Azure Active Directory の外部 ID とはWhat are External Identities in Azure Active Directory?

Azure AD 内で外部 ID を使用すると、ご自身の組織外のユーザーに組織のアプリとリソースへのアクセスを許可することができ、その際、外部ユーザーは希望する任意の ID を使用してサインインできます。With External Identities in Azure AD, you can allow people outside your organization to access your apps and resources, while letting them sign in using whatever identity they prefer. パートナー、販売代理店、サプライヤー、ベンダー、およびその他のゲスト ユーザーは、"自分のアイデンティティを持ち込む" ことができます。Your partners, distributors, suppliers, vendors, and other guest users can "bring their own identities." 所有しているのが企業や政府が発行したデジタル ID か、Google や Facebook などの管理されていないソーシャル ID かに関係なく、自身の資格情報を使用してサインインできます。Whether they have a corporate or government-issued digital identity, or an unmanaged social identity like Google or Facebook, they can use their own credentials to sign in. 外部ユーザーの ID プロバイダーによってその ID が管理されます。また、リソースを保護するためには、Azure AD を使用してアプリへのアクセスを管理します。The external user’s identity provider manages their identity, and you manage access to your apps with Azure AD to keep your resources protected.

外部 ID のシナリオExternal Identities scenarios

Azure AD External Identities は、ユーザーと組織の関係はあまり重視せず、ユーザーが組織のアプリやリソースにサインインする方法を重視します。Azure AD External Identities focuses less on a user's relationship to your organization and more on how the user wants to sign in to your apps and resources. Azure AD はこのフレームワーク内で、企業間 (B2B) コラボレーションから、消費者や顧客または一般ユーザー向けアプリケーションのアクセス管理 (企業-顧客間すなわち B2C) まで、さまざまなシナリオをサポートします。Within this framework, Azure AD supports a variety of scenarios from business-to-business (B2B) collaboration to access management for consumer/customer- or citizen-facing applications (business-to-customer, or B2C).

  • 外部ユーザーとアプリやリソースを共有する (B2B コラボレーション)Share your apps and resources with external users (B2B collaboration). 外部ユーザーを自分のテナントに "ゲスト" ユーザーとして招待します。このユーザーには、アクセス許可を割り当てる (承認) と同時に、自分の既存の資格情報を使用させる (認証) ことができます。Invite external users into your own tenant as "guest" users that you can assign permissions to (for authorization) while letting them use their existing credentials (for authentication). ユーザーは、職場、学校などのメール アカウントによる単純な招待と引き換えプロセスを使用して、共有リソースにサインインします。Users sign in to the shared resources using a simple invitation and redemption process with their work, school, or other email account. また、Azure AD のエンタイトルメント管理を使用して、外部ユーザーのアクセスを管理するポリシーを構成することもできます。You can also use Azure AD entitlement management to configure policies that manage access for external users. さらに、セルフサービス サインアップのユーザー フローを利用できるようになったので、外部ユーザーが自分でアプリケーションにサインアップできるようにすることができます。And now with the availability of self-service sign-up user flows, you can allow external users to sign up for applications themselves. このエクスペリエンスは、職場、学校、またはソーシャル ID (Google や Facebook など) によるサインアップを許可するようにカスタマイズできます。The experience can be customized to allow sign-up with a work, school, or social identity (like Google or Facebook). サインアップ プロセスでユーザーに関する情報を収集することもできます。You can also collect information about the user during the sign-up process. 詳細については、Azure AD B2B のドキュメントを参照してください。For more information, see the Azure AD B2B documentation.

  • 消費者および顧客向けアプリのホワイトラベルの ID 管理ソリューションでユーザー体験を構築する (Azure AD B2C)Build user journeys with a white-label identity management solution for consumer- and customer-facing apps (Azure AD B2C). 顧客向けアプリを作成している企業または開発者であれば、Azure AD B2C を使用することで、多数の消費者、顧客、または一般ユーザーへと範囲を拡張できます。If you're a business or developer creating customer-facing apps, you can scale to millions of consumers, customers, or citizens by using Azure AD B2C. 開発者は、フル機能を備えた顧客 ID およびアクセス管理 (CIAM) システムとして Azure AD を自身のアプリケーションに使用できます。Developers can use Azure AD as the full-featured Customer Identity and Access Management (CIAM) system for their applications. 顧客は、既に作成している ID (Facebook や Gmail など) を使用してサインインできます。Customers can sign in with an identity they already have established (like Facebook or Gmail). Azure AD B2C を使用すると、顧客のサインアップ、サインイン、アプリケーション使用時のプロファイルの管理を、完全にカスタマイズして制御できます。With Azure AD B2C, you can completely customize and control how customers sign up, sign in, and manage their profiles when using your applications. 詳細については、Azure AD B2C のドキュメントを参照してください。For more information, see the Azure AD B2C documentation.

External Identities ソリューションの比較Compare External Identities solutions

次の表では、Azure AD External Identities で対応できるシナリオを詳しく比較しています。The following table gives a detailed comparison of the scenarios you can enable with Azure AD External Identities.

