Azure AD B2Bを見てみよう Part3

皆さんこんにちは。国井です。

ちょっと間が空いてしまいました。前回はパターン別にゲストユーザーがどのように作られるかについて確認しました。そのときに紹介したパターンはいずれもゲストユーザーを明示的に作成しようとしていました。しかし、ゲストユーザーはアプリからの操作によって勝手に作られてしまうパターンもあるのです。
そこで、今日はアプリから作られてしまうパターンを見てみましょう。

OneDrive for Businessから作られるパターン

OneDrive for Business (ODfB) は基本的に自分専用のクラウドストレージですが、共有設定を行うことによって、別のユーザーにアクセス許可を割り当てることができます。このとき、割り当てるユーザーにはAzure ADユーザーまたはマイクロソフトアカウントを指定できます。
もうお気づきかもしれませんが、ODfBでアクセス許可を割り当てるときに、自分のドメイン以外のAzure ADユーザーに対してアクセス許可を設定すると、自動的にゲストユーザーが作られます。

(私のODfBで色々な会社の人と共有設定したおかげで、弊社のユーザー一覧はゲストユーザーだらけでございます)
しかも、共有設定は要らなくなった共有解除すればいいけど、ゲストユーザーは勝手に削除されません。そのため、ゲストユーザーが一方的に増え続ける仕様になっています。

Azure Information Protectionから作られるパターン

ファイルの暗号化機能である、Azure Information Protection (AIP) には、AIPのライセンスを持っていない人向けに、暗号化されたファイルにアクセスするだけの専用ライセンス(個人用RMS)を取得することができます。そのライセンスを取得するときにはメールアドレスを指定するのですが、outlook.comやhotmail.comなどのフリーのメールアドレスでなければ、どのようなメールアドレスでもライセンスが取得できるという便利なものです。
しかし、裏では入力したメールアドレスが既にAzure ADユーザーまたはマイクロソフトアカウントであるかをチェックし、どちらにも当てはまらない場合には自動的にAzure ADユーザーを作成してしまいます(前回紹介した、勝手にAzure ADのディレクトリやユーザーが作られるパターンです)。
例えば、私はso-netのメールアドレスを持っているのですが、個人用RMSのライセンスをso-netのメールアドレスで取得すると、裏では勝手にAzure ADユーザーが作られるので、そのユーザー名とパスワードを使って https://portal.azure.com/ にアクセスすると、、

ご覧のように、同じプロバイダーを使っている他人のメールアドレスが晒されてしまいます(和田さん、ごめんなさい。てか、和田さんって誰?)。

ここでは、ODfBとAIPのパターンを紹介しましたが、他にもMicrosoft Teamsを使ったパターンとか、SharePoint Onlineを使ったパターンなど、色々なケースでのトラブルが考えられそうです。

じゃあ、どうすりゃいいのさ?

残念ながら、すべてのコントロールができるわけではないですが、何もしないよりはマシなソリューションとして、Azure管理ポータルにある外部ユーザーの設定を変更する方法があります。(Azure管理ポータル > Azure Active Directory > ユーザー設定 > 外部コラボレーションの設定を管理します)

設定項目の中から[メンバーは招待ができる]を[いいえ]にしておけば、ODfBでゲストユーザーが事前に作られていない限り、外部ユーザーに対するアクセス許可を割り当てることができますので、[メンバーは招待ができる]などは、うまく活用するとよいかもしれません。

それから、[ゲストのアクセス許可を制限する]というのがありますが、これはゲスト管理者権限を割り当てさせないという設定なので、必ず[はい]にして運用してください。

また、勝手にAzure ADディレクトリ、ユーザーが作られる問題は、私たちのAzure ADから他のAzure ADに対する何かの制限が設定できるわけではないので、例えばパートナーに個人用RMSのライセンスを取得するときに勝手にAzure ADディレクトリが作られる可能性があることを認識してもらってから使う(認識してもらったら、使わないような気がするけど)、などの呼びかけぐらいしかできないと思います。

■ ■ ■

3回にわたって、Azure AD B2Bの機能についてみてきました。便利な機能であることは間違いないのですが、他の機能との兼ね合いで構造上の問題を持ってしまっているように思います。早く解決してほしいと思いますし、現時点で私たちにできることは、こうした事実を認識するってことだと思います。

スポンサーリンク







  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください