Microsoft Entra テナントを構成するには、組織がテナントを使用する方法と管理するリソースに応じて、次の 2 つの方法があります。
- ワークフォース テナントの構成は、従業員、内部ビジネス アプリ、およびその他の組織リソースを対象としています。 B2B コラボレーションは、ワークフォース テナントで外部のビジネス パートナーやゲストと共同作業するために使用されます。
- 外部テナント構成は、コンシューマーまたはビジネスユーザーにアプリを発行する外部 ID シナリオ専用に使用されます。
この記事では、ワークフォースと外部テナントで使用できる機能の詳細な比較を示します。
注
プレビュー期間中、Premium ライセンスを必要とする機能は、外部テナントでは使用できません。
一般的な機能の比較
次の表は、ワークフォースと外部テナントで使用できる一般的な機能を比較しています。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| 外部 ID のシナリオ | ビジネス パートナーやその他の外部ユーザーが従業員と共同作業できるようにします。 ゲストは、招待またはセルフサービス サインアップを使用して、ビジネス アプリケーションに安全にアクセスできます。 | 外部 ID を使用してアプリケーションをセキュリティで保護します。 コンシューマーとビジネスのお客様は、セルフサービス サインアップを通じてコンシューマー アプリに安全にアクセスできます。 招待もサポートされています。 |
| ローカル アカウント | ローカル アカウントは、組織の内部メンバーに対してのみサポートされます。 | ローカル アカウントは、次の目的でサポートされています。
|
| グループ | グループを使用して、管理アカウントとユーザー アカウントを管理できます。 | グループを使用して、管理アカウントを管理できます。 Microsoft Entra グループとアプリケーション ロールのサポートは、顧客テナントに段階的に移行されています。 最新の更新プログラムについては、「グループとアプリケーション ロールのサポート」を参照してください。 |
| ロールと管理者 | ロールと管理者は、管理アカウントとユーザー アカウントで完全にサポートされています。 | ロールは、すべてのユーザーでサポートされています。 外部テナントのすべてのユーザーには、管理者ロールが割り当てられている場合を除き、既定のアクセス許可があります。 |
| ID 保護 | Microsoft Entra テナントに継続的なリスク検出が提供されます。 これにより、組織は ID ベースのリスクを検出、調査し、修復できます。 | 使用不可 |
| ID ガバナンス | 組織が ID とアクセスのライフサイクルを管理し、特権アクセスをセキュリティで保護できるようにします。 詳細については、こちらを参照してください。 | 使用不可 |
| セルフサービス パスワード リセット | ユーザーが最大 2 つの認証方法を使用してパスワードをリセットできるようにします (使用可能な方法については、次の行を参照してください)。 | ユーザーがワンタイム パスコード付きのメールを使用してパスワードをリセットできるようにします。 詳細については、こちらを参照してください。 |
| 言語のカスタマイズ | ユーザーが企業イントラネットまたは Web ベースのアプリケーションに対して認証を行うときに、ブラウザーの言語に基づいてサインイン エクスペリエンスをカスタマイズします。 | 言語を使用して、サインインおよびサインアップ プロセスの一環として顧客に表示される文字列を変更します。 詳細については、こちらを参照してください。 |
| カスタム属性 | ディレクトリ拡張属性を使用して、より多くのデータをユーザー オブジェクト、グループ、テナントの詳細、サービス プリンシパルの Microsoft Entra ディレクトリに格納します。 | ディレクトリ拡張属性を使用して、より多くのデータをユーザー オブジェクトの顧客ディレクトリに格納します。 カスタム ユーザー属性を作成し、サインアップ ユーザー フローに追加します。 詳細については、こちらを参照してください。 |
| 料金 | B2B コラボレーション外部ゲスト (UserType=Guest) 向けの月間アクティブ ユーザー (MAU) 価格。 | ロールまたは UserType に関係なく、外部テナント内のすべてのユーザーに対する月間アクティブ ユーザー (MAU) の価格。 |
外観のカスタマイズ
次の表は、ワークフォース テナントと外部テナントで利用できる外観に関する機能を比較したものです。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| 会社のブランド | これらすべてのエクスペリエンスに適用される会社ブランドを追加して、ユーザーにとって一貫したサインイン エクスペリエンスを作成することができます。 | ワークフォースと同じ。 詳細情報 |
| 言語のカスタマイズ | ブラウザー言語でサインイン エクスペリエンスをカスタマイズします。 | ワークフォースと同じ。 詳細情報 |
| カスタム ドメイン名 | カスタム ドメインは管理アカウントにのみ使用できます。 | 外部テナントの カスタム URL ドメイン 機能を使用すると、独自のドメイン名でアプリのサインイン エンドポイントをブランド化できます。 |
