外部テナントでのユーザーの既定のアクセス許可
適用対象: 
従業員テナント 
外部テナント (詳細情報)
"外部" 構成の Microsoft Entra テナントは、Microsoft Entra 外部 ID シナリオにのみ使用されます。 外部テナントを使うと、企業の従業員のディレクトリと顧客向けアプリのディレクトリを明確に分離できます。 さらに、外部テナントで作成されたユーザーは、外部テナント内の他のユーザーに関する情報へのアクセスを制限されます。 既定では、顧客は他のユーザー、グループ、またはデバイスに関する情報にアクセスできません。
外部テナントには、次のユーザーの種類を含めることができます。
外部ユーザー: これらのユーザーは、外部テナントに登録されているアプリのコンシューマーおよびビジネス ユーザーです。 ローカル アカウントを持っていますが、外部で認証します。 外部ユーザーは既定のユーザーアクセス許可に制限され、ロールを割り当てることはできません。 通常はセルフサービス サインアップによって作成されますが、Microsoft Entra 管理センターまたは Microsoft Graph の [新しい外部ユーザーの作成] オプションを使用して作成できます。
内部ユーザー: これらのユーザー (通常は管理者) は内部で認証され、外部テナントで Microsoft Entra ロールが割り当てられています。 ロールを割り当てない場合は、既定のユーザー アクセス許可が付与されます。 管理センターまたは Microsoft Graph の [新しいユーザーの作成] オプションを使用して、内部ユーザーを作成できます。
招待されたユーザー は、独自の外部資格情報でサインインし、外部テナントで Microsoft Entra ロールを割り当てられたユーザー (通常は管理者) です。 ロールを割り当てない場合は、既定のユーザー アクセス許可が付与されます。 管理センターまたは Microsoft Graph の [外部ユーザーの招待] オプションを使用して、ユーザー を招待できます。
既定のアクセス許可
次の表では、外部テナントのお客様のユーザーに割り当てられた既定のアクセス許可について説明します。
- セルフサービス サインアップを使用するユーザー
- 管理者によって作成されたユーザー
- 招待されたユーザー
| 領域 | 顧客ユーザーのアクセス許可 |
|---|---|
| ユーザーと連絡先 | - アプリ プロファイル管理エクスペリエンスを介して独自のプロファイルを読み取り、更新する - 自分のパスワードを変更する - ローカル アカウントまたはソーシャル アカウントでサインインする |
| アプリケーション | - アプリケーションにアクセスする - アプリケーションへの同意を取り消す |
Microsoft Graph API とアクセス許可
次の表は、顧客がプロファイル情報を管理できるようにする API 操作を示しています。 ユーザー ID または userPrincipalName は、常にサインインしているユーザーの ID です。
| ユーザー操作 | API 操作 | 必要なアクセス許可 |
|---|---|---|
| プロファイルの読み取り | GET /me または GET /users/{id または userPrincipalName} | User.Read |
| プロファイルの更新 | PATCH /me または PATCH /users/{id または userPrincipalName} 更新可能なプロパティ: city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname、preferredLanguage |
User.ReadWrite |
| [パスワードの変更] | POST /me/changePassword | Directory.AccessAsUser.All |