Azure Active Directory の External Identities

Azure AD External Identities とは、組織外のユーザーと安全に対話できるすべての方法を指します。 パートナー、ディストリビューター、サプライヤー、ベンダーと共同作業する場合、リソースを共有し、内部ユーザーが外部組織にアクセスする方法を定義できます。 コンシューマー向けアプリを作成する開発者は、顧客の ID エクスペリエンスを管理できます。

External Identities を使用して、外部ユーザーは「自分の ID を持参」できます。企業または政府によって発行されたデジタル ID、または Google や Facebook などの管理されていないソーシャル ID があるかどうかにかかわらず、独自の資格情報を使用してサインインできます。 外部ユーザーの ID プロバイダーによってその ID が管理されます。また、リソースを保護するためには、Azure AD、または Azure AD B2C を使用してアプリへのアクセスを管理します。

次の機能により External Identities を構成します。

  • B2B コラボレーション - 外部ユーザーが自分の好みの ID を使用して Microsoft アプリケーションや他のエンタープライズ アプリケーション (SaaS アプリ、カスタム開発アプリなど) にサインインすることで、外部ユーザーと共同作業を行います。 B2B コラボレーション ユーザーはディレクトリで表され、通常はゲスト ユーザーとして表示されます。

  • B2B 直接接続 - シームレスなコラボレーションのために、別の組織と相互の Azure AD 信頼関係を確立します。 B2B 直接接続では現在、Teams 共有チャネルがサポートされており、外部ユーザーは、Teams の自分のホーム インスタンス内からリソースにアクセスできます。 B2B 直接接続ユーザーはディレクトリに表示されませんが、Teams 共有チャネル内から確認でき、Teams 管理センター レポートで監視できます。

  • Azure AD B2C - ID とアクセス管理に Azure AD B2C を使用しながら、最新の SaaS アプリまたはカスタム開発アプリ (Microsoft アプリを除く) をコンシューマーと顧客に発行します。

外部組織とやり取りする方法と、共有する必要があるリソースの種類に応じて、これらの機能を組み合わせて使用できます。

External Identities の概要図。

B2B コラボレーション

B2B コラボレーションを使用すると、自分の資格情報を使用して Azure AD 組織にサインインするユーザーを招待して、共有するアプリやリソースにアクセスできます。 Office 365 アプリ、サービスとしてのソフトウェア (SaaS) アプリ、基幹業務アプリに外部ユーザーがアクセスできるようにする必要がある場合、特にパートナーが Azure AD を使用していなかったり、管理者が B2B 直接接続を介して相互接続を設定することが非現実的であったりした場合に、B2B コラボレーションを使用します。 B2B コラボレーション ユーザーに関連付けられている資格情報はありません。 代わりに、ホーム組織または ID プロバイダーで認証を行った後、組織はゲスト ユーザーの B2B コラボレーションの資格を確認します。

B2B コラボレーションのために外部ユーザーを組織に追加するには、さまざまな方法があります。

  • ユーザーを B2B コラボレーションに招待するには Azure AD アカウント、Microsoft アカウント、または有効にするソーシャル ID (Google など) を使用します。 管理者は、Azure portal または PowerShell を使用して、ユーザーを B2B コラボレーションに招待できます。 ユーザーは、職場、学校などのメール アカウントによる単純な引き換えプロセスを使用して、共有リソースにサインインします。

  • セルフサービス サインアップ ユーザー フローを使用して、外部ユーザーがアプリケーション自体にサインアップできます。 このエクスペリエンスは、職場、学校、またはソーシャル ID (Google や Facebook など) によるサインアップを許可するようにカスタマイズできます。 サインアップ プロセスでユーザーに関する情報を収集することもできます。

  • Azure Active Directory (Azure AD) エンタイトルメント管理は、アクセス要求ワークフロー、アクセス割り当て、レビュー、および失効処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できる、ID ガバナンス機能です。

B2B コラボレーション ユーザーのユーザー オブジェクトは、従業員と同じディレクトリに作成されます。 このユーザー オブジェクトは、ディレクトリ内の他のユーザー オブジェクトのように管理し、グループに追加することができます。 (認証用に) ユーザー オブジェクトにアクセス許可を割り当てながら、既存の資格情報 (認証用) を使用することができます。

テナント間アクセス設定は、他の Azure AD 組織との B2B コラボレーションおよび Microsoft Azure クラウド間の B2B コラボレーションを管理するために使用できます。 Azure AD 以外の外部ユーザーや組織との B2B コラボレーションの場合は、外部コラボレーション設定を使用します。

