適用対象: 
従業員テナント 
外部テナント (詳細情報)
"外部" 構成の Microsoft Entra テナントは、Microsoft Entra 外部 ID シナリオにのみ使用されます。 外部テナントを使うと、企業の従業員のディレクトリと顧客向けアプリのディレクトリを明確に分離できます。 既定では、外部テナントで作成されたユーザーは、外部テナント内の他のユーザー、グループ、またはデバイスに関する情報へのアクセスが制限されます。 管理者ロールを割り当てない限り、すべてのユーザーに既定のアクセス許可があります。
外部テナントのユーザーの一般的なユース ケースをよりよく理解するために、次のように分類できます。
外部ユーザー は、外部テナントに登録されているアプリを使用するコンシューマーおよびビジネス ユーザーです。 通常、ユーザーの既定のアクセス許可は保持されます。つまり、管理者ロールは割り当てられません。 通常、これらのユーザーはセルフサービス サインアップを通じて作成されますが、Microsoft Entra 管理センターまたは Microsoft Graph の [Create new external user]\(新しい外部ユーザーの作成\) オプションを使用して作成できます。
内部ユーザー は、通常、Microsoft Entra ロール 割り当てる管理者です。 管理センターまたは Microsoft Graph の [新しいユーザー の作成 オプションを使用して、内部ユーザーを作成し、ロールを割り当てることができます。
招待されたユーザー は、通常、外部テナントに招待する管理者であり、Microsoft Entra ロール 割り当てる管理者です。 ロールが割り当てられない場合は、既定のユーザー アクセス許可を持ちます。 管理センターまたは Microsoft Graph の [外部ユーザーの招待] オプション 使用して、ユーザーを招待し、ロールを割り当てることができます。
ユーザーが外部テナントに作成されると、それらはすべて既定のアクセス許可で始まります。 ただし、外部テナント内 管理タスクを実行する必要があるユーザーには、 Microsoft Entra ロールを割り当てることができます。
既定のアクセス許可
次の表では、以下を含む外部テナントのユーザーに割り当てられた既定のアクセス許可について説明します。
- セルフサービス サインアップを使用するユーザー
- 管理者によって作成されたユーザー
- 招待されたユーザー
| 領域 | 既定のユーザーアクセス許可 |
|---|---|
| ユーザーと連絡先 |
|
| アプリケーション |
|
Microsoft Graph API とアクセス許可
次の表は、顧客がプロファイル情報を管理できるようにする API 操作を示しています。 ユーザー ID または userPrincipalName は、常にサインインしているユーザーの ID です。
| ユーザー操作 | API 操作 | 必要なアクセス許可 |
|---|---|---|
| プロファイルの読み取り | GET /me または GET /users/{id または userPrincipalName} | User.Read |
| プロファイルの更新 |
PATCH /me または PATCH /users/{id または userPrincipalName} 更新可能なプロパティ: city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname、preferredLanguage |
User.ReadWrite |
| [パスワードの変更] | POST /me/changePassword | Directory.AccessAsUser.All |