適用対象: 次の内容が従業員テナントに適用されることを示す白いチェック マーク記号が付いた緑の円。 ワークフォース テナント (詳細)
Microsoft Entra企業間 (B2B) コラボレーションに関するよく寄せられる質問 (FAQ) は、新しいトピックを含むように定期的に更新されます。
B2B コラボレーションでのゲスト ユーザー サインイン エクスペリエンスの変更点
2025 年 7 月から、Microsoft は B2B コラボレーションのゲスト ユーザー サインイン エクスペリエンスの更新プログラムのロールアウトを開始します。 ロールアウトは 2025 年末まで継続されます。 この更新プログラムにより、ゲスト ユーザーは自分の組織のサインイン ページにリダイレクトされ、資格情報が提供されます。 ゲスト ユーザーには、ホーム テナントのブランドと URL エンドポイントが表示されます。 この手順により、使用するサインイン情報がより明確になります。 自分の組織で認証が成功すると、ゲスト ユーザーが組織に戻り、サインイン プロセスが完了します。
B2B コラボレーションユーザーは SharePoint Online と OneDrive にアクセスできますか。
はい。 ただし、ユーザー 選択ウィンドウを使用して SharePoint Online で既存のゲスト ユーザーを検索する機能は、既定では Off です。 既存のゲスト ユーザーを検索するオプションを有効にするには、ShowPeoplePickerSuggestionsForGuestUsers を On に設定します。 この設定は、テナント レベルで、またはサイト コレクション レベルで有効にできます。 この設定を変更するには、Set-SPOTenant および Set-SPOSite コマンドレットを使用します。 これらのコマンドレットにより、メンバーは、ディレクトリ内のすべての既存のゲスト ユーザーを検索できます。 テナント スコープの変更は、既にプロビジョニングされているオンライン サイトSharePointには影響しません。
B2B コラボレーション ユーザーはPower BIコンテンツにアクセスできますか?
はい。B2B コラボレーションを使用して、外部ゲスト ユーザーにPower BIコンテンツを
CSV のアップロード機能は、まだサポートされていますか。
はい。 .csv ファイルのアップロード機能の使用の詳細については、この PowerShell サンプルをご覧ください。
招待の電子メールは、どのようにカスタマイズできますか。
B2B 招待 API を使用して、招待元プロセスのほぼすべてをカスタマイズすることができます。
ゲスト ユーザーは、多要素認証方法をリセットできますか。
はい。 ゲスト ユーザーは、通常のユーザーと同じように、多要素認証方法をリセットできます。
多要素認証のライセンスに責任を持つのはどちらの組織ですか。
招待側組織が多要素認証を実行します。 招待側組織は、多要素認証を使用している B2B ユーザーに対する十分なライセンスがあることを確認する必要があります。
パートナー組織で、既に多要素認証を設定している場合はどうなりますか。 それらの多要素認証を信頼できますか。
クロス テナント アクセス設定を使用すると、他のMicrosoft Entra組織からの多要素認証とデバイス要求 (準拠要求とMicrosoft Entraハイブリッド参加済み要求) を信頼できます。
クロステナント アクセス設定に追加できる組織はいくつですか?
クロステナント アクセス設定は、他の組織との共同作業方法に関する設定を保存するディレクトリ内のポリシーです。 テナント間アクセス設定で追加できる組織の数に制限はありません。
遅れて送る招待状をどう使うことができますか?
組織で、B2B コラボレーション ユーザーを追加し、必要に応じてそれらのユーザーをアプリケーションにプロビジョニングして、招待を送信したいと考える場合があります。 B2B コラボレーションの招待 API を使用して、オンボード ワークフローをカスタマイズできます。
Exchange のグローバル アドレス一覧にゲスト ユーザーを表示できますか。
はい。 既定では、ゲスト オブジェクトは組織のグローバル アドレス一覧には表示されませんが、それらを表示可能にできます。 詳細については、グループごとのゲスト アクセスのMicrosoft 365に関する記事の「ゲストをグローバル アドレス一覧に追加する>」を参照してください。
ゲスト ユーザーを制限付き管理者にできますか。
もちろん。 詳細については、ゲスト ユーザーのロールへの追加に関するページをご覧ください。
Microsoft Entra B2B コラボレーションは、B2B ユーザーが Microsoft Entra 管理センターにアクセスできるようにしますか?
