こんにちは、Azure & Identity サポート チームの坂井です。
今回は Azure AD に別テナントのユーザーを招待する際に、招待メールを使用しない方法を紹介します。
通常はゲスト ユーザーを追加する際、招待されたゲスト ユーザーは、招待元から送信されたメールのリンクをクリックし、ウィザードを完了する必要があります。
しかし、以下の公開情報にありますように、各ユーザーにそのウィザードを実行させることなくゲスト ユーザー追加することも可能です。
Add B2B collaboration guest users without an invitation
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-b2b-add-user-without-invite
上記公開情報には手順の記載がありませんが、具体的な手順については下記になります。
流れ
- テナント A のユーザーでテナントB のユーザー(user1)を招待します。※1
- テナント A の管理者アカウントで user1 のディレクトリ ロールを設定します。
- user1 で Azure ポータルにサインインします。
- 画面の右端のアイコンをクリックし、ディレクトリをテナント A とします。
- テナント B のアカウントを追加します。※2
※1:招待元の最初の 1 ユーザーについては必ず招待メールを受け取り、ウィザードを実行する必要があります。
※2:権限を付与された同テナントのユーザーで、招待作業を行うことで以降のアカウントについてはウィザードの実行は不要になります。
テナント A のユーザーがテナント B のユーザーを招待した場合
テナント A で権限の付与されたテナント B ユーザーが新たにテナント B のユーザーを招待した場合
※実際には、招待完了済みのメールが送信されます
詳細
1. テナント A のユーザーでテナントB のユーザー(user1)を招待します。
user1 は招待を受け、受け取ったメールのリンクをクリックして招待を完了します。
完了後、該当ユーザーは テナント A の Guest ユーザーになります。
2. テナント A の管理者アカウントで user1 のディレクトリ ロールを設定します。
テナント A の全体管理者アカウントで Azure ポータル (https://portal.azure.com) にアクセスします。
Azure Active Directory のユーザーとグループの項目から user1 を選択し、ディレクトリ ロールとして "制限付き管理者" を選択します。
ここで 「ゲスト招待元」 の権限を追加して保存します。
(なお、全体管理者の権限を付与しても同様の操作が可能です)
3. user1 で Azure ポータルにサインインします。
4. 画面の右端のアイコンをクリックし、ディレクトリをテナント A とします。
5. テナント B のアカウントを追加します。
Azure Active Directory を開き、ユーザーとグループからすべてのユーザーを選択し、 [+ 新しいゲストユーザー] をクリックし、 user1 と同じテナントのアカウントを追加します。
この作業のみで、招待したアカウントは確認済みの状態になります。この追加作業は PowerShell や GraphAPI でも可能で一括登録も可能です。
また、テナント A 内で user1 に対してサブスクリプションの権限も付与している場合、user1 と同じテナントのアカウントに対するアクセス制御 (IAM)設定時も、招待メールの実行をせずに自動で追加することが可能です。
以上です。招待したユーザーが利用できない場合の確認ポイントと合わせて本情報も皆様の参考となりますと幸いです。