無制限のゲストアカウント

MEDIUM

説明

B2B コラボレーションは、ユーザーがゲストを招待して自分の組織とコラボレーションできるようにする Microsoft Entra ID 機能です。これらのゲストユーザーは「外部 ID」とも呼ばれ、Microsoft が説明しているアクセスをデフォルトで取得します。

ゲストユーザーは各自のプロフィールを管理し、各自のパスワードを変更し、他のユーザー、グループ、アプリケーションに関する特定の情報を取得することができます。ただし、すべてのディレクトリ情報を読み取れるわけではありません。 たとえば、ゲストユーザーは、すべてのユーザーやグループのリスト、他のディレクトリオブジェクトのリストを列挙できません。ゲストを管理者ロールに追加し、完全な読み取りアクセス許可と書き込みアクセス許可を付与することができます。ゲストは他のゲストを招待することもできます。

所属組織がゲストユーザーに関するセキュリティとプライバシーを重視する場合、[ゲストユーザーのアクセスを、自分のディレクトリオブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限)] オプションを選択してデフォルト設定を調整することで、これらの側面を強化できます。このオプションを選択すると、次のような影響があります。

この設定によって、ゲストアクセスがデフォルトで自分のユーザープロファイルのみに限定されます。つまり、ユーザープリンシパル名、オブジェクト ID、または表示名で検索しても、ゲストは他のユーザーにはアクセスできません。さらに、この設定によって、グループメンバーシップなどのグループ情報へのアクセスも制限されます。

Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「ゲストのディレクトリオブジェクトへのアクセスを制限する」ことを推奨しています。

ソリューション

テナント内のゲストユーザーの可視性を制限するには、Entra ID のゲストユーザーアクセスを制限する必要があります。これは、[ゲストユーザーのアクセスを、自分のディレクトリオブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限)] のオプションを選択することによりできます。

これにより、外部ユーザーとのコラボレーションがやりづらくなる可能性があることに注意してください。