| モバイル アプリのネイティブ認証 | 使用不可 | Microsoft Entra のネイティブ認証を使用すると、モバイル アプリケーションのサインイン エクスペリエンスの設計を完全に制御することができます。 |
独自のビジネス ロジックを追加する
カスタム認証拡張機能を使用すると、外部システムと統合することで、Microsoft Entra 認証エクスペリエンスをカスタマイズできます。 カスタム認証拡張機能は、基本的にイベント リスナーであり、アクティブになると、ユーザーが独自のビジネス ロジックを定義する REST API エンドポイントへの HTTP 呼び出しを行います。 次の表は、ワークフォース テナントと外部テナントで利用できるカスタム認証拡張機能イベントを比較したものです。
| イベント | ワークフォース テナント | 外部テナント |
|---|---|---|
| TokenIssuanceStart | 外部システムからクレームを追加します。 | 外部システムからクレームを追加します。 |
| 属性収集開始時 | 使用不可 | サインアップの属性コレクション ステップの開始時、かつ属性コレクション ページがレンダリングされる前に発生します。 値の事前入力やブロック エラーの表示などのアクションを追加できます。 詳細情報 |
| OnAttributeCollectionSubmit | 使用不可 | サインアップ フロー中、ユーザーが属性を入力して送信した後に発生します。 ユーザーのエントリを検証したり変更したりするアクションを追加できます。 詳細情報 |
| OTP送信時 | 使用不可 | ワンタイム パスコード送信イベントのカスタム 電子メール プロバイダーを構成します。 詳細情報 |
ID プロバイダーと認証方法
次の表では、ワークフォースと外部テナントのプライマリ認証と多要素認証 (MFA) に使用できる ID プロバイダーと方法を比較しています。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| 外部ユーザーの ID プロバイダー (プライマリ認証) |
セルフサービス サインアップ ゲストの場合 - Microsoft Entra アカウント - Microsoft アカウント - 電子メール ワンタイム パスコード - Google フェデレーション - Facebook フェデレーション 招待されたゲストの場合 - Microsoft Entra アカウント - Microsoft アカウント - 電子メール ワンタイム パスコード - Google フェデレーション - SAML/WS-Fed フェデレーション |
セルフサービス サインアップ ユーザー (コンシューマー、ビジネス ユーザー) - Microsoft Entra 外部 ID で使用できる認証方法 招待されたゲスト (プレビュー) の場合 ディレクトリ ロールで招待されたゲスト (管理者など): - Microsoft Entra アカウント - Microsoft アカウント - メール ワンタイム パスコード - SAML/WS-Fed フェデレーション |
| MFA の認証方法 |
内部ユーザーの場合 (従業員と管理者) - 認証方法と検証方法 ゲストの場合 (招待またはセルフサービス サインアップ) - ゲスト MFA の認証方法 |
セルフサービス サインアップ ユーザー (コンシューマー、ビジネス ユーザー) - Microsoft Entra 外部 ID で使用できる認証方法 招待されたユーザーの場合 (プレビュー) - ワンタイム パスコードを電子メールで送信します - SMS ベースの認証 |
Microsoft Entra 外部 ID で使用できる認証方法
一部の認証方法は、ユーザーがユーザー名やパスワードなど、アプリケーションにサインインするときに主な要素として使用できます。 その他の認証方法は、セカンダリ要素としてのみ使用できます。 次の表は、Microsoft Entra 外部 ID でのサインイン、セルフサービス サインアップ、セルフサービス パスワード リセット、多要素認証 (MFA) の間に認証方法を使用できる場合の概要を示しています。
| メソッド | サインイン | サインアップ | パスワードのリセット | 美術学修士 (MFA) |
|---|---|---|---|---|
| パスワード付きメール | 
|
|
||
| ワンタイム パスコードの電子メール送信 |
|
|
|
|
| SMS ベースの認証 |
|
|||
| Apple フェデレーション |
|
|
||
| Facebook フェデレーション |
|
|
||
| Google フェデレーション |
|
|
||
| Microsoft 個人用アカウント (OpenID Connect) |
|
|
||
| OpenID Connect フェデレーション |
|
|
||
| SAML/WS-Fed フェデレーション |
|
|
アプリケーションの登録
