ワークフォースと外部テナントでサポートされている機能
Microsoft Entra テナントを構成するには、組織がテナントを使用する方法と管理するリソースに応じて、次の 2 つの方法があります。
- 従業員テナント構成は、従業員、社内ビジネス アプリ、およびその他の組織リソース向けです。 B2B コラボレーションは、ワークフォース テナントで外部のビジネス パートナーやゲストと共同作業するために使用されます。
- 外部テナント構成は、コンシューマーまたはビジネスユーザーにアプリを発行する外部 ID シナリオ専用に使用されます。
この記事では、ワークフォースと外部テナントで使用できる機能の詳細な比較を示します。
Note
プレビュー期間中、Premium ライセンスを必要とする機能は、外部テナントでは使用できません。
一般的な機能の比較
次の表は、ワークフォースと外部テナントで使用できる一般的な機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 外部 ID のシナリオ | ビジネス パートナーやその他の外部ユーザーが従業員と共同作業できるようにします。 ゲストは、招待またはセルフサービス サインアップを使用して、ビジネス アプリケーションに安全にアクセスできます。 | 外部 ID を使用してアプリケーションをセキュリティで保護します。 コンシューマーとビジネスのお客様は、セルフサービス サインアップを通じてコンシューマー アプリに安全にアクセスできます。 招待もサポートされています。 |
| ローカル アカウント | ローカル アカウントは、組織の内部メンバーに対してのみサポートされます。 | ローカル アカウントは、次に対してサポートされています。 - セルフサービス サインアップを使用する外部ユーザー (コンシューマー、ビジネス顧客)。 - 管理者によって作成されたアカウント。 |
| 外部ユーザーに対する ID プロバイダー | セルフサービス サインアップ ゲスト: - Microsoft Entra アカウント - Microsoft アカウント - 電子メール ワンタイム パスコード - Google フェデレーション - Facebook フェデレーション 招待されたゲスト: - Microsoft Entra アカウント - Microsoft アカウント - 電子メール ワンタイム パスコード - Google フェデレーション - SAML/WS-Fed フェデレーション |
セルフサービス サインアップ ユーザー (コンシューマー、ビジネス ユーザー): - パスワードを使用するメール - メールのワンタイム パスコード - Google フェデレーション (プレビュー) - Facebook フェデレーション (プレビュー) |
| 認証方法 | - 内部ユーザー (従業員と管理者): 各認証方法のしくみ - ゲスト (招待またはセルフサービス サインアップ): 外部ユーザーの認証方法 |
セルフサービス サインアップ ユーザー (コンシューマー、ビジネス顧客): - 電子メール ワンタイム パスコード |
| グループ | グループを使用して、管理アカウントとユーザー アカウントを管理できます。 | グループを使用して、管理アカウントを管理できます。 Microsoft Entra グループとアプリケーション ロールのサポートは、顧客テナントに段階的に移行されています。 最新の更新プログラムについては、「グループとアプリケーション ロールのサポート」を参照してください。 |
| ロールと管理者 | ロールと管理者は、管理アカウントとユーザー アカウントで完全にサポートされています。 | ロールは、顧客アカウントではサポートされていません。 顧客アカウントはテナント リソースにアクセスできません。 |
| カスタム ドメイン名 | カスタム ドメインは管理アカウントにのみ使用できます。 | 現在サポートされていません。 ただし、サインアップ ページとサインイン ページで顧客に表示される URL は、ブランド化されていないニュートラルな URL です。 詳細情報 |
| ID 保護 | Microsoft Entra テナントに継続的なリスク検出が提供されます。 これにより、組織は ID ベースのリスクを検出、調査し、修復できます。 | Microsoft Entra ID Protection のリスク検出のサブセットを使用できます。 詳細情報。 |
| カスタム認証拡張機能 | 外部システムからの要求を追加します。 | 外部システムからクレームを追加します。 |
| トークンのカスタマイズ | ユーザー属性、カスタム認証拡張機能、クレーム変換、およびセキュリティ グループ メンバーシップをトークン クレームに追加します。 | ユーザー属性、カスタム認証拡張機能、セキュリティ グループ メンバーシップをトークン要求に追加します。詳細はこちら。 |
| セルフサービス パスワード リセット | ユーザーが最大 2 つの認証方法を使用してパスワードをリセットできるようにします (使用可能な方法については、次の行を参照してください)。 | ユーザーがワンタイム パスコード付きのメールを使用してパスワードをリセットできるようにします。 詳細情報。 |
