Office 365での安全なコラボレーション:外部共有とゲストアクセスの管理

チュートリアル
PowerShell

Secure Collaboration in Office 365: 外部共有とゲストアクセスの管理。Office 365で外部ゲストとの組織間の共有を安全に管理する必要がありますか?この記事では、Microsoft 365での外部共有とゲストアクセスの管理手順とリソースを提供します。

オプションを提供するために、記事を2つのパートに分けました。まず、Azure PortalとExchange Online管理ポータルを使用して外部ユーザーの管理方法について説明します。

次に、同じタスクをWindows PowerShellを使用して実行する方法を探ります。

具体的には、各セクションで外部ユーザーとゲストの作成と管理方法について説明します。ゲストの作成に加えて、記事ではOffice 365での安全な共有のためのゲストへのアクセスを付与または削除する方法についても検討します。

また読むPowerShellを使用してOffice 365に接続する方法

Microsoft 365のユーザーの概要Microsoft 365には2種類のユーザーオブジェクトがあります:組織内のユーザーと組織と共有するために招待された外部ユーザー。さらに、これらの2つのユーザータイプはAzure PortalとPowerShellで作成されます。

Microsoft 365には2種類のユーザーオブジェクトがあります。それは、組織内のユーザーと組織との共同作業のために招待された外部ユーザーです。さらに、これら2つのユーザータイプは、Azure PortalとPowerShellで作成されます。

この記事では、外部ユーザーの作成と管理に焦点を当てています。

Azure Portalからゲストを招待するか、PowerShellスクリプトを使用して招待することができます。ただし、その前にゲストユーザーのためにメール連絡先を作成することをお勧めします。

このワークフローに従うことは、外部ユーザーを組織のアドレス帳にリストアップしたい場合に役立ちます。

私の経験から、このワークフローに従わないと、内部ユーザーはアドレス帳で外部ユーザーを見ることができません。

このため、後続のセクションでは、このワークフローを使用します。

また、こちらもご覧ください InfraSOS Office 365ユーザーレポート&監査ツールを試してみる

方法1: Azure PortalとExchange Onlineで外部ユーザーおよびゲストの管理

Exchange Online管理ポータルに外部ユーザーのためのメール連絡先を追加

1. admin.exchange.microsoft.comを開き、Microsoft 365管理者アカウントまたはユーザー作成権限を持つアカウントでサインインします。
2. サインインしたら、受信者メニューを展開し、連絡先をクリックし、「メールユーザーを追加」を選択します。

3. 次に、新しいメール連絡先ワークフローの基本ページで必要な情報を入力し、次へをクリックします。

4. ワークフローの次のページには、2つのオプションのセクションがあります – 連絡先情報組織情報。これらのセクションに情報を追加したい場合は、それらを展開します。

それ以外の場合は、次へをクリックして続行します。

5. 最後に、提供した情報を確認し、満足している場合は、新しいメール連絡先を追加するために作成をクリックします。

他に読むInfraSOS Office 365 Reporting Toolsを試す

Microsoft 365組織にゲストユーザーをAzureポータルに招待する

1. Microsoft 365管理者アカウントでportal.azure.comにサインインします。その後、Azure Active Directoryを検索して開きます。
2. Azure ADページが開いたら、ユーザーメニューをクリックします。

3. ユーザーページで、新しいユーザーをクリックし、「外部ユーザーを招待」を選択します。

4. 外部ユーザーを招待ページの基本タブで、ユーザーのメールアドレスを入力し、「レビュー+招待」タブをクリックします。

新しいゲストユーザーをグループに追加するか、アサインメントタブから役割を割り当てます。ただし、これらのタスクは後で実行します。

5. 最後に、招待をクリックします。ユーザーは指定したメールアドレス経由で招待状を受け取ります。

招待を受け入れると、Microsoft 365 組織のゲストメンバーとして確認されます。

ユーザーが「招待を受け入れる」リンクをクリックすると、Microsoft はユーザーに Azure へのサインインを要求します。ただし、ユーザーにはパスワードがないため、「パスワードを忘れた場合」リンクを使用して新しいパスワードを作成する必要があります。

新しいゲストユーザーがサインインすると、Microsoft は彼らに組織へのアクセスを許可するよう要求します。

また、こちらもお読みください:Azure AD の役割と権限:ユーザーとグループの役割の割り当てと管理

Azure ポータルでゲストユーザーにライセンスを割り当てる

外部ユーザーを作成した後、内部の Office 365 ユーザーとの安全なコラボレーションを確保する方法の1つは、外部ユーザーにライセンスを付与することです。ゲストユーザーにライセンスを割り当てる手順に従ってください。

