tos-akibaのブログ

主に Microsoft 365 Security について

テナント間アクセスの設定改善

1年前に一般提供が開始された Microsoft Entra のテナント間アクセス設定について、フィードバックを元に幾つかの改善がなされました。
Cross-Tenant Access Settings Improvements! - Microsoft Community Hub

 

これによると、3つの改善点があります。

1.カスタムロールを作成し、保護されたアクションを使用して、テナント間アクセス設定の変更をセキュリティ保護

 テナント間アクセス設定の管理者をカスタム定義することにより、グローバル管理者やセキュリティ管理者のように広い権限を持つことなく、テナント間アクセスの管理を委任できます。
テナント間アクセスの概要 - Microsoft Entra | Microsoft Learn

 

 また、テナント間アクセスの設定変更を行う場合は「保護されたアクション」の設定により、条件付きアクセス ポリシーを利用して保護できます。
(例えば、設定変更する場合は、MFA が必須など)
Azure AD 内の保護されたアクションとは - Microsoft Entra | Microsoft Learn

 

2.テナント数の制限がなくなり、必要な数のテナントにポリシー設定できる

 組織によっては、数百、数千の組織とコラボレーションする必要があるため、テナント間アクセス設定のデータ格納方法を新しく見直し、もともとあった制限数がなくなりました。
CY23 Q3(7~9月)にこの新しいスケーラブルなモデルに移行し始めます。

 

3.「招待」では、テナント間アクセス設定が優先され、未承認ユーザーからテナントを保護する

 これまでテナント間アクセス設定では、ユーザーをブロックした場合でも、すべてのユーザーへ B2B 招待を送信できたため、招待を受け取ったユーザーがアクセスしようとするとブロックされる挙動になりました。

 これが改善され、B2B 招待を送信する時に、テナント間アクセス設定でブロックした組織のユーザーは招待できなくなります。
B2B コラボレーションのクロステナント アクセスを構成する - Microsoft Entra | Microsoft Learn