カテゴリ「Entra ID (Azure AD)」の7件の投稿 Feed

2026年6月26日 (金)

SharePoint の B2B統合 とは SharePointおよび OneDrive の外部共有を Microsoft Entra B2B (旧 Azure AD B2B) に統合する仕組みです。

これにより従来は外部ユーザーとコラボレーションするためにSharePoint 独自のメール認証やワンタイムパスコードを使ってユーザー認証を行っていましたが、B2B統合を行うことで外部ユーザーは Microsoft Entra ID のゲストユーザーとしてディレクトリ登録されるようになります。そのため多要素認証(MFA)や条件付きアクセスなどのポリシーも適用できるようになります。

外部共有の際に対象となるのは次の相手です。

  • 他の Microsoft 365 テナントのユーザー
  • Microsoft アカウントを持つユーザー
  • 上記を持たない電子メールアドレスのみのユーザー (Gmailなど)

B2B 統合が登場した背景

B2B統合が登場した背景にあるのがセキュリティ強化と統一管理です。これまでは SharePoint 独自の外部共有モデルを利用しておりID管理が分散してしまい結果的に条件付きアクセスポリシーの適用が困難でした。理由としては、SharePoint で外部共有する際に SharePoint 独自のOTP(メールによるワンタイム パスコード認証)を行っており、ゲストアカウントの作成が必須ではなかったことにあります。そのため外部ユーザーからアクセスされた場合も監査ログなどに残る情報は限定的で匿名性が高かったのです。

ですが、B2B 統合後は外部共有する際にはEntra IDを使った認証へと変わり、ゲストアカウントを必ずEntra ID にB2Bゲストとして登録することになります。そうすると条件付きアクセスも適用ができるようになり、監査ログも完全対応できるようになります。

項目 統合前(旧モデル) 統合後(B2B統合有効)
認証方式 SharePoint独自のOTP(メールでコード送信) Entra IDの認証(Microsoftアカウント、職場アカウント、またはEntra OTP)
ゲストアカウント作成 なし(ディレクトリに登録されない) あり(Entra IDにB2Bゲストとして登録)
条件付きアクセス / MFA 適用不可 適用可能(Entra IDポリシー)
監査・ログ管理 制限あり(匿名性が高い) 完全対応(Entra ID監査ログ)
リンクの種類 OTPリンク、匿名リンク B2B招待リンク(Entra ID管理)
セキュリティリスク 高い(リンク漏えい時の不正アクセス) 低い(IDベース、ポリシー適用)
サポート状況 将来廃止するとのアナウンス(2025年7月1日) ゲストに対する既定の認証方式となる

B2B 統合後の対応

B2B 統合を有効化したテナントでは旧OTPリンクは完全に使えなくなるため再共有が必須になります。また外部共有は Entra B2B Invitation Manager を通じて行われ、ゲストアカウントが必ず作成されます。 

参考

2026年3月29日 (日)

OneDrive および SharePoint 内の SharePoint ワンタイム パスコードに(SPO OTP)認証が2026年7月に廃止されます。

2026年5月から、外部共有の招待と認証は SPO OTPではなく、Microsoft Entra B2B を使うようになります。

🎓SharePoint ワンタイム パスコード認証とは?

SharePoint のワンタイム パスコード認証に関しては下記の記事に詳しく書いていますが、簡単に整理するとこれまではMicrosoft 365 アカウントや Microsoft アカウントを持たない社外のユーザーに SharePoint のコンテンツを共有する際に、これまでは SharePoint 独自のワンタイム パスコード認証を使ってきていました。このワンタイム パスコード認証では Microsoft Entra ID にゲストアウントを作ることなく認証できるというものです。

SharePoint Technical Notes : SharePoint の B2B統合とワンタイム パスコード(OTP)

しかし、今後は Microsoft Entra ID の B2B統合が自動的に有効になり、Microsoft 365 アカウントや Microsoft アカウントを持たない社外のユーザーに対しても必ず Entra ID にゲストアウントを自動生成できるようになります。ゲストアウンとがあれば、ゲストアカウントのライフサイクル管理が可能になるだけでなく、条件付きアクセスポリシーによるコントロールなどもできるようになります。

これによってEntra B2B でのゲストアカウントが利用できるようになります。現在、B2B統合は SharePoint の eSignature や社外との秘密度ラベルで暗号化したドキュメントのやり取りなどで必須の設定であり、これを明示的に行わなくてもよくなるのは朗報だといえそうです。

