Azure Entra IDゲスト招待権限を管理者のみに制限する手順

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、「ゲストユーザーの招待制限が有効化されていない」というセキュリティ課題の修復方法を解説します。

ポリシーの説明

Azure Entra IDでは、組織外部のユーザーをゲストユーザーとして招待できます。デフォルト設定では、すべてのユーザーがゲストユーザーを招待できるため、これは重大なセキュリティリスクとなります。

ゲストユーザーの招待権限を「特定の管理者ロールに割り当てられているユーザーのみがゲストユーザーを招待できる」ように制限することで、組織のセキュリティ境界を適切に管理し、データガバナンスを強化できます。この設定により、外部コラボレーションを必要な範囲に限定し、シャドーITを防止できます。

修復方法

コンソールでの修復手順

Azure ポータルを使用して、ゲストユーザーの招待権限を管理者ロールのみに制限します。

1. Azure ポータルにサインイン
   • https://portal.azure.com にアクセスし、グローバル管理者権限を持つアカウントでサインインします
   • ※この設定変更にはグローバル管理者権限が必要です
2. Azure Entra ID に移動
   • 左側のナビゲーションメニューから「Azure Entra ID」を選択します
   • または、検索バーで「Azure Entra ID」を検索して選択します
3. 外部コラボレーション設定を開く
   • 左側のメニューから「ユーザー」を展開します
   • 「ユーザー設定」を選択します
   • 「外部コラボレーション設定を管理する」リンクをクリックします
   • ※または「外部ID」→「外部コラボレーション設定」から直接アクセス可能

   

4. ゲストの招待設定を確認
   • 「ゲストの招待設定」セクションで現在の設定を確認します：
     • ❌「メンバー ユーザーは招待ができる」（デフォルト – 非推奨）
     • ❌「ゲストは招待ができる」（最もリスクが高い）
     • ✅「特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる」（推奨）
     • 「ゲストを招待できるユーザーはいない」（最も制限的）

     

5. 最も制限的な設定を選択
   • 「特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる」を選択します
   • この設定により、以下のロールを持つユーザーのみがゲストを招待できます：
     • グローバル管理者
     • ユーザー管理者
     • ゲスト招待元（Guest Inviter）
     • その他の特権管理者ロール
6. 追加のセキュリティ設定（推奨）
   • ゲストのアクセス許可を制限する:
     • 「ゲスト ユーザーのアクセスは、ディレクトリ オブジェクトのプロパティとメンバーシップに制限されます（最も制限的）」を選択
   • ゲストのセルフサービス サインアップ:
     • 「いいえ」を選択して無効化

     

7. コラボレーションの制限を設定
   • 「コラボレーションの制限」セクションで、ドメインベースの制限を設定
   • 「招待を特定のドメインに拒否または許可する」を選択
   • 制限の種類を選択:
     • 「許可」: 指定したドメインのみを許可（ホワイトリスト方式）
     • 「拒否」: 指定したドメインを拒否（ブラックリスト方式）
   • 対象ドメインを追加（例: partner-company.com）
8. 利用規約の設定（オプション）
   • 「利用規約」を有効にして、ゲストユーザーに同意を要求
   • PDFファイルをアップロードして利用規約を設定
9. 設定を保存
   • すべての設定を確認後、「保存」をクリックします
   • 変更は即座に有効になります

最後に

この記事では、Azure Entra IDにおけるゲストユーザーの招待制限の設定について、リスクと対策を解説しました。

ゲストユーザーの招待を適切に制限することで、組織の境界を明確に定義し、シャドーITを防止し、データガバナンスを強化できます。特定の管理者ロールのみに招待権限を制限することで、外部アクセスの可視性と制御性が向上し、コンプライアンス要件を満たすことができます。

2025年現在、ゼロトラストセキュリティとSASE（Secure Access Service Edge）の観点から、すべての外部アクセスは継続的に検証され、最小権限の原則に基づいて管理される必要があります。ゲスト招待プロセスを自動化・標準化することで、セキュリティを維持しながらビジネスの柔軟性も確保できます。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

• Microsoft公式ドキュメント：外部コラボレーション設定
• ゲストユーザーの招待とアクセス許可の制御
• ゲストユーザーのセキュリティベストプラクティス
• アクセスレビューの設定
• Azure AD B2Bコラボレーションのライセンス
• 条件付きアクセスの計画
• Terraform AzureAD Providerドキュメント