1. Azure ポータルでユーザーを開きます。 ライセンス をクリックします。

2. 次に、ライセンスページで アサインメント をクリックします。

3. 最後に、ユーザーに割り当てるライセンスを選択し、ライセンスの詳細を設定して、 保存 をクリックします。

Azure ポータルで外部 Office 365 ユーザーをグループに追加

外部 Office 365 ユーザーとの安全な共同作業の別の方法は、グループと役割の割り当てを利用することです。このサブセクションでは、Azure AD グループ にゲストユーザーを追加する方法について説明します。

その後、Azure ポータルから Azure AD 役割 を割り当てる方法について説明します。

ユーザーをグループに追加するには、ユーザーのプロパティページからグループをクリックします。次に、「+ メンバーシップを追加」をクリックします。

最後に、ユーザーを追加する各グループの横にあるチェックボックスをチェックし、「 選択 」ボタンをクリックします。

Azure ポータルでゲストユーザーに Azure AD 役割を割り当てる

1. ポータルを介して Azure Active Directory の外部ユーザーを開きます。
2. 次に、「割り当てられた役割」をクリックし、「+ 割り当てを追加」を選択します。

3. 「割り当ての追加」ページが開くと、ゲストアカウントに割り当てる Azure AD 役割を選択して、「次へ」をクリックします。

4. 設定ページで 割り当てタイプ を選択し、「割り当て」をクリックします。

Azure ポータルで外部ユーザーを削除する

外部の Azure AD ユーザーを削除するには、Azure AD ポータルのユーザーのプロパティページの [概要] タブをクリックします。その後、削除ボタンを選択し、最後に表示される削除削除をクリックします。

また、Office 365 グループ: コラボレーション用のグループの作成と管理をご覧ください

方法 2: Windows PowerShell を使用した外部ユーザーおよびゲストの管理

このセクションのコマンドでは、AzureADPreview および ExchangeOnlineManagement PowerShell モジュールが必要です。そのため、これらの 2 つのモジュールをインストールしてから続行する必要があります。

モジュールをインストールした後、Azure AD コマンドを実行する前に、まず Connect-AzureAD コマンドを実行する必要があります。同様に、Exchange Online コマンドを実行する前には Connect-ExchangeOnline コマンドを実行する必要があります。

Connect-AzureAD および Connect-ExchangeOnline コマンドは、それぞれ Azure Active Directory と Exchange Online に認証します。

AzureADPreview と ExchangeOnlineManagement をインストール

1. 管理者としてPowerShellを開くには、それを検索して「管理者として実行」をクリックします。

2. PowerShellが開いたら、以下のコマンドを実行して実行ポリシーをRemoteSignedに設定します。この実行ポリシーはインターネットからダウンロードされたモジュールの実行を許可します。

powershell.exe -ExecutionPolicy RemoteSigned

3. その後、次のコマンドでAzureADPreviewおよびExchangeOnlineManagementモジュールをインストールします。

Install-Module -Name AzureADPreview, ExchangeOnlineManagement, Az.Resources -AllowClobber -Force

4. モジュールをインストールしたら、Import-Moduleコマンドでそれらを現在のPowerShellセッションにインポートします。

Import-Module AzureADPreview, ExchangeOnlineManagement, Az.Resources

5. 最後に、Get-Moduleコマンドを実行してモジュールがPC上で利用可能であることを確認します。

Get-Module -Name AzureADPreview, ExchangeOnlineManagement, Az.Resources

また、次も参照してください:Office 365ライセンスレポートツール(InfraSOS)を試す

Exchange Online PowerShellコマンドを使用して外部ユーザーのためのメール連絡先を追加する

1. Connect-ExchangeOnlineコマンドを実行してExchange Onlineアカウントに認証します。sudoメールアドレスをAzureサインインメールアドレスに変更します。

Connect-ExchangeOnline -Credential (Get-Credential name@domainname.com)

コマンドを実行すると、PowerShellがパスワードを要求します。入力してOKをクリックします。

2. 正常にサインインしたら、New-MailContactコマンドでメール連絡先を作成します。

New-MailContact -Name "Victor Ashiedu (Gmail)" -ExternalEmailAddress "[email protected]"

コマンドを実行した後、メール連絡先が Exchange Online管理センター – admin.exchange.microsoft.com/#/contactsに表示されます。以下のスクリーンショットには、コマンドとExchange Online管理ポータルでの連絡先が表示されています。

また、以下をご覧ください InfraSOS Azure AD ゲストレポート&監査ツールの使用

Microsoft 365にゲストユーザーをAzureAD PowerShellコマンドを使用して招待する

New-MgInvitationコマンドは、外部ユーザーをMicrosoft 365組織に招待するために使用されます。ただし、New-MgInvitationを実行する前に必要なスコープを持つConnect-MgGraphコマンドを実行する必要があります。

