Microsoft Entra External IDを整理する

.NETラボ 2024 03月勉強会 小鮒 通成

お断り  本件は情報の整理目的で、作成されました。検証等で フィジビリティ確認はしていません。  本資料内の図表は、すべてMicrosoft Learnドキュメント からの引用となります。図表と同じスライド内に引用元 URLリンクがあります。  本資料にはプレビュー機能が含まれます。プレビュー機 能であることを、資料内では明示していません。

自己紹介です  都内Sierに勤務し、Windows/MEID認証基盤のコンサ     ル・設計・トラブルシュート・ブログ公開などをやっています。 Microsoft Q&Aで、ときどき回答しています。 商業誌でWindows記事の寄稿を行うことがあります。 MSMVP Enterprise Mobility→Securityを受賞していま す(MVP受賞回数21回+α)。 秋葉原によく現れます。最近は48型有機ELディスプレイ を買いました…。

Microsoft Entraブランド  Azure ADからMicrosoft Entra IDへの名称変更  オンプレADとの違いの明確化  クラウド認証基盤の別ブランド化  Microsoft Entraファミリーの再編(一部)  Microsoft Entra ID Governance  Microsoft Entra External ID  Microsoft Entra Verified ID  Microsoft Entra Permissions Management  Microsoft Entra Internet Access  Microsoft Entra Private Access

Microsoft Entra External IDとは  自分のテナントと「それ以外すべて」のAuthoritationのし くみ、を包括的に表現したもの  B2Bコラボレーション  外部コラボレーション (Entra IDテナント含む)  B2B直接接続  Entra IDテナント間のみ  Azure B2C  コンシュマーアプリへのRP機能の提供  Microsoft Entra External ID の概要 - Microsoft Entra External ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/external-id/external-identities-overview

B2Bコラボレーションとは  自分のAzureリソースを「外部Idpユーザー」に利用しても らうためのしくみ  Entra ID/サードパーティIdpすべてが対象  認可のため外部ユーザーを「ゲスト」として作成し、メールで 招待することで、相手Idpと紐付けを行う(行ってもらう)  条件付きアクセスポリシーは自分側で評価される  「テナント間アクセス設定」でEntra IDテナント同士の信頼 をすると、相手側で評価した条件付きアクセスポリシーを 受け入れる事ができる  B2B コラボレーションのクロステナント アクセスを構成する - Microsoft Entra External ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/external-id/cross-tenant-access-settings-b2b-collaboration

メンバーとゲストユーザー  テナント内での、ユーザーのアクセス許可セットには以下 の違いがある  メンバー:アプリケーションの登録、プロファイルの管理、パ スワードの変更、B2B ゲストの招待、ディレクトリ読み取りな どが可能  ゲスト:アプリケーションの登録やディレクトリ読み取りはでき ない  メンバーにより強いアクセス制限をかけたり、ゲストにメン バーと同じアクセス許可をあとから与えることは可能  既定のユーザー アクセス許可 - Microsoft Entra | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/fundamentals/users-default-permissions

B2B直接接続とは  「ゲスト」ユーザーの不要なテナント信頼のしくみ  Entra IDテナント間のみで可能。「テナント間アクセス設 定」で設定  自分のテナントに「ゲスト」アカウントは存在しない  Microsoft Teamsのチャネル共有のみ利用可能  B2B 直接接続のクロステナント アクセスを構成する Microsoft Entra External ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/external-id/cross-tenant-access-settings-b2b-direct-connect

テナント間アクセス設定  自分と特定テナント間での認証受け渡しの流れを決定す る  Microsoft Entra P1 or P2要  送信アクセス設定  ユーザーから外部組織のリソースへのアクセス制御  受信アクセス設定  外部MEIDユーザーから自組織のリソースへのアクセス制御  信頼の設定(受信)  MFA・デバイス準拠・MEHJoin要求ポリシーの適用を信頼する  テナント間アクセスの概要 - Microsoft Entra External ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/external-id/cross-tenant-access-overview

テナント間設定作成概要  「組織の設定」で個別に設定 (「既定の設定」がベースメントに 存在する)  送信/受信アクセス設定(既定の設定を継承も可)  対象ユーザーまたはグループの指定  対象アプリケーションの指定  信頼の設定(MFA・準拠デバイス・MEHJ要求情報)  「招待を自動的に引き換える」(招待時許諾表示の省略)  引き換え順序の指定(利用可能なIdpの優先順位)  テナント同期の設定(ゲストのプロビジョニング)  「招待を自動的に引き換える」が出ることもある  B2B コラボレーションのクロステナント アクセスを構成する - Microsoft Entra External ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/external-id/cross-tenant-access-settings-b2b-collaboration

