はじめに
こんにちは、くらっちです。
先日、Entra IDには2種類のテナントがあるということを知りました。
普段私たちが何気なく使っているEntra IDは従業員テナントと呼び、それとは別に外部テナントというものがあるそうです。
「外部テナントって何?」という疑問を解決すべく、調べた内容をまとめてみました。
目次
外部テナントとは
EntraIDは2種類のテナントが存在します。
・従業員テナント(Workforce Tenant)
・外部テナント(External Tenant)
従業員テナント(Workforce Tenant)
皆さんが想像するEntraIDは従業員テナントです。
これは、組織が Microsoft Azure、Microsoft Intune、Microsoft 365 などのサブスクリプションにサインアップしたときに自動的に作成される標準テナントです。
従業員テナントは、社員情報の管理、Teams・SharePoint・Power Platform・Outlookなどのビジネスアプリ、およびその他の組織リソースの管理を目的としています。
外部ユーザーとTeamsやSharePointなどMicrosoft365サービスで共同作業をしたい場合は従業員テナントを利用します。
外部テナント(External Tenant)
外部テナントは、外部ユーザーやビジネス顧客向けのWebアプリ提供で使用するテナントです。
Microsoft Entra の標準的なテナントモデルに従っていますが、従業員テナントとは別個であり切り離されています。
主な用途は、顧客向けに構築されたWebアプリを利用する際のアカウント管理を目的としています。外部ユーザーとの安全なコラボレーションを可能にします。
不特定多数の外部ユーザーにWebアプリを利用させたい場合は外部テナントを利用します。ただし、共同作業でTeamsを利用するなどの用途には使えません。
※Learnから引用
外部テナントにユーザーを追加する方法は2つあります。
1.管理者が招待する方法
2.セルフサービスサインアップ機能でユーザー自身にユーザー情報を登録してもらう方法
外部テナントで登録したユーザー情報は外部テナントでのみ管理されます。
Webアプリにログインできるユーザーは外部テナントで管理されているユーザーのみです。
逆に、従業員テナントで登録したユーザー情報は従業員テナントでのみ管理されます。
外部テナントに登録されているユーザーは従業員テナントで管理されているユーザーと連携されておらず同期を取ることもできません。
(テナント間同期機能も利用できません。)
外部テナントで多要素認証を利用する場合、利用できる認証は「ワンタイムパスコード」のみであり、条件付きアクセスポリシーの作成が必要なので注意して下さい。
外部テナントを作成する
以下、外部テナントを構築するまでの手順です。
サブスクリプションとリソースグループを作成する
1.管理者アカウントで Azure Portal に接続します。
2.サブスクリプションとリソースグループを作成してください。
外部テナントを作成する
3.管理者アカウントで Microsoft365管理センター にアクセスします。
※Azure PortalからEntraIDにアクセスした場合、外部テナントは作成できないので注意。
4.左メニューからEntraIDにアクセスします。
5.ID > 概要 > テナントの管理 をクリック
6.「+作成」をクリック
7.「外部」を選択して「続行」をクリック
8.「テナントを作る」で作成する外部テナントのテナント名、ドメイン名、場所を入力します。
※場所の選択肢に「日本」は含まれていないので注意。
9.「サブスクリプションの追加」をクリック
10.2で作成したサブスクリプションとリソースグループを選択します。
11.「確認および作成」をクリック
12.外部テナントが作成できたことを確認します。
参考
Microsoft Entra External ID における従業員と外部テナントの構成(Learn)
多要素認証 (MFA) をアプリに追加する(Learn)
ワークフォースと外部テナントでサポートされている機能