次の表では、それぞれのテナントの種類でアプリケーション登録に使用できる機能を比較しています。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| プロトコル | SAML 証明書利用者、OpenID Connect、OAuth2 | SAML 証明書利用者、OpenID Connect、OAuth2 |
| サポートされているアカウントの種類 | 次のアカウントの種類:
|
この組織ディレクトリのみに含まれるアカウント (シングル テナント) を常に使用します。 |
| プラットフォーム | 次のプラットフォーム:
|
次のプラットフォーム:
|
| 認証>リダイレクト URI | ユーザーの認証またはサインアウトに成功した後に認証応答 (トークン) を返すときに Microsoft Entra ID が宛先として受け入れる URI。 | ワークフォースと同じ。 |
| 認証>フロントチャネル ログアウト URL | この URL では、アプリケーションがユーザーのセッション データをクリアするように Microsoft Entra ID が要求を送信します。 フロントチャネル ログアウト URL は、シングル サインアウトが正常に動作するために必要です。 | ワークフォースと同じ。 |
| 認証>暗黙的な許可およびハイブリッド フロー | 承認エンドポイントからトークンを直接要求します。 | ワークフォースと同じ。 |
| 証明書とシークレット | 複数の資格情報: | ワークフォースと同じ。 |
| 証明書とシークレット>ローテーション | クライアント資格情報を更新して、有効で安全な状態を維持しながら、ユーザーは引き続きサインインできるようにします。 証明書、 シークレット、 およびフェデレーション資格情報 は、新しい資格情報を追加してから古い資格情報を削除することでローテーションできます。 | ワークフォースと同じ。 |
| 証明書とシークレット>政策 | シークレットと証明書の制限を適用するように アプリケーション管理ポリシー を構成します。 | 使用不可 |
| API 使用権限 | アプリケーションへのアクセス許可の追加、削除、置き換えを行います。 アクセス許可がアプリケーションに追加された後、ユーザーまたは管理者は新しいアクセス許可に対する同意を許可する必要があります。 Microsoft Entra ID でアプリの要求されたアクセス許可を更新するに関する詳細を確認してください。 | 許可されるアクセス許可は、Microsoft Graph offline_access、openid、User.Read、自分の API の委任されたアクセス許可です。 管理者のみが、組織に代わって同意できます。 |
| API の公開 | API によって保護されているデータと機能へのアクセスを制限するためにカスタム スコープを定義します。 この API の一部へのアクセスを必要とするアプリケーションは、ユーザーまたは管理者がこれらのスコープの 1 つ以上に同意することを要求できます。 | API によって保護されているデータと機能へのアクセスを制限するためにカスタム スコープを定義します。 この API の一部へのアクセスを必要とするアプリケーションは、管理者がこれらのスコープの 1 つ以上に同意することを要求できます。 |
| 所有者 | アプリケーションの所有者は、アプリケーションの登録を表示および編集できます。 また、アプリケーションを管理するための管理者特権を持つ、クラウド アプリケーション管理者などの任意のユーザー (一覧表示されていない場合がある) も、アプリケーションの登録を表示および編集できます。 | ワークフォースと同じ。 |
| ロールと管理者 | 管理者ロールは、Microsoft Entra ID の特権アクションのアクセスを許可するために使用されます。 | 外部テナントのアプリには、クラウド アプリケーション管理者ロールのみを使用できます。 このロールは、アプリケーション登録とエンタープライズ アプリケーションの全側面を作成して管理する権限を付与します。 |
アプリケーションのアクセス制御
次の表は、テナントの種類ごとにアプリケーションの承認に使用できる機能を比較したものです。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| ロールベースのアクセス制御 (RBAC) | アプリケーションのアプリケーション ロールを定義し、それらのロールをユーザーとグループに割り当てることができます。 Microsoft Entra ID には、セキュリティ トークンにユーザー ロールが含まれています。 その後、アプリケーションは、セキュリティ トークンの値に基づいて承認の決定を行うことができます。 | ワークフォースと同じ。 外部テナントでのアプリケーションのロールベースのアクセス制御の使用に関する詳細を確認してください。 使用可能な機能については、 グループとアプリケーション ロールのサポートに関する説明を参照してください。 |
| セキュリティ グループ | セキュリティ グループを使用して、アプリケーションに RBAC を実装できます。このアプリケーションでは、特定のグループ内のユーザーのメンバーシップがロール メンバーシップとして解釈されます。 Microsoft Entra ID には、セキュリティ トークンにユーザー グループ メンバーシップが含まれています。 その後、アプリケーションは、セキュリティ トークンの値に基づいて承認の決定を行うことができます。 | ワークフォースと同じ。 グループの省略可能な要求は、グループ オブジェクト ID に制限されます。 |
