| title | date | tags | ||
|---|---|---|---|---|
Azure における ゲスト ユーザー招待 (B2B) のよくある質問 |
2021-05-31 10:00 |
|
こんにちは。 Azure Identity サポート チームです。こちらのブログでは、Azure における ゲスト ユーザー招待 (B2B) のよくある質問をお纏めいたしました。
それぞれ 招待をする側 と 招待された側 にわけて記載をしておりますので、以下のリンクより参照いただけますと幸いです。
なお、B2B についてのご説明は以下のブログにもおまとめしておりますので、機能のご紹介は以下を参照ください。
また、本ブログでは ユーザーが元々所属している Azure AD を "ホーム ディレクトリ"、そのユーザーが招待された先の Azure AD を "招待先ディレクトリ" と記載します。
A. ゲスト ユーザーの名前は、ユーザーが招待に承諾した際にホーム ディレクトリ側の情報で上書きします。そのため、招待時に指定した名前は 招待への承諾時に変更されます。
ホーム ディレクトリとは異なる、招待先ディレクトリ独自の名前を設定する場合には、招待への承諾後に再度変更します。
A. ホーム テナント側で招待に使用した 2 つの E メール アドレスが同じ 1 つのアカウントに紐づいているために、 新しいゲスト ユーザー オブジェクトが作成されなかったことが考えられます。
たとえば、user1@adatum.com と user1_tokyo@adatum.com という二つの異なる E メール アドレスが、どちらも同じユーザー アカウントに紐づいているとします。具体的には、どちらの E メール アドレスに E メールを送信しても同じユーザーに届く状態です。このような状態で、まず user1@adatum.com を招待するとそのテナント上にゲスト ユーザー オブジェクトが作成されます。その後、同じテナント上でさらに user1_tokyo@adatum.com を招待しても、新しいゲスト ユーザー オブジェクトは作成されません。これはこれら二つの E メール アドレスの実体が一つのユーザー オブジェクトであるからです。
より詳細には、user1@adatum.com のゲスト ユーザーがいる状態で、Azure ポータルの画面から user1_tokyo@adatum.com のアドレスを招待すると、以下のような動作となります (2023/4/28 現在)。
- 「メール」属性の値が user1_tokyo@adatum.com に代わります。
- 「その他のメール」属性に、user1_tokyo@adatum.com が追加されます。
- 「プロキシ アドレス」属性のプライマリ(SMTP)に user1_tokyo@adatum.com が追加され、既存の user1@adatum.com はセカンダリ (smtp) になります。
なお、上記のとおり、この動作はホーム テナント側でユーザー アカウントがどのような状態になっているかで決まります。そのため、アドレスのドメイン名や名前のみで一概に決まるものではございません。例えば、test1@contoso.com と test@contoso.jp という一見似たような E メール アドレスであっても、これらの E メール アドレスがホーム テナントで別々のユーザーに登録されていれば、ゲスト ユーザー オブジェクトは通常どおり 2 つ作成されます。
「ホーム テナント側でアカウントが紐づいているかどうか」は、招待するリソース テナント側からのお問い合わせでは確認できないため、招待されるホーム テナントの管理者様に確認を依頼ください。
A. ゲスト ユーザーであっても、サインインはホーム ディレクトリにて行われます。そのため、まずはゲスト ユーザーがホーム ディレクトリにサインインができるかを切り分けてください。ホーム ディレクトリにもサインインができない場合には、ホーム ディレクトリ側での対応が必要となりますので招待した側のディレクトリの管理者で対応できません。一方で、ホーム ディレクトリにはサインインができるが、招待したディレクトリにはサインインができない場合には、招待した側のディレクトリにて調査します。
ゲスト ユーザーのよくある サインインができない問題については、2.招待された側のよくある質問 に記載しています。
A. E メールを受信できないユーザーであっても招待することが可能です。(E メールを受信できないユーザーとは xxx@contso.onmicrosoft.com のような Azure AD 上のユーザーも含みます)。E メールを受信できないアカウントの場合、招待 E メールを受け取ることができないため、直接リンクを利用して招待に承諾します。以下の URL をゲスト ユーザーに送付し、招待への承諾を依頼ください。
https://portal.azure.com/<招待先ディレクトリのテナントID>
E メールを利用しない招待については、B2B コラボレーションの招待の利用 - Azure AD | Microsoft Docs を参照ください。(直接リンクによる利用の項に記載があります)
A.UPN を指定して招待ください。
Q. 招待したいユーザーがメールを受信できないアカウントです。 の項のとおり、E メールを受信できないユーザーであっても招待が可能です。Mail 属性にて招待をした場合も招待に承諾することができ、ゲスト ユーザーとしてアクセスできますが、一部で 正常にサービスが利用できないという過去事例があります。そのため、より安全に機能をご利用いただくためには、UPN を指定し招待ください。
A. Azure Portal の画面でも E メールを送らずに招待することが現在は可能です。PowerShell コマンドで E メールを送らずに招待をしたい場合は以下のようにします。
# コマンドのインストール
Install-Module AzureAD
# ユーザーで認証
Connect-AzureAD