EnableAzureADB2BIntegration 設定の今後

これまでMicrosoft Entra ID とB2B統合を行うには SharePoint 管理シェルコマンドを使ってテナントのEnableAzureADB2BIntegration オプションを有効化する必要がありました。しかし、B2B統合は自動的に行われることになるため、この設定自体が無効になります。逆に、従来のようにこのオプションを無効化することもできなくなります。

⚠️外部ユーザーへの影響

すでに Entra B2B ゲストアカウントを持っている場合は特に変更はありません。

テナントに更新が適用された後

Entra B2Bゲストアカウントを持っていない外部ユーザーは、特定のユーザーと共有されるリンクは、Entra B2B Invitation Manager 経由でゲストアカウントが自動的に作成されます。認証は Entra B2B を使います(メールのOTPが有効になっている場合)。

テナントに更新が適用される前

2026年7月まで SharePoint の OTP認証は引き続き利用できます。ただし、2026年7月を過ぎると、これらの対象となるユーザーは B2B ゲストアカウントの照合ができるようになるまでアクセスが拒否されることになります。

🛠️管理者としての準備

2026年7月から、SharePoint のOTPを利用する古いリンクを使っている際に外部の共同作業を行うユーザーはアクセスが拒否される可能性があることをユーザーに通知します。

組織がEntra 経由でのEmail OTP認証を利用するのであれば、Entra External ID 設定のEmail OTP認証を無効化しないようにします。

20260329_183423

外部共有ポリシーを見直すだけでなく、SharePoint および Entra 管理センター内のゲストへの条件付きアクセス設定を確認しておきます。

ゲストアカウントを持たない外部の共同作業者は外部共有レポートを通じて特定できます。アクセスを維持するために、事前にゲストアカウントを作成する対応も考慮しておきましょう。

⏱タイムライン

改めてタイムラインをまとめておきましょう。

2026年5月

新たに外部共有する際の招待および認証は Entra B2B に移行します。以前の SharePoint のOTPを使った認証を利用していたユーザーはB2Bゲストアカウントがなくても、引き続き特定のユーザーとの共有リンクを利用できます。

2026年7月

SharePoint のOTP認証の廃止が開始されます。ゲストアカウントがない場合は、以前の特定のユーザーとの共有リンクに基づくアクセスは拒否されます。

外部ユーザーに再びアクセスさせるには、Entra B2Bにゲストアカウントを作成する必要があり、またファイル/フォルダー/サイトの共有リンクの再作成が必要です。

2026年8月31日

廃止完了見込みです。

参考

2024年9月27日 (金)

Power Platform の HTTP with Microsoft Entra ID コネクターが 2024年8月末ごろに急遽廃止になったようです。現在、Power Automate で確認したところモダンデザイナーではそもそも旧コネクターがでてきません。コネクターの一覧でも "Deprecated" の文字があります。

20240927_182754

後継としてはすでに提供されている HTTP with Microsoft Entra ID (preauthorized) を使うことになります。ただ、API エンドポイントによってはどうも制限がされているようです。私のお客様からも利用できないエンドポイントがあるという話は耳にしています。この辺りは、下記の新旧コネクターの比較記事が詳しいです。

What is the difference between HTTP with Microsoft Entra ID and HTTP with Microsoft Entra ID (preauthorized) connectors? - Forward Forever

なお、Microsoft Learn のコネクター説明のページは 2024年9月27日現在、日本語ページに "廃止" については書かれていません。ただし、英語の方はすでに更新されおり、廃止に言及しています。

HTTP With Microsoft Entra ID (deprecated) [DEPRECATED] - Connectors | Microsoft Learn

ちなみにさきほどご紹介した Forward Forever の記事の下にコメント欄があり、あれこれやり取りされていますが、どうも廃止は急だったようでアナウンスもなかったようですね。私もあれこれ調べましたが、廃止のアナウンスは見つけられませんでした。コメント内でも "サポートに問い合わせたら Microsoft も知らなかったようだ" とも書かれているので、いつの間にか廃止になったようです。コネクターで deprecated になるものはたくさんありますけど、こんなに早く廃止されて使えなくなるというのは珍しいように思います。

ということで、これに関して日本語の情報が見当たらなかったので備忘録として記事にしておきました。

2024年5月 9日 (木)

Entra 認証コンテキストを使用すると、特定の秘密度ラベルを適用したサイトにのみ特定の条件付きアクセスポリシーを適用できるようになります。これにより特定のサイトに対して厳しい認証条件を適用することなどが可能になります。

Photo

ちなみに秘密度ラベルを使わずに直接ポリシーをサイトに適用することも可能ですが PowerShellコマンド (Set-SPOSite)を利用する必要があります。

※ただし、SharePointのルートサイトにはこのポリシーは適用できないので注意してください。

ライセンス

SharePoint サイトで認証コンテキストを利用するには、次のいずれかのライセンスが必要です。

  • Microsoft Syntex - SharePoint Advanced Management
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5 コンプライアンス
  • Microsoft 365 E5 Information Protection and Governance
  • Office 365 E5/A5/G5

