Microsoft プレビュー Azure AD Cross-Tenant Access Control

Microsoft プレビュー Azure AD Cross-Tenant Access Control

Teams Connect のような新しいコラボレーション シナリオの基盤を築く

2月7日、マイクロソフトは次のように発表した。 Azure AD のテナント間のコラボレーション設定はプレビューで利用できます。.Azure AD B2B Direct Connect の一部である Azure AD テナント間アクセスは、ユーザーがホーム テナントで認証を行い、そこで取得した資格情報を使用して他のテナントのリソースにアクセスできることを意味します (現在プレビュー段階のコラボレーション設定が適用されます)。マイクロソフトによると、新しい設定により、組織はユーザーが他のAzure AD組織(Microsoft 365テナント)と共同作業する方法を制御できます。インバウンドおよびアウトバウンド制御は、テナント全体、グループ、またはアプリケーションベースでアクセスを制御するために使用でき、多要素認証やデバイスコンプライアンスなどの外部組織からのセキュリティ要求を信頼する機能も利用できます。

外部 ID 設定

新しい設定は、Azure AD 管理センターの[外部 ID]セクションで使用できます。[組織設定]タブでは、共同作業を行う個々の Azure AD テナントの設定を定義します (図 1)、既定の設定タブでは、Azure AD テナント全般に適用する設定を定義します。別のテナントの特定の設定は、既定の設定よりも優先されます。

Azure AD のテナント間アクセス設定
図 1: Azure AD のテナント間アクセス設定

個々のテナントがテナントと対話する方法を定義できるため、接続できるユーザーと実行可能な操作を正確に制御できます。たとえば、図 2 では、O365Maestro テナントの受信アクセス設定で、1 つのアプリケーション (Office 365) のみによるコラボレーションが許可されていることがわかります。他の Microsoft アプリケーションをミックスに追加したり、Azure AD に登録している場合は他のアプリケーションを含めることができます。

外部 Microsoft 365 テナントの受信アクセス設定
図 2: 別の Azure AD 組織の受信アクセス設定

[外部ユーザーとグループ]タブに注意してください。既定では、すべてのユーザーが組織に接続できます。このようなことが起こらないようにするには、受信アクセス設定を使用して、別の組織のユーザーが組織内のユーザーと共同作業できるユーザーを正確に定義できます。同様に、送信アクセス設定を使用すると、テナントの外部で共同作業を行う組織内のユーザーを制御できます。ここでも、コラボレーションの全体的な考え方は、ユーザーが共同作業できるようにすることであるため、既定では、すべてのユーザーが外部組織と共同作業できるようにすることです。ただし、制御が必要な場合があり、特定のテナントに接続するユーザーを管理する必要がある場合があり、ここでその制御を行使できます。

セキュリティ要求の受け入れ

すべての Azure AD 組織は、同じ認証の基本を適用して、ユーザーがリソースにアクセスできるようにします。したがって、あるテナントに対して実行されたプロセスが別のテナントへの接続に有効であることを受け入れることは理にかなっています。セキュリティ体制がより高い場合 (テナントが信頼できるデバイスからの接続を主張しているなど)、外部接続がこの標準を満たすことを主張しながら、ユーザーが他の組織にサインインしたときに確立された有効な要求を受け入れることができます。

[信頼の設定]タブでは、受け入れる別のテナントによって行われたセキュリティ要求のセットを定義します。たとえば、他のテナントがすべてのユーザーに MFA を適用するとします。テナントの信頼設定を使用すると、テナントが MFA を使用してユーザーの ID を検証し、テナントから別のチャレンジを発行しないことを受け入れることができます。複数の MFA チャレンジの必要性を減らすことで、ユーザーの苛立ちの主な原因が取り除かれます。既定では、Azure AD は、MFA、準拠 (信頼された) デバイス、およびハイブリッド Azure AD 参加デバイスに関するテナントの評価に基づいて、別のテナントからの接続を受け入れます。図 3 に示すように、これらの各要求を有効または無効にすることができます。

図 3: 別の Azure AD 組織の信頼設定

MFA の課題から摩擦を取り除くことは良いことです。マイクロソフトによると、Azure ADのお客様は安全です Azure AD アカウントの 22% のみ MFAで。これは恐ろしい統計です(過去数年間で着実な成長を示していますが)。単純な事実は、MFAがパスワードを解読するように設計されたブルートフォース攻撃の99%にアカウントが抵抗するのを助けるので、これはMicrosoft 365テナントがより良いことをする必要がある領域です。

デフォルト設定

共同作業を行う Azure AD 組織の設定を定義しない場合、Azure AD は既定の設定を使用します (図 4)。個々のテナントの場合と同様に、設定は B2B コラボレーションと信頼に分かれています。

otheへのアクセスを制御するためのデフォルト設定r Azure AD organizations
図 4: 他の Azure AD 組織へのアクセスを制御するための既定の設定

のデフォルト設定および特定の組織設定の構成の詳細 クロステナント アクセスはオンラインで利用できます.条件付きアクセス ポリシーと同様に、受信アクセスと送信アクセスのルールを構成するための最適な方法を見つけるには時間がかかります。また、条件付きアクセス ポリシーと同様に、テナント内のすべてのユーザーのグループ作業をブロックする変更を適用するという間違いを犯したくない人はいません。したがって、アドバイスは、ゆっくりと進み、提案された変更がユーザーにどのような影響を与えるかを正確に理解してから続行することです。

チームは、クロステナント アクセスのために最初に接続します。

マイクロソフトは、人々が “ネイティブアイデンティティ"を使用して接続し、Teams共有チャネル(別名)を共同作業できると述べています チーム接続).したがって、Azure AD のテナント間アクセスが、ユーザーがホーム テナント内で取得した資格情報を使用して外部組織の共有チャネル内のユーザーと接続できるようにするための基盤であることは秘密ではありません。

マイクロソフト 2021年3月に共有チャンネルを発表.共有チャンネルはプライベートプレビューになり、 Microsoft 365 ロードマップ項目 70766 は、この機能が 2022 年 3 月にパブリック プレビューに到達することを示します。多くの人が共有チャネルの配信の遅さを批判していますが、この機能は新しい認証方法と、プレビューで利用可能になったばかりのAzure ADコラボレーションに依存していることを考えると、遅延が発生した理由は理解できます。結局のところ、別のテナントからの認証によって、共有チャネルに格納されている機密情報が侵害される可能性は低くなります。Teams Connect は、テナント間のアクセスを利用する最初のアプリである可能性があります。私はそれが最後になるとは思わない。

Azure AD のテナント間アクセスは、ゲスト アカウントがすぐになくなるという意味ではありません。ゲスト アカウントの有用性を示すために、多くの有効なシナリオが存在します。テナント間アクセスにより、組織は、ゲスト アカウントによって有効になっている方法に追加するための新しいコラボレーション方法を使用できます。それはすべて善良さです。

Microsoft 365エコシステムの変化する世界に追いつくには、 Office 365 for IT プロフェッショナル 電子ブック。毎月の更新は、加入者が新しい開発が発生したときにそれを学ぶことを意味します。

未分類

Posted by admin