B2B ゲスト ユーザーのプロパティを理解して管理する
適用対象: 従業員テナント 外部テナント (詳細はこちら)
B2B コラボレーションは、自分の組織外のユーザーやパートナーと共同作業を行うことができる Microsoft Entra External Identities の機能です。 B2B コラボレーションでは、外部ユーザーが自分の資格情報を使用して Microsoft Entra 組織にサインインするように招待されます。 この B2B コラボレーション ユーザーは、共有するアプリとリソースにアクセスできます。 B2B コラボレーション ユーザーのユーザー オブジェクトは、従業員と同じディレクトリに作成されます。 B2B コラボレーション ユーザー オブジェクトはディレクトリ内の特権が既定で制限されており、これらを従業員のように管理したり、グループに追加したりすることが可能です。 この記事では、このユーザー オブジェクトのプロパティとその管理方法について説明します。
次の表では、B2B コラボレーション ユーザーについて、認証方法 (内部または外部) と組織 (ゲストまたはメンバー) との関係に基づいて説明します。
- 外部ゲスト: 一般に外部ユーザーまたはゲストと見なされるほとんどのユーザーは、このカテゴリに分類されます。 この B2B コラボレーション ユーザーは、外部 Microsoft Entra 組織または外部 ID プロバイダー (ソーシャル ID など) にアカウントを持ち、リソースの組織内でゲストレベルのアクセス許可を持っています。 リソース Microsoft Entra ディレクトリに作成されるユーザー オブジェクトの UserType は "ゲスト" です。
- 外部メンバー: この B2B コラボレーション ユーザーは、外部 Microsoft Entra 組織または外部 ID プロバイダー (ソーシャル ID など) にアカウントを持ち、組織内のリソースに対するメンバーレベルのアクセス許可を持っています。 このシナリオがよく見られるのは、複数のテナントで構成される組織において、ユーザーが大規模な組織の一部と見なされ、組織のほかのテナント内のリソースに対するメンバーレベルのアクセスを必要とする場合です。 リソース Microsoft Entra ディレクトリに作成されるユーザー オブジェクトの UserType は "メンバー" です。
- 内部ゲスト: Microsoft Entra B2B コラボレーションが利用できるようになる前は、販売代理店、仕入先、製造元、およびその他のユーザーと共同作業を行うために、これらのユーザーの内部資格情報を設定し、ユーザー オブジェクトの UserType を "ゲスト" に設定することでゲストとして指定するのが一般的でした。 このような内部ゲスト ユーザーがいる場合は、代わりに B2B コラボレーションを使用して自身の資格情報を使用できるように招待できます。これにより、外部 ID プロバイダーが認証とアカウントのライフサイクルを管理できるようになります。
- 内部メンバー: 一般に、これらのユーザーは組織の従業員と見なされます。 ユーザーは、Microsoft Entra ID を介して内部的に認証を行い、リソース Microsoft Entra ディレクトリ内に作成されるユーザー オブジェクトの UserType は "メンバー" になります。
選択したユーザーの種類には、アプリまたはサービスに対して次の制限があります (ただし、これらに限定されません)。
アプリまたはサービス | 制限事項 |
---|---|
Power BI | - Power BI での UserType Member のサポートは現在プレビュー段階です。 詳細については、「Microsoft Entra B2B で外部ゲスト ユーザーに Power BI コンテンツを配布する」を参照してください。 |
Azure Virtual Desktop | - 外部メンバーと外部ゲストは、Azure Virtual Desktop ではサポートされていません。 |
重要
すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能をオフにすると、フォールバック認証方法として、招待者に Microsoft アカウントを作成するよう促されます。
招待の利用
では、Microsoft Entra B2B コラボレーション ユーザーが Microsoft Entra 外部 ID でどのように見えるか確認してみましょう。
招待に応じる前
B2B コラボレーション ユーザー アカウントは、ゲスト ユーザー自身の資格情報を使用して共同作業するようにゲスト ユーザーを招待した結果です。 招待が最初にゲスト ユーザーに送信されると、アカウントがテナントに作成されます。 認証はゲスト ユーザーの ID プロバイダーによって実行されるため、このアカウントには関連付けられた資格情報はありません。 ディレクトリ内のゲスト ユーザー アカウントの [ID] プロパティは、ゲストが招待と引き換えに応じるまでホストの組織ドメインに設定されます。 招待を送信するユーザーは、ゲスト ユーザー アカウントのスポンサー属性の既定値として追加されます。 管理センターでは、招待されたユーザーのプロファイルに、[招待] の状態が [承諾待ち] と表示されます。 externalUserState
