0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kouhei-ioroi(五百藏 康平)

Microsoft EntraID ゲスト招待でメールOTPを強制する

0
Last updated at Posted at 2026-05-14

Sharepoint/OneDrive for Businessについて、Entra B2B統合後も以前と同等のメールOTP体験を実現したい場合は、Conditional AccessでメールOTPを使用するゲストのMFA除外設定を忘れずに行って下さい。
また、管理されていないデバイスからのアクセス制御を行っている場合も、同じく除外しないとゲストはファイルのダウンロード等が出来ません。

解説

通常、SharepointOneDrive for Businessでゲストを招待すると

  • 相手がEntraIDアカウントの場合
    • B2Bコラボレーションにより、テナントに招待出来る
  • 相手がMicrosoftアカウントの場合
    • B2Bコラボレーションにより、テナントに招待出来る
  • 相手がいずれでもない場合
    • メールOTPで招待できる

という挙動になります。
個人相手だとMicrosoftアカウントを持っている・持っていないの差があり、微妙にめんどくさい事になってしまうことがあります。
特にSharepoint/OneDrive for Businessにおいて2026年5月からEntra B2B統合の強制ロールアウトが行われるため、過去と同じような感覚で利用すると混乱することがあります。

今回はMicrosoftアカウントを締め出してEntraID以外は絶対にメールOTPしか許さんぞモードにする方法を説明します。

  1. Azure PortalもしくはEntra 管理センターを開きます

  2. External Identitiesを開きます

  3. テナント間アクセス設定を開きます
    image.png

  4. 既定の設定受信の既定値を編集をクリックします
    image.png

  5. B2Bコラボレーション引き換え順序を開きます
    image.png

  6. フォールバックIDプロバイダーにあるMicrosoftアカウント(MSA)を無効にして保存します
    image.png

これだけで新しく招待されるゲストの内、Microsoftアカウントが存在するものもメールOTPが強制されます。

既存ゲストの対応

既存のゲストユーザーがMicrosoftアカウントの場合は、該当のEntraID ゲストアカウントの利用状態をリセットして再招待することで次回以降の認証はメールOTPを強制できます。

これを
image.png
こうじゃ
image.png

ちなみに

Microsoft Learnを徘徊していると次の記述を見つけました。

Microsoft では、既存の Microsoft アカウント (MSA) をどのようにすることを勧めていますか?

ID プロバイダーの設定で Microsoft アカウントを無効にできるようになったら (現時点では利用できません)、Microsoft アカウントを無効にして電子メール ワンタイム パスコードを有効にすることを強くお勧めします。 次に、Microsoft アカウントを使用している既存のゲストの利用状態をリセットします。これにより、ゲストはメールのワンタイム パスコード認証の使用に再度切り替え、今後はメールのワンタイム パスコードを使用してサインインできるようになります。
https://learn.microsoft.com/ja-jp/entra/external-id/one-time-passcode

なんと、Microsoftですらも推奨していない設定だったということです。なんじゃそれ!
(現時点では利用できません)と書いていますが、普通にもう出来るようになってます。謎。

メールOTPとそれ以外のB2Bコラボを判断する方法

流石にゲスト全員Conditional AccessでMFA無しは危険すぎるので、メールOTPだけ許可してそれ以外はMFA必須にさせたいですね。
サインインログを見ると分かるのですが、メールOTPのアカウントはホームテナントIDとリソーステナントIDが一致します。つまり、自分のテナント同士でコラボレーションしているのです。(?)
通常のB2Bコラボレーションであれば、異なるテナントがホームテナントになるのでここを判断材料とすれば問題なさそうです。
最終的に次のようなポリシー設計で運用しています。

項目 通常のB2Bコラボ メールOTP
対象者 ゲスト全体(自テナントのB2Bゲストを除く) 自テナントのB2Bゲスト
リソース すべてのリソース すべてのリソース
ネットワーク 未構成 未構成
条件 なし なし
--- --- ---
許可条件 認証強度が必要(MFA必須) なし(MFA不要)
セッション サインイン頻度(30日) サインイン頻度(8時間)

より厳密な運用にするならば、許可するリソースを00000003-0000-0ff1-ce00-000000000000(Sharepointアプリケーション)に絞るなんかも良さそうですね。

ご参考になれば幸いです。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?