Azure Active Directory B2B コラボレーション ユーザーのプロパティ
B2B コラボレーションは、自分の組織外のユーザーやパートナーと共同作業を行うことができる Azure AD External Identities の機能です。 B2B コラボレーションでは、外部ユーザーが自分の資格情報を使用して Azure AD 組織にサインインするように招待されます。 この B2B コラボレーション ユーザーは、共有するアプリとリソースにアクセスできます。 B2B コラボレーション ユーザーのユーザー オブジェクトは、従業員と同じディレクトリに作成されます。 B2B コラボレーション ユーザー オブジェクトはディレクトリ内の特権が既定で制限されており、これらを従業員のように管理したり、グループに追加したりすることが可能です。 この記事では、このユーザー オブジェクトのプロパティとその管理方法について説明します。
次の表では、B2B コラボレーション ユーザーについて、認証方法 (内部または外部) と組織 (ゲストまたはメンバー) との関係に基づいて説明します。
- 外部ゲスト: 一般に外部ユーザーまたはゲストと見なされるほとんどのユーザーは、このカテゴリに分類されます。 この B2B コラボレーション ユーザーは、外部 Azure AD 組織または外部 ID プロバイダー (ソーシャル ID など) にアカウントを持ち、リソース組織のゲストレベルのアクセス許可を持っています。 リソース Azure AD ディレクトリに作成されるユーザー オブジェクトの UserType は "ゲスト" です。
- 外部メンバー: この B2B コラボレーション ユーザーは、外部 Azure AD 組織または外部 ID プロバイダー (ソーシャル ID など) にアカウントを持ち、組織内のリソースに対するメンバーレベルのアクセス許可を持っています。 このシナリオがよく見られるのは、複数のテナントで構成される組織において、ユーザーが大規模な組織の一部と見なされ、組織の他のテナント内のリソースに対するメンバーレベルのアクセス許可を必要とする場合です。 リソース Azure AD ディレクトリに作成されるユーザー オブジェクトの UserType は "メンバー" です。
- 内部ゲスト: Azure AD B2B コラボレーションが利用できるようになる前は、販売代理店、仕入先、製造元、およびその他のユーザーと共同作業を行うには、これらのユーザーの内部資格情報を設定し、ユーザー オブジェクトの UserType を "ゲスト" に設定することでゲストとして指定するのが一般的でした。 このような内部ゲスト ユーザーがいる場合は、代わりに B2B コラボレーションを使用して自身の資格情報を使用できるように招待できます。これにより、外部 ID プロバイダーが認証とアカウントのライフサイクルを管理できるようになります。
- 内部メンバー: 一般に、これらのユーザーは組織の従業員と見なされます。 ユーザーは Azure AD を介して内部で認証を行い、リソース Azure AD ディレクトリに作成されるユーザー オブジェクトの UserType は "メンバー" になります。
選択したユーザーの種類には、アプリまたはサービスに対して次の制限があります (ただし、これらに限定されません)。
| アプリまたはサービス | 制限事項 |
|---|---|
| Microsoft Teams | - 外部メンバーは、Teams Connect 共有チャネルではサポートされません。 - 外部ゲストから外部メンバーへの変換、または外部メンバーから外部ゲストへの変換は、Teams では現在サポートされていません。 詳細については、「Microsoft Teams でのゲスト アクセス」を参照してください。 |
| Power BI | - 外部メンバーは Power BI ではサポートされていません。 詳細については、「Azure Active Directory B2B を使用して外部ゲスト ユーザーに Power BI コンテンツを配布する」を参照してください。 |
| Azure Virtual Desktop | - 外部メンバーと外部ゲストは、Azure Virtual Desktop ではサポートされていません。 |
重要
すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能をオフにすると、フォールバック認証方法として、招待者に Microsoft アカウントを作成するよう促されます。
招待の利用
ここで、Azure AD B2B コラボレーション ユーザーが Azure AD でどのように見えるかを見てみましょう。
招待に応じる前