がMicrosoft Graph API を使用するためのクエリが Pending Acceptance
に返されます。
招待に応じた後
B2B コラボレーション ユーザーが招待を受け入れると、ユーザーの ID プロバイダーに基づいて ID プロパティが更新されます。
B2B コラボレーション ユーザーが別の外部 ID プロバイダーの Microsoft アカウントまたは資格情報を使用している場合、 ID は、 Microsoft アカウント、 google.com、 facebook.com などの ID プロバイダーを反映します。
B2B コラボレーション ユーザーが別の Microsoft Entra 組織の資格情報を使用している場合、ID は "ExternalAzureAD" です。
内部資格情報を使用する外部ユーザーの場合、ID プロパティはホストの組織ドメインに設定されます。 [ディレクトリ同期] プロパティは、アカウントが組織のオンプレミス Active Directory に所属していて Microsoft Entra ID と同期されている場合は [はい]、アカウントがクラウド専用の Microsoft Entra アカウントの場合は [いいえ] になります。 ディレクトリ同期情報は、Microsoft Graph の
onPremisesSyncEnabled
プロパティを介して取得することもできます。
Microsoft Entra B2B コラボレーション ユーザーの主要なプロパティ
ユーザー プリンシパル名
B2B Collaboration ユーザー オブジェクト (つまり、ゲスト ユーザー) の UPN には、ゲスト ユーザーのメールアドレスの後に #EXT# が続き、その後に tenantname.onmicrosoft.com が続きます。 たとえば、ユーザー john@contoso.com がディレクトリ fabrikam に外部ユーザーとして追加された場合、その UPN は john_contoso.com#EXT#@fabrikam.onmicrosoft.com となります。
ユーザー タイプ
このプロパティは、ユーザーとホスト テナントとの関係を示します。 このプロパティは次の 2 つの値を取ります。
メンバー: この値は、ホスト組織の従業員や組織の給与支払い名簿にあるユーザーを示します。 たとえば、このユーザーは、内部専用のサイトにアクセスできることが想定されます。 このユーザーは外部コラボレーターとは見なされません。
ゲスト: この値は、社内ユーザーと見なされないユーザー (外部コラボレーター、パートナー、顧客など) を示します。 このようなユーザーに、最高経営責任者 (CEO) の社内メモの送信や各種手当の給付が行われることは想定されません。
Note
UserType は、ユーザーのサインイン方法、ユーザーのディレクトリ ロールなどとは関係ありません。 このプロパティは、単にユーザーとホスト組織との関係を示しており、組織はこのプロパティに基づくポリシーを強制できます。
Identities
このプロパティは、ユーザーのプライマリ ID プロバイダーを示します。 ユーザーは、ユーザー プロファイルにある ID の次のリンクを選択するか、Microsoft Graph API を使用して identities
プロパティに対してクエリを実行することで表示できる ID プロバイダーを複数持つことができます。
Note
ID と UserType は、独立したプロパティです。 ID の値は、UserType の特定の値を意味しません。
ID プロパティの値 | サインイン状態 |
---|---|
ExternalAzureAD | このユーザーは外部組織に所属し、他の組織に属している Microsoft Entra アカウントを使用して認証を行います。 |
Microsoft アカウント | このユーザーは Microsoft アカウントに所属し、Microsoft アカウントを使用して認証を行います。 |
{ホストのドメイン} | このユーザーは、この組織に属している Microsoft Entra アカウントを使用して認証されます。 |
google.com | このユーザーは Gmail アカウントを持ち、他の組織にセルフサービスを使用してサインアップしています。 |
facebook.com | このユーザーは Facebook アカウントを持ち、他の組織にセルフサービスを使用してサインアップしています。 |
このユーザーは、Microsoft Entra 外部 ID 電子メール ワンタイム パスコード (OTP) を使用してサインアップしました。 | |