ユーザーに制限付き管理者のロールが割り当てられない限り、B2B コラボレーション ユーザーはMicrosoft Entra管理センターにアクセスする必要はありません。 ただし、制限付き管理者のロールを割り当てられている B2B コラボレーション ユーザーは portal にアクセスできます。 また、これらのいずれかの管理者ロールが割り当てられていないゲスト ユーザーがポータルにアクセスすると、ユーザーは、エクスペリエンスの特定の部分にアクセスできます。 ゲスト ユーザー ロールは、ディレクトリのアクセス許可の一部を持ちます。
ゲスト ユーザーのMicrosoft Entra管理センターへのアクセスをブロックできますか?
はい。管理センターまたはポータルへのゲスト ユーザー アクセスをブロックする条件付きアクセス ポリシーを作成できます。 条件付きアクセス ポリシーを構成する際に、ポリシーを適用する外部ユーザーの種類をきめ細かく制御できます。 このポリシーを構成する場合は、誤ってメンバーと管理者のアクセスをブロックしないように注意してください。 「外部ユーザーの条件付きアクセス」の詳細を確認する。
B2B コラボレーションMicrosoft Entraは多要素認証とコンシューマー電子メール アカウントをサポートしていますか?
はい。 多要素認証とコンシューマー電子メール アカウントの両方が、Microsoft Entra B2B コラボレーションでサポートされています。
Microsoft Entra B2B コラボレーション ユーザーのパスワード リセットをサポートしていますか?
Microsoft Entra テナントがユーザーのホーム ディレクトリである場合は、Microsoft Entra管理センターからユーザーのパスワードを設定できます。 ただし、別のMicrosoft Entra ディレクトリまたは外部 ID プロバイダーによって管理されているアカウントでサインインするゲスト ユーザーのパスワードを直接リセットすることはできません。 パスワードをリセットできるのは、ゲスト ユーザーまたはユーザーのホーム ディレクトリの管理者だけです。 ゲスト ユーザーに対するパスワード リセットの動作の例をいくつか次に示します。
"Guest" (UserType==Guest) とマークされているMicrosoft Entra テナント内のゲスト ユーザーは、https://aka.ms/ssprsetup を介して SSPR に登録できません。 このような種類のゲスト ユーザーは、 経由でのみ SSPR を実行することができます。
Microsoft アカウント (たとえば ) でサインインしたゲスト ユーザーは、Microsoft アカウントのセルフサービス パスワード リセット (SSPR) を使用して、自分のパスワードをリセットすることができます。 「Microsoft アカウントのパスワードをリセットする方法」をご覧ください。
Google アカウントまたはそれ以外の外部 ID プロバイダーでサインインしたゲスト ユーザーは、ID プロバイダーの SSPR 方法を使用して、自分のパスワードをリセットできます。 たとえば、Google アカウント のゲスト ユーザーは、「パスワードを変更または再設定する」の手順に従って自分のパスワードをリセットできます。
ID テナントが Just-In-Time (JIT) または "バイラル" テナントである場合 (つまり、個別のアンマネージド Azure テナント)、ゲスト ユーザーのみがパスワードをリセットできます。 場合によっては、組織が、従業員が仕事用メール アドレスを使用してサービスにサインアップするときに作成されるバイラル テナントの管理を引き継ぎます。 組織がバイラル テナントを引き継いだ後は、その組織の管理者しか、ユーザーのパスワードをリセットしたり SSPR を有効にしたりできなくなります。 必要に応じて、招待側の組織としては、ディレクトリからゲスト ユーザー アカウントを削除し、招待を再送信することができます。
ゲスト ユーザーのホーム ディレクトリが Microsoft Entra テナントの場合は、ユーザーのパスワードをリセットできます。 たとえば、ユーザーを作成したか、オンプレミスの Active Directoryからユーザーを同期し、その UserType を Guest に設定したとします。 このユーザーはディレクトリに所属しているため、Microsoft Entra管理センターからパスワードをリセットできます。
Microsoft Dynamics 365では、Microsoft Entra B2B コラボレーションのオンライン サポートを提供していますか?