# メールを送らずに招待
New-AzureADMSInvitation -InvitedUserEmailAddress <招待するユーザーのUPN(メールアドレス形式)> -InvitedUserDisplayName <ゲスト ユーザーの表示名> -InviteRedirectUrl <招待へ承諾後、アクセスするURL> -SendInvitationMessage $false
A. 招待時に指定したメールアドレスが 、Microsoft 365 (Azure AD) 上でグループの E メール アドレスとして登録されています。ゲスト ユーザーとして招待が行えるのは ユーザー アカウントのみとなるため、ユーザーに紐づいた E メール アドレスを指定ください。
(補足) グループを指定して招待することで、そのグループに所属しているユーザーを一括で招待するといった機能もありません。 そのため、必ずホーム ディレクトリにてユーザー アカウントとして作成されているアカウントを招待ください。
A. Azure Portal や Teams からの招待では 、特に有効期限はありません。ただし、SharePoint Online で招待した場合は既定で 90 日間の有効期限となります。
Q. "ネットワーク管理者によってアクセスがブロックされました / 外部アクセスがポリシーによってブロックされています。アクセスするには、IT 部門にお問い合わせください。" と表示されアクセスできない
A. 原因として、ゲスト ユーザーが利用している社内のネットワーク機器によってアクセスできるディレクトリが制限されてると考えられます。対処としては、利用しているネットワークの管理者に依頼の上、ネットワーク機器の設定にアクセス先のテナント ID を追加します。
補足: このエラーは "テナント制限" と呼ばれる機能による制限です。 テナント制限を使用して SaaS クラウド アプリケーションへのアクセスを管理する をご覧ください。
この場合、画面上に "申し訳ございません。アクセスしようとしている組織では危険なユーザーを制限しています。Contoso の管理者にお問い合わせください。" と表示されアクセスできない状態と想定されます。
補足 : サインインログには以下が記録されます。 エラー 530032 Failure reason : User blocked due to risk on home tenant.
A. 原因として、ゲスト ユーザーのアカウントにてリスクが検知されています。対処としては、https://passwordreset.microsoftonline.com にアクセスし、パスワード リセットを行い リスクをクリアします。
自身でパスワード リセットができない場合、ホーム ディレクトリの管理者に依頼し、パスワード リセットかリスクのクリアを依頼します。なお、オンプレミス Active Directory から同期しているユーザーは、パスワード リセットを実施してもリスクがクリアされないため、クラウド側 (Azure AD) の管理者への依頼が必要になります。
リスクをクリアするには、Azure Portal (https://portal.azure.com) から [Azure Active Directory] > [セキュリティ] > [危険なユーザー] にアクセスします。対象のユーザーにチェックをつけ、"ユーザー リスクを無視する"を実行します。
Important
本当にリスクを無視していいかの判断は管理者様が実際のユーザーに確認するなど、セキュリティ リスクを考慮の上でご実施ください。
補足: こちらは Azure AD Identity Protection という機能にて制限しています。 アクセスをブロックするかはそれぞれのテナント毎の設定になるため、このエラーが表示された場合には招待先ディレクトリ にてブロックの設定がされています。
なお、リスクの検出はそれぞれのホーム ディレクトリで行われます。ホーム ディレクトリで検出されたリスクが、招待先ディレクトリ の Identity Protection で検知される仕組みとなります。リスクとは Azure AD Identity Protection | Microsoft Docs の資料もご覧ください。
A. 原因は "招待先ディレクトリ" での 条件付きアクセスと呼ばれる設定にて、許可されていないアクセスをしているためです。対処としては、"招待先ディレクトリ" の管理者 に依頼の上、条件付きアクセスの設定を変更するか、適切な条件下でアクセスを行うようにします。
補足: このエラーの詳細は、「アクセス権がありません」のエラーについて | Japan Azure Identity Support Blog を参照ください。
Q. "xxxx ディレクトリには Azure サブスクリプションがありません。ここをクリックして、別のディレクトリに切り替えてください。" と表示され、Azure サブスクリプションにアクセスできない
A. 原因はサインインしたユーザーが、Azure サブスクリプションに対しての閲覧権限がないか、アクセスしている ディレクトリが異なっている可能性があります。対処としては、Azure サブスクリプションの管理者に依頼し 権限を付与するか、アクセスしている ディレクトリを確認ください。
ディレクトリの変更 は Azure Portal の ディレクトリ + サブスクリプション から行います。
補足: このエラーの詳細は、サブスクリプションが見えない | Japan Azure Identity Support Blog を参照ください。
A. 既定では、ゲスト ユーザーは "招待先ディレクトリ" のユーザー情報を閲覧することができないためにこの画面が表示されます。対処としては、招待したディレクトリの管理者によって ゲスト ユーザーへのアクセス権を変更をするか、個別に "ディレクトリ閲覧者" などのロールの付与を依頼ください。
補足: 既定でのゲスト ユーザーによる権限については、既定のユーザー アクセス許可 - Azure Active Directory | Microsoft Docs を参照ください。