Azure Entra IDゲストユーザーアクセスの最大制限設定について

2025.11.13

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、「ゲストユーザーへのアクセス制限が有効化されていない」というセキュリティ課題の修復方法を解説します。

ポリシーの説明

Azure Entra IDのゲストユーザーのアクセス制限は、組織外部のユーザーがアクセスできるディレクトリ情報の範囲を制御します。デフォルトでは、ゲストユーザーは組織内の多くのディレクトリ情報にアクセスできます。しかし、最も制限的な設定である「ゲストユーザーのアクセスは、各自のディレクトリオブジェクトのプロパティとメンバーシップに制限されます」を適用することで、ゲストユーザーが見ることができる情報を最小限に抑えることができます。

修復方法

コンソールでの修復手順

Azure ポータルを使用して、ゲストユーザーのアクセス制限を最も厳格に設定します。

Azure ポータルにサインイン
- https://portal.azure.com にアクセスし、グローバル管理者権限を持つアカウントでサインインします
Azure Entra ID に移動
- 左側のナビゲーションメニューから「Azure Entra ID」を選択します
- または、検索バーで「Azure Entra ID」を検索して選択します
外部コラボレーション設定を開く
- 左側のメニューから「ユーザー」を展開します
- 「ユーザー設定」を選択します
- 「外部コラボレーション設定を管理する」リンクをクリックします
ゲストユーザーのアクセス制限を確認
- 「ゲストユーザーのアクセス制限」セクションを確認します
- 現在の設定を確認し、以下のオプションを理解します：
  - 「ゲストユーザーは、メンバーと同じアクセス権を持ちます」（最も緩い）
  - 「ゲストユーザーは、ディレクトリオブジェクトのプロパティとメンバーシップへの限定的なアクセス権を持ちます」（中間）
  - 「ゲストユーザーのアクセスは、各自のディレクトリオブジェクトのプロパティとメンバーシップに制限されます」（最も厳格）
最も制限的な設定を選択
- 「ゲストユーザーのアクセスは、各自のディレクトリオブジェクトのプロパティとメンバーシップに制限されます」を選択します
- この設定により、ゲストユーザーは以下に制限されます：
  - 自分自身のプロファイル情報のみ表示可能
  - 他のユーザーやグループの情報は表示不可
  - ディレクトリの列挙不可
追加のゲスト制限を確認
- 「ゲストの招待設定」セクションも確認し、必要に応じて制限を設定
- 「コラボレーションの制限」でドメインベースの制限も検討
設定を保存
- ページ下部の「保存」ボタンをクリックします
- 変更が適用されるまで数分かかる場合があります
既存のゲストユーザーへの影響を確認
- 「ユーザー」→「すべてのユーザー」に移動
- フィルターで「ユーザータイプ」を「ゲスト」に設定
- 既存のゲストユーザーのリストを確認
変更の影響をテスト
- テスト用のゲストアカウントでサインイン
- ディレクトリ情報へのアクセスが制限されていることを確認
監査ログの確認
- 「Azure Entra ID」→「監査ログ」に移動
- 設定変更が記録されていることを確認
- 今後のゲストアクセスを定期的に監視