はい。Dynamics 365 (オンライン) では、B2B コラボレーションMicrosoft Entraサポートされます。 詳細については、Dynamics 365の記事「B2B コラボレーションを Microsoft Entra使用するユーザーを招待する」を参照してください。
新しく作成した B2B コラボレーション ユーザー用の初期パスワードの有効期間はどうなっていますか。
Microsoft Entra IDには、すべてのMicrosoft Entraクラウド ユーザー アカウントに均等に適用される、一連の文字、パスワードの強度、アカウントロックアウトの要件が固定されています。 クラウド ユーザー アカウントは、次のような別の ID プロバイダーとフェデレーションされないアカウントです。
- Microsoft アカウント
- フェイスブック
- アクティブディレクトリフェデレーションサービス (Active Directory フェデレーション サービス (AD FS))
- (B2B コラボレーション用の) 別のクラウド テナント
フェデレーション アカウントの場合、パスワード ポリシーは、オンプレミス テナントに適用されるポリシーとユーザーの Microsoft アカウント設定に依存します。
組織で、アプリケーションにテナント ユーザーとゲスト ユーザーに対して異なるエクスペリエンスを設定したいと考える場合があります。 これを行うための標準的なガイダンスはありますか。 アイデンティティプロバイダーのクレームの存在は、使用する正しいモデルですか。
ゲスト ユーザーは、任意の ID プロバイダーを使用して認証できます。 詳細については、B2B コラボレーション ユーザーのプロパティに関するページをご覧ください。 UserType プロパティを使用して、ユーザー エクスペリエンスを決定します。 UserType 要求は、現在トークンに含まれていません。 アプリケーションでは、Microsoft Graph APIを使用してユーザーのディレクトリを照会し、UserType を取得する必要があります。
ソリューションを共有し、アイデアを提供するための B2B コラボレーション コミュニティにはどこからアクセスできますか。
B2B コラボレーションを向上させるためのフィードバックは絶えず受け付けています。 ユーザー シナリオ、ベスト プラクティス、B2B コラボレーションMicrosoft Entra気に入ったことを共有してください。 Microsoft Tech Community のディスカッションに参加してください。
また、B2B Collaboration Ideasでアイデアを送信し、今後の機能に投票することをお勧めします。
ユーザーがすぐに "準備" できるように、自動的に引き換えられる招待を送信できますか。 それとも、ユーザーは常に引き換えの URL をクリックする必要があるのですか。
UI、PowerShell スクリプト、または API を使用して、パートナー組織の他のユーザーを招待できます。 その後、招待元はゲスト ユーザーに共有アプリへの直接リンクを送信できます。 ほとんどの場合、メール招待状を開いて、引き換えの URL をクリックする必要はなくなります。 Microsoft Entra B2B コラボレーションへの招待の利用を参照してください。
招待されたパートナーがフェデレーションを使用して独自のオンプレミス認証を追加するとき、B2B コラボレーションはどのように機能しますか?
パートナーがオンプレミスの認証インフラストラクチャにフェデレーションされたMicrosoft Entra テナントを持っている場合、オンプレミスのシングル サインオン (SSO) が自動的に実現されます。 パートナーにMicrosoft Entra テナントがない場合は、新しいユーザー用にMicrosoft Entra アカウントが作成されます。
Azure AD B2C ローカル アカウントを B2B コラボレーションのMicrosoft Entra テナントに招待できますか?
いいえ。 Azure AD B2C ローカル アカウントは、Azure AD B2C テナントへのサインインにのみ使用できます。 アカウントを使用してMicrosoft Entraテナントにサインインすることはできません。 Azure AD B2C ローカル アカウントを B2B コラボレーションのMicrosoft Entra テナントに招待することはサポートされていません。
重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様に対して購入できなくなります。 詳細については、AZURE AD B2C を引き続き購入できますか?に関する FAQ を参照してください。
B2B ゲスト ユーザー Azureサポートするアプリケーションとサービスは何ですか?