| 属性ベースのアクセス制御 (ABAC) | アクセス トークンにユーザー属性を含むようにアプリを構成できます。 その後、アプリケーションは、セキュリティ トークンの値に基づいて承認の決定を行うことができます。 詳細については、「トークンの カスタマイズ」を参照してください。 | ワークフォースと同じ。 |
| ユーザー割り当てを要求する | ユーザー割り当てが要求される場合は、アプリケーションに (直接のユーザー割り当てを使用して、またはグループ メンバーシップに基づいて) 割り当てたユーザーのみがサインインできます。 詳しくは、「アプリケーションへのユーザーとグループの割り当てを管理する」をご覧ください。 | ワークフォースと同じ。 詳細については、 グループとアプリケーション ロールのサポートに関するページを参照してください。 |
OpenID Connect と OAuth2 フロー
次の表は、それぞれのテナントの種類で OAuth 2.0 と OpenID Connect 承認フローに使用できる機能を比較しています。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| OpenID Connect | あり | あり |
| 承認コード | あり | あり |
| 承認コードと Code Exchange (PKCE) | あり | あり |
| クライアントの資格情報 | あり | v2.0 アプリケーション (プレビュー) |
| デバイス承認 | あり | プレビュー |
| On-Behalf-Of フロー | あり | あり |
| 暗黙的な許可 | あり | あり |
| リソース所有者のパスワード資格情報 | あり | 利用不可能。モバイル アプリケーションではネイティブ認証を使用してください。 |
OpenID Connect と OAuth2 フローの機関 URL
機関 URL は、MSAL がトークンを要求できるディレクトリを示す URL です。 外部テナントのアプリには、常に <tenant-name>.ciamlogin.com 形式を使用してください。
次の JSON は、機関 URL を持つ .NET アプリケーションの appsettings.json ファイルの例を示しています。
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
条件付きアクセス
次の表では、それぞれのテナントの種類で条件付きアクセスに使用できる機能を比較しています。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| 割り当て | ユーザー、グループ、ワークロード ID | すべてのユーザーを含め、ユーザーとグループを除外します。 詳しくは、「アプリに多要素認証 (MFA) を追加する」をご覧ください。 |
| ターゲット リソース | ||
| 条件 | ||
| 許可 | リソースへのアクセスを許可またはブロックする | |
| セッション | セッション制御 | 使用不可 |
使用条件ポリシー
次の表は、テナントの各種類の利用規約ポリシーで使用できる機能を比較しています。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| 条件付きアクセス ポリシー | Microsoft Entra の使用条件 | 使用不可 |
| セルフサービス サインアップ | 使用不可 | サインアップ ページで、利用規約ポリシーにリンクされている 必要な属性 を追加します。 ハイパーリンクは、さまざまな言語をサポートするようにカスタマイズできます。 |
| サインイン ページ | 会社のブランドを使用してプライバシー情報の右下隅に追加できるリンク。 | 労働力と同じです。 |
アカウント管理
次の表では、テナントの種類ごとにユーザー管理に使用できる機能を比較しています。 表に記載されているように、特定のアカウントの種類は、招待またはセルフサービス サインアップによって作成されます。 テナントのユーザー管理者は、管理センターを使用してアカウントを作成することもできます。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| アカウントの種類 |
|
|
| ユーザー プロファイル情報を管理する | プログラムで、または Microsoft Entra 管理センターを使って行います。 | ワークフォースと同じ。 |
| ユーザーのパスワードをリセットする | パスワードを忘れた場合、ユーザーがデバイスからロックアウトされた場合、またはユーザーがパスワードを受け取っていない場合、管理者はユーザーのパスワードをリセットできます。 | ワークフォースと同じ。 |
| 最近削除されたユーザーを復元または削除する | ユーザーを削除した後、アカウントは 30 日間、中断状態のままになります。 その 30 日の期間中は、ユーザー アカウントをそのすべてのプロパティと共に復元することができます。 | ワークフォースと同じ。 |