設定手順の概要

  1. Entra ID 管理センターで認証コンテキストを追加し、条件付きアクセスポリシーを構成する。
  2. Microsoft Purview コンプライアンス ポータルで秘密度ラベルを用意し、認証コンテキストを使用して制限を適用する。

Entra 認証コンテキストの準備

Entra 認証コンテキストは次の手順で設定できます。

まず、Entra 管理センターにアクセスします。「保護」>「条件付きアクセス」の順にアクセスし、「認証コンテキスト」をクリックします。ここで「新しい認証コンテキスト」をクリックます。認証コンテキストの追加画面で、名前と説明を指定して作成します。認証コンテキストは要件ごとに複数作成できます。

Photo_2条件付きアクセス ポリシーの構成

次に条件付きアクセスポリシーを作成します。名前を指定して対象となるユーザーなどを指定します。「ターゲットリソース」の設定でポリシーの適用対象として 認証コンテキスト を選び、作成した認証コンテキストを選択します。

Photo_3

秘密度ラベルの作成

Microsoft Purview コンプライアンス ポータルにアクセスし、秘密度ラベルを作成します。ラベルの範囲の定義で「グループ&サイト」を選択します。

20240509_131542

「グループとサイトの保護設定を定義」で “外部共有および条件付きアクセス” を選択します。

20240509_131629

「外部共有および条件付きアクセスの設定の定義」で "Microsoft Entra 条件付きアクセスを使用してラベル付き SharePoint サイトを保護する」を選択し、使用する認証コンテキストを選択します。

20240509_131846

このように秘密度ラベルを作成したあとは、適切なラベルポリシーを作成してユーザーに発行しておきます。

SharePoint サイトへの適用

作成した秘密度ラベルをテナント管理者、サイトの管理者またはサイトの所有者が特定の SharePoint サイトに適用します。

20240509_133654

サイトへのアクセスを実験してみましょう。結果は次の通りです。

制限事項などの詳細

この設定には制限事項が比較的たくさんあります。実際に利用するときおよび最新情報の確認は下記の Microsoft Learn の記事を参照してください。

SharePoint サイトと OneDrive の条件付きアクセス ポリシー - SharePoint in Microsoft 365 | Microsoft Learn

2023年9月21日 (木)

Microsoft Edge for Business が Edge のリリースバージョン 116 (Stable) から展開されており、個人の Microsoft アカウント (MSA) と Microsoft Entra ID のアカウントのプロファイルを明確に分離して管理できるようになりました。お気に入り、キャッシュやストレージなどは個人用と仕事用とで明確に分かれるわけです。Edge for Business の概要はIT系のメディアのニュースなどでも取り上げられていますし、この記事の一番下に Microsoft 社からの公式情報のリンクも掲載しているため、これ以上は触れません。

その代わり、私が遭遇したトラブルと対処法について触れておきたいと思います。

プロファイルの自動切換えと Microsoft Teams

さて、表題の話に移りましょう。Edge for Business には自動的にプロファイルを切り替える機能が備わっています。これにより例えば、一般的なサイトは仕事とは直接関係ないので個人のプロファイルで閲覧し、仕事で利用するサイトへのは Entra ID アカウントのプロファイルに自動的に切り替えることができる利点があります。この設定はEdgeの「設定」>「プロファイル」>「プロファイルの基本設定」にあります。

20230921_161159

この画面の下の「サイトのプロファイル設定」に注目してください。私の環境では既定では、teams.microsoft.com のサイトが追加され、「個人プロファイルに切り替える」ようになってるのです。
20230921_161255

ここが本題に関わるのです。

仕事では Microsoft 365 の研修を定期的に行っているため私自身は複数のアカウントを用意し、これを切り替えてデモすることが多いのですが、いつからかプロファイルを切り替えて Microsoft 365 のアプリ起動メニューから Microsoft Teams のWeb版にアクセスしようとすると、どうやっても個人のプロファイルが起動し、個人アカウントに紐づけている Microsoft 365 開発者用テナント側の Teams が開いてしまう。このプロファイルの自動切換えを把握していなかったのです。

既定で「切り替え」なっていた設定を「切り替えない」に変えたところ、従来通り、各プロファイルの Web版のTeams にアクセスできるようになりました。

ということで、新機能が登場したらなべく早く情報をキャッチアップしておかないとダメですね~。

以上、情報共有でした! 

[参考]