すべてのMicrosoft Entra統合アプリケーションは、Azure B2B ゲスト ユーザーをサポートできますが、ゲスト ユーザーを認証するにはテナントとして設定されたエンドポイントを使用する必要があります。 また、ゲスト ユーザーがアプリに対して認証を行うと発行される SAML トークン内の要求をカスタマイズすることも必要になる場合があります。
パートナーが多要素認証を使用していない場合に、B2B ゲスト ユーザーに多要素認証を強制できますか。
はい。 詳細については、「B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。
SharePointでは、外部ユーザーの "許可" または "拒否" リストを定義できます。 Azureでこれを行うことができますか?
はい。 Microsoft Entra B2B コラボレーションでは、許可リストとブロックリストがサポートされます。
B2B Microsoft Entraどのようなライセンスを使用する必要がありますか?
組織で Microsoft Entra B2B を使用するために必要なライセンスの詳細については、「External ID の価格」を参照してください。
メールアドレスと UPN が一致しないユーザーを招待するとどうなりますか?
一概には言えません。 既定では、Microsoft Entra専用ではログイン ID に UPN が許可されます。 UPN と電子メールが同じ場合、B2B の招待とその後のサインインMicrosoft Entra想定どおりに機能します。 ただし、ユーザーのメールアドレスと UPN が一致せず、UPN の代わりにメールアドレスでサインインされると、問題が発生する可能性があります。 UPN 以外のメールで招待されたユーザーは、メール招待リンクを使用すると招待を引き換えることができますが、直接リンク経由での引き換えは失敗します。 ただし、ユーザーが招待を正常に利用した場合でも、別のログイン ID として電子メールを許可するように ID プロバイダー (Microsoft Entra IDまたはフェデレーション ID プロバイダー) が構成されていない限り、UPN 以外の電子メールを使用した後続のサインイン試行は失敗します。 この問題は以下の方法で軽減できます。
- 招待された/自宅のMicrosoft Entraテナントに代替ログイン ID として電子メールを登録する
- フェデレーション ID プロバイダーがログイン ID として電子メールをサポートできるようにする (Microsoft Entra IDが別の ID プロバイダーにフェデレーションされている場合) または
- UPN を使用して引き換え/サインインするようにユーザーに指示する。
この問題を完全に回避するには、管理者はユーザーの UPN とメールアドレスが同じ値であることを確認する必要があります。
ゲスト交換のフローを表すスクリーンショット。
その後のサインイン時のフローを示すスクリーンショット。
注
Microsoft クラウド間で送信される招待と引き換えでは、UPN を使用する必要があります。 現時点では、電子メールはサポートされていません。 たとえば、米国政府テナントのユーザーが商用テナントに招待される場合、ユーザーは UPN を使用して招待される必要があります。
インスタント オン: レプリケーションの待機時間が発生する原因は?
B2B コラボレーションのフローでは、ユーザーをディレクトリに追加し、招待の使用、アプリ割り当てなどの際に動的に更新します。 更新と書き込みは、通常、1 つのディレクトリ インスタンスで行い、すべてのインスタンス間でレプリケートする必要があります。 すべてのインスタンスが更新されると、レプリケーションが完了します。 いずれかのインスタンスでオブジェクトの書き込みまたは更新が行われ、そのオブジェクトを取得する呼び出しが別のインスタンスに対して行われた場合は、レプリケーションの遅延が発生する可能性があります。 その場合は、更新または再試行が役立つことがあります。 API を使用してアプリを作成する場合は、バックオフを伴う再試行がこの問題を軽減するための良い防御的な方法です。
アプリは Google の WebView の非推奨と Microsoft の OTP の既定値に対応していますか?
2021 年 1 月 4 日以降、Google は WebView サインインのサポートを非推奨にしました。 Gmail で Google フェデレーションまたはセルフサービス サインアップを使用している場合は、基幹業務ネイティブ アプリケーションの互換性をテストする必要があります。 すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能をオフにすると、フォールバック認証方法は、Microsoft アカウントの作成を招待者に求める方法です。