ワークフォースと外部テナントでサポートされている機能
Microsoft Entra テナントを構成するには、組織がテナントを使用する方法と管理するリソースに応じて、次の 2 つの方法があります。
- 従業員テナント構成は、従業員、社内ビジネス アプリ、およびその他の組織リソース向けです。 B2B コラボレーションは、ワークフォース テナントで外部のビジネス パートナーやゲストと共同作業するために使用されます。
- 外部テナント構成は、コンシューマーまたはビジネスユーザーにアプリを発行する外部 ID シナリオ専用に使用されます。
この記事では、ワークフォースと外部テナントで使用できる機能の詳細な比較を示します。
Note
プレビュー期間中、Premium ライセンスを必要とする機能は、外部テナントでは使用できません。
一般的な機能の比較
次の表は、ワークフォースと外部テナントで使用できる一般的な機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 外部 ID のシナリオ | ビジネス パートナーやその他の外部ユーザーが従業員と共同作業できるようにします。 ゲストは、招待またはセルフサービス サインアップを使用して、ビジネス アプリケーションに安全にアクセスできます。 | 外部 ID を使用してアプリケーションをセキュリティで保護します。 コンシューマーとビジネスのお客様は、セルフサービス サインアップを通じてコンシューマー アプリに安全にアクセスできます。 招待もサポートされています。 |
| ローカル アカウント | ローカル アカウントは、組織の内部メンバーに対してのみサポートされます。 | ローカル アカウントは、次に対してサポートされています。 - セルフサービス サインアップを使用する外部ユーザー (コンシューマー、ビジネス顧客)。 - 管理者によって作成されたアカウント。 |
| グループ | グループを使用して、管理アカウントとユーザー アカウントを管理できます。 | グループを使用して、管理アカウントを管理できます。 Microsoft Entra グループとアプリケーション ロールのサポートは、顧客テナントに段階的に移行されています。 最新の更新プログラムについては、「グループとアプリケーション ロールのサポート」を参照してください。 |
| ロールと管理者 | ロールと管理者は、管理アカウントとユーザー アカウントで完全にサポートされています。 | ロールは、顧客アカウントではサポートされていません。 顧客アカウントはテナント リソースにアクセスできません。 |
| ID 保護 | Microsoft Entra テナントに継続的なリスク検出が提供されます。 これにより、組織は ID ベースのリスクを検出、調査し、修復できます。 | Microsoft Entra ID Protection のリスク検出のサブセットを使用できます。 詳細情報。 |
| セルフサービス パスワード リセット | ユーザーが最大 2 つの認証方法を使用してパスワードをリセットできるようにします (使用可能な方法については、次の行を参照してください)。 | ユーザーがワンタイム パスコード付きのメールを使用してパスワードをリセットできるようにします。 詳細情報。 |
| 言語のカスタマイズ | ユーザーが企業イントラネットまたは Web ベースのアプリケーションに対して認証を行うときに、ブラウザーの言語に基づいてサインイン エクスペリエンスをカスタマイズします。 | 言語を使用して、サインインおよびサインアップ プロセスの一環として顧客に表示される文字列を変更します。 詳細については、こちらを参照してください。 |
| カスタム属性 | ディレクトリ拡張属性を使用して、より多くのデータをユーザー オブジェクト、グループ、テナントの詳細、サービス プリンシパルの Microsoft Entra ディレクトリに格納します。 | ディレクトリ拡張属性を使用して、より多くのデータをユーザー オブジェクトの顧客ディレクトリに格納します。 カスタム ユーザー属性を作成し、サインアップ ユーザー フローに追加します。 詳細情報。 |
外観のカスタマイズ
次の表は、従業員テナントと外部テナントで利用できる外観に関する機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 会社のブランド | これらすべてのエクスペリエンスに適用される会社ブランドを追加して、ユーザーにとって一貫したサインイン エクスペリエンスを作成することができます。 | 従業員と同じ。 詳細情報 |
| 言語のカスタマイズ | ブラウザー言語でサインイン エクスペリエンスをカスタマイズします。 | 従業員と同じ。 詳細情報 |
| カスタム ドメイン名 | カスタム ドメインは管理アカウントにのみ使用できます。 | 外部テナントのカスタム URL ドメイン (プレビュー) 機能を使用すると、独自のドメイン名でアプリのサインイン エンドポイントをブランド化できます。 |
| モバイル アプリのネイティブ認証 | 使用不可 | Microsoft Entra のネイティブ認証を使用すると、モバイル アプリケーションのサインイン エクスペリエンスの設計を完全に制御することができます。 |
独自のビジネス ロジックを追加する
カスタム認証拡張機能を使用すると、外部システムと統合することで、Microsoft Entra 認証エクスペリエンスをカスタマイズできます。 カスタム認証拡張機能は、基本的にイベント リスナーであり、アクティブになると、ユーザーが独自のビジネス ロジックを定義する REST API エンドポイントへの HTTP 呼び出しを行います。 次の表は、従業員テナントと外部テナントで利用できるカスタム認証拡張機能イベントを比較したものです。
| イベント | 従業員テナント | 外部テナント |
|---|---|---|
| TokenIssuanceStart | 外部システムからクレームを追加します。 | 外部システムからクレームを追加します。 |
| OnAttributeCollectionStart | 使用不可 | 属性コレクション ステップの開始時、かつ属性コレクション ページがレンダリングされる前に発生します。 値の事前入力やブロック エラーの表示などのアクションを追加できます。 詳細情報 |
| OnAttributeCollectionSubmit | 使用不可 | サインアップ フロー中、ユーザーが属性を入力して送信した後に発生します。 ユーザーのエントリを検証したり変更したりするアクションを追加できます。 詳細情報 |
ID プロバイダーと認証方法
次の表では、従業員と外部テナントのプライマリ認証と多要素認証 (MFA) に使用できる ID プロバイダーと方法を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 外部ユーザーの ID プロバイダー (プライマリ認証) | セルフサービス サインアップ ゲストの場合 - Microsoft Entra アカウント - Microsoft アカウント - メール ワンタイム パスコード - Google フェデレーション - Facebook フェデレーション 招待されたゲストの場合 - Microsoft Entra アカウント - Microsoft アカウント - メール ワンタイム パスコード - Google フェデレーション - SAML/WS-Fed フェデレーション |
セルフサービス サインアップ ユーザーの場合 (コンシューマー、ビジネス顧客) - パスワード付きメール - メール ワンタイム パスコード - Google フェデレーション (プレビュー) - Facebook フェデレーション (プレビュー) 招待されたゲスト (プレビュー) の場合 ディレクトリ ロールで招待されたゲスト (管理者など): Microsoft Entra アカウント Microsoft アカウント - メール ワンタイム パスコード |
| MFA の認証方法 | 内部ユーザーの場合 (従業員と管理者) - 認証方法と検証方法 ゲストの場合 (招待またはセルフサービス サインアップ) - ゲスト MFA の認証方法 |
セルフサービス サインアップ ユーザー (コンシューマー、ビジネス顧客) または招待ユーザー (プレビュー) の場合 - メール ワンタイム パスコード - SMS ベース認証 |
アプリケーションの登録
次の表では、それぞれのテナントの種類でアプリケーション登録に使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| プロトコル | SAML 証明書利用者、OpenID Connect、OAuth2 | OpenID Connect と OAuth2 |
| サポートされているアカウントの種類 | 次のアカウントの種類:
|
この組織ディレクトリのみに含まれるアカウント (シングル テナント) を常に使用します。 |
| プラットフォーム | 次のプラットフォーム:
|
次のプラットフォーム:
|
| 認証>リダイレクト URI | ユーザーの認証またはサインアウトに成功した後に認証応答 (トークン) を返すときに Microsoft Entra ID が宛先として受け入れる URI。 | 従業員と同じ。 |
| 認証>フロントチャネル ログアウト URL | この URL では、アプリケーションがユーザーのセッション データをクリアするように Microsoft Entra ID が要求を送信します。 フロントチャネル ログアウト URL は、シングル サインアウトが正常に動作するために必要です。 | 従業員と同じ。 |
| 認証>暗黙的な許可およびハイブリッド フロー | アプリケーションが承認エンドポイントからトークンを直接要求します。 | 従業員と同じ。 |
| 証明書とシークレット | 従業員と同じ。 | |
| API アクセス許可 | アプリケーションへのアクセス許可の追加、削除、置き換えを行います。 アクセス許可がアプリケーションに追加された後、ユーザーまたは管理者は新しいアクセス許可に対する同意を許可する必要があります。 Microsoft Entra ID でアプリの要求されたアクセス許可を更新するに関する詳細を確認してください。 | 許可されるアクセス許可は、Microsoft Graph offline_access、openid、User.Read、自分の API の委任されたアクセス許可です。 管理者のみが、組織に代わって同意できます。 |
| API の公開 | API によって保護されているデータと機能へのアクセスを制限するためにカスタム スコープを定義します。 この API の一部へのアクセスを必要とするアプリケーションは、ユーザーまたは管理者がこれらのスコープの 1 つ以上に同意することを要求できます。 | API によって保護されているデータと機能へのアクセスを制限するカスタム スコープを定義します。 この API の一部へのアクセスを必要とするアプリケーションは、管理者がこれらのスコープの 1 つ以上に同意することを要求できます。 |
| アプリ ロール | アプリ ロールは、ユーザーまたはアプリにアクセス許可を割り当てるためのカスタム役割です。 アプリケーションでは、アプリ ロールを定義して公開し、承認時にアクセス許可として解釈します。 | 従業員と同じ。 外部テナントでのアプリケーションのロールベースのアクセス制御の使用に関する詳細を確認してください。 |
| オーナー | アプリケーションの所有者は、アプリケーションの登録を表示および編集できます。 また、アプリケーションを管理するための管理者特権を持つ、クラウド アプリケーション管理者などの任意のユーザー (一覧表示されていない場合がある) も、アプリケーションの登録を表示および編集できます。 | 従業員と同じ。 |
| ロールと管理者 | 管理者ロールは、Microsoft Entra ID の特権アクションのアクセスを許可するために使用されます。 | 外部テナントのアプリには、クラウド アプリケーション管理者ロールのみを使用できます。 このロールは、アプリケーション登録とエンタープライズ アプリケーションの全側面を作成して管理する権限を付与します。 |
| ユーザーとグループをアプリに割り当てる | ユーザー割り当てが要求される場合は、アプリケーションに (直接のユーザー割り当てを使用して、またはグループ メンバーシップに基づいて) 割り当てたユーザーのみがサインインできます。 詳しくは、「アプリケーションへのユーザーとグループの割り当てを管理する」をご覧ください。 | 使用不可 |
OpenID Connect と OAuth2 フロー
次の表は、それぞれのテナントの種類で OAuth 2.0 と OpenID Connect 承認フローに使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| OpenID Connect | はい | はい |
| 承認コード | はい | はい |
| 承認コードと Code Exchange (PKCE) | はい | はい |
| クライアントの資格情報 | はい | v2.0 アプリケーション (プレビュー) |
| デバイス承認 | はい | プレビュー |
| On-Behalf-Of フロー | はい | はい |
| 暗黙的な許可 | はい | はい |
| リソース所有者のパスワード資格情報 | はい | 利用不可能。モバイル アプリケーションではネイティブ認証を使用してください。 |
OpenID Connect と OAuth2 フローの機関 URL
機関 URL は、MSAL がトークンを要求できるディレクトリを示す URL です。 外部テナントのアプリには、常に <tenant-name>.ciamlogin.com 形式を使用してください。
次の JSON は、オーソリティ URL を持つ .NET アプリケーションの appsettings.json の例を示しています。
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
条件付きアクセス
次の表では、それぞれのテナントの種類で条件付きアクセスに使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 割り当て | ユーザー、グループ、ワークロード ID | すべてのユーザーを含め、ユーザーとグループを除外します。 詳しくは、「アプリに多要素認証 (MFA) を追加する」をご覧ください。 |
| ターゲット リソース | ||
| 条件 | ||
| Grant | リソースへのアクセスを許可またはブロックする | |
| セッション | セッション制御 | 使用不可 |
アカウント管理
次の表では、テナントの種類ごとにユーザー管理に使用できる機能を比較しています。 表に記載されているように、特定のアカウントの種類は、招待またはセルフサービス サインアップによって作成されます。 テナントのユーザー管理者は、管理センターを使用してアカウントを作成することもできます。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| アカウントの種類 |
|
|
| ユーザー プロファイル情報を管理する | プログラムで、または Microsoft Entra 管理センターを使って行います。 | 従業員と同じ。 |
| ユーザーのパスワードをリセットする | パスワードを忘れた場合、ユーザーがデバイスからロックアウトされた場合、またはユーザーがパスワードを受け取っていない場合、管理者はユーザーのパスワードをリセットできます。 | 従業員と同じ。 |
| 最近削除されたユーザーを復元または削除する | ユーザーを削除した後、アカウントは 30 日間、中断状態のままになります。 その 30 日の期間中は、ユーザー アカウントをそのすべてのプロパティと共に復元することができます。 | 従業員と同じ。 |
| アカウントを無効にする | 新しいユーザーがサインインできないようにします。 | 従業員と同じ。 |
パスワード保護
次の表は、各テナント タイプで利用できるパスワード保護に関する機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| スマート ロックアウト | スマート ロックアウトを使うと、ユーザーのパスワードを推測したり、ブルートフォース手法で侵入したりしようとする悪意のあるアクターをロックアウトできます。 | 従業員と同じ。 |
| カスタム禁止パスワード | Microsoft Entra のカスタム禁止パスワード リストを使うと、評価およびブロックする特定の文字列を追加できます。 | 使用できません。 |
トークンのカスタマイズ
次の表は、各テナント タイプで利用できるトークン カスタマイズに関する機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 要求のマッピング | エンタープライズ アプリケーション用に JSON Web Token (JWT) 内で発行される要求をカスタマイズします。 | 従業員と同じ。 オプションの要求は、属性と要求を通して構成する必要があります。 |
| 要求の変換 | エンタープライズ アプリケーション用に JSON Web Token (JWT) 内で発行されるユーザー属性に変換を適用します。 | 従業員と同じ。 |
| カスタム クレーム プロバイダー | 外部システムから要求をフェッチするために外部 REST API を呼び出すカスタム認証拡張機能。 | 従業員と同じ。 詳細情報 |
| セキュリティ グループ | グループのオプション要求を構成します。 | グループのオプション要求の構成は、グループ オブジェクト ID に制限されています。 |
| トークンの有効期間 | Microsoft Entra ID によって発行されるセキュリティ トークンの有効期間を指定できます。 | 従業員と同じ。 |
Microsoft Graph API
外部テナントでサポートされているすべての機能は、Microsoft Graph API を使用した自動化でもサポートされています。 外部テナントでプレビュー段階にある一部の機能は、Microsoft Graph を通じて一般提供される場合があります。 詳細については、「Microsoft Graph を使用して Microsoft Entra ID とネットワーク アクセス機能を管理する」 を参照してください。