B2B 直接接続

B2B 直接接続は、他の Azure AD 組織と共同作業を行う新しい方法です。 この機能は現在、Microsoft Teams共有チャネルで動作します。 B2B 直接接続では、他の Azure AD 組織との間に双方向の信頼関係を作成して、ユーザーがお客様の共有リソースに、またはお客様がユーザーの共有リソースにシームレスにサインインできるようにします。 B2B 直接接続ユーザーは、ゲストとして Azure AD ディレクトリに追加されません。 2 つの組織が相互に B2B 直接接続を有効にした場合、ユーザーはホーム組織で認証を行い、アクセスのためにリソース組織からトークンを受け取ります。 Azure AD での B2B 直接接続の詳細を確認してください。

現在、B2B 直接接続では Teams Connect 共有チャネル機能が有効になっています。これにより、ユーザーはチャット、通話、ファイル共有、アプリ共有で Teams 共有チャネルを使用して複数の組織の外部ユーザーと共同作業できます。 外部組織との B2B 直接接続を設定すると、次の Teams 共有チャネル機能が利用可能になります。

  • Teams 内では、共有チャネル所有者は、外部組織の許可されたユーザーを検索して、共有チャネルに追加できます。

  • 外部ユーザーは、組織を切り替えたり、別のアカウントでサインインしたりせずに、Teams 共有チャネルにアクセスできます。 Teams 内から、外部ユーザーは、[ファイル] タブでファイルとアプリにアクセスできます。ユーザーのアクセスは、共有チャネルのポリシーによって決まります。

クロステナント アクセス設定を使用して、他の Azure AD 組織との信頼関係を管理し、B2B 直接接続の受信ポリシーと送信ポリシーを定義します。

Teams 共有チャネル経由で B2B 直接接続ユーザーが利用できる、リソース、ファイル、アプリケーションの詳細については、「Microsoft Teams のチャット、チーム、チャネル、およびアプリ&」を参照してください。

Azure AD B2C

Azure AD B2C は、コンシューマー向けおよび顧客向けアプリのユーザー体験を構築できる顧客 ID およびアクセス管理 (CIAM) ソリューションです。 顧客向けアプリを作成している企業または開発者であれば、Azure AD B2C を使用することで、多数の消費者、顧客、または一般ユーザーへと範囲を拡張できます。 開発者は、Azure AD B2C をアプリケーションのフル機能 CIAM システムとして使用できます。

Azure AD B2C を使用して、顧客は既に作成している ID (Facebook や Gmail など) を使用してサインインできます。 顧客のサインアップ、サインイン、アプリケーション使用時のプロファイルの管理を、完全にカスタマイズして制御できます。

B2C Azure AD B2C は Azure AD と同じテクノロジの上に構築されていますが、いくつかの機能の違いがある別のサービスです。 Azure AD B2C テナントと Azure AD テナントの違いの詳細については、「Azure Active Directory B2C のドキュメント」の「サポートされる Azure AD の機能」を参照してください。

External Identities 機能セットの比較

次の表では、Azure AD External Identities で対応できるシナリオを詳しく比較しています。 B2B のシナリオでは、外部ユーザーはご使用の Azure AD 組織に所属していません。

B2B コラボレーション B2B 直接接続 Azure AD B2C
主要なシナリオ 外部ユーザーが自分の好みの ID を使用して Azure AD の組織のリソースにサインインすることでのコラボレーションします。 Microsoft アプリケーションまたは独自のアプリケーション (SaaS アプリ、カスタム開発アプリなど) へのアクセスを提供します。

例:外部ユーザーを招待して、Microsoft アプリにサインインするか、Teams 内でゲスト メンバーになります。
相互接続を確立することで、他の Azure AD 組織のユーザーと共同作業を行います。 現在、外部ユーザーが Teams のそれぞれのホーム インスタンスからアクセスできる、Teams 共有チャネルで使用できます。

