Microsoft Entra テナントを構成するには、組織がテナントを使用する方法と管理するリソースに応じて、2 つの方法があります。
- 従業員テナント構成は、従業員、社内ビジネス アプリ、およびその他の組織リソースを対象としています。 B2B コラボレーションは、従業員テナントで外部のビジネス パートナーやゲストと共同作業するために使用されます。
- 外部テナント構成は、コンシューマーまたはビジネス顧客にアプリを公開する外部 ID シナリオでのみ使用されます。
この記事では、従業員テナントと外部テナントで使用できる機能の詳細な比較を示します。
Note
プレビュー段階では、Premium ライセンスを必要とする機能を外部テナントで使用することはできません。
一般的な機能の比較
次の表は、従業員テナントと外部テナントで使用できる一般的な機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 外部 ID のシナリオ | ビジネス パートナーやその他の外部ユーザーが従業員と共同作業できるようにします。 ゲストは、招待またはセルフサービス サインアップを通じて、ビジネス アプリケーションに安全にアクセスできます。 | 外部 ID を使用して、アプリケーションをセキュリティで保護します。 コンシューマーとビジネス顧客は、セルフサービス サインアップを通じてコンシューマー アプリに安全にアクセスできます。 招待もサポートされています。 |
| ローカル アカウント | ローカル アカウントは、組織の内部メンバーに対してのみサポートされます。 | ローカル アカウントは、次の目的でサポートされています。
|
| グループ | グループを使用して、管理アカウントとユーザー アカウントを管理できます。 | グループを使用して、管理アカウントを管理できます。 Microsoft Entra のグループとアプリケーション ロールのサポートは、顧客テナントへと段階的に移行されています。 最新の情報を確認するには、「グループとアプリケーション ロールのサポート」を参照してください。 |
| ロールと管理者 | ロールと管理者は、管理アカウントとユーザー アカウントで完全にサポートされています。 | ロールは、すべてのユーザーでサポートされています。 外部テナントのすべてのユーザーには、管理者ロールが割り当てられている場合を除き、既定のアクセス許可があります。 |
| ID 保護 | Microsoft Entra テナントに対して継続的なリスク検出が提供されます。 これにより、組織は ID ベースのリスクを検出、調査し、修復できます。 | 使用できません |
| ID ガバナンス | 組織が ID とアクセスのライフサイクルを管理し、特権アクセスをセキュリティで保護できるようにします。 詳細情報。 | 使用できません |
| セルフサービス パスワード リセット | ユーザーが最大 2 つの認証方法を使用してパスワードをリセットできるようにします (使用可能な方法については、次の行を参照してください)。 | ユーザーがワンタイム パスコード付きのメールを使用してパスワードをリセットできるようにします。 詳細情報。 |
| 言語のカスタマイズ | ユーザーが企業イントラネットまたは Web ベースのアプリケーションに対して認証を行うときに、ブラウザーの言語に基づいてサインイン エクスペリエンスをカスタマイズします。 | サインインおよびサインアップ プロセスの一環として顧客に表示される文字列を言語に応じて変更します。 詳細情報。 |
| カスタム属性 | ディレクトリ拡張属性を使用すると、ユーザー オブジェクト、グループ、テナントの詳細、およびサービス プリンシパルに関して、より多くのデータを Microsoft Entra ディレクトリに格納できます。 | ディレクトリ拡張属性を使用すると、ユーザー オブジェクトに関して、より多くのデータを顧客ディレクトリに格納できます。 カスタム ユーザー属性を作成して、サインアップ ユーザー フローに追加できます。 詳細情報。 |
| 料金 | B2B コラボレーション外部ゲスト (UserType=Guest) に対して、月間アクティブ ユーザー (MAU) に基づく価格を適用します。 | ロールまたは UserType に関係なく、外部テナント内のすべてのユーザーに対する月間アクティブ ユーザー (MAU) の価格。 |
外観のカスタマイズ
