Azure Active Directory でゲストのアクセス許可を制限する (プレビュー)Restrict guest access permissions (preview) in Azure Active Directory

Azure Active Directory (Azure AD) を使用すると、Azure AD 内の組織で外部のゲスト ユーザーに表示される内容を制限することができます。Azure Active Directory (Azure AD) allows you to restrict what external guest users can see in their organization in Azure AD. 既定では、ゲスト ユーザーは Azure AD で制限されたアクセス許可レベルに設定されますが、メンバー ユーザーの既定値は、既定のユーザー アクセス許可の完全なセットになります。Guest users are set to a limited permission level by default in Azure AD, while the default for member users is the full set of default user permissions. これは、Azure AD 組織の外部コラボレーション設定における新しいゲスト ユーザーのアクセス許可レベルのプレビューであり、さらに制限されたアクセスが可能になります。そのため、ゲスト アクセスの選択肢は次のようになります。This is a preview of a new guest user permission level in your Azure AD organization's external collaboration settings for even more restricted access, so your guest access choices now are:

アクセス許可レベルPermission level アクセス レベルAccess level
メンバー ユーザーと同じSame as member users ゲストは、Azure AD リソースに対してメンバー ユーザーと同じアクセス権を持っていますGuests have the same access to Azure AD resources as member users
制限付きアクセス (既定)Limited access (default) ゲストは、非表示でないすべてのグループのメンバーシップを表示できますGuests can see membership of all non-hidden groups
制限付きアクセス (新規)Restricted access (new) ゲストは、どのグループのメンバーシップも表示できませんGuests can't see membership of any groups

ゲスト アクセスが制限されている場合、ゲストは自分のユーザー プロファイルのみを表示できます。When guest access is restricted, guests can view only their own user profile. ゲストがユーザー プリンシパル名または objectId で検索している場合でも、他のユーザーを表示するアクセス許可は許可されません。Permission to view other users isn't allowed even if the guest is searching by User Principal Name or objectId. 制限付きアクセスでは、ゲスト ユーザーが所属しているグループのメンバーシップも表示できないように制限されます。Restricted access also restricts guest users from seeing the membership of groups they're in. ゲスト ユーザーのアクセス許可を含めた全体的な既定のユーザー アクセス許可については、「Azure Active Directory の既定のユーザー アクセス許可とは」をご覧ください。For more information about the overall default user permissions, including guest user permissions, see What are the default user permissions in Azure Active Directory?.

アクセス許可とライセンスPermissions and licenses

外部コラボレーション設定を構成するには、全体管理者ロールである必要があります。You must be in the Global Administrator role to configure the external collaboration settings. ゲスト アクセスを制限するための追加のライセンス要件はありません。There are no additional licensing requirements to restrict guest access.

Azure portal で更新するUpdate in the Azure portal

ゲスト ユーザーのアクセス許可に対して既存の Azure portal コントロールを変更しました。We’ve made changes to the existing Azure portal controls for guest user permissions.

重要

しばらくの間、ゲスト ユーザーのアクセス許可に対する新しいポータル コントロールは、URL https://aka.ms/AADRestrictedGuestAccess を使用してのみ表示されます。For a short time, the new portal controls for guest user permissions will be visible only using the URL https://aka.ms/AADRestrictedGuestAccess. PowerShell と Microsoft Graph は引き続きコントロールを設定するために使用でき、変更はポータルによって受け入れられます。PowerShell and Microsoft Graph can still be used to set the controls and changes will be honored by the portal.

  1. 全体管理者アクセス許可を使用して Azure AD 管理センターにサインインします。Sign in to the Azure AD admin center with Global administrator permissions.

  2. 組織の Azure Active Directory 概要ページで、 [ユーザー設定] を選択します。On the Azure Active Directory overview page for your organization, select User settings.

  3. [外部ユーザー] で、 [Manage external collaboration settings (外部コラボレーション設定の管理)] を選択します。Under External users, select Manage external collaboration settings.

  4. [外部コラボレーションの設定] ページで、 [Guest user access is restricted to properties and memberships of their own directory objects] (ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する) オプションを選択します。On the External collaboration settings page, select Guest user access is restricted to properties and memberships of their own directory objects option.

    Azure AD の外部コラボレーション設定ページ

  5. [保存] を選択します。Select Save. 変更は、ゲスト ユーザーに対して有効になるまでに最大 15 分かかることがあります。The changes can take up to 15 minutes to take effect for guest users.

Microsoft Graph API を使用して更新するUpdate with the Microsoft Graph API

Azure AD 組織のゲスト アクセス許可を構成するための新しい Microsoft Graph API が追加されました。We’ve added a new Microsoft Graph API to configure guest permissions in your Azure AD organization. 次の API 呼び出しを実行して、任意のアクセス許可レベルを割り当てることができます。The following API calls can be made to assign any permission level. ここで使用する guestUserRoleId の値は、最も制限の厳しいゲスト ユーザー設定を示すためのものです。The value for guestUserRoleId used here is to illustrate the most restricted guest user setting. Microsoft Graph を使用してゲストのアクセス許可を設定する方法の詳細については、authorizationPolicy リソースの種類に関するページを参照してください。For more information about using the Microsoft Graph to set guest permissions, see authorizationPolicy resource type.

初回の構成Configuring for the first time

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

応答は Success 204 です。Response should be Success 204.

既存の値の更新Updating the existing value

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

応答は Success 204 です。Response should be Success 204.