例: チャット、通話、コンテンツの共有を行うスペースを提供する、Teams 共有チャネルに外部ユーザーを追加します。
ID エクスペリエンスに Azure AD B2C を使用してコンシューマーにアプリを発行します。 最新の SaaS または独自に開発したアプリケーション (ファーストパーティの Microsoft アプリ以外) の ID とアクセスの管理を提供します。
対象者 サプライヤー、パートナー、ベンダーなどの外部組織のビジネス パートナーとの共同作業。 これらのユーザーは、Azure AD または IT を管理している場合があります。 サプライヤー、パートナー、ベンダーなど、Azure AD を使用する外部組織のビジネス パートナーとの共同作業。 製品の顧客。 これらのユーザーは、別の Azure AD ディレクトリで管理されています。
ユーザー管理 B2B コラボレーション ユーザーは、従業員と同じディレクトリで管理されますが、通常はゲスト ユーザーとして注釈が付けられます。 ゲスト ユーザーは、従業員と同じように管理したり、同じグループに追加したりできます。 テナント間のアクセス設定を使用して、B2B コラボレーションにアクセスできるユーザーを特定できます。 Azure AD ディレクトリにユーザー オブジェクトが作成されていません。 クロステナント アクセス設定では、B2B コラボレーションにアクセスできるユーザーを特定します。 直接接続。 共有チャネル ユーザーは Teams で管理でき、ユーザーのアクセス権は、Teams 共有チャネルのポリシーによって決まります。 ユーザー オブジェクトは、Azure AD B2C ディレクトリ内でコンシューマー ユーザー向けに作成されます。 組織の従業員やパートナーのディレクトリ (存在する場合) とは別に管理されます。
サポートされる ID プロバイダー 外部ユーザーは、職場アカウント、学校アカウント、任意のメール アドレス、SAML および WS-Fed ベースの ID プロバイダー、Gmail、Facebook などのソーシャル ID を使用して共同作業を行うことができます。 外部ユーザーは、Azure AD 職場アカウントまたは学校アカウントを使用して共同作業を行います。 ローカル アプリケーションのアカウント (任意のメール アドレス、ユーザー名、または電話番号) を持つコンシューマー ユーザー、Azure AD、サポートされているさまざまなソーシャル ID、SAML または WS-Fed ベースの ID プロバイダーのフェデレーションを介して企業や政府が発行した ID を所有するユーザー。
シングル サインオン (SSO) あらゆる Azure AD 接続アプリへの SSO がサポートされています。 たとえば、Microsoft 365 またはオンプレミスのアプリケーションや、Salesforce、Workday などの SaaS アプリへのアクセスを提供できます。 Teams 共有チャネルへの SSO。 Azure AD B2C テナント内のお客様所有のアプリへの SSO をサポートします。 Microsoft 365 やその他の Microsoft SaaS アプリへの SSO はサポートされていません。
    ライセンスと課金 B2B コラボレーションや Azure AD B2C ユーザーを含む、月間アクティブ ユーザー (MAU) に基づきます。 External Identities の価格B2B の価格設定の詳細について学習します。 B2B コラボレーション、B2B 直接接続、Azure AD B2C の各ユーザーを含む、月間アクティブ ユーザー (MAU) に基づきます。 External Identities の価格B2B の価格設定の詳細について学習します。 B2B コラボレーションや Azure AD B2C ユーザーを含む、月間アクティブ ユーザー (MAU) に基づきます。 Azure AD B2C 向け External Identities の価格B2B の価格設定の詳細について学習します。
セキュリティ ポリシーとコンプライアンス ホスト/招待元の組織によって管理されます (たとえば、条件付きアクセス ポリシー、テナント間アクセス設定など)。 ホスト/招待元の組織によって管理されます (たとえば、条件付きアクセス ポリシー、テナント間アクセス設定など)。 Teams のドキュメントも参照してください。 条件付きアクセスと ID 保護を使用して組織によって管理されます。
ブランド化 ホスト/招待元の組織のブランドが使用されます。 サインイン画面の場合は、ユーザーのホーム組織のブランドが使用されます。 共有チャネルでは、リソース組織のブランドが使用されます。 アプリケーションまたは組織ごとの完全にカスタマイズ可能なブランド。
詳細情報 ブログ記事ドキュメント ドキュメント 製品ページドキュメント

External Identities 機能の管理

Azure AD B2B コラボレーションと B2B 直接接続は Azure AD の機能であり、Azure Active Directory サービスを通じて Azure portal で管理されます。 受信と送信のコラボレーションを制御するために、クロステナント アクセス設定外部コラボレーション設定を組み合わせて使用できます。

クロステナント アクセス設定

クロステナント アクセス設定では、他の Azure AD 組織との B2B コラボレーションと B2B 直接接続を管理できます。 他の Azure AD 組織とコラボレーションする方法 (受信アクセス) 、ユーザーが他の Azure AD 組織と共同作業する方法 (送信アクセス) を決定できます。 きめ細かい制御により、B2B コラボレーションと B2B 直接接続に参加できるユーザー、グループ、アプリを組織内と外部の Azure AD 組織の両方で特定できます。 また、他の Azure AD 組織からの多要素認証 (MFA) とデバイスの信頼性情報 (準拠している信頼性情報と Hybrid Azure AD Join を使用した信頼性情報) を信頼できるようになります。

