唐突ですが、 Azure AD B2B をご存じでしょうか。
簡単に説明すると、 Azure AD を SP としてフェデレーションを行うための機能です。
この機能、今まで一般的に Azure PaaS / IaaS 向けの機能だと思っていたのですが、いつの間にやら SaaS である Microsoft 365 でも利用できるようになっていました。
SharePoint の docs にAzure AD B2B を統合するケースが記載されていたので、今回はこの紹介を行いたいと思います。
この機能を使うと、以下にあるようにメールアドレスを用いた SharePoint のゲストユーザーとして扱えるようになり、外部とのやり取りが非常にやりやすくなります。
ただ、組織内で使うにはポリシー的な問題点が多く発生するものと思われ、その観点からか、この統合を有効化させるには手順が必要となっているようです。
細かくは上記に記載されていますが、流れを見ていきましょう。
まず Microsoft 365 向けの Azure AD にアクセスします。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview
つながったら External Identities にアクセスしましょう。
これが Azure B2B の機能を表す画面なのですが、有効化するにはすべての ID プロバイダーに入っていく必要があります。上から 2 番目のメニューをクリックします。
直接入る場合は以下のアドレスでも大丈夫です。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/CompanyRelationshipsMenuBlade/IdentityProviders
右ペインにあるメールのワンタイム パスコードをクリックします。
ゲストのメール ワンタイム パスコードの選択肢が現れるので、「ゲストのメール ワンタイムパスコードが有効になりました。」を選びます。
こんな感じですね。
これを保存し、再度チェックするとこんな形になっていれば OK です。
これで Azure AD B2B 側の設定は完了ですが、次に SharePoint 側の設定が必要です。
SharePoint Online の設定を行う場合、 Windows PowerShell 上に Online 接続モジュールが必要なので以下のコマンドレットを実行しインストールしましょう。残念ながら PowerShell 7 には未対応のようでした。
Install-Module -Name Microsoft.Online.SharePoint.PowerShell -Scope CurrentUser
すでにインストールされている場合は、以下コマンドレットでバージョンを最新化させておきましょう。
Update-Module -Name Microsoft.Online.SharePoint.PowerShell
モジュールの用意ができたら、インポートして接続するいつもの流れです。
接続先は -admin が入る管理センターへになるので注意しましょう。
Import-Module Microsoft.Online.SharePoint.PowerShell
Connect-SPOService -Url https://テナント名-admin.sharepoint.com
接続が行えたら以下の 2 つのコマンドレットを実行します。
Set-SPOTenant -EnableAzureADB2BIntegration $true
Set-SPOTenant -SyncAadB2BManagementPolicy $true
実行後警告が表示されますが、これで完了です。
これでメールアドレスを利用した認証が行えるようになっています。
うまく活用すれば外部共有が簡単に行えるようになりそうですね!
音楽:うつせみの
