Microsoft Entra ID で外部ユーザー アカウントを管理する
Microsoft Entra B2B コラボレーション ユーザーはゲスト ユーザーとしてディレクトリに追加され、ディレクトリのゲスト アクセス許可は既定で制限されています。 一部のゲスト ユーザーを組織内の上位の特権ロールに入れる必要がある場合があります。 上位の特権ロールの定義をサポートするために、ゲスト ユーザーを組織のニーズに合わせて任意のロールに追加することができます。
B2B ユーザーをロールに追加する
組織では、最小限の特権のルールを使用することをお勧めします。 Privileged Identity Management (PIM) を使用して、B2B/ゲスト ユーザーにアクセス権を付与することができます。
Microsoft Entra B2B コラボレーション ユーザーの主要なプロパティ
UserType
このプロパティは、ユーザーとホスト テナントとの関係を示します。 このプロパティは次の 2 つの値を取ります。
メンバー: この値は、ホスト組織の従業員や組織の給与支払い名簿にあるユーザーを示します。 たとえば、このユーザーは、内部専用のサイトにアクセスできることが想定されます。 このユーザーは外部コラボレーターとは見なされません。
ゲスト: この値は、社内ユーザーと見なされないユーザー (外部コラボレーター、パートナー、顧客など) を示します。 このようなユーザーに、CEO の社内メモの送信や各種手当の給付が行われることは想定されません。
注意
UserType は、ユーザーのサインイン方法、ユーザーのディレクトリ ロールなどとは関係ありません。 このプロパティは、単にユーザーとホスト組織との関係を示しており、組織はこのプロパティに基づくポリシーを強制できます。
Identities
このプロパティは、ユーザーのプライマリ ID プロバイダーを示します。 ユーザーは、ユーザー プロファイルにある ID の次のリンクを選択するか、Microsoft Graph API を使用して ID プロパティに対してクエリを実行することで表示できる ID プロバイダーを複数持つことができます。
| ID プロパティ値 | サインイン状態 |
|---|---|
| 外部の Microsoft Entra テナント | このユーザーは外部組織に所属し、他の組織に属している Microsoft Entra アカウントを使用して認証を行います。 |
| Microsoft アカウント | このユーザーは Microsoft アカウントに所属し、Microsoft アカウントを使用して認証を行います。 |
| {ホストのドメイン} | このユーザーは、この組織に属している Microsoft Entra アカウントを使用して認証されます。 |
| google.com | このユーザーは Gmail アカウントを持ち、他の組織にセルフサービスを使用してサインアップしています。 |
| facebook.com | このユーザーは Facebook アカウントを持ち、他の組織にセルフサービスを使用してサインアップしています。 |
| このユーザーは、Microsoft Entra Email のワンタイム パスコード (OTP) を使用してサインアップしました。 | |
| {発行者 URI} | このユーザーは、ID プロバイダーとして Microsoft Entra ID を使用しないが、代わりに SAML/WS-Fed ベースの ID プロバイダーを使用する外部組織に所属しています。 |
Microsoft Entra B2B ユーザーをゲストではなくメンバーとして追加できるか
通常は、Microsoft Entra B2B ユーザーとゲスト ユーザーは同義です。 そのため、Microsoft Entra B2B コラボレーション ユーザーは、既定では UserType = Guest のユーザーとして追加されます。 ただし、一部のケースでは、パートナー組織がより大きな組織のメンバーであり、ホスト組織もその組織に所属しています。 そのような場合は、ホスト組織がパートナー組織のユーザーをゲストではなくメンバーとして扱いたいことがあります。 Microsoft Entra ユーザー プロパティを使用してゲストをメンバーに変更します。
ディレクトリのゲスト ユーザーのフィルター処理
UserType の変換
PowerShell を使用して、UserType をメンバーからゲストに、またはその逆に変換できます。 ただし、UserType プロパティはユーザーと組織の関係を表しています。 そのため、このプロパティは、ユーザーと組織の関係が変化した場合にのみ変更するようにします。 ユーザーの関係が変化した場合に、ユーザー プリンシパル名 (UPN) を変更する必要はありますか。 また、同じリソースへのアクセス権を引き続きユーザーに持たせる必要がありますか。 メールボックスを割り当てる必要があるか、などの疑問です。 PowerShell を使用してアトミック アクティビティとして UserType を変更することはお勧めしません。 また、PowerShell を使用してこのプロパティを変更できなくなる場合に備えて、この値には依存しないことをお勧めします。
ゲスト ユーザー制限の削除
ゲスト ユーザーに、より高い権限を付与したい場合があります。 ゲスト ユーザーを任意のロールに追加することができます。また、メンバーと同じ権限を付与するために、ディレクトリでの既定のゲスト ユーザー制限を削除することもできます。 既定の制限を無効にして、会社のディレクトリのゲスト ユーザーにメンバー ユーザーと同じアクセス許可を持たせることができます。 Microsoft Entra ID メニュー内のユーザー設定で制限を削除します。
動的グループと Microsoft Entra B2B コラボレーション
動的グループとは
Azure portal では、Microsoft Entra ID のセキュリティ グループ メンバーシップの動的構成が利用可能です。 管理者は、ユーザー属性 (userType、部門、国/地域など) に基づいて、Microsoft Entra ID で作成されたグループのメンバーを設定するためのルールを指定できます。 メンバーを属性に基づいて自動的にセキュリティ グループに追加したり、セキュリティ グループから削除したりすることができます。 これらのグループを使用すると、アプリケーションやクラウド リソース (SharePoint サイト、ドキュメント) へのアクセスを付与したり、メンバーにライセンスを割り当てたりすることができます。
動的グループを作成および使用するには、適切な Microsoft Entra ID Premium P1 または P2 ライセンスが必要です。