社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。
トップ > Microsoft365 > 【Microsoft365参考書】Entra IDのテナント間アクセスでできることは?

【Microsoft365参考書】Entra IDのテナント間アクセスでできることは?

Microsoft365

Entra IDのテナント間アクセスでできることは?

 

 

Microsoft Entra ID(旧Azure AD)には「テナント間アクセス(Cross-tenant access」という機能があります。 この機能を活用することで、複数の組織間で安全かつシームレスにリソースを共有したり、アクセス制御を強化することが可能です。

本記事では、テナント間アクセスでできることや活用シナリオ、設定のポイントまでをわかりやすく解説します。

 

 

 

テナント間アクセスとは?

テナント間アクセスとは、異なるEntra IDテナント間で認証・アクセスを連携するための仕組みです。 例えば、A社とB社が業務連携する際、B社のアカウントをA社の環境に安全にアクセスさせるといったケースで利用されます。

  • 異なる組織のユーザーに対して、アクセス制御を細かく設定可能
  • 従来のB2Bコラボレーションを拡張し、セキュリティと利便性を両立
  • Zero Trustの考え方に基づき、条件付きアクセスなども適用可能

 

 

 

テナント間アクセスでできることは?

「テナント間アクセス設定」は、B2B(Business-to-Business)コラボレーションやB2B Direct Connect(直接接続)を管理することができます。

 

1. 外部ユーザーのアクセス制御

他テナントのユーザーが自社のTeams、SharePoint、OneDriveなどのリソースにアクセスする際の認証条件(MFAなど)やアクセス許可の制御が可能です。
逆に、自社ユーザーが外部テナントのリソースにアクセスする際の信頼条件の設定もできます。 

 

2. B2Bコラボレーションの管理

外部ユーザーをゲストとして招待し、必要なリソースにアクセスさせることができます。
招待されたユーザーは、自分の所属するテナントのID(Microsoftアカウント、GoogleFacebookなど)でサインイン可能です。 

 

3. B2B Direct Connect(直接接続)

信頼関係を構築したテナント間で、シームレスなアクセスを実現します。
たとえば、Teamsの共有チャンネルに外部ユーザーを直接参加させることができます。 

 

4. テナント制限(Tenant Restrictions)

特定の外部テナントへのアクセスを許可または禁止することができます。
これにより、不要な外部招待やアクセスを防止し、セキュリティを強化できます。 

 

5. 信頼ポリシーの設定

外部ユーザーが所属するテナントでMFAやデバイス管理が有効であれば、それを信頼して再認証を省略することができます。

これにより、ユーザー体験を損なわずにセキュリティを維持できます。

 

 

 

主な活用シナリオは?

  • グループ会社間のシステム共有
  • 協力会社とのプロジェクト環境共有
  • 委託先企業に業務アプリを提供
  • M&Aなど複数テナントを保有する企業の統合管理

 

設定の基本ステップ(GUI

Microsoft Entra 管理センターにアクセスし、以下の手順で設定を行います。

外部 ID → テナント間アクセス設定

  • 受信アクセス設定:外部ユーザーが自社リソースにアクセスする際の条件(MFA、デバイス要件など)を設定
  • 送信アクセス設定:自社ユーザーが外部リソースにアクセスする際の条件を設定
  • テナント制限(プレビュー):特定のテナントとの接続を許可またはブロックする設定

 

特定テナントの追加

  • 「組織の追加」から対象のテナントを指定
  • そのテナントに対する「受信」「送信」ポリシーを個別に設定可能
  • MFA やデバイスの信頼設定を細かく制御

 

設定手順

1. Entra 管理センター(URL: https://entra.microsoft.com)に管理者でアクセスします。
2. 「外部 ID」>「テナント間アクセス設定」へ移動します。
3. 左メニューから「外部 ID(External Identities)」を選択します。
4. 「テナント間アクセス設定(Cross-tenant access settings)」をクリックします。
5. 「+ 組織の追加」ボタンをクリックします。
6. 接続したい外部テナントの テナントID または ドメイン名 を入力します。
7. 「追加」をクリックします。
8. 追加したテナントに対して、以下の2つの設定を個別に構成できます。

  • 受信アクセス(Inbound access

外部テナントのユーザーが自社リソースにアクセスする際の条件
設定例:
多要素認証(MFA)を要求するか
準拠デバイスからのアクセスのみ許可するか

  • 送信アクセス(Outbound access

自社ユーザーが外部テナントのリソースにアクセスする際の条件
設定例:
特定のグループやユーザーのみ許可
アプリケーション単位で制御


9. 「テナント制限」タブから、許可するテナントの一覧を構成します。
※不明なテナントへのアクセスをブロックすることで、情報漏洩や不正アクセスを防止できます。

 

 

 

セキュリティと管理上の注意点

  • 信頼できるパートナーのみを登録する
  • アクセス許可範囲は最小限にする
  • MFAや条件付きアクセスを必ず併用する
  • ログと設定を定期的に監査する

 

 

it-bibouroku.hateblo.jp

 

it-bibouroku.hateblo.jp

 

it-bibouroku.hateblo.jp