マルチテナント組織とは  複数のEntra IDテナントを連携させ、ひとつの組織として コラボレーションさせるしくみ  組織内/組織外の外部ユーザーを区別できる  Microsoft 365で利用することが前提  Microsoft Teamsでの透過的な利用(ユーザー検索等)が 可能(B2B直接接続が使える)  Microsoft Entra P1 or P2要  1組織5テナントまで、1テナント100,000ユーザーまでの制限 がある(テナント間同期の制約)  Microsoft Entra ID でのマルチテナント組織とは (プレ ビュー) - Microsoft Entra ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/identity/multi-tenant-organizations/multi-tenant-organization-overview

マルチテナント組織作成概要     オーナーテナントで、マルチテナント組織を「作成」する メンバーテナントで、マルチテナント組織に「参加」する 各テナントで「テナント間アクセス設定」をカスタマイズする テナント間同期の設定について  テナントごとに異なるユーザー・グループを同期したい場合、 「ク ロステナント設定」を利用する。「外部メンバー」となるようにする。  全テナントで同じユーザー・グループを同期したい場合 Microsoft 365管理センターから[ユーザーの共有]を利用する  Microsoft 365 でマルチテナント組織を設定する (プレビュー) - Microsoft 365 Enterprise | Microsoft Learn  Microsoft Launches Microsoft 365 Multi-Tenant Organizations | Practical365

• https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/set-up-multi-tenant-org?view=o365-worldwide
• https://practical365.com/multi-tenant-organization-m365/

(マルチ)テナント同期トポロジー例  フルメッシュ (全テナント両方向同期)  パーシャルメッシュ (一部テナント片方向同期)  アプリケーションハブ (アプリケーションマターでハブに集約)  ユーザーハブ (ユーザーマターでハブから分割)  テナント間同期のトポロジ - Microsoft Entra ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/identity/multi-tenant-organizations/cross-tenant-synchronization-topology

Microsoft Graph APIを使う  Microsoft Graph APIでマルチテナント組織を「作成」「追 加」することができる  Microsoft Graph API (プレビュー) を使用してマルチテナ ント組織を構成する - Microsoft Entra ID | Microsoft Learn  テナント間アクセス設定(テナント間アクセスポリシー)も Graph APIからテンプレートを構成して適用が可能  Microsoft Graph API (プレビュー) を使用してマルチテナ ント組織テンプレートを構成する - Microsoft Entra ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/identity/multi-tenant-organizations/multi-tenant-organization-configure-graph
• https://learn.microsoft.com/ja-jp/entra/identity/multi-tenant-organizations/multi-tenant-organization-configure-templates

まとめ  Microsoft Entra External IDは範囲が広大なため、整理 をするのはかなり大変だ、ということがあらためてわかっ た。  External IDはエンジニアのスコープにより、言っているこ とが全然変わる可能性がある。しかし多くのユーザーに とってはEntra ID同士のコラボレーションであるクロステ ナント設定・マルチテナント組織が中心になると思われる。  マルチテナント組織はTeamsのための機能、と理解する 必要がある。B2B直接接続は他のアプリケーションへの拡 張予定はない。

参考情報  Microsoft Entra のドキュメント | Microsoft Learn  External Identities のドキュメント - Microsoft Entra     External ID | Microsoft Learn Microsoft Entra B2B コラボレーションとは - Microsoft Entra External ID | Microsoft Learn B2B 直接接続 Microsoft Entra の概要 - Microsoft Entra External ID | Microsoft Learn Azure Active Directory B2C とは | Microsoft Learn Microsoft Entra ID でのテナント間同期とは - Microsoft Entra ID | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/
• https://learn.microsoft.com/ja-jp/entra/external-id/index-b2b
• https://learn.microsoft.com/ja-jp/entra/external-id/what-is-b2b
• https://learn.microsoft.com/ja-jp/entra/external-id/b2b-direct-connect-overview
• https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/overview
• https://learn.microsoft.com/ja-jp/entra/identity/multi-tenant-organizations/cross-tenant-synchronization-overview