account.

  9. Azure AD では、メールへのアクセスを確認することで、Azure AD セルフサービス アカウントの作成が試行されます。Azure AD attempts to create an Azure AD self-service account by verifying access to the email. アカウントの確認は、コードをメールに送信し、ユーザーにそのコードを取得させ、Azure AD に送信させることで行われます。Verifying the account is done by sending a code to the email, and having the user retrieve and submit it to Azure AD. ただし、招待されたユーザーのテナントがフェデレーションされているか、または招待されたユーザーのテナントで AllowEmailVerifiedUsers フィールドが false に設定されている場合、ユーザーは引き換えを完了できず、フローは結果的にエラーになります。However, if the invited user’s tenant is federated or if the AllowEmailVerifiedUsers field is set to false in the invited user’s tenant, the user is unable to complete the redemption and the flow results in an error. 詳細については、「Azure Active Directory B2B コラボレーションのトラブルシューティング」を参照してください。For more information, see Troubleshooting Azure Active Directory B2B collaboration.

  10. ユーザーは、個人用 Microsoft アカウント (MSA) を作成するように求められます。The user is prompted to create a personal Microsoft account (MSA).

  11. 該当する ID プロバイダーに対して認証を行った後、同意エクスペリエンスを完了するため、ユーザーは Azure AD にリダイレクトされます。After authenticating to the right identity provider, the user is redirected to Azure AD to complete the consent experience.

テナント化されたアプリケーションのリンク経由で引き換える Just-In-Time (JIT) 引き換えについては、手順 8 から 10 までを利用できません。For just-in-time (JIT) redemptions, where redemption is through a tenanted application link, steps 8 through 10 are not available. ユーザーが手順 6 に到達したとき、電子メール ワンタイム パスコード機能が有効になっていない場合、ユーザーはエラー メッセージを取得し、招待を引き換えることができません。If a user reaches step 6 and the Email one-time passcode feature is not enabled, the user receives an error message and is unable to redeem the invitation. このエラーを防ぐには、管理者が電子メール ワンタイム パスコードを有効にするか、ユーザーが招待リンクを確実にクリックするようにします。To prevent this error, admins should either enable email one-time passcode or ensure the user clicks an invitation link.

ゲストがサインインし、初めてパートナー組織のリソースにアクセスすると、以下のページが示されます。When a guest signs in to access resources in a partner organization for the first time, they're guided through the following pages.

  1. ゲストは、招待元の組織のプライバシーに関する声明について説明されている [アクセス許可の確認] ページを確認します。The guest reviews the Review permissions page describing the inviting organization's privacy statement. ユーザーは、操作を続行するために、招待元の組織のプライバシー ポリシーに従って情報を使用することに同意する必要があります。A user must Accept the use of their information in accordance to the inviting organization's privacy policies to continue.

    [アクセス許可の確認] ページのスクリーンショット

    注意

    テナント管理者として組織のプライバシー ステートメントにリンクする方法については、Azure Active Directory に組織のプライバシー情報を追加する方法に関するページを参照してください。For information about how you as a tenant administrator can link to your organization's privacy statement, see How-to: Add your organization's privacy info in Azure Active Directory.

  2. 利用規約が構成されている場合、ゲストはその利用規約を開き、確認してから、 [同意] を選択します。If terms of use are configured, the guest opens and reviews the terms of use, and then selects Accept.

    新しい利用規約を示すスクリーンショット

    [外部 ID] > [使用条件]使用条件を構成できます。You can configure terms of use in External Identities > Terms of use.

  3. 特に指定されていない限り、ゲストはアプリ アクセス パネルにリダイレクトされます。そこには、ゲストがアクセスできるアプリケーションがリスト表示されています。Unless otherwise specified, the guest is redirected to the Apps access panel, which lists the applications the guest can access.

    アプリ アクセス パネルを示すスクリーンショット

ディレクトリでは、ゲストの [招待が受け入れられました] の値が [はい] に変わります。In your directory, the guest's Invitation accepted value changes to Yes. MSA が作成された場合、ゲストの [ソース] には Microsoft アカウントが示されます。If an MSA was created, the guest’s Source shows Microsoft Account. ゲスト ユーザー アカウントのプロパティの詳細については、Azure AD B2B コラボレーション ユーザーのプロパティに関するページを参照してください。For more information about guest user account properties, see Properties of an Azure AD B2B collaboration user.

次のステップNext steps