外部ユーザー コラボレーション (B2B)External user collaboration (B2B) 消費者または顧客向けアプリへのアクセス (B2C)Access to consumer/customer-facing apps (B2C)
主要なシナリオPrimary scenario Microsoft アプリケーション (Microsoft 365、Teams など) または独自のアプリケーション (SaaS アプリ、独自に開発したアプリなど) を使用したコラボレーション。Collaboration using Microsoft applications (Microsoft 365, Teams, etc.) or your own applications (SaaS apps, custom-developed apps, etc.). 最新の SaaS または独自に開発したアプリケーション (ファーストパーティの Microsoft アプリ以外) の ID とアクセスの管理。Identity and access management for modern SaaS or custom-developed applications (not first-party Microsoft apps).
対象者Intended for サプライヤー、パートナー、ベンダーなどの外部組織のビジネス パートナーとの共同作業。Collaborating with business partners from external organizations like suppliers, partners, vendors. ユーザーはディレクトリ内でゲスト ユーザーとして表示されます。Users appear as guest users in your directory. これらのユーザーは、IT を管理している場合もあれば、管理していない場合もあります。These users may or may not have managed IT. 製品の顧客。Customers of your product. これらのユーザーは、別の Azure AD ディレクトリで管理されています。These users are managed in a separate Azure AD directory.
サポートされる ID プロバイダーIdentity providers supported 外部ユーザーは、職場アカウント、学校アカウント、任意のメール アドレス、SAML および WS-Fed ベースの ID プロバイダー、Gmail、Facebook を使用して共同作業を行うことができます。External users can collaborate using work accounts, school accounts, any email address, SAML and WS-Fed based identity providers, Gmail, and Facebook. ローカル アプリケーションのアカウント (任意のメール アドレスまたはユーザー名) を持つコンシューマー ユーザー、サポートされているさまざまなソーシャル ID、直接フェデレーションを介して企業や政府が発行した ID を所有するユーザー。Consumer users with local application accounts (any email address or user name), various supported social identities, and users with corporate and government-issued identities via direct federation.
外部ユーザーの管理External user management 外部ユーザーは、従業員と同じディレクトリで管理されますが、通常はゲスト ユーザーとして注釈が付けられます。External users are managed in the same directory as employees, but are typically annotated as guest users. ゲスト ユーザーは、従業員と同じように管理したり、同じグループに追加したりできます。Guest users can be managed the same way as employees, added to the same groups, and so on. 外部ユーザーは Azure AD B2C ディレクトリで管理されます。External users are managed in the Azure AD B2C directory. 組織の従業員やパートナーのディレクトリ (存在する場合) とは別に管理されます。They're managed separately from the organization's employee and partner directory (if any).
シングル サインオン (SSO)Single sign-on (SSO) あらゆる Azure AD 接続アプリへの SSO がサポートされています。SSO to all Azure AD-connected apps is supported. たとえば、Microsoft 365 またはオンプレミスのアプリケーションや、Salesforce、Workday などの SaaS アプリへのアクセスを提供できます。For example, you can provide access to Microsoft 365 or on-premises apps, and to other SaaS apps such as Salesforce or Workday. Azure AD B2C テナント内のお客様所有のアプリへの SSO をサポートします。SSO to customer owned apps within the Azure AD B2C tenants is supported. Microsoft 365 やその他の Microsoft SaaS アプリへの SSO はサポートされていません。SSO to Microsoft 365 or to other Microsoft SaaS apps isn't supported.
セキュリティ ポリシーとコンプライアンスSecurity policy and compliance ホストまたは招待元の組織によって管理されます (条件付きアクセス ポリシーを使用するなど)。Managed by the host/inviting organization (for example, with Conditional Access policies). 条件付きアクセスと ID 保護を使用して組織によって管理されます。Managed by the organization via Conditional Access and Identity Protection.
ブランド化Branding ホスト/招待元の組織のブランドが使用されます。Host/inviting organization's brand is used. アプリケーションまたは組織ごとの完全にカスタマイズ可能なブランド。Fully customizable branding per application or organization.
課金モデルBilling model 月間アクティブ ユーザー (MAU) に基づいた External Identities の価格External Identities pricing based on monthly active users (MAU).
(参照: B2B の設定の詳細)(See also: B2B setup details)
月間アクティブ ユーザー (MAU) に基づいた External Identities の価格External Identities pricing based on monthly active users (MAU).
(参照: B2C の設定の詳細)(See also: B2C setup details)
詳細情報More information ブログ記事ドキュメントBlog post, Documentation 製品ページドキュメントProduct page, Documentation

Azure AD External Identities を使用して、組織の境界を越えて、顧客とパートナーを保護および管理します。Secure and manage customers and partners beyond your organizational boundaries with Azure AD External Identities.

マルチテナント アプリケーションについてAbout multitenant applications

アプリをサービスとして提供していて、顧客のユーザー アカウントを管理したくない場合は、マルチテナント アプリが適切な選択肢になる可能性があります。If you're providing an app as a service and you don't want to manage your customers' user accounts, a multitenant app is likely the right choice for you. 他の Azure AD テナントを対象としたアプリケーションを開発する場合、1 つの組織のユーザー (シングル テナント) も、既に Azure AD テナントを所有している組織のユーザー (マルチテナント アプリケーション) も対象にすることができます。When you develop applications intended for other Azure AD tenants, you can target users from a single organization (single tenant), or users from any organization that already has an Azure AD tenant (multitenant applications). 既定では、Azure AD でのアプリの登録はシングル テナントですが、登録をマルチテナントにすることができます。App registrations in Azure AD are single tenant by default, but you can make your registration multitenant. このマルチテナント アプリケーションは、自身の Azure AD に一度だけ自分で登録します。This multitenant application is registered once by yourself in your own Azure AD. その後は追加で作業しなくても、任意の組織の Azure AD ユーザーであればだれでもそのアプリケーションを使用できます。But then any Azure AD user from any organization can use the application without additional work on your part. 詳細については、「マルチテナント アプリケーションでの ID 管理」、ハウツー ガイドを参照してください。For more information, see Manage identity in multitenant applications, How-to Guide.

次のステップNext steps