9.5K Views
March 25, 24
スライド概要
Microsoft Entra External IDの概要とテナント間アクセス設定・マルチテナント組織について説明しています。
.NETラボ 2024 03月勉強会 小鮒 通成
お断り 本件は情報の整理目的で、作成されました。検証等で フィジビリティ確認はしていません。 本資料内の図表は、すべてMicrosoft Learnドキュメント からの引用となります。図表と同じスライド内に引用元 URLリンクがあります。 本資料にはプレビュー機能が含まれます。プレビュー機 能であることを、資料内では明示していません。
自己紹介です 都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。 Microsoft Q&Aで、ときどき回答しています。 商業誌でWindows記事の寄稿を行うことがあります。 MSMVP Enterprise Mobility→Securityを受賞していま す(MVP受賞回数21回+α)。 秋葉原によく現れます。最近は48型有機ELディスプレイ を買いました…。
Microsoft Entraブランド Azure ADからMicrosoft Entra IDへの名称変更 オンプレADとの違いの明確化 クラウド認証基盤の別ブランド化 Microsoft Entraファミリーの再編(一部) Microsoft Entra ID Governance Microsoft Entra External ID Microsoft Entra Verified ID Microsoft Entra Permissions Management Microsoft Entra Internet Access Microsoft Entra Private Access
Microsoft Entra External IDとは 自分のテナントと「それ以外すべて」のAuthoritationのし くみ、を包括的に表現したもの B2Bコラボレーション 外部コラボレーション (Entra IDテナント含む) B2B直接接続 Entra IDテナント間のみ Azure B2C コンシュマーアプリへのRP機能の提供 Microsoft Entra External ID の概要 - Microsoft Entra External ID | Microsoft Learn
B2Bコラボレーションとは 自分のAzureリソースを「外部Idpユーザー」に利用しても らうためのしくみ Entra ID/サードパーティIdpすべてが対象 認可のため外部ユーザーを「ゲスト」として作成し、メールで 招待することで、相手Idpと紐付けを行う(行ってもらう) 条件付きアクセスポリシーは自分側で評価される 「テナント間アクセス設定」でEntra IDテナント同士の信頼 をすると、相手側で評価した条件付きアクセスポリシーを 受け入れる事ができる B2B コラボレーションのクロステナント アクセスを構成する - Microsoft Entra External ID | Microsoft Learn
メンバーとゲストユーザー テナント内での、ユーザーのアクセス許可セットには以下 の違いがある メンバー:アプリケーションの登録、プロファイルの管理、パ スワードの変更、B2B ゲストの招待、ディレクトリ読み取りな どが可能 ゲスト:アプリケーションの登録やディレクトリ読み取りはでき ない メンバーにより強いアクセス制限をかけたり、ゲストにメン バーと同じアクセス許可をあとから与えることは可能 既定のユーザー アクセス許可 - Microsoft Entra | Microsoft Learn
B2B直接接続とは 「ゲスト」ユーザーの不要なテナント信頼のしくみ Entra IDテナント間のみで可能。「テナント間アクセス設 定」で設定 自分のテナントに「ゲスト」アカウントは存在しない Microsoft Teamsのチャネル共有のみ利用可能 B2B 直接接続のクロステナント アクセスを構成する Microsoft Entra External ID | Microsoft Learn
テナント間アクセス設定 自分と特定テナント間での認証受け渡しの流れを決定す る Microsoft Entra P1 or P2要 送信アクセス設定 ユーザーから外部組織のリソースへのアクセス制御 受信アクセス設定 外部MEIDユーザーから自組織のリソースへのアクセス制御 信頼の設定(受信) MFA・デバイス準拠・MEHJoin要求ポリシーの適用を信頼する テナント間アクセスの概要 - Microsoft Entra External ID | Microsoft Learn
テナント間設定作成概要 「組織の設定」で個別に設定 (「既定の設定」がベースメントに 存在する) 送信/受信アクセス設定(既定の設定を継承も可) 対象ユーザーまたはグループの指定 対象アプリケーションの指定 信頼の設定(MFA・準拠デバイス・MEHJ要求情報) 「招待を自動的に引き換える」(招待時許諾表示の省略) 引き換え順序の指定(利用可能なIdpの優先順位) テナント同期の設定(ゲストのプロビジョニング) 「招待を自動的に引き換える」が出ることもある B2B コラボレーションのクロステナント アクセスを構成する - Microsoft Entra External ID | Microsoft Learn
マルチテナント組織とは 複数のEntra IDテナントを連携させ、ひとつの組織として コラボレーションさせるしくみ 組織内/組織外の外部ユーザーを区別できる Microsoft 365で利用することが前提 Microsoft Teamsでの透過的な利用(ユーザー検索等)が 可能(B2B直接接続が使える) Microsoft Entra P1 or P2要 1組織5テナントまで、1テナント100,000ユーザーまでの制限 がある(テナント間同期の制約) Microsoft Entra ID でのマルチテナント組織とは (プレ ビュー) - Microsoft Entra ID | Microsoft Learn
マルチテナント組織作成概要 オーナーテナントで、マルチテナント組織を「作成」する メンバーテナントで、マルチテナント組織に「参加」する 各テナントで「テナント間アクセス設定」をカスタマイズする テナント間同期の設定について テナントごとに異なるユーザー・グループを同期したい場合、 「ク ロステナント設定」を利用する。「外部メンバー」となるようにする。 全テナントで同じユーザー・グループを同期したい場合 Microsoft 365管理センターから[ユーザーの共有]を利用する Microsoft 365 でマルチテナント組織を設定する (プレビュー) - Microsoft 365 Enterprise | Microsoft Learn Microsoft Launches Microsoft 365 Multi-Tenant Organizations | Practical365
(マルチ)テナント同期トポロジー例 フルメッシュ (全テナント両方向同期) パーシャルメッシュ (一部テナント片方向同期) アプリケーションハブ (アプリケーションマターでハブに集約) ユーザーハブ (ユーザーマターでハブから分割) テナント間同期のトポロジ - Microsoft Entra ID | Microsoft Learn
Microsoft Graph APIを使う Microsoft Graph APIでマルチテナント組織を「作成」「追 加」することができる Microsoft Graph API (プレビュー) を使用してマルチテナ ント組織を構成する - Microsoft Entra ID | Microsoft Learn テナント間アクセス設定(テナント間アクセスポリシー)も Graph APIからテンプレートを構成して適用が可能 Microsoft Graph API (プレビュー) を使用してマルチテナ ント組織テンプレートを構成する - Microsoft Entra ID | Microsoft Learn
まとめ Microsoft Entra External IDは範囲が広大なため、整理 をするのはかなり大変だ、ということがあらためてわかっ た。 External IDはエンジニアのスコープにより、言っているこ とが全然変わる可能性がある。しかし多くのユーザーに とってはEntra ID同士のコラボレーションであるクロステ ナント設定・マルチテナント組織が中心になると思われる。 マルチテナント組織はTeamsのための機能、と理解する 必要がある。B2B直接接続は他のアプリケーションへの拡 張予定はない。
参考情報 Microsoft Entra のドキュメント | Microsoft Learn External Identities のドキュメント - Microsoft Entra External ID | Microsoft Learn Microsoft Entra B2B コラボレーションとは - Microsoft Entra External ID | Microsoft Learn B2B 直接接続 Microsoft Entra の概要 - Microsoft Entra External ID | Microsoft Learn Azure Active Directory B2C とは | Microsoft Learn Microsoft Entra ID でのテナント間同期とは - Microsoft Entra ID | Microsoft Learn