AzureAD B2B - 社外の人にAzureADアカウントを無償で払い出す

これは

企業でAzureADを使っていて、無償で社外の人にアカウントを払い出したいときの方法

背景

企業でAzureADを使っていて、AzureADアカウントを委託先企業など社外の人に払い出したいときがあります。
具体例としては他の社内システムの認証をAzureADで行っていたりするときなどです。
このとき、通常アカウントを払い出すと当然コストがかかります。

課題

• 上記の背景においてコストがかかる
• 社外の人に多くのアカウントを払い出すと管理が大変
• AzureAD上でどのアカウントが社外の人かわからない

解決のための機能

AzureAD B2B機能を使用することで、無償でアカウント払い出しが可能です。
かつ、動的ユーザ機能を使うと管理も楽になります。

• AzureAD B2B
  • これはAzureADのゲストアカウント機能になります。
• （オプション）グループの動的ユーザ機能
  • これを使うことでAzureAD上でどの企業の人かがわかりやすくなります

Azure Active Directory B2Bについて
https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/what-is-b2b

手順

1. [AzureAD管理センター]-[ユーザ]に移動

2. 新しいゲストユーザをクリック

3. 情報を入力して招待する

   

4. 招待した人に承諾してもらう

5. AzureADからの見え方

   

（オプション）運用のためにやっておいたほうがいいこと

専用のグループを作成する

1社から多くの人をゲストアカウント登録する場合などは、専用のグループを作ったほうがよいです

1. [AzureAD管理センター]-[グループ]に移動

2. "新しいグループ"をクリック

   • [グループの種類]はOffice365をオススメ
     • GSuiteにグループをプロビジョニングすることなどを想定したとき、Office365でないとプロビジョニングできないです。最初にセキュリティで作って失敗しました。
   • [メンバーシップの種類]はここでは割り当て済みに設定しますが、あとで動的ユーザに変更します。

   

3. あとで動的ユーザに変更するのでグループ作成はこれで終わりです。もし割り当て済みで運用する場合は、手動でメンバー追加します。

動的ルールを設定しておく

アカウント追加されたときは自動でグループに参加できるようにしておくには、以下の手順が必要です。

1. ユーザのプロファイル画面に行きます。

2. [ジョブ情報]-[会社名]に委託先企業の名前を入力します（例としてAAAを入力）

   

3. 先ほど作成した専用グループのプロパティに行きます

4. メンバーシップの種類を動的ユーザに変更

   

5. 動的クエリで以下のように設定します

   • [グループの種類]にcompanyNameを設定
   • [演算子]はEqulsを設定
   • [値]は3.2で設定した委託先企業の名前を入力
     

以上で、アカウント追加のとき、ユーザプロファイルの会社名プロパティに企業名を入力すれば自動でグループ参加してくれます。