SharePoint B2B ゲストと Azure AD B2B ゲストとの統合を行う際の留意点
この記事について
この記事は、Microsoft 365 Advent Calendar 2022 5 日目の記事です。
この記事は、私が SharePoint B2B ゲストを Azure AD B2B ゲストに統合した際に、システム管理者側で認識しておくべきと感じたことをまとめたものです。
はじめに
SharePoint B2B ゲスト と Azure AD B2B ゲスト
SharePoint Online と OneDrive for Business においては、既定の設定から変更をしていない場合、外部ユーザーとして利用できるゲストの種類が 2 パターン存在します。
| 種別 | 説明 |
|---|---|
| SharePoint B2B ゲスト | SharePoint Online および OneDrive for Business で、ファイル または フォルダ を外部ユーザーと共有する場合、このゲスト種別が使用されます。SharePoint B2B ゲストのユーザー情報は、各 SharePoint Online サイト内で管理され、Azure AD 側のゲストユーザー情報には登録されません。 |
| Azure AD B2B ゲスト | SharePoint B2B ゲストに対応しない外部ユーザー共有(ex. Teams チームへの招待)を行う場合、このゲスト種別が使用されます。 Azure AD B2B ゲストのユーザー情報は、Azure AD 側のゲストユーザー情報として登録されます。 |
SharePoint B2B ゲスト と Azure AD B2B ゲストの統合
SharePoint B2B ゲスト と Azure AD B2B ゲスト を統合する場合は、SharePoint Online Management Shell を使用して、コマンドを実行する必要があります。
Set-SPOTenant -EnableAzureADB2BIntegration $true
Set-SPOTenant -SyncAadB2BManagementPolicy $true
詳細については、Microsoft Docs を参照してください。
ゲスト統合を行う際に注意しておくこと
Microsoft Azure China からのアクセスが拒否される
Azure AD B2B ゲストは、既定のままだと、以下のテナント間を跨いだゲストアクセスはできないようになっています。
- Microsoft Azure Commercial
- Microsoft Azure China (operated by 21Vianet)
- Microsoft Azure Government
日本の Microsoft 365 環境など、一般的な Microsoft 365 環境 (Azure AD) は Azure Commercial に属しています。
最後の Azure Government については、米国国防総省管轄のテナントのため、一般の企業などではあまり縁がないかと思いますが、Azure China については、オフショアなどで関わりがある企業もあると思います。
SharePoint B2B ゲストは、Azure AD B2B ゲストと異なり、Azure China や Azure Government 環境など、テナントが異なる場合でも問題なく外部共有をすることができました。しかし、SharePoint B2B ゲストと Azure AD B2B ゲストを統合すると、テナントを跨いだ外部共有は原則、不可能になります。
ゲスト統合後の共有リンクの扱い
SharePoint B2B ゲスト時代に払い出された共有リンクは、Azure AD B2B ゲストに統合された後でも、問題なく利用できます。
ただし、初回ログイン時に SharePoint B2B ゲストから Azure AD B2B ゲストにユーザー情報が変換された後、Azure AD ポータルなどでゲストユーザー情報を削除した場合、共有リンクは無効になります。
ファイルダウンロード制御をゲスト統合前に設定するか統合後に設定するか
企業によっては、SharePoint Online や OneDrive for Business 上に保存されているファイル/フォルダについて、ユーザー情報や端末情報を元にダウンロード制御をかけたい事例もあると思います。
ダウンロード制御導入と同じ時期に SharePoint B2B ゲストと Azure AD B2B ゲストの統合予定がある場合、それぞれの設定をいつ実施するか、は念頭に置いておくと良いです。
例えば、実際に、AADJ (Azure AD Joined) や HAADJ (Hybrid Azure AD Joined) されていない端末でのダウンロードを制御する場合、SharePoint 管理センターで以下の項目を変更することになると思います。
今回は、これを 制御された Web のみのアクセスを許可する に変更してみます。そうすると、Azure AD の条件付きアクセスポリシー上に、これに紐づく条件付きアクセスポリシーが作成されます。
実はこの条件付きアクセスポリシーは、Azure AD B2B ゲストにしか機能しないため (考えれば SharePoint B2B ゲスト情報は Azure AD 上には保存されないので当たり前ですが)、SharePoint B2B ゲストと Azure AD B2B ゲスト双方の動作を同じ条件で制御したい場合は、ゲスト統合を先にやってしまう方が良いです。
Discussion