自社のM365テナントのOneDrive/Sharepointからファイルを顧客に共有したいということがあると思います。この時、2023年3月以降プロビジョニングされたテナントではAzure B2Bが利用されます。
一番わかりやすいのは下記のようなShapoint/Onedriveで共有するときでしょうか。非常に便利なのですがデフォルトだと共有先の外部ユーザにも2要素認証の登録をしてもらう必要が出てきます。
セキュリティ的にはぜひお願いしたいところですが、外部のユーザにそこまでお願いできない場合も多いと思いますのでその対策をご紹介します。
Azure AD B2Bとは
Azure AD B2B の概要については、公開ドキュメントである B2B コラボレーションの概要 をまずご覧ください。
Azure AD B2B は Azure AD テナント上のユーザーを自社のテナントに追加 (招待) する機能です。ユーザがほとんど気にすることはないですが、下記のタイミングで利用されています。
- 会社間 (Azure AD テナント間) で自社が公開しているリソースを共有したい
- 別の Azure AD テナントに紐づいているリソースを使用したい
- ひとりの管理者で、複数の Azure AD テナントを管理したい 等
このような連携が必要な時に利用する機能が、今回紹介する Azure AD B2B になります。
外部ユーザへの共有の流れ
ファイル共有の際に、外部ユーザのアドレスを設定した場合、組織外のユーザに共有するメッセージが表示されます。
共有されたユーザには下記のようなメールが届き、メールアドレスの確認が行われます。
受信者が「開く」を押すとMicrosoftのログイン画面が表示され、認証コードでの本人確認が行われます。
この本人確認後、シームレスにデータ共有を行いたいところですが、管理者側の設定が行われていない場合、2要素認証の登録が求められます。ちょっとファイルを共有するだけだと少し手間ですよね?
外部ユーザの2要素認証をなしにする方法
AzureB2Bが適用されたテナントでは、ファイル共有されたユーザをEntraIDに登録する動きとなります。
ユーザのタイプは「ゲスト」で、クロステナントアクセスが「B2Bコラボレーション」となります。
このため、EntraIDの条件付きアクセスの影響を受けることになります。管理者が全ユーザの2要素認証を強制としている場合、ファイルを共有したユーザも2要素認証の登録を求められることとなります。
解決方法はシンプルで条件付きアクセスでゲストユーザの2要素認証を対象外にすることで解除することができ、外部ユーザはメール送付型のワンタイムコードでのアクセスが可能となります。
コメント