現在の値を表示するView the current value

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

応答の例:Example response:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

PowerShell コマンドレットで更新するUpdate with PowerShell cmdlets

この機能では、PowerShell v2 コマンドレットを使用して制限されたアクセス許可を構成できるようにしました。With this feature, we’ve added the ability to configure the restricted permissions via PowerShell v2 cmdlets. PowerShell コマンドレットの Get と Set は、バージョン 2.0.2.85 で公開されています。Get and Set PowerShell cmdlets have been published in version 2.0.2.85.

Get コマンド:Get-AzureADMSAuthorizationPolicyGet command: Get-AzureADMSAuthorizationPolicy

例:Example:

PS C:\WINDOWS\system32> Get-AzureADMSAuthorizationPolicy

Id                                                : authorizationPolicy
OdataType                                         :
Description                                       : Used to manage authorization related settings across the company.
DisplayName                                       : Authorization Policy
EnabledPreviewFeatures                            : {}
GuestUserRoleId                                   : 10dae51f-b6af-4016-8d66-8c2a99b929b3
PermissionGrantPolicyIdsAssignedToDefaultUserRole : {user-default-legacy}

Set コマンド:Set-AzureADMSAuthorizationPolicySet command: Set-AzureADMSAuthorizationPolicy

例:Example:

PS C:\WINDOWS\system32> Set-AzureADMSAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

注意

要求された場合は、authorizationPolicy を ID として入力する必要があります。You must enter authorizationPolicy as the ID when requested.

サポートされている Microsoft 365 サービスSupported Microsoft 365 services

サポートされているサービスSupported services

サポートされているということは、エクスペリエンスが期待どおりであるということです。具体的には、現在のゲスト エクスペリエンスと同じです。By supported we mean that the experience is as expected; specifically, that it is same as current guest experience.

  • TeamsTeams
  • Outlook (OWA)Outlook (OWA)
  • SharePointSharePoint

現時点ではサポートされていないサービスServices currently not supported

現在サポートされていないサービスには、新しいゲスト制限設定に関する互換性の問題がある可能性があります。Service without current support might have compatibility issues with the new guest restriction setting.

  • フォームForms
  • Teams 内の PlannerPlanner in Teams
  • Planner アプリPlanner app
  • ProjectProject
  • YammerYammer

よく寄せられる質問 (FAQ)Frequently asked questions (FAQ)

QuestionQuestion AnswerAnswer
これらのアクセス許可はどこに適用されますか。Where do these permissions apply? これらのディレクトリ レベルのアクセス許可は、Microsoft Graph、PowerShell v2、Azure portal、マイ アプリ ポータルなどの Azure AD サービスとポータルに適用されます。These directory level permissions are enforced across Azure AD services and portals including the Microsoft Graph, PowerShell v2, the Azure portal, and My Apps portal. コラボレーション シナリオに Office 365 グループを利用する Microsoft 365 サービスも、特に Outlook、Microsoft Teams、および SharePoint が影響を受けます。Microsoft 365 services leveraging Office 365 groups for collaboration scenarios are also affected, specifically Outlook, Microsoft Teams, and SharePoint.
この機能によって影響を受けるのは、マイ アプリ ポータルのどの部分ですか。Which parts of the My Apps portal will this feature affect? マイ アプリ ポータルのグループ機能では、これらの新しいアクセス許可が優先されます。The groups functionality in the My Apps portal will honor these new permissions. これには、マイ アプリのグループ一覧とグループ メンバーシップを表示するためのすべてのパスが含まれます。This includes all paths to view the groups list and group memberships in My Apps. グループ タイルの可用性に変更は加えられていません。No changes were made to the group tile availability. グループ タイルの可用性は、Azure 管理ポータルの既存のグループ設定によって引き続き制御されます。The group tile availability is still controlled by the existing group setting in the Azure admin portal.
これらのアクセス許可は、SharePoint または Microsoft Teams のゲスト設定をオーバーライドしますか。Do these permissions override SharePoint or Microsoft Teams guest settings? いいえ。No. これらの既存の設定は、引き続きこれらのアプリケーションのエクスペリエンスとアクセスを制御します。Those existing settings still control the experience and access in those applications. たとえば、SharePoint で問題が発生した場合は、外部共有の設定を再確認してください。For example, if you see issues in SharePoint, double check your external sharing settings.
Planner と Yammer には、互換性に関する既知の問題がありますか。What are the known compatibility issues in Planner and Yammer?
  • アクセス許可が "制限" に設定されている場合、Planner アプリにログインしたゲスト、または Microsoft Teams の Planner にアクセスしているゲストは、プランやタスクにアクセスすることはできません。With permissions set to ‘restricted’, guests logged into the Planner app or accessing the Planner in Microsoft Teams won't be able to access their plans or any tasks.
  • アクセス許可が "制限" に設定されている場合、Yammer にログインしたゲストはグループから脱退できません。With permissions set to ‘restricted’, guests logged into Yammer won't be able to leave the group.
  • テナントの既存のゲスト アクセス許可は変更されますか。Will my existing guest permissions be changed in my tenant? 現在の設定に変更は加えられていません。No changes were made to your current settings. 既存の設定との下位互換性が維持されています。We maintain backward compatibility with your existing settings. 変更を行うタイミングを決定してください。You decide when you want make changes.
    これらのアクセス許可は既定で設定されますか。Will these permissions be set by default? いいえ。No. 既存の既定のアクセス許可は変更されていません。The existing default permissions remain unchanged. 必要に応じて、より制限の厳しいアクセス許可を設定することもできます。You can optionally set the permissions to be more restrictive.
    この機能のライセンス要件はありますか。Are there any license requirements for this feature? いいえ。この機能には新しいライセンスの要件はありません。No, there are no new licensing requirements with this feature.

    次のステップNext steps