ゲスト アカウントと Azure Active Directory B2B を使用して共同作業を行う

完了

あなたは、外部チームと社内の開発者チームが、簡単で安全なプロセスによって共同作業できるようにする必要があります。 Azure Active Directory (Azure AD) 企業間 (B2B) を使用すると、他の企業のユーザーを自社の Azure AD テナントにゲスト ユーザーとして追加できます。

組織に複数の Azure AD テナントがある場合は、Azure AD B2B を使用してテナント B のリソースへのアクセス権をテナント A のユーザーに付与することもできます。各 Azure AD テナントは、他の Azure AD テナントとは別のもので、ID とアプリの登録の表現が独自にあります。

Azure AD B2B でのゲスト ユーザー アクセス

外部ユーザーがあなたの組織のリソースに対して一時的または制限されたアクセスを必要とするシナリオでは、ゲスト ユーザー アクセス権を付与します。 適切な制限を設定したゲスト ユーザー アクセス権を付与することができます。 その後、作業が完了したらアクセス権を削除します。

Azure portal を使用して、B2B コラボレーション ユーザーを招待できます。 Azure AD 組織、グループ、またはアプリケーションにゲスト ユーザーを招待します。 ユーザーを招待すると、そのユーザーのアカウントはゲスト アカウントとして Azure AD に追加されます。

ゲストは電子メールで招待を受け取ることができます。 または、直接リンクを使用してアプリケーションへの招待を共有することもできます。 その場合、ゲスト ユーザーは招待に応じてリソースにアクセスします。

既定では、Azure AD のユーザーと管理者はゲスト ユーザーを招待できます。 ただし、この機能は全体管理者が制限または無効にすることができます。

パートナーの ID を使用してパートナーと共同作業を行う

もし、あなたの組織が、特定のパートナー組織に属している個々の外部ゲスト ユーザーの ID を管理しなければならないとしたら、組織の責任が増えます。それらの ID をセキュリティで保護する必要があるためです。 それらの ID を管理するためのワークロードが追加されます。 また、義務を果たすために、アカウントの同期、各アカウントのライフ サイクルの管理、個々の外部アカウントの追跡を行う必要もあります。 あなたの組織は、共同作業を行うすべてのパートナー組織について、このような手順に従う必要があります。 また、それらのアカウントに何らかの問題が発生した場合は、あなたの組織が責任を負います。

Azure Active Directory B2B では、外部ユーザーの ID を管理する必要がありません。 パートナーの ID を管理する責任はパートナー自身にあります。 外部ユーザーは、引き続き各自の現在の ID を使用して、あなたの組織との共同作業を行います。

たとえば、Proseware の外部パートナー Giovanna Carvalho と共同作業を行うとします。 彼女の組織は、彼女の ID を gcarvalho@proseware.com として管理しています。 あなたは、自分の組織の Azure AD で、ゲスト アカウントにその ID を使用します。 Giovanna は、ゲスト アカウントの招待に応じた後、自分の組織で使用するのと同じ ID (名前とパスワード) をゲスト アカウント用に使用します。

フェデレーションではなく Azure AD B2B を使用する理由

Azure AD B2B では、パートナーの資格情報と ID の管理と認証を行う必要がありません。 パートナーに IT 部門がない場合でも、パートナーとの共同作業を行うことができます。 たとえば、個人または会社の電子メール アドレスのみを使用しており、IT 部門が管理する ID 管理ソリューションがない請負業者とも共同作業を行うことができます。

外部ユーザーに対してアクセスを提供することは、フェデレーションよりもはるかに簡単です。 外部ユーザー アカウントを作成および管理するために、AD 管理者は必要ありません。 承認されたユーザーであれば、他のユーザーを招待できます。 たとえば、ライン管理者が自分のチームと共同作業を行う外部ユーザーを招待することができます。 共同作業が必要なくなった場合は、これらの外部ユーザーを簡単に削除できます。

フェデレーションは、もっと複雑です。 フェデレーションでは、一連のリソースへの共有アクセスを可能にするために、別の組織 (ドメインのコレクション) との信頼を確立します。 あなたは、オンプレミスの ID プロバイダーと、Azure AD との信頼が確立されている承認サービス (Active Directory フェデレーション サービス (AD FS) など) を使用しているとします。 リソースにアクセスするには、すべてのユーザーが各自の資格情報を入力し、AD FS サーバーに対して正常に認証を行う必要があります。 内部ネットワークの外部で認証を試みるユーザーがいる場合は、Web アプリケーション プロキシを設定する必要があります。 アーキテクチャは次の図のようになります。

オンプレミスの Active Directory と Azure Active Directory 間のフェデレーションの例を示した図。

組織が Azure リソースに対するすべての認証をローカル環境で実行することを望む場合は、Azure AD とのオンプレミス フェデレーションが適している可能性があります。 管理者はより厳しいレベルのアクセス制御を実装することができます。 一方これは、ご自身のローカル環境がダウンした場合に、ユーザーが必要な Azure のリソースやサービスにアクセスできないことを意味します。

B2B コラボレーションを使用すると、外部チームは、Azure のリソースとサービスに対する、適切なアクセス許可を備えた必要なアクセス権を取得できます。 フェデレーションと信頼を確立する必要はなく、認証はオンプレミスのサーバーに依存しません。 認証は Azure を介して行われます。 コラボレーションが簡略化され、オンプレミスのディレクトリが使用できないためにユーザーがサインインできない状況について心配する必要はありません。