スコープについて言及すると、外部ユーザーを招待するにはUser.ReadWrite.Allが必要です。一方、ユーザーにライセンスを割り当てるにはOrganization.Read.Allスコープが必要です。

次の手順では、Office 365で外部ユーザーとの安全なコラボレーションを確立するためにコマンドを実行する詳細を説明します。

1. Connect-AzureADコマンドを実行してAzure ADに認証します。 

Connect-AzureAD -Credential (Get-Credential name@domainname.com)

PowerShellはAzureの電子メールパスワードを求めます。パスワードを入力してOKをクリックします。

2. Microsoft Graph へのアクセスを要求するために Connect-MgGraph コマンドを実行します。

Connect-MgGraph -Scopes User.ReadWrite.All, Organization.Read.All

このコマンドはサインインポップアップを表示します。Azure AD アカウントでサインインしてください。

サインインしたら、Microsoft Graph パーミッション要求ポップアップで「組織を代表して同意する」をチェックし、承諾をクリックします。

3. New-MgInvitation コマンドを実行して、外部ユーザーを Azure テナントに招待します。前のサブセクションでメール連絡先を作成した際に使用したメールを使用してください。

New-MgInvitation -InvitedUserDisplayName "Victor Ashiedu (Gmail)" -InvitedUserEmailAddress name@domainname.com -InviteRedirectUrl "https://myapplications.microsoft.com" -SendInvitationMessage:$true

このコマンドが正常に実行されると、PowerShell は確認を表示します。また、招待されたユーザーはメールを受信するはずです。

招待されたユーザーに招待を受け入れてサインインするように依頼してください。ただし、ユーザーはパスワードを持っていないため、「パスワードを忘れた場合」リンクを使用して新しいパスワードを作成するように依頼してください。

4. Microsoft 365 テナントにユーザーが存在することを確認するには、次のサンプルコマンドを使用します。

Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'"

UserType は「ゲスト」である必要があります。

AzureAD PowerShell コマンドを使用して外部の Office 365 ユーザーを AzureAD グループに追加

1. ユーザーの ObjectID を取得します。

$userRefObjectId = (Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'").ObjectID

2. 外部ユーザーを追加するためのグループ ID を取得します。

$groupObjectId = (Get-AzureADGroup -Filter "displayname eq 'Helpdesk administrators'" ).ObjectID

3. 外部の Azure AD ユーザーをグループに追加します。

Add-AzureADGroupMember -ObjectId $groupObjectId -RefObjectId $userRefObjectId

AzureAD PowerShell コマンドを使用してゲストユーザーに Azure AD ロールを割り当てる

1. 外部ユーザーの Id を取得します。

$userId = (Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'").ObjectID

2. 次に、ゲストユーザーに割り当てたい Azure AD ロールの名前を取得します。

$roleassignmentname = (Get-AzRoleDefinition | where-object {$_.name -eq "Security Admin"}).Name

3. アサインメントの役割の範囲を特定します。veeambackup21を、ユーザーにアクセス権を割り当てたいリソースの名前に変更します。

$scoperesourceID = (Get-AzResource | Where-object {$_.name -eq "veeambackup21"}).ResourceID

4. 最後に、外部ADユーザーに役割を割り当てます。

New-AzRoleAssignment -ObjectId $userid -RoleDefinitionName $roleassignmentname -Scope $scoperesourceID

また、Office 365 Teams: 協力のためのMicrosoft Teamsの使用と管理を参照してください。

Office 365でのセキュアコラボレーション:外部共有とゲストアクセスの管理の結論

組織は外部ユーザーと連携しており、Office 365は外部ユーザーの作成を許可することで、この避けられないコラボレーションをセキュアにする方法を提供しています。このプロセスには、ゲストユーザーが組織のMicrosoft 365テナントに参加することが含まれます。

外部ユーザーが招待を受け入れると、そのユーザーにライセンスが付与され、グループに追加されるか、Azure ADの役割が割り当てられます。

これにより、外部ユーザーが内部ユーザーと安全に協力できるようになります。

この記事では、外部ユーザーをMicrosoft 365に追加し、ユーザーにライセンスを割り当てたり、ゲストユーザーをグループに追加したり、Azureの役割を割り当てたりする手順を詳しく説明します。

これらのタスクをExchange Online管理者とAzureポータルから実行する手順について説明しました。さらに、Windows PowerShellを使用して外部ユーザーを管理する方法も説明しました。

Source:
https://infrasos.com/secure-collaboration-in-office-365-manage-external-sharing-guest-access/