次の方法で共有


外部テナントでのユーザーの既定のアクセス許可

適用対象: 灰色の X 記号がある白い円。 従業員テナント 内側に白いチェック マーク記号がある緑の円。 外部テナント (詳細情報)

"外部" 構成の Microsoft Entra テナントは、Microsoft Entra 外部 ID シナリオにのみ使用されます。 外部テナントを使うと、企業の従業員のディレクトリと顧客向けアプリのディレクトリを明確に分離できます。 既定では、外部テナントで作成されたユーザーは、外部テナント内の他のユーザー、グループ、またはデバイスに関する情報へのアクセスが制限されます。 管理者ロールを割り当てない限り、すべてのユーザーに既定のアクセス許可があります。

外部テナントのユーザーの一般的なユース ケースをよりよく理解するために、次のように分類できます。

  • 外部ユーザー は、外部テナントに登録されているアプリを使用するコンシューマーおよびビジネス ユーザーです。 通常、ユーザーの既定のアクセス許可は保持されます。つまり、管理者ロールは割り当てられません。 通常、これらのユーザーはセルフサービス サインアップを通じて作成されますが、Microsoft Entra 管理センターまたは Microsoft Graph の [Create new external user]\(新しい外部ユーザーの作成\) オプションを使用して作成できます。

  • 内部ユーザー は、通常、Microsoft Entra ロール 割り当てる管理者です。 管理センターまたは Microsoft Graph の [新しいユーザー の作成 オプションを使用して、内部ユーザーを作成し、ロールを割り当てることができます。

  • 招待されたユーザー は、通常、外部テナントに招待する管理者であり、Microsoft Entra ロール 割り当てる管理者です。 ロールが割り当てられない場合は、既定のユーザー アクセス許可を持ちます。 管理センターまたは Microsoft Graph の [外部ユーザーの招待] オプション 使用して、ユーザーを招待し、ロールを割り当てることができます。

ユーザーが外部テナントに作成されると、それらはすべて既定のアクセス許可で始まります。 ただし、外部テナント内 管理タスクを実行する必要があるユーザーには、 Microsoft Entra ロールを割り当てることができます。

既定のアクセス許可

次の表では、以下を含む外部テナントのユーザーに割り当てられた既定のアクセス許可について説明します。

  • セルフサービス サインアップを使用するユーザー
  • 管理者によって作成されたユーザー
  • 招待されたユーザー
領域 既定のユーザーアクセス許可
ユーザーと連絡先
  • アプリ プロファイル管理エクスペリエンスを使用して独自のプロファイルを読み取って更新する
  • 自分のパスワードを変更する
  • ローカル アカウントまたはソーシャル アカウントでサインインする
アプリケーション
  • アプリケーションにアクセスする
  • アプリケーションへの同意を取り消す

Microsoft Graph API とアクセス許可

次の表は、顧客がプロファイル情報を管理できるようにする API 操作を示しています。 ユーザー ID または userPrincipalName は、常にサインインしているユーザーの ID です。

ユーザー操作 API 操作 必要なアクセス許可
プロファイルの読み取り GET /me または GET /users/{id または userPrincipalName} User.Read
プロファイルの更新 PATCH /me または PATCH /users/{id または userPrincipalName}

更新可能なプロパティ: city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname、preferredLanguage
User.ReadWrite
[パスワードの変更] POST /me/changePassword Directory.AccessAsUser.All