{発行者 URI} | このユーザーは、ID プロバイダーとして Microsoft Entra ID を使用しないが、代わりに Security Assertion Markup Language (SAML)/WS-Fed ベースの ID プロバイダーを使用する外部組織に所属しています。 発行者 URI は、IDフィールドがクリックされた場合に表示されます。 |
電話によるサインインは、外部ユーザーではサポートされていません。 B2B アカウントでは、ID プロバイダーとして phone
値を使用できません。
ディレクトリ同期済み
"ディレクトリ同期済み" プロパティは、ユーザーがオンプレミスの Active Directory と同期され、オンプレミスで認証されるかどうかを示します。 このプロパティは、アカウントが組織のオンプレミス Active Directory に所属していて Microsoft Entra ID と同期されている場合は [はい]、アカウントがクラウド専用の Microsoft Entra アカウントの場合は [いいえ] になります。 Microsoft Graph では、"ディレクトリ同期済み" プロパティは onPremisesSyncEnabled
に対応します。
Microsoft Entra B2B ユーザーをゲストではなくメンバーとして追加できるか
通常は、Microsoft Entra B2B ユーザーとゲスト ユーザーは同義です。 そのため、Microsoft Entra B2B コラボレーション ユーザーは、既定では UserType が "ゲスト" に設定されたユーザーとして追加されます。 ただし、一部のケースでは、パートナー組織がより大きな組織のメンバーであり、ホスト組織もその組織に所属しています。 そのような場合は、ホスト組織がパートナー組織のユーザーをゲストではなくメンバーとして扱いたいことがあります。 Microsoft Entra B2B 招待マネージャー API を使用して、パートナー組織のユーザーをホスト組織にメンバーとして追加または招待します。
ディレクトリのゲスト ユーザーのフィルター処理
[ユーザー] リストでは、[フィルターの追加] を使用して、ディレクトリ内のゲスト ユーザーのみを表示できます。
UserType の変換
Microsoft Entra 管理センターでユーザーのプロファイルを編集するか、PowerShell を使用して、UserType を "メンバー" から "ゲスト" に、またはその逆に変換することができます。 ただし、UserType プロパティはユーザーと組織の関係を表しています。 そのため、このプロパティは、ユーザーと組織の関係が変化した場合にのみ変更するようにします。 ユーザーの関係が変化した場合に、ユーザー プリンシパル名 (UPN) を変更する必要はありますか。 また、同じリソースへのアクセス権を引き続きユーザーに持たせる必要がありますか。 メールボックスを割り当てる必要があるか、などの疑問です。
ゲスト ユーザーのアクセス許可
ゲスト ユーザーは、既定でディレクトリ アクセス許可を制限されています。 自分のプロファイルの管理や自分のパスワードの変更、他のユーザー、グループ、アプリに関する情報の取得を行うことができる。 ただし、すべてのディレクトリ情報は読み取れません。
B2B ゲスト ユーザーは、Microsoft Teams 共有チャネルではサポートされていません。 共有チャネルへのアクセスについては、B2B 直接接続を参照してください。
ゲスト ユーザーに、より高い権限を付与したい場合があります。 ゲスト ユーザーを任意のロールに追加することができます。また、メンバーと同じ権限を付与するために、ディレクトリでの既定のゲスト ユーザー制限を削除することもできます。 既定の制限を無効にして、会社のディレクトリのゲスト ユーザーにメンバー ユーザーと同じアクセス許可を持たせることができます。 詳細については、「Microsoft Entra 外部 ID でゲストのアクセス許可を制限する」の記事を参照してください。
Exchange のグローバル アドレス一覧にゲスト ユーザーを表示できますか。
はい。 既定では、ゲスト オブジェクトは組織のグローバル アドレス一覧には表示されませんが、Microsoft Graph PowerShell を使用してそれらを表示できます。 詳細については、Microsoft 365 グループごとのゲスト アクセスに関する記事の「グローバル アドレス一覧にゲストを追加する」を参照してください。
ゲスト ユーザーのメール アドレスを更新できますか。
ゲスト ユーザーが招待を承諾し、その後メール アドレスを変更した場合、新しいメールはディレクトリ内のゲスト ユーザー オブジェクトに自動的に同期されません。 メールのプロパティは、Microsoft Graph API を介して作成されます。 メールのプロパティは、Microsoft Graph API、Exchange 管理センター、または Exchange Online PowerShell 経由で更新できます。 この変更は、Microsoft Entra ゲスト ユーザー オブジェクトに反映されます。