| 言語のカスタマイズ | ユーザーが企業イントラネットまたは Web ベースのアプリケーションに対して認証を行うときに、ブラウザーの言語に基づいてサインイン エクスペリエンスをカスタマイズします。 | 言語を使用して、サインインおよびサインアップ プロセスの一環として顧客に表示される文字列を変更します。 詳細については、こちらを参照してください。 |
| カスタム属性 | ディレクトリ拡張属性を使用して、より多くのデータをユーザー オブジェクト、グループ、テナントの詳細、サービス プリンシパルの Microsoft Entra ディレクトリに格納します。 | ディレクトリ拡張属性を使用して、より多くのデータをユーザー オブジェクトの顧客ディレクトリに格納します。 カスタム ユーザー属性を作成し、サインアップ ユーザー フローに追加します。 詳細情報。 |
ID プロバイダー
次の表では、テナントの種類ごとに使用可能な ID プロバイダーを比較します。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 外部ユーザーに対する ID プロバイダー | セルフサービス サインアップ ゲストの場合: - Microsoft Entra アカウント - Microsoft アカウント - 電子メール ワンタイム パスコード - Google フェデレーション - Facebook フェデレーション 招待されたゲストの場合: - Microsoft Entra アカウント - Microsoft アカウント - 電子メール ワンタイム パスコード - Google フェデレーション - SAML/WS-Fed フェデレーション |
セルフサービス サインアップ ユーザーの場合 (コンシューマー、ビジネス ユーザー): - パスワードを使用する電子メール - 電子メール ワンタイム パスコード - Google フェデレーション - Facebook フェデレーション |
| 認証方法 | 内部ユーザーの場合 (従業員と管理者): - 各認証方法のしくみ ゲストの場合 (招待またはセルフサービス サインアップ): - 外部ユーザーの認証方法 |
セルフサービス サインアップ ユーザーの場合 (コンシューマー、ビジネス顧客): - 電子メール ワンタイム パスコード |
アプリケーションの登録
次の表では、それぞれのテナントの種類でアプリケーション登録に使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| プロトコル | SAML 証明書利用者、OpenID Connect、OAuth2 | OpenID Connect と OAuth2 |
| サポートされているアカウントの種類 | 次のアカウントの種類:
|
この組織ディレクトリのみに含まれるアカウント (シングル テナント) を常に使用します。 |
| プラットフォーム | 次のプラットフォーム:
|
次のプラットフォーム:
|
| 認証>リダイレクト URI | ユーザーの認証またはサインアウトに成功した後に認証応答 (トークン) を返すときに Microsoft Entra ID が宛先として受け入れる URI。 | 従業員と同じ。 |
| 認証>フロントチャネル ログアウト URL | この URL では、アプリケーションがユーザーのセッション データをクリアするように Microsoft Entra ID が要求を送信します。 フロントチャネル ログアウト URL は、シングル サインアウトが正常に動作するために必要です。 | 従業員と同じ。 |
| 認証>暗黙的な許可およびハイブリッド フロー | アプリケーションが承認エンドポイントからトークンを直接要求します。 | 従業員と同じ。 |
| 証明書とシークレット | 従業員と同じ。 | |
| トークン構成 |
|
|
| API アクセス許可 | アプリケーションへのアクセス許可の追加、削除、置き換えを行います。 アクセス許可がアプリケーションに追加された後、ユーザーまたは管理者は新しいアクセス許可に対する同意を許可する必要があります。 Microsoft Entra ID でアプリの要求されたアクセス許可を更新するに関する詳細を確認してください。 | 許可されるアクセス許可は、Microsoft Graph offline_access、openid、User.Read、自分の API の委任されたアクセス許可です。 管理者のみが、組織に代わって同意できます。 |
| API の公開 | API によって保護されているデータと機能へのアクセスを制限するためにカスタム スコープを定義します。 この API の一部へのアクセスを必要とするアプリケーションは、ユーザーまたは管理者がこれらのスコープの 1 つ以上に同意することを要求できます。 | API によって保護されているデータと機能へのアクセスを制限するカスタム スコープを定義します。 この API の一部へのアクセスを必要とするアプリケーションは、管理者がこれらのスコープの 1 つ以上に同意することを要求できます。 |
| アプリ ロール | アプリ ロールは、ユーザーまたはアプリにアクセス許可を割り当てるためのカスタム役割です。 アプリケーションでは、アプリ ロールを定義して公開し、承認時にアクセス許可として解釈します。 | 従業員と同じ。 外部テナントでのアプリケーションのロールベースのアクセス制御の使用に関する詳細を確認してください。 |
