【コラム】「Azure AD B2B機能」を使ったPower Appsアプリ(川口真隆のAzure技術検証)

目次
1.はじめに
はじめまして。ディーアイエスサービス&ソリューション株式会社クラウドテクノロジーグループの川口真隆と申します。入社以来、サーバー製品を中心としたシステムの導入やサポートを担当させていただいております。
現在、我々が力を入れているのは、マイクロソフトのクラウドサービスMicrosoft 365です。
以前主流だったオンプレミスのサーバー製品(ExchangeやSharePointなど)は、クラウドのサービスとしても提供されており、弊社でもオンプレミスからクラウドへの移行のご支援をさせていただいております。
マイクロソフトのオンプレミス環境ではActive Directoryというサービスがユーザー認証を行いセキュリティ管理の基盤になるのですが、クラウドサービスでは、Azure Active Directory(以下Azure AD)がその役割を担い、クラウドサービスに対するユーザーアクセスを管理します。
社内LANのようなローカルネットワークでの運用を想定したActive Directoryと違い、Azure ADでは、オープンなインターネット上で利用するための認証基盤になります(名前は似ているのですが、利用されている技術や利用方法は全く違っており、全く別物と考えて下さい)。
今回は、このAzure ADの機能であるAzure AD B2Bの機能を使ったPower Appsを公開する方法をご紹介したいと思います。
2.「Azure AD B2B」とは
クラウドでは場所に縛られないサービス利用という特徴から、実は組織外の利用者にもサービスを展開しやすいという特徴があります。たとえば、組織外のユーザーやパートナー向けにアカウントを発行し利用しているケースなどもあるかと思います。ただこの方法では少人数の場合はいいのですが、人数が増えてくると個別でのアカウント管理など運用が課題になってきます。
そこでお勧めしたいのがAzure AD B2Bのゲストユーザーアクセス機能です。
Azure AD B2Bを使えば、外部の組織のユーザーを自社クラウドに招待してアプリケーションを利用させることができます。具体的な構成は以下のようなイメージです。
<構成図>

この『招待する』という点がポイントです。手順を以下にご案内します。
3.外部ユーザーを招待する
それではまず、外部ユーザーを招待しましょう。 Azure ポータルにサインインしゲストユーザーを作成します。
<手順イメージ>

ゲストユーザーの情報を追加します。
<手順イメージ>

招待を送信すると、招待メールが相手先に送信されます。
<招待メールイメージ>

招待メールに記載のリンクをクリックし招待を受けます。
4.アプリケーションを共有する
このままではゲストユーザーとして登録されただけで何もできません。社内アプリケーションをゲストユーザーに共有します。

ゲストユーザーにライセンスを割り当てます。利用するアプリに応じたライセンスが必要です。

5.アプリケーションを利用する
それでは、ゲストユーザーとしてアプリケーションを利用してみましょう。
まずゲストユーザーとしてログオンします。
ゲストユーザーがすでにAzure ADのアカウントだった場合は、そのままAzure ADの認証を通してアプリケーションにアクセスできます。

Azure ADを認証基盤に使っていない場合は、ログオン時にワンタイムパスワードがメールで送られますのでそちらを入力しログオンします。メールが確認できるという点でユーザーを認証するわけです。

アプリケーションを利用することができました。

6.まとめ
COVID-19の影響から導入が進むTeamsなどのサービスについてもAzureADが認証の基盤となりますが、社内利用の安全性を確保する一方で、企業間のコラボレーションによる生産性の向上はまだまだ検討の余地があります。
今回の例ではPower Appsのアプリ共有を試してみましたが、他にもクラウドの運用の一部をパートナー企業に委託するためにAzure AD B2Bの仕組みを使ってリソース管理の一部を委任するなどの対応も可能です。このようなケースでは、さらに特権管理ソリューションとしてAzure AD Privileged Identity Management (PIM) を組合せることが可能です。
※PIMを使用するには、Azure AD Premium P2 ライセンスが必要です。
※本コラムは2021年2月時点の情報を基に作成しています。