title | date | tags | |
---|---|---|---|
Azure AD B2B におけるユーザーの新しい招待方法 |
2018-05-23 |
|
Note
本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/05/23/azure-ad-b2b-new/ の内容を移行したものです。 元の記事の最新の更新情報については、本内容をご参照ください。
こんにちは、Azure ID チームの高田です。
今回は、新しくなった Azure AD B2B (ゲスト招待機能) についてお知らせします。
マイクロソフトでは、以下の資料のとおり、5 月 11 日から Azure AD B2B の新しい更新を展開しています。これにより、ゲストユーザーの招待においてこれまでと比べてユーザーから見た画面が変更されたり、管理者により行うべきことも変更されていたりします。本記事ではその概要についておまとめしました。
Exciting improvements to the B2B collaboration experience
https://cloudblogs.microsoft.com/enterprisemobility/2018/05/14/exciting-improvements-to-the-b2b-collaboration-experience/
Azure Active Directory B2B collaboration invitation redemption
https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/redemption-experience
新しい Azure AD B2B では、多くのシナリオにおいてユーザー自身が招待メールをクリックしなくてもよいように改善されています。従来は管理者がユーザーを招待すると、招待されたユーザーにメールが届き、ユーザーはメール内にある「はじめに」のリンクをクリックして招待を完了するというのが一般的な招待の流れでした。
しかしながら、招待メールのクリック自体が煩雑であること、また環境によっては招待メールがセキュリティによりブロックされるなどし届かないことで、招待がスムーズに行われないという問題がありました。
新しい Azure AD B2B でもメールによる招待は可能ですが、招待されたユーザーはメールにある「はじめに」のクリックせずとも、招待されたテナント上のリソース (URL) に直接アクセスしサインインすれば、招待を完了することが可能となります。招待されたテナント上のリソース (URL) に実際にアクセスしサインインすると、ユーザーには以下の画面が表示されます。
この画面は、ユーザーが招待されたテナントに対してそのユーザーのサインインおよびプロファイル情報の読み取りを許可して良いか確認するものです。GDPR への対応として、招待を完了するにはユーザーが必ずこの画面を確認のうえ承諾することが求められるようになりました。 これを踏まえ、ユーザーの招待の仕方には現在大まかに二つの方法があります。
ゲストユーザーの追加は SharePoint などのアプリケーションからも行うことができますが、このシナリオの場合、ゲストとしてユーザーを登録したら、招待されたユーザーは直接リソース (この例の場合には SharePoint) の URL にアクセスすることで上述の画面が表示され招待を完了できます。
例えば、Tenant A 上に SharePoint サイト (例: https://tenanta.sharepoint.com/sites/testsite) があり、この SharePoint サイトに Tenant B のユーザーもアクセスさせたいとします。この場合は、Tenant A 上に SharePoint サイトにゲストとして Tenant B のユーザーを追加ください。そのうえで、ユーザーに対して、https://tenanta.sharepoint.com/sites/testsite という URL を配布します。URL を受け取った Tenant B のユーザーはこの URL に直接アクセスしサインインすることで、上記画面から招待の受け付けを完了し、サイトにアクセスできるようになります。
SharePoint のようにアプリケーションから招待した場合でなくとも、この方法を取ることができます。例として、 Azure ポータルでゲストの追加を行う場合を考えます。ポータルで招待が行われた後、招待されたユーザーは、Azure Portal (https://portal.azure.com) にアクセスしても URL にはテナントの名前が含まれないため、このままでは自テナントのポータルにサインインしてしまいます。結果として同意画面が表示されません (招待は完了しません)。
この場合は、https://portal.azure.com/tenanta.onmicrosoft.com のように、招待されたテナント名を URL の末尾につけてアクセスします。このようにすると、Tenant A 上のリソースとしてアクセスを試みるため、招待された Tenant B のアカウントでサインインすれば上記の画面を表示させることができます。招待が完了した後は、Azure Portal 上でテナントを切り替えて各テナントのリソースを管理することができます。
従来通りの方法も引き続きサポートされます。Azure Portal から [+ 新しいゲストユーザー] を選択するか New-AzureADMSInvitation コマンドレット (-SendInvitationMessage オプションは $true) を使用してユーザーを招待した場合には、招待メールが送信されます。また、これ以外にも、サブスクリプションやリソースに対して、[アクセス制御 (IAM)] から権限を付与する際に、外部のメールアドレスを指定すると招待メールが送信されます。以前と同様に、送信されたメールには招待を完了させるための「はじめに」のリンクがあるのでこれをクリックします。自身のアカウントでサインインすると上記画面が表示され、承諾することで招待を完了することが可能です。
また、 1 に記載しましたように招待メールが送信された場合でも、明示的に https://portal.azure.com/tenanta.onmicrosoft.com のように招待されたテナントを指定してアクセスすることで、招待を完了させることもできます。
なお、以前は例えば Tenant A 上に Tenant B 上のユーザーを一名招待しておき、そのゲスト ユーザーにゲスト招待元のディレクトリロールを割り当てたうえで、当該ゲスト ユーザーから New-AzureADMSInvitation コマンドレット (-SendInvitationMessage オプションは $false) を実行することで、招待メールを送ることなく一括してユーザーの招待を完了することが可能でした。
しかしこの方法は今回の変更で利用できなくなっています。メールを送らない招待方法の場合、前述のとおりユーザーは招待されたテナント上のリソースにアクセスして、必ず同意画面で承諾ボタンを押下する必要があります。恐れ入りますが、招待メールを送信し各ユーザーで「はじめに」のリンクをクリックするか、各ユーザーに直接リソースにアクセスしてもらう (https://portal.azure.com/{tenant}.onmicrosoft.com にアクセスしてもらう方法でも可) ことで同意画面から招待を完了いただければと思います。