B2B コラボレーション ユーザー アカウントは、ゲスト ユーザー自身の資格情報を使用して共同作業するようにゲスト ユーザーを招待した結果です。 招待が最初にゲスト ユーザーに送信されると、アカウントがテナントに作成されます。 認証はゲスト ユーザーの ID プロバイダーによって実行されるため、このアカウントには関連付けられた資格情報はありません。 ディレクトリ内のゲスト ユーザー アカウントの [ID] プロパティは、ゲストが招待と引き換えに応じるまでホストの組織ドメインに設定されます。 ポータルでは、招待されたユーザーのプロファイルに PendingAcceptance の外部ユーザー状態が表示されます。 externalUserStateがMicrosoft Graph API を使用するためのクエリがPending Acceptanceに返されます。
招待に応じた後
B2B コラボレーション ユーザーが招待を受け入れると、ユーザーの ID プロバイダーに基づいて ID プロパティが更新されます。
B2B コラボレーション ユーザーが別の外部 ID プロバイダーの Microsoft アカウントまたは資格情報を使用している場合、 ID は、 Microsoft アカウント、 google.com、 facebook.com などの ID プロバイダーを反映します。
B2B コラボレーション ユーザーが別の Azure AD 組織の資格情報を使用している場合、ID は "外部 Azure AD" です。
内部資格情報を使用する外部ユーザーの場合、 ID プロパティはホストの組織ドメインに設定されます。 "ディレクトリ同期" プロパティは、アカウントが組織のオンプレミス Active Directory に所属していて Azure AD と同期されている場合は "はい"、アカウントがクラウド専用の Azure AD アカウントの場合は "いいえ" になります。 ディレクトリ同期情報は、Microsoft Graph の
onPremisesSyncEnabledプロパティを介して取得することもできます。
Azure AD B2B コラボレーション ユーザーの主要なプロパティ
ユーザー プリンシパル名
B2B コラボレーション ユーザー オブジェクトのユーザー プリンシパル名には、#EXT# 識別子が含まれています。
ユーザー タイプ
このプロパティは、ユーザーとホスト テナントとの関係を示します。 このプロパティは次の 2 つの値を取ります。
メンバー: この値は、ホスト組織の従業員や組織の給与支払い名簿にあるユーザーを示します。 たとえば、このユーザーは、内部専用のサイトにアクセスできることが想定されます。 このユーザーは外部コラボレーターとは見なされません。
ゲスト: この値は、社内ユーザーと見なされないユーザー (外部コラボレーター、パートナー、顧客など) を示します。 このようなユーザーに、CEO の社内メモの送信や各種手当の給付が行われることは想定されません。
注意
UserType は、ユーザーのサインイン方法、ユーザーのディレクトリ ロールなどとは関係ありません。 このプロパティは、単にユーザーとホスト組織との関係を示しており、組織はこのプロパティに基づくポリシーを強制できます。
Identities
このプロパティは、ユーザーのプライマリ ID プロバイダーを示します。 ユーザーは、ユーザー プロファイルにあるIDの次のリンクを選択するか、Microsoft Graph API を使用して identitiesプロパティに対してクエリを実行することで表示できる ID プロバイダーを複数持つことができます。
Note
ID と UserType は、独立したプロパティです。 IDの値は、UserType の特定の値を意味しません
| ID プロパティの値 | サインイン状態 |
|---|---|
| 外部 Azure AD | このユーザーは外部組織に所属し、他の組織に属している Azure AD アカウントを使用して認証を行います。 |
| Microsoft アカウント | このユーザーは Microsoft アカウントに所属し、Microsoft アカウントを使用して認証を行います。 |
| {ホストのドメイン} | このユーザーは、この組織に属している Azure AD アカウントを使用して認証されます。 |
| google.com | このユーザーは Gmail アカウントを持ち、他の組織にセルフサービスを使用してサインアップしています。 |
| facebook.com | このユーザーは Facebook アカウントを持ち、他の組織にセルフサービスを使用してサインアップしています。 |
| このユーザーは、Azure AD 電子メールのワンタイム パスコード (OTP) を使用してサインアップしました。 | |
| {発行者 URI} | このユーザーは、ID プロバイダーとして Azure Active Directory を使用しないが、代わりに SAML/WS-Fed ベースの ID プロバイダーを使用する外部組織に所属しています。 発行者 URI は、IDフィールドがクリックされた場合に表示されます。 |