| アカウントを無効にする | 新しいユーザーがサインインできないようにします。 | ワークフォースと同じ。 |
パスワード保護
次の表は、テナントの種類ごとに利用できるパスワード保護に関する機能を比較したものです。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| スマート ロックアウト | スマート ロックアウトを使うと、ユーザーのパスワードを推測したり、ブルートフォース手法で侵入したりしようとする悪意のあるアクターをロックアウトできます。 | ワークフォースと同じ。 |
| カスタム禁止パスワード | Microsoft Entra のカスタム禁止パスワード リストを使うと、評価およびブロックする特定の文字列を追加できます。 | 使用できません。 |
トークンのカスタマイズ
次の表は、テナントの種類ごとに利用できるトークン カスタマイズに関する機能を比較したものです。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| 要求のマッピング | エンタープライズ アプリケーション用に JSON Web Token (JWT) 内で発行される要求をカスタマイズします。 | ワークフォースと同じ。 オプションの要求は、属性と要求を通して構成する必要があります。 |
| 要求の変換 | エンタープライズ アプリケーション用に JSON Web Token (JWT) 内で発行されるユーザー属性に変換を適用します。 | ワークフォースと同じ。 |
| カスタム クレーム プロバイダー | 外部システムから要求をフェッチするために外部 REST API を呼び出すカスタム認証拡張機能。 | ワークフォースと同じ。 詳細情報 |
| セキュリティ グループ | グループのオプション要求を構成します。 | グループのオプション要求の構成は、グループ オブジェクト ID に制限されています。 |
| トークンの有効期間 | Microsoft Entra ID によって発行されるセキュリティ トークンの有効期間を指定できます。 | ワークフォースと同じ。 |
| セッションとトークンの失効 | 管理者は、ユーザー のすべての更新トークンとセッションを無効 にすることができます。 | ワークフォースと同じ。 |
単一サインイン
シングル サインオン (SSO) を使用すると、ユーザーが資格情報を要求される回数を減らすことで、よりシームレスなエクスペリエンスを実現できます。 ユーザーは資格情報を 1 回入力します。確立されたセッションは、同じデバイスと Web ブラウザー上の他のアプリケーションが、それ以上のプロンプトを表示せずに再利用できます。 次の表は、テナントの種類ごとに SSO に使用できる機能を比較しています。
| 機能 | ワークフォース テナント | 外部テナント |
|---|---|---|
| アプリケーション登録の種類 |
|
|
| ドメイン名 | ユーザーが認証を行うと、Web ブラウザーの Microsoft Entra ドメイン login.microsoftonline.com にセッション Cookie が設定されます。 |
ユーザーが認証を行うと、Microsoft Entra 外部 ID ドメイン <tenant-name>.ciamlogin.com または Web ブラウザーの カスタム URL ドメイン にセッション Cookie が設定されます。 SSO 機能を正しく機能させるには、1 つの URL ドメインを使用します。 |
| サインインしたままにする | サインインしたままにするオプションを有効または無効にすることができます。 | ワークフォースと同じ。 |
| セッションの無効化 | SSO が無効になる可能性があり、再認証が必要なシナリオ:
|
ワークフォースと同じ。 |
| 条件付きアクセス | [条件付きアクセス] セクションを確認します。 | [条件付きアクセス] セクションを確認します。 |
| Microsoft Entra のネイティブ認証 | 使用不可 | ネイティブ認証 では SSO はサポートされていません。 |
| サインアウト | SAML または OpenID Connect アプリケーションがユーザーをログアウト エンドポイントに誘導すると、Microsoft Entra ID によってユーザーのセッションがブラウザーから削除され、無効になります。 | ワークフォースと同じ。 |
| シングル サインアウト | サインアウトが成功すると、Microsoft Entra ID は、ユーザーがサインインしている他のすべての SAML および OpenID Connect アプリケーションにログアウト通知を送信します。 | ワークフォースと同じ。 |
Microsoft Graph API
外部テナントでサポートされているすべての機能は、Microsoft Graph API を使用した自動化でもサポートされています。 外部テナントでプレビュー段階にある一部の機能は、Microsoft Graph を通じて一般提供される場合があります。 詳細については、「Microsoft Graph を使用して Microsoft Entra ID とネットワーク アクセス機能を管理する」 を参照してください。