テナントを超えたコラボレーションとゲスト管理について【Azure B2B】

この記事の内容

  • Microsoft 365 / Azure では、テナントをまたいだコラボレーションに「ゲスト招待(Azure AD B2B)」を使う
  • 外部ユーザーを別テナントに新規ユーザーとして作成する方法は推奨されない
  • ゲストとして招待することで、招待された側は自分のアカウントをそのまま使い続けられる
  • Microsoft Teams からでも Azure AD 管理センターからでも招待操作が可能
  • ゲストユーザーも自組織ユーザーと同様にライフサイクル管理が必要

テナントをまたいだコラボレーションの課題

前回の動画でお伝えしたとおり、Microsoft 365 や Azure では「テナント」という単位があり、その中に Azure Active Directory(Azure AD)が一つ存在します。ライセンスが割り当てられたユーザーはその Azure AD 内に作成され、各種サービスへのアクセス権もこの Azure AD 内のユーザーに対して付与される構造になっています。

では、異なるテナントに所属する A さんと B さんが、同じ Microsoft Teams のグループで一緒にチャットしたり、ファイル共有や会議をしたりするにはどうすればよいでしょうか。

テナント内の Azure AD に存在するユーザーにしかアクセス権を付与できない以上、これをそのまま実現することはできません。この問題を解決する方法を見ていきましょう。

推奨されない方法:別テナントに新規ユーザーを作成する

一つの解決策として、A 社のテナントに B さんのユーザーを新規作成してしまうという方法があります。しかしこの方法は 推奨されません

B さんは自分の組織のアカウントと、A 社テナント上のアカウントを使い分けなければならなくなります。Teams クライアントを使う際も、一度サインアウトして別のアカウントでサインインし直す操作が必要になり、非常に使い勝手が悪い状態になってしまいます。

推奨される方法:ゲストとして招待する(Azure AD B2B)

上記の問題を解決するのが Azure AD B2B の機能です。外部テナントのユーザーを「ゲスト」として自テナントの Azure AD に招待することができます。

ゲストとして招待された B さんは、自分の組織のアカウントをそのまま使い続けることができます。A 社の Azure AD 内にも B さんがゲストユーザーとして存在するようになるため、同じ Teams グループにアクセス権を付与することが可能になります。

ポイント: テナントを超えて直接アクセス権を付与することはできません。外部の Azure AD ユーザーを自テナントにゲストとして招待することで、はじめて自テナント内のユーザーとほぼ同等の扱いができるようになります。

ゲスト招待の手順

ゲストを招待する方法は大きく 2 つあります。

方法 1:Microsoft Teams からゲストを追加する

コラボレーションしたいチームのメンバー追加画面から、外部テナントのユーザーのメールアドレスを入力してゲストとして追加します。この方法では、Azure AD への招待とチームへのアクセス権付与が一括で行われるため、手順が少なく済みます。

方法 2:Azure AD 管理センターからゲストユーザーを招待する

Azure AD の管理画面から「新しいゲストユーザーを招待する」操作を行い、招待するユーザーのメールアドレスを指定します。Teams の画面からの操作に比べると手順は増えますが、「Azure AD にユーザーを招待している」という操作の意味が明確にわかる UI になっています。

どちらの方法でも、裏側では Azure AD へのゲスト招待が行われる点は同じです。

招待後の動作確認

招待が完了すると、Azure AD 上に以下のようなゲストユーザーが作成されます。

  • ユーザータイプ:ゲスト(Guest)
  • 表示名の形式例:雅彦 恵比寿田_ebisuda.com#EXT#@ebisuda001.onmicrosoft.com
  • #EXT# が付いていることで外部テナントのゲストユーザーであることがわかります

招待されたユーザー側には招待メールが届きます。メール内のリンクから Microsoft Teams を開くと、アクセス許可の確認画面が表示されます。名前・メールアドレス・写真の読み取りなど、コラボレーションに最小限必要な権限の確認です。承諾することで招待が正式に受け入れられ、共有チームへのアクセスが可能になります。

招待した側の Microsoft 365 管理センターからも、ゲストユーザーが参加していることが確認できます。

ゲストユーザーのライフサイクル管理

ゲスト招待機能を使い始めると、自組織のユーザー管理だけでなく ゲストのライフサイクル管理 も必要になります。具体的には以下の点を考慮する必要があります。

  • 誰がゲストを招待するのか(招待の承認フロー)
  • ゲストはどのリソースに対してアクセス権を持つのか
  • いつゲストのアクセス権を削除するのか
  • 不要になったゲストアカウントをいつ削除するのか

Azure AD では、デフォルトの設定では誰でも外部ユーザーをゲストとして招待できる状態になっています。オンプレミスの Active Directory では簡単にゲストを招待することが難しかったのに対し、クラウドでは非常に簡単に行えるようになっています。だからこそ、ガバナンスを意識した運用設計が重要です。

なお、ゲストのライフサイクル管理に特化した専用サービスも存在します。必須ではありませんが、そのような専用サービスがあること自体、ゲスト管理が重要なテーマである証と言えるでしょう。

招待する側と招待される側の違い

コラボレーションにおいては、自分たちが相手を 招待する側 なのか、相手から 招待される側 なのかによって、できることや管理すべき対象が異なります。

  • 招待する側:自テナントの Azure AD にゲストユーザーが作成される。ゲストを含めたライフサイクル管理の責任を持つ
  • 招待される側:相手のテナントにゲストとして参加する。自分のアカウントをそのまま使える

この違いをしっかり意識した上で、どちらの立場でコラボレーションするかを整理しておくことが大切です。

まとめ

  • テナントをまたいだコラボレーションには Azure AD B2B のゲスト招待 を使いましょう
  • 外部ユーザーを別テナントに新規作成するのは、アカウントの使い分けが必要になるため非推奨です
  • ゲスト招待は Microsoft Teams の画面からでも Azure AD 管理センターからでも行えます
  • 招待されたゲストユーザーは、自分の元のアカウントのまま外部テナントのリソースにアクセスできます
  • ゲストユーザーも自組織ユーザーと同様に、招待・アクセス権付与・削除のライフサイクル管理が必要です
  • Azure AD は組織に一つ、そこにすべてのサービスを紐付け、ゲストも含めてきちんと管理することが Microsoft クラウドサービス活用の基本です