ディレクトリ同期済み
"ディレクトリ同期済み" プロパティは、ユーザーがオンプレミスの Active Directory と同期され、オンプレミスで認証されるかどうかを示します。 このプロパティは、アカウントが組織のオンプレミス Active Directory に所属していて Azure AD と同期されている場合は "はい"、アカウントがクラウド専用の Azure AD アカウントの場合は "いいえ" になります。 Microsoft Graph では、"ディレクトリ同期済み" プロパティは onPremisesSyncEnabled に対応します。
Azure AD B2B ユーザーをゲストではなくメンバーとして追加できるか
通常は、Azure AD B2B ユーザーとゲスト ユーザーは同義です。 そのため、Azure AD B2B コラボレーション ユーザーは、既定では UserType が "ゲスト" に設定されたユーザーとして追加されます。 ただし、一部のケースでは、パートナー組織がより大きな組織のメンバーであり、ホスト組織もその組織に所属しています。 そのような場合は、ホスト組織がパートナー組織のユーザーをゲストではなくメンバーとして扱いたいことがあります。 Azure AD B2B Invitation Manager API を使用して、パートナー組織のユーザーをホスト組織にメンバーとして追加または招待します。
ディレクトリのゲスト ユーザーのフィルター処理
[ユーザー] リストでは、[フィルターの追加] を使用して、ディレクトリ内のゲスト ユーザーのみを表示できます。
UserType の変換
Azure portal でユーザーのプロファイルを編集するか、PowerShell を使用して、UserType を "メンバー" から "ゲスト" に、またはその逆に変換することができます。 ただし、UserType プロパティはユーザーと組織の関係を表しています。 そのため、このプロパティは、ユーザーと組織の関係が変化した場合にのみ変更するようにします。 ユーザーの関係が変化した場合に、ユーザー プリンシパル名 (UPN) を変更する必要はありますか。 また、同じリソースへのアクセス権を引き続きユーザーに持たせる必要がありますか。 メールボックスを割り当てる必要があるか、などの疑問です。
ゲスト ユーザーのアクセス許可
ゲスト ユーザーは、既定でディレクトリ アクセス許可を制限されています。 自分のプロファイルの管理や自分のパスワードの変更、他のユーザー、グループ、アプリに関する情報の取得を行うことができる。 ただし、すべてのディレクトリ情報は読み取れません。
B2B ゲスト ユーザーは、Microsoft Teams 共有チャネルではサポートされていません。 共有チャネルへのアクセスについては、B2B 直接接続を参照してください。
ゲスト ユーザーに、より高い権限を付与したい場合があります。 ゲスト ユーザーを任意のロールに追加することができます。また、メンバーと同じ権限を付与するために、ディレクトリでの既定のゲスト ユーザー制限を削除することもできます。 既定の制限を無効にして、会社のディレクトリのゲスト ユーザーにメンバー ユーザーと同じアクセス許可を持たせることができます。 詳細については、「Azure Active Directory でゲストのアクセス許可を制限する」の記事を参照してください。
![ユーザー設定の [外部ユーザー] オプションを示すスクリーンショット。](media/user-properties/remove-guest-limitations.png)
Exchange のグローバル アドレス一覧にゲスト ユーザーを表示できますか。
はい。 既定では、ゲスト オブジェクトは組織のグローバル アドレス一覧には表示されませんが、Azure Active Directory PowerShell を使用してそれらを表示できます。 詳細については、Microsoft 365 グループごとのゲスト アクセスに関する記事の「グローバル アドレス一覧にゲストを追加する」を参照してください。
ゲスト ユーザーのメール アドレスを更新できますか。
ゲスト ユーザーが招待を承諾し、その後メール アドレスを変更した場合、新しいメールはディレクトリ内のゲスト ユーザー オブジェクトに自動的に同期されません。 メールのプロパティは、Microsoft Graph API を介して作成されます。 メールのプロパティは、Microsoft Graph API、Exchange 管理センター、または Exchange Online PowerShell 経由で更新できます。 この変更は、Azure AD ゲスト ユーザー オブジェクトに反映されます。