  • 既定のクロステナント アクセス設定によって、B2B コラボレーションと B2B 直接接続の両方のベースラインの受信設定と送信設定が決まります。 最初に、既定の設定は、他の Azure AD 組織とのすべての受信および送信 B2B コラボレーションを許可し、すべての Azure AD 組織との B2B 直接接続をブロックするように構成されています。 これらの初期設定を変更して、独自の既定の構成を作成できます。

  • 組織固有のアクセス設定 を使用すると、Azure AD 組織ごとにカスタマイズされた設定を構成できます。 組織を追加し、この組織でテナント間のアクセス設定をカスタマイズすると、これらの設定は既定値よりも優先されます。 たとえば、既定では、すべての外部組織との B2B コラボレーションと B2B 直接接続を無効にすることができますが、Fabrikam に対してのみこれらの機能を有効にすることができます。

詳細については、「Azure AD External Identities でのテナント間アクセス」を参照してください。

B2B コラボレーションの Microsoft クラウド設定 (プレビュー)

Microsoft Azure クラウド サービスは、物理的に分離された Azure のインスタンスである独立した国内クラウドで利用できます。 組織は、グローバル クラウドと国内クラウドの境界を越えて組織やユーザーと共同作業する必要性をますます認識しています。 Microsoft クラウド設定を使用すると、以下の Microsoft Azure クラウド間で B2B の相互コラボレーションを確立できます。

  • Microsoft Azure グローバル クラウドと Microsoft Azure Government
  • Microsoft Azure グローバル クラウドと Microsoft Azure China 21Vianet

異なるクラウド内のテナント間で B2B コラボレーションを設定するには、両方のテナントで Microsoft クラウド設定を構成して、他のクラウドとのコラボレーションを有効にする必要があります。 その後、各テナントは、他のクラウド内のテナントとの、受信と送信のテナント間アクセスを構成する必要があります。 詳細については、Microsoft クラウドの設定に関するページを参照してください。

外部コラボレーションの設定

外部コラボレーションの設定によって、ユーザーが B2B コラボレーションの招待を外部ユーザーに送信できるかどうか、およびゲストユーザーがディレクトリに対して持つアクセス レベルを決定します。 これらの設定を使用すると、次のことができます。

  •      ゲスト ユーザーのアクセス許可を決定。 Azure AD を使用すると、外部のゲスト ユーザーに表示される Azure AD ディレクトリの内容を制限することができます。 たとえば、グループ メンバーシップのゲスト ユーザーによる表示を制限したり、ゲストに自分のプロファイル情報の表示のみを許可したりすることができます。

  • ゲストを招待できるユーザーを指定。 既定では、組織内のすべてのユーザー (B2B コラボレーションのゲスト ユーザーを含む) が、B2B コラボレーションに外部ユーザーを招待できます。 招待を送信する機能を制限する場合、ユーザー全員に対して招待をオンまたはオフにしたり、特定のロールに対して招待を制限することができます。

  •      ドメインを許可またはブロックする。 指定したドメインへの招待を許可、または拒否するかを選択します。 詳細については、「ドメインの許可またはブロック」を参照してください。

詳細については、「B2B 外部コラボレーション設定の構成」を参照してください。

外部コラボレーションとテナント間のアクセス設定が連携するには

外部コラボレーション設定は招待レベルで機能しますが、テナント間アクセス設定は認証レベルで機能します。

テナント間アクセス設定と外部コラボレーション設定は、B2B コラボレーションの 2 つの異なる側面を管理するために使用されます。 テナント間アクセス設定は、ユーザーが外部 Azure AD テナントで認証できるかどうかを制御し、受信と送信両方の B2B コラボレーションに適用します。 これに対し、外部コラボレーション設定では、どのユーザーが B2B コラボレーションの招待を任意の組織からの外部ユーザーに送信することが許可されるかを制御します。

特定の外部 Azure AD 組織との B2B コラボレーションを検討している場合、テナント間アクセス設定が組織との B2B コラボレーションを許可しているかどうか、および外部コラボレーション設定によってユーザーが組織のドメインに招待状を送信できるかどうかを評価する必要があります。 次に例をいくつか示します。

  • 例 1: 外部コラボレーション設定で、ブロックされているドメインの一覧に (Azure AD 組織) を追加しましたが、テナント間アクセス設定によって、すべての Azure AD 組織で B2B コラボレーションが有効になります。 この場合、最も制限の厳しい設定が適用されます。 外部コラボレーション設定により、ユーザーは adatum.com でユーザーに招待を送信できなくなります。

