Office365で外部ユーザーのアクセスを管理する

  • 更新

概要

2018年3月23日、Microsoft社はOffice 365における外部ユーザーによるアクセスの動作とガバナンスを更新しました。

この日以降、外部ユーザーには、そのユーザーと共有されているコンテンツ、またはそのユーザーが所属するグループと共有されているコンテンツのみが表示されるようになりました。外部ユーザーは、Everyone、All Authenticated Users、またはAll Forms Usersで共有されたコンテンツを見ることができなくなります。既定では、これらのグループに権限が付与されたコンテンツは、組織のユーザーにのみ表示されます。

管理者はデフォルトの動作を変更して、Everyone、All Authenticated Users、またはAll Forms Usersと共有されているコンテンツを外部ユーザーが閲覧できるようにすることができます。

2018年3月23日以降、外部ユーザーにはデフォルトでEveryone、All Authenticated Users、またはAll Forms Usersのクレームが認められなくなります。そのため、外部ユーザーは、外部ユーザーが所属するグループで共有されるコンテンツ、および外部ユーザーと直接共有されるコンテンツへのアクセスのみが許可されるようになります。外部ユーザーは、これら 3 つの特別なグループで共有されているコンテンツにはアクセスできません。

詳細情報

オンプレミスのActive Directoryドメインでは、特別なグループEveryoneは、ドメインのゲストアカウントを含むActive Directoryドメイン内のすべてのIDを表します。(デフォルトで無効になっているドメインのゲストアカウントを含む)。デフォルトでは、Everyoneグループには、委任された管理者がドメインに追加したすべてのユーザーアカウントが実質的に含まれます。

2018年3月23日の変更前は、Office 365はオンプレミスのActive Directoryドメインの動作を共有していました。外部ユーザーを含むテナントのAzure Active Directory(Azure AD)内のすべてのユーザーは、ユーザーのセキュリティコンテキストに「Everyone」を表すクレームを追加することで、実質的に「Everyone」とみなされていました。Everyoneのクレームにより、ユーザーはEveryoneグループで共有されているすべてのコンテンツにアクセスできるようになります。

同様に、「All Authenticated Users」と「All Forms Users」のクレームは、テナントのAzure ADにアカウントを持つ外部ユーザーを含む各ユーザーのセキュリティコンテキストに自動的に追加されました。これらのクレームにより、ユーザーは All Authenticated Users または All Forms Users グループで共有されているすべてのコンテンツにアクセスすることができます。

Office 365は、ユーザーが組織内外のユーザーとシームレスに共有し、コラボレーションできるように構築されています。組織内のユーザーが外部ユーザーを Office 365 グループに追加したり、外部ユーザーとコンテンツを共有したりする際、アクセスに認証(「サインイン」)が必要な場合は、Azure AD で外部ゲストユーザーを表すアカウントが自動的に作成されます。委任された管理者が外部ユーザーのアカウントを作成する必要はありません。

 

解決策

外部ユーザーに与えられるアクセスを管理するための新しい選択肢が追加されました。

組織で、Everyone で共有されているコンテンツに外部ユーザーがアクセスできるようにする場合、外部ユーザーに Everyone の権利を付与するようにテナントを構成することができます。

外部ユーザーにEveryoneの権利を付与するようにテナントを構成するには、次のWindows PowerShellコマンドレットを使用します。

Set-SPOTenant -ShowEveryoneClaim $true

コマンドレットを実行すると、外部ユーザーには Everyone クレームが付与され、Everyone グループで共有されているコンテンツにアクセスできるようになります。

組織が All Authenticated Users または All Forms Users で共有されているコンテンツへのアクセス権をユーザーに付与したい場合は、これら 2 つのクレームを外部ユーザーに付与するようにテナントを設定することができます。

外部ユーザーに All Authenticated Users と All Forms Users のクレームを付与するようにテナントを設定するには、次の Windows PowerShell コマンドレットを使用します。

Set-SPOTenant -ShowAllUsersClaim $true

コマンドレットを実行すると、外部ユーザーには All Authenticated Users と All Forms Users のクレームが付与され、これら 2 つのグループで共有されているコンテンツにアクセスできるようになります。

 

既定のクレームの代わりに Azure AD グループとダイナミック メンバーシップを使用する

Everyone、Everyone Except External Users、All Authenticated Users、およびAll Forms Usersグループでの共有を引き続きサポートしていますが、お客様には、Office 365グループを含むAzure ADの顧客定義グループを使用して、ロールベースのアクセス管理を実装することをお勧めしています。Office 365 グループは、Office 365の サービスやエクスペリエンス全体のコンテンツへのメンバーシップとアクセスを定義します。多くのOffice 365サービスはすでにAzure ADのダイナミックグループをサポートしており、これらのサービスはAzure ADのプロパティとビジネスロジックに基づいたルールのセットとして定義されています。ダイナミックグループは、正しいユーザーが正しいコンテンツにアクセスできるようにするための最良の方法です。ルールに基づいてグループを一度に定義できるので、組織の変更に合わせてメンバーを追加したり削除したりする必要がありません。

詳しくは以下の記事をご参照ください。

Office 365 で Everyone に外部ユーザーへのクレームを許可する
外部共有の概要
セキュリティで保護されたゲスト共有環境を作成する
アクセスリクエストの設定と管理