| オーナー | アプリケーションの所有者は、アプリケーションの登録を表示および編集できます。 また、アプリケーションを管理するための管理者特権を持つ、グローバル管理者、クラウド アプリ管理者などの任意のユーザー (一覧表示されない可能性がある) も、アプリケーションの登録を表示および編集できます。 | 従業員と同じ。 |
| ロールと管理者 | 管理者ロールは、Microsoft Entra ID の特権アクションのアクセスを許可するために使用されます。 | 外部テナントのアプリには、クラウド アプリケーション管理者ロールのみを使用できます。 このロールは、アプリケーション登録とエンタープライズ アプリケーションの全側面を作成して管理する権限を付与します。 |
| ユーザーとグループをアプリに割り当てる | ユーザー割り当てが要求される場合は、アプリケーションに (直接のユーザー割り当てを使用して、またはグループ メンバーシップに基づいて) 割り当てたユーザーのみがサインインできます。 詳しくは、「アプリケーションへのユーザーとグループの割り当てを管理する」をご覧ください。 | 使用不可 |
OpenID Connect と OAuth2 フロー
次の表は、それぞれのテナントの種類で OAuth 2.0 と OpenID Connect 承認フローに使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| OpenID Connect | はい | はい |
| 承認コード | はい | はい |
| 承認コードと Code Exchange (PKCE) | はい | はい |
| クライアントの資格情報 | はい | v2.0 アプリケーション |
| デバイス承認 | はい | いいえ |
| On-Behalf-Of フロー | はい | はい |
| 暗黙的な許可 | はい | はい |
| リソース所有者のパスワード資格情報 | はい | いいえ |
OpenID Connect と OAuth2 フローの機関 URL
機関 URL は、MSAL がトークンを要求できるディレクトリを示す URL です。 外部テナントのアプリには、常に <tenant-name>.ciamlogin.com 形式を使用してください。
次の JSON は、機関 URL を持つ .NET アプリケーションのアプリ設定の例を示しています。
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
条件付きアクセス
次の表では、それぞれのテナントの種類で条件付きアクセスに使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 割り当て | ユーザー、グループ、ワークロード ID | すべてのユーザーを含め、ユーザーとグループを除外します。 詳しくは、「アプリに多要素認証 (MFA) を追加する」をご覧ください。 |
| ターゲット リソース | ||
| 条件 | ||
| Grant | リソースへのアクセスを許可またはブロックする | |
| セッション | セッション制御 | 使用不可 |
アカウント管理
次の表では、テナントの種類ごとにユーザー管理に使用できる機能を比較しています。 表に記載されているように、特定のアカウントの種類は、招待またはセルフサービス サインアップによって作成されます。 テナントのユーザー管理者は、管理センターを使用してアカウントを作成することもできます。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| アカウントの種類 |
|
|
| ユーザー プロファイル情報を管理する | プログラムで、または Microsoft Entra 管理センターを使って行います。 | 従業員と同じ。 |
| ユーザーのパスワードをリセットする | パスワードを忘れた場合、ユーザーがデバイスからロックアウトされた場合、またはユーザーがパスワードを受け取っていない場合、管理者はユーザーのパスワードをリセットできます。 | 従業員と同じ。 |
| 最近削除されたユーザーを復元または削除する | ユーザーを削除した後、アカウントは 30 日間、中断状態のままになります。 その 30 日の期間中は、ユーザー アカウントをそのすべてのプロパティと共に復元することができます。 | 従業員と同じ。 |
| アカウントを無効にする | 新しいユーザーがサインインできないようにします。 | 従業員と同じ。 |
パスワード保護
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| スマート ロックアウト | スマート ロックアウトを使うと、ユーザーのパスワードを推測したり、ブルートフォース手法で侵入したりしようとする悪意のあるアクターをロックアウトできます。 | 従業員と同じ。 |
| カスタム禁止パスワード | Microsoft Entra のカスタム禁止パスワード リストを使うと、評価およびブロックする特定の文字列を追加できます。 | 使用できません。 |