  • 例 2: テナント間アクセス設定で Fabrikam との B2B コラボレーションを許可しますが、外部コラボレーション設定でブロックされたドメインに を追加します。 ユーザーは新しい Fabrikam ゲスト ユーザーを招待することはできませんが、既存の Fabrikam ゲストは引き続き B2B コラボレーションを使用できます。

Azure Active Directory B2C の管理

Azure AD B2C は、Azure AD B2C サービスを介して Azure portal で管理する別のコンシューマーベースのディレクトリです。 各 Azure AD B2C テナントは、他の Azure Active Directory や Azure AD B2C テナントとは別のもので区別されています。 Azure AD B2C ポータルのエクスペリエンスは Azure AD と似ていますが、Identity experience Framework を使用してユーザー エクスペリエンスをカスタマイズする機能など、重要な違いがあります。

Azure AD B2C の構成と管理の詳細については、「Azure AD B2C のドキュメント」を参照してください。

外部ユーザーおよび組織とのコラボレーションに関連する Azure AD テクノロジがいくつかあります。 External Identities コラボレーション モデルを設計する際には、これらのその他の機能を検討してください。

B2B ゲスト ユーザーのサインアップのための Azure AD のエンタイトルメント管理

招待する側の組織は、だれが社外のコラボレーターであり、だれ企業のリソースへのアクセスを必要としているのが事前にわからないことがあります。 招待側の組織には、組織で制御するポリシーに従ってパートナー企業のユーザーがサインアップできるようにする方法が必要です。 他の組織のユーザーがアクセスを要求し、それが承認されたらゲスト アカウントが提供され、グループ、アプリ、および SharePoint Online サイトに割り当てられるようにする場合、Azure AD のエンタイトルメント管理を使用して、外部ユーザーのアクセスを管理するポリシーを構成できます。

B2B コラボレーション用の Azure AD Microsoft Graph API

External Identities 機能を作成および管理するために Microsoft Graph API を利用できます。

  • クロステナント アクセス設定 API: Microsoft Graph クロステナント アクセス API を使用すると、Azure portal で構成可能な同じ B2B コラボレーションおよび B2B 直接接続ポリシーをプログラムで作成できます。 API を使用すると、既定ですべてのユーザーの機能を許可またはブロックし、特定の組織、グループ、ユーザー、およびアプリケーションへのアクセスを制限するために、受信および送信コラボレーションのポリシーを設定できます。 また、この API を使用すると、他の Azure AD 組織から MFA およびデバイス要求 (準拠している要求とハイブリッド Azure AD 参加要求) を受け入れることもできます。

  • B2B コラボレーションの招待マネージャー: Microsoft Graph 招待マネージャー APIを使用して、B2B ゲストユーザーに独自のオンボード エクスペリエンスを構築できます。 [招待 API の作成] を使用して、たとえば、カスタマイズされた招待メールを B2B ユーザーに自動的に送信することができます。 また、アプリは、作成応答で返された inviteRedeemUrl を使用して、(選択した通信メカニズムを介して) 招待するユーザーに対して独自の招待状を作成できます。

条件付きアクセス

組織は、組織のフルタイムの従業員とメンバーに対して有効にしたのと同じ方法で、外部の B2B コラボレーションおよび B2B 直接接続ユーザーに条件付きアクセス ポリシーを適用できます。 Azure AD テナント間シナリオでは、条件付きアクセス ポリシーで MFA またはデバイス コンプライアンスが必要な場合、外部ユーザーのホーム組織から MFA とデバイス コンプライアンス要求を信頼できるようになりました。 信頼設定が有効になっている場合、Azure AD は MFA 要求またはデバイス ID の認証中にユーザーの資格情報を確認して、ポリシーが既に満たされているかどうかを判断します。 その場合、外部ユーザーには共有リソースへのシームレスなサインオンが許可されます。 そうでない場合、ユーザーのホーム テナントで MFA またはデバイスのチャレンジが開始されます。 外部ユーザーの認証フローと条件付きアクセスの詳細については、こちらを参照してください。

マルチテナント アプリケーション

多くの組織にサービスとしてのソフトウェア (SaaS) アプリケーションを提供する場合、すべての Azure Active Directory (Azure AD) テナントからのサインインを受け入れるようにアプリケーションを構成できます。 この構成はアプリケーションのマルチテナント化と呼ばれます。 すべての Azure AD テナントのユーザーは、アプリケーションで自分のアカウントを使用することに同意すれば、そのアプリケーションにサインインできるようになります。 マルチテナント サインインを有効にする方法を、参照してください。

次のステップ