ゲスト アクセスと B2B 外部ユーザー アクセスを許可するためのポリシー

  • [アーティクル]

この記事では、Microsoft Entra Business-to-Business (B2B) アカウントを持つゲストと外部ユーザーのアクセスを許可するように、推奨されるゼロ トラスト ID とデバイスのアクセス ポリシーを調整する方法について説明します。 このガイダンスは共通 ID およびデバイス アクセス ポリシーに基づいています。

これらの推奨事項は、保護の 開始点 レベルに適用するように設計されています。 ただし、 エンタープライズ および 特殊なセキュリティ 保護に関する特定のニーズに基づいて推奨事項を調整することもできます。

Microsoft Entra テナントで認証する B2B アカウントのパスを指定しても、これらのアカウントは環境全体にアクセスできません。 B2B ユーザーとそのアカウントは、条件付きアクセス ポリシーによって共有されているファイルなどのサービスやリソースにアクセスできます。

ゲストと外部ユーザー アクセスを許可および保護するための一般的なポリシーの更新

この図は、B2B ゲストおよび外部ユーザー アクセスに対して、共通 ID とデバイス アクセス ポリシーの間で追加または更新するポリシーを示しています。

ゲスト アクセスを保護するためのポリシー更新プログラムの概要

次の表に、作成と更新に必要なポリシーを示します。 共通ポリシーは、共通 ID とデバイスのアクセス ポリシーの記事にある関連する構成手順にリンクしています。

保護レベル ポリシー 詳細情報
開始点 ゲストと外部ユーザーに対して MFA を常に要求する この新しいポリシーをCreateし、次の構成を行います。
  • [ 割り当て > ] [ユーザーとグループ > を含める] で、[ユーザーとグループの選択] を選択し、[ すべてのゲストと外部ユーザー] を選択します。
  • [ 割り当て > 条件 > ] [サインイン リスク] で 、すべてのサインイン リスク レベルを選択します。
サインインのリスクが、またはのときに MFA を要求する ゲストと外部ユーザーを除外するように、このポリシーを変更します。

条件付きアクセス ポリシーにゲストと外部ユーザーを含めるか除外するには、[割り当て>] の [ユーザーとグループ>] [含める] または [除外] のチェックすべてのゲストユーザーと外部ユーザーです。

ゲストと外部ユーザーを除外するためのコントロール

詳細

Microsoft Teams でのゲストと外部ユーザー アクセス

Microsoft Teams では、次のユーザーが定義されています。

  • ゲスト アクセスでは、Microsoft Entra B2B アカウントを使用します。このアカウントは、チームのメンバーとして追加でき、チームのコミュニケーションとリソースにアクセスできます。

  • 外部アクセス は、B2B アカウントを持たない外部ユーザーを対象とします。 外部ユーザー アクセスには、招待、通話、チャット、会議が含まれますが、チーム メンバーシップとチームのリソースへのアクセスは含まれません。

詳細については、 ゲストとチームの外部ユーザー アクセスの比較に関するページを参照してください。

Teams の ID とデバイス アクセス ポリシーのセキュリティ保護の詳細については、「 Teams のチャット、グループ、ファイルをセキュリティで保護するためのポリシーの推奨事項」を参照してください。

ゲストユーザーと外部ユーザーに対して常に MFA を要求する

このポリシーは、ゲストがホーム テナントで MFA に登録されているかどうかに関係なく、テナントに MFA を登録するように求めます。 テナント内のリソースにアクセスするゲストと外部ユーザーは、すべての要求に MFA を使用する必要があります。

リスクベースの MFA からゲストと外部ユーザーを除外する

組織では、Microsoft Entra ID 保護を使用して B2B ユーザーにリスクベースのポリシーを適用できますが、ID がホーム ディレクトリに存在するため、リソース ディレクトリ内の B2B コラボレーション ユーザーに対するMicrosoft Entra ID 保護の実装には制限があります。 これらの制限により、Microsoft では、リスクベースの MFA ポリシーからゲストを除外し、これらのユーザーに常に MFA を使用するよう要求することをお勧めします。

詳細については、「 B2B コラボレーション ユーザーの ID 保護の制限事項」を参照してください。

ゲストと外部ユーザーをデバイス管理から除外する

デバイスを管理できるorganizationは 1 つだけです。 デバイスコンプライアンスを必要とするポリシーからゲストと外部ユーザーを除外しない場合、これらのポリシーはこれらのユーザーをブロックします。

次の手順

Microsoft 365 クラウド アプリとMicrosoft Defender for Cloud Appsのポリシー

次の条件付きアクセス ポリシーを構成する: