次の方法で共有


外部ユーザーを内部ユーザーに変換する (プレビュー)

組織再編、合併、買収を行うような企業は、一部またはすべての既存のユーザーの扱い方を変更することが必要になる場合があります。 場合によっては、管理者は既存の外部ユーザーを内部ユーザーに変更する必要があります。

外部ユーザー変換では、既存のユーザー オブジェクトを削除して新しいユーザー オブジェクトを作成する必要なく、外部ユーザーから内部ユーザーへの変換が処理されます。 ユーザー オブジェクトを保持することで、ユーザーは元のアカウントを保持でき、アクセスが中断されることはなくなります。 変換されたユーザーのアカウントは、ホスト組織との関係の変化に応じて、アクティビティの履歴をそのまま保持します。

  • 内部ユーザー は、ローカル テナントで認証を行うユーザーです。
  • 外部ユーザー とは、別の組織の Microsoft Entra ID、Google フェデレーション、Microsoft アカウントなど、ホスト組織が管理していない方法で認証を行うユーザーです。 多くの外部ユーザーは userTypeguest ですが、userType とユーザーのサインイン方法の間に正式な関係はありません。 userTypemember である外部ユーザーも、変換の対象となる可能性があります。

外部ユーザー変換は、Microsoft Graph API または Microsoft Entra ID ポータルを使用して実行できます。

外部ユーザーの変換

重要なこととして、memberguest userType は、ユーザーが認証する場所を示していないことに注意してください。これはユーザーが現在のテナントで持っているアクセス許可のレベルのみを定義します。 ユーザーの userType を更新できますが、それだけではユーザーの外部と内部の状態は変更されません。 外部ユーザーを内部ユーザーに変更するには、「同期されたユーザー変換」を参照してください。

内部への変換が可能な外部ユーザーには、次の 2 種類があります。

  • クラウド専用ユーザー
  • 同期されたユーザー

クラウド ユーザーの変換

クラウド ユーザーを外部から内部に変換する場合、管理者はユーザーの UPN と "パスワード" を指定する必要があります。 クラウド ユーザーを同期されたユーザーに変換すると、ユーザーが現在のテナントで認証できるようになります。

同期されたユーザー変換

同期されたユーザー変換を使用すると、Microsoft Entra ID でユーザーを外部から内部に変換できます。 これは、ユーザーをフェデレーション ID プロバイダーから Microsoft Entra ID に移動する場合、またはユーザーをクラウド専用 ID から同期された ID に変換する場合に便利です。

Microsoft Entra Connect を使ってオンプレミスの ID を同期することができます。 ユーザーを外部ユーザーから内部ユーザーに変換すると、Microsoft Entra Connect によってユーザーの属性が Microsoft Entra ID に同期されるため、ユーザーは今後内部ユーザーとして管理されます。

"同期されたユーザー" は、ユーザーがオンプレミスから同期されていることを意味します。 これらのアカウントはソースで管理されるため、管理者はこれらのユーザーの UPN を指定できません。

  • テナントがフェデレーション認証を使用する同期されたユーザー:
    • パスワード ハッシュ同期 (PHS) が有効になっている場合、管理者は変換中に新しいパスワードの設定することはできません。
    • フェデレーション テナントで PHS が有効になっていない場合、管理者はユーザー パスワードを設定できます。
  • テナントが管理されている場合(つまり、クラウド認証を使用する場合)、管理者は変換中にパスワードを指定する必要があります。

Note

ユーザーの同期を解除するには、Microsoft Entra Connect でユーザーのディレクトリ同期を無効にする必要があります。 ユーザーのディレクトリ同期を無効にすると、Microsoft Entra ID でユーザーの属性に加えた変更はオンプレミスのディレクトリに同期できなくなります。

外部ユーザー変換のテスト

外部ユーザー変換をテストする場合は、使用できなくなった場合に中断が発生しないテスト アカウントを使用することをお勧めします。

要件

  • 外部ユーザーを内部ユーザーに変換するには、少なくともユーザー管理者 ロールが割り当てられているアカウントが必要です。
  • 変換の対象となるのは、ホスト組織の外部の認証方法で構成されたユーザーだけです。

外部ユーザーを変換する

Microsoft Entra 管理センターを使用して、クラウドのみのユーザーや同期されたユーザーなどの外部ユーザーを内部ユーザーに変換できます。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. 外部ユーザーを選択します。

  4. [内部ユーザーに変換] を選択します。

    ユーザー プロパティを示すスクリーンショット。[内部ユーザーに変換] オプションが赤いボックスで囲まれています。

  5. [内部ユーザーに変換] セクションで、いくつかの手順を完了する必要があります:

    1. ユーザー プリンシパル名 (UPN) を入力します。 この値は、ユーザーの新しい UPN 値です。 クラウドのみのユーザーの場合、UPN ドメインは非フェデレーションのドメインである必要があります。 オンプレミスの同期されたユーザーの場合、UPN を指定する必要はありません。 ユーザーは引き続きオンプレミスの資格情報を使用します。
    2. 自動生成されたパスワードを使用する場合は、チェックボックスをオンにします。
    3. [メール アドレスの変更] のチェック ボックスをオンにすると、クラウド ユーザーに対してオプションの新しいメール アドレスを指定できます。

    外部ユーザーを内部ユーザーに変換する前に選択する必要がある最後のオプション セットを示すスクリーンショット。

  6. オプションを確認し、必要な選択を行った後、[変換] を選択します。