Microsoft Entra ゲストアクセスの許可レベルの設定について
ゲストユーザのアクセス
自テナント(ゲスト招待する側のテナント)に、ゲストユーザを招待した際、「ゲストユーザが自テナント(ゲスト招待する側のテナント)内の情報に、どの程度アクセスできるか」を決める設定となりますが、各選択肢の違いがよくわからなかったので確認しました。
以下が選択肢です。
①ゲスト ユーザーは、メンバーと同じアクセス権を持ちます (制限が最も少ない)
②ゲスト ユーザーは、ディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスが制限されます
③ゲスト ユーザーのアクセスは、各自のディレクトリ オブジェクトのプロパティとメンバーシップに制限されます (最も制限が多い)
特に①②の違いがよく分かりません(③は、「ゲストユーザは、自テナント(ゲスト招待する側のテナント)のメンバーシップを表示できない」ので、分かりやすいです)
①②の違い
Azure portal 上での表示できる内容の違い
Azure ポータル上から [すべてのユーザー] や [すべてのグループ] を①では確認できますが②では確認できません。
① [ゲスト ユーザーは、メンバーと同じアクセス権を持ちます (制限が最も少ない)] を選択した場合
② [ゲスト ユーザーは、ディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスが制限されます] を選択した場合
Teams 上での表示できる内容の違い
たとえば、ゲストユーザが、自テナント(ゲスト招待する側のテナント)のユーザを検索する際は以下のようなな違いが発生します。
① 通常の自テナント(ゲスト招待する側のテナント)のユーザーと同じく、部分一致の検索でもテナント全体からユーザーの検索が可能です。
②フルアドレスを入力することで、テナント全体からユーザーの検索が可能です。それに対し部分一致的な検索は、所属しているチーム内、やり取りしたことがあるチャットや会議関連のみ検索が可能です。
その他、M365アプリなどでの表示できる内容の違い
影響を受ける範囲は公開情報にありましたが、それぞれのサービスで具体的にどのような影響があるかを網羅的に案内されている公開情報はありませんでした(明確にしたい場合、各サービス毎にMSサポートへ問い合わせが必要そうです)
—抜粋—
質問 Answer
これらのアクセス許可はどこに適用されますか。 これらのディレクトリ レベルのアクセス許可は、Microsoft Graph、PowerShell v2、Azure portal、マイ アプリ ポータルなどの Microsoft Entra サービスに適用されます。 コラボレーション シナリオに Microsoft 365 グループを利用する Microsoft 365 サービスも、特に Outlook、Microsoft Teams、および SharePoint が影響を受けます。
—抜粋—
Title: Microsoft Entra ID でゲスト アクセス許可を制限する | よく寄せられる質問 (FAQ)