ある企業の IT 管理者が Entra ID に外部パートナーをゲストユーザー(B2B)として招待した。ゲストユーザーが招待を承諾した後、セキュリティ要件として「ゲストユーザーは Entra ID テナント内の他のユーザー・グループ・アプリの一覧を参照できないようにしたい」という要求が出た。最も適切な設定変更はどれか。
- A. 各ゲストユーザーのプロファイルで「ディレクトリロール」を削除する
- B. ゲストユーザーをすべて削除して再招待し、招待メールに追加の制限説明を記載する
- C. Entra ID の「外部コラボレーション設定」でゲストのアクセス許可を「ゲストユーザーのアクセスは自分のディレクトリオブジェクトのプロパティとメンバーシップに制限される」に変更する
- D. Azure RBAC で「閲覧者(Reader)」ロールから Entra ID の読み取り権限を剥奪したカスタムロールを作成する
解答と解説を見る
正解: C
Entra ID の「外部コラボレーション設定(External collaboration settings)」にはゲストユーザーのアクセス許可レベルを設定するオプションがある。デフォルトではゲストはメンバーユーザーと同等のディレクトリ読み取り権限を持つが、「ゲストユーザーのアクセスは自分のディレクトリオブジェクトのプロパティとメンバーシップに制限される」に変更すると、他のユーザー・グループ・アプリの列挙が制限される。さらに制限の強い「ゲストユーザーのアクセスは自分のプロファイルのプロパティに制限される(最も制限的)」も選択可能。選択肢Aのディレクトリロールの削除はゲストが元々ディレクトリロールを持っていない場合は意味がなく、設定で制御する問題ではない。選択肢Bはゲスト再招待は必要なく、外部コラボレーション設定は既存ゲストにも即時適用される。選択肢DのAzure RBAC は Azure リソースへのアクセス制御であり、Entra ID ディレクトリオブジェクトの閲覧制限には使用しない。
📚 関連サービスの解説: Microsoft Entra ID