この記事では、Microsoft Entra Business-to-Business (B2B) アカウントを持つゲストおよび外部ユーザーのアクセスを許可するように、推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを調整する方法について説明します。 このガイダンスは、 一般的な ID とデバイス のアクセス ポリシーに基づいています。
これらの推奨事項は、 保護の開始点 レベルに適用されるように設計されています。 ただし、 エンタープライズ および 特殊なセキュリティ 保護に対する特定のニーズに基づいて推奨事項を調整することもできます。
Microsoft Entra 組織で認証するための B2B アカウントのパスを指定しても、これらのアカウントは環境全体にアクセスできません。 B2B ユーザーとそのアカウントは、条件付きアクセス ポリシーによって指定されたサービスとリソース (ファイルなど) にアクセスできます。
ゲストと外部ユーザー アクセスを許可および保護するための一般的なポリシーの更新
次の表に、作成と更新に必要なポリシーの一覧を示します。 共通ポリシーは、 共通 ID とデバイス アクセス ポリシーの関連する構成手順にリンクしています。
| 保護レベル | ポリシー | 詳細情報 |
|---|---|---|
| 開始ポイント | ゲストと外部ユーザーに対して常に MFA を要求する | この新しいポリシーを作成し、次の設定を構成します。
|
| サインインリスクが中または高 の場合に MFA を要求する | ゲストと外部ユーザーを除外するように、このポリシーを変更します。 |
ゲストと外部ユーザーを条件付きアクセス ポリシーから除外するには、[割り当て>ユーザー>Exclude>ユーザーとグループの選択: ゲストまたは外部ユーザーを選択し、使用可能なすべてのユーザーの種類を選択します。
- B2B コラボレーション ゲスト ユーザー
- B2B コラボレーション メンバー ユーザー
- B2B 直接接続ユーザー
- ローカル ゲスト ユーザー
- サービス プロバイダー ユーザー
- その他の外部ユーザー
詳細情報
Microsoft Teamsによるゲストと外部ユーザーのアクセス
Microsoft Teamsでは、次のユーザーを定義します。
- ゲスト アクセス では、チームのメンバーとして追加でき、チームの通信とリソースにアクセスできる Microsoft Entra B2B アカウントが使用されます。
- 外部アクセス は、B2B アカウントを持たない外部ユーザー向けです。 外部ユーザー アクセスには招待、通話、チャット、会議が含まれますが、チーム メンバーシップやチームのリソースへのアクセスは含まれません。
詳細については、「 Teams での外部アクセスとゲスト アクセスの比較」を参照してください。
Teams の ID およびデバイス アクセス ポリシーのセキュリティ保護の詳細については、「 Microsoft Teamsのゼロ トラストに関する考慮事項」を参照してください。
ゲスト ユーザーと外部ユーザーに対して常に MFA を要求する
このポリシーでは、ゲストがホーム組織で MFA に登録されているかどうかに関係なく、ゲストが組織内の MFA に登録する必要があります。 組織内のゲストと外部ユーザーは、リソースにアクセスするすべての要求に対して MFA を使用する必要があります。
ゲストと外部ユーザーをリスクベースの MFA から除外する
組織は Microsoft Entra ID Protection を使用して B2B ユーザーにリスクベースのポリシーを適用できますが、ID がホーム ディレクトリに存在するため、リソース ディレクトリには制限があります。 これらの制限により、リスクベースの MFA ポリシーからゲストを除外し、これらのユーザーに常に MFA を使用するよう要求することをお勧めします。
詳細については、「 B2B コラボレーション ユーザーの ID 保護の制限事項」を参照してください。
ゲストと外部ユーザーをデバイス管理から除外する
デバイスを管理できる組織は 1 つだけです。 デバイスコンプライアンスを必要とするポリシーからゲストと外部ユーザーを除外しない場合、これらのポリシーはこれらのユーザーをブロックします。
次のステップ
追加のポリシーを以下のために構成します。