GmailユーザーでMicrosoft TeamsにMSアカウントを作成せずにゲスト参加させる方法。～AzureADB2BとGCP設定

Google

2022.03.192024.08.21

目次

はじめに
条件
手順
ゲスト招待する方法
ゲスト招待されたGmailユーザーがサインインする方法
1. うまくいかない場合
まとめ

はじめに

TeamsへのGmailアドレスによるゲストアクセスの機能を実装する方法を紹介します。

通常で、Gmailユーザーを招待できますが、Microsoftアカウントを作成する必要があります。

しかし、Azure AD B2BでIDプロバイダーとしてGCPに設定すれば、Microsoftアカウントの必要がなくなるので、Gmailユーザーを容易にTeamsに招待することが可能になります。

Google を B2B ゲストユーザーの ID プロバイダーとして追加する

そもそも、Azure AD B2Bって何？

自分の組織にゲストユーザーを招待して安全に共同作業を行うための機能です。

詳しくは次をご参照ください。

出典　Microsoft　B2B コラボレーションの概要

何がうれしいのか？

招待される側が新たにMicrosoftアカウントを作らずに済みます。ですので、招待される側は普段利用しているGmailアカウントさえあればゲストとしてTeamsやSharePointなどの共同利用が可能になります。

また、グループ設定が容易になるので、管理がしやすくなります。例えば2要素認証必須にするなどの運用がやりやすくなります。

要するにどういうこと？

GmailユーザーがMicrosoft365サービスにシングルサインオン（フェデレーション）出来るように設定可能ということです。

条件

Azure AD とGCPの管理権限所持

最初の 50,000 MAU　までは無料

Azure Active Directory 外部 ID の価格

つまり、組織でTeamsを利用している場合、月にGmailユーザーがTeamに50,000ユーザー未満のアクセスであれば無料なので、ほとんどの組織が無料で運用できるのではないでしょうか。

※セキュリティ強化のため、Azure AD Premium P1 又は P2契約を推奨します。

手順

Microsoftの公開情報を参考に検証した手順を紹介いたします。

参考　手順 1:Google 開発者プロジェクトを構成する

GCPにアクセス

https://console.developers.google.com

新しいプロジェクトを作成

プロジェクト名を入力　例では、B2BAzureAD にしました。

メッセージから作成したプロジェクトを選択

APIの概要に移動

OAuth 同意画面　＞　外部　＞　作成

アプリ名を入力　例ではB2BAzureADにしています。

※注意ポイントとして、アプリのロゴは絶対に設定しないでください。アプリのURLが必須になり、Teamsサインインの目的が達成できなくなります。さらに削除できないといったオマケ付きなため、振り出しにもどります。

続いて、ユーザーサポートメールについて、Googleのグループメールを設定することで、Googleユーザーの追加と削除を柔軟に運用可能になります。

Googleグループにアクセスします。

https://groups.google.com/my-groups

グループを作成　＞　グループメール　＞　グループのメール

を設定し、。

※もし、Google Workspace　のアカウントで設定している場合は、グループメールのドメインがGoogleのテナントのドメインになっているかもしれませんが、外部のGmailユーザーをゲストとして登録するので、@googlegroups.comにて設定します。

概要　＞　グループアカウントを確認

GCP側に戻って、

ユーザーサポートメールに先ほどのグループメールのアカウントを登録

デベロッパーの連絡先情報に自分のメールアドレスを登録し、保存して次へ

認証情報　＞　認証情報を作成　＞　OAuth クライアント ID

アプリケーションの種類をウェブアプリケーション　＞　名前

例ではAzure AD B2B

承認されたリダイレクト URI に、次の3つの URI を追加します。

https://login.microsoftonline.com

https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp

(<tenant ID> はご利用のテナントの ID です)

https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp

(<tenant name> はご利用のテナント名です)

テナントの ID確認

Azure ADからプロパティ　＞　テナントIDで確認できます。

https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties

Microsoft365 管理センターから確認できます。onmicrosoft.com‎が対象のテナント名です。

https://admin.microsoft.com/#/Domains

設定を完了させるとクライアントIDとクライアントシークレットが作成されます。

こちらをAzureAD側に登録します。

OAuth　＞　アプリを公開します。

AzureADすべての ID プロバイダー　＞　Google　＞　クライアントID（先ほどのID）＞クライアントシークレット（先ほどのシークレット）　を設定し保存します。

https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/CompanyRelationshipsMenuBlade/IdentityProviders

以上で設定完了です。

これで、Googleグループに登録したGmailユーザーをTeamsのメンバーに追加し、URLを共有することでサインイン可能になります。

ゲスト招待する方法

実際にteamsに招待してサインインする流れを紹介したいと思います。

Teamsで、招待するチームを作成します。

Gmailユーザーを追加して招待します。以上です。

ゲスト招待されたGmailユーザーがサインインする方法

Gmailに招待メールが届くので、Open Microsoft Teamsからサインインします。

Gmailアカウント選択

承諾してサインインします。

メール、もしくはアプリでパスコードを必要とする場合があります。

ゲストとしてチームに参加できました。

うまくいかない場合

キャッシュの設定等でうまくいかない場合は、シークレットモードや別のブラウザ、もしくはスマホから同じように進めるとうまくいくかもしれません。

複数のTeamsに参加している場合は、切り替えるとうまくいくかもしれません。

こちらもご確認ください。

まとめ

AzureADB2BとGCP設定によるフェデレーションを紹介してみました。

サービスの連携についてはしっかりと検討し、適切に設定することでより安全に、より快適に利用できます。

実際やってみると、ちょっとしたことで詰まったり、沼にハマることもあるかと思いますが、出来ることから少しづつでも整備していけたらいいんじゃないかな？と考えたりしてます。

ドキュメントを補足する形で記事にしてみました。

コメント

タイトルとURLをコピーしました