共有から摩擦を除去する

ドキュメント、リスト アイテム、フォルダーなどの SharePoint Online と OneDrive for Business 要素の外部共有では、アドホック外部共有と呼ばれるテクノロジが使用されます。ユーザーが外部受信者とアイテムを共有する場合、SharePoint オンラインおよびビジネス用 OneDrive その人が自分の身元を確認できるようにするワンタイムパスコード.ワンタイム パスコード (OTP) は、Azure AD が別の方法でアカウントを確認できない場合に、Microsoft 365 テナントの外部にいるユーザーの ID を認証する方法です。

アドホック共有メカニズムは機能しますが、ユーザーが共有アイテムを開くには、いくつかの手順が必要です。

• ユーザーは、誰かがアイテムを共有したことを伝える電子メールを受信します。
• ユーザーがアイテムにアクセスしようとします。SharePoint Online は、自分の ID を確認する必要があることを検出するため、8 桁の OTP を電子メール アドレスに送信します。
• ユーザーは電子メールを受信し (または迷惑メール フォルダ内で検索)、コードを入力 (またはコードを切り取って貼り付ける) をフォームに入力します (図 1)。パスコードは30分間有効です。ザ サインインしたままにする チェックボックスは、認証 Cookie をディスクに保存して、Cookie の有効期限が切れるまで認証のために再使用できるようにします。
• SharePoint オンラインはコードを検証し、正しい場合はアクセスを許可します。

Azure AD B2B との SharePoint 外部共有の統合

外部共有を改善するために、2021 年 10 月に、マイクロソフトは Azure AD のメールワンタイム パスコード認証 すべてのテナントに対してデフォルトで適用されます。現在のアドホック共有と同様に、新しいメカニズムはワンタイムパスコードを備えています。大きな違いは、認証が成功すると、外部ユーザーの Azure AD ゲスト アカウントが自動的に作成される点です。

マイクロソフトは、外部の受信者に対して新しい機能を有効にするため、変更を行っています。引用された利点の中には次のものがあります。

• Azure AD ゲスト アカウントを持つため、ワンタイム パスコードを使用する外部受信者は、Microsoft (MSA) アカウントを作成する必要はありません。
• 管理者は、ゲスト アカウントの詳細 (ユーザーフレンドリ表示名の割り当て、またはゲスト アカウントの詳細など) を管理できます。 写真.
• チーム メンバーシップや他の SharePoint オンラインリソースと OneDrive for Business リソースの共有など、他の Microsoft 365 機能は、ゲスト アカウントを利用できます。
• ゲスト アカウントには条件付きアクセス ポリシーが適用されます。
• 構成するテナント Azure AD との Google クラウド フェデレーション は、フェデレーション アカウントとリソースを共有できます。
• ザ Azure AD B2B コラボレーション ポリシー 外部共有を制御します。つまり、共有を制限したり、共有を停止したりするドメインをホワイトリストまたはブラックリストに追加できます(テナントはホワイトリストまたはブラックリストの両方を展開することを選択できますが、両方を展開することはできません)。

Azure AD の電子メール OTP 認証の構成

Microsoft が 10 月に Azure AD の電子メール OTP 認証を有効にするまで待つことができます (または機能を無効にすることを選択します) が、テナントは、今日 Azure AD の電子メール OTP 認証を使用することを選択できます。この機能を有効にするには、 ID プロバイダー セクション をクリックし、図 2 に示すように、メールワンタイムパスコードプロバイダを設定します。

ご覧のとおり、この機能を無効にすることもできます。

いくつかの構成は、SharePoint オンラインが Azure AD B2B と統合し、電子メール OTP 認証を使用するために必要です (またはマイクロソフトが言っているように そのドキュメント、Azure B2B 招待マネージャー)。SharePoint オンライン管理モジュールを使用して、接続して実行し、 セットスポテナント 必要な設定を更新するには、次のコマンドレットを使用します。

Set-SPOTenant -EnableAzureADB2BIntegration $True
Set-SPOTenant -SyncAadB2BManagementPolicy $True

奇妙なことに、あなたが使用することができますが、 取得-スポテナント の値を取得するコマンドレット 統合を有効にする 設定すると、値は報告されません 管理ポリシー.

Azure AD の電子メール OTP 認証の使用

Azure AD の電子メール OTP 認証が有効で、SharePoint オンラインに接続されている場合、外部共有では次のことが行われます。

ユーザーが作成する通常どおり共有リンクを作成します(既存の共有リンクは引き続き機能し、リンクを再作成する必要はありません)。

• Azure AD は、ディレクトリをチェックし、外部受信者のアカウントが存在しない場合はゲスト アカウントを作成します。
• 外部受信者は、共有の電子メール通知を受信し、共有リンクをクリックします。
• Azure AD は検証プロセスを入力します。Azure AD または MSA アカウントを持つユーザーは、自分の電子メール アドレスを入力し、これが共有リンクに対して有効な場合、Azure AD 招待サービスは、新しいゲスト アカウントへのサインインを許可する同意プロセスを呼び出します (図 3)。Azure AD または MSA アカウントを持たないユーザーは、1 回限りのパスコード認証手順を使用して ID を検証します。
• 外部受信者が同意を付与した場合、Azure AD は署名し、共有リソースへのアクセスを許可します。

外部受信者はテナントにゲスト アカウントを持つようになりました。このアカウントを使用して、共有されている他のリソースにアクセスできます。サインインによって付与された認証トークンがまだ有効な場合、他の共有リソースを開くために再度サインインする必要はありません。ゲスト アカウントがテナント リソースにアクセスすると、Azure AD は監査レコードをキャプチャします (図 4)。

テナントは、他のアカウントと同様に Guest アカウントを管理できます( 条件付きアクセス ポリシーを適用して、必要に応じてアクセスを制限するなどなど ) (次のマークが付いている機密サイトなど) 秘密度ラベルを持つ認証コンテキスト.

ゲスト アカウントには管理が必要

ゲスト アカウントを使用して SharePoint オンラインリソースと OneDrive for Business リソースへの外部アクセスを管理することは、賢明な動きです。これは、テナントが操作しやすい外部の人々のためのより低い摩擦メカニズムです。そうは言っても、ゲストアカウントは、古いアカウントや未使用のアカウントがAzure ADに蓄積されるのを許すのは簡単すぎるので、管理する必要があります。 あなたはPowerShellで仕事をすることができます.

---

Office 365 が実際にどのように機能するかについては、サブスクリプションを作成してください。 IT 担当者向け Office 365 電子書籍。毎月の更新プログラムでは、Office 365 エコシステム全体で重要な情報を購読者に通知します。

関連