次の表は、従業員テナントと外部テナントで使用できる外観のカスタマイズに関する機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 会社のブランド | すべてのサインイン エクスペリエンスに適用される会社のブランドを追加して、ユーザーに一貫したエクスペリエンスを提供できます。 | 従業員テナントと同じ。 詳細情報 |
| 言語のカスタマイズ | ブラウザー言語でサインイン エクスペリエンスをカスタマイズできます。 | 従業員テナントと同じ。 詳細情報 |
| カスタム ドメイン名 | 管理アカウントに対してのみ、カスタム ドメインを使用できます。 | 外部テナントの カスタム URL ドメイン 機能を使用すると、独自のドメイン名でアプリのサインイン エンドポイントをブランド化できます。 |
| モバイル アプリのネイティブ認証 | 使用できません | Microsoft Entra のネイティブ認証を使用すると、モバイル アプリケーションのサインイン エクスペリエンスの設計を完全に制御することができます。 |
独自のビジネス ロジックの追加
カスタム認証拡張機能を使用すると、外部システムと統合することで、Microsoft Entra 認証エクスペリエンスをカスタマイズできます。 カスタム認証拡張機能は基本的にイベント リスナーであり、アクティブになると、独自のビジネス ロジックを定義できる REST API エンドポイントへの HTTP 呼び出しを行います。 次の表は、従業員テナントと外部テナントで使用できるカスタム認証拡張機能のイベントを比較したものです。
| イベント | 従業員テナント | 外部テナント |
|---|---|---|
| TokenIssuanceStart | 外部システムからの要求を追加します。 | 外部システムからの要求を追加します。 |
| OnAttributeCollectionStart | 使用できません | サインアップの属性収集ステップの開始時、属性収集ページがレンダリングされる前に発生します。 値の事前入力やブロッキング エラーの表示などのアクションを追加できます。 詳細情報 |
| OnAttributeCollectionSubmit | 使用できません | サインアップ フロー中、ユーザーが属性を入力して送信した後に発生します。 ユーザーの入力の検証や変更などのアクションを追加できます。 詳細情報 |
| OTP送信時 | 使用できません | ワンタイム パスコード送信イベントのカスタム 電子メール プロバイダーを構成します。 詳細情報 |
ID プロバイダーと認証方法
次の表は、従業員テナントと外部テナントでプライマリ認証と多要素認証 (MFA) に使用できる ID プロバイダーと方法を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 外部ユーザーの ID プロバイダー (プライマリ認証) | セルフサービス サインアップ ゲストの場合 - Microsoft Entra アカウント - Microsoft アカウント - ワンタイム パスコードの電子メール送信 - Google フェデレーション - Facebook フェデレーション 招待されたゲストの場合 - Microsoft Entra アカウント - Microsoft アカウント - ワンタイム パスコードの電子メール送信 - Google フェデレーション - SAML/WS-Fed フェデレーション |
セルフサービス サインアップ ユーザー (コンシューマー、ビジネス ユーザー) - Microsoft Entra 外部 ID で使用できる認証方法 招待されたゲストの場合 (プレビュー) ディレクトリ ロールで招待されたゲスト (管理者など): - Microsoft Entra アカウント - Microsoft アカウント - ワンタイム パスコードの電子メール送信 - SAML/WS-Fed フェデレーション |
| MFA の認証方法 | 内部ユーザーの場合 (従業員と管理者) - 認証方法と検証方法 ゲストの場合 (招待またはセルフサービス サインアップ) - ゲスト MFA の認証方法 |
セルフサービス サインアップ ユーザー (コンシューマー、ビジネス ユーザー) - Microsoft Entra 外部 ID で使用できる認証方法 招待されたユーザーの場合 (プレビュー) - ワンタイム パスコードを電子メールで送信します - SMS ベースの認証 |
Microsoft Entra 外部 ID で使用できる認証方法
一部の認証方法は、ユーザーがユーザー名やパスワードなど、アプリケーションにサインインするときに主な要素として使用できます。 その他の認証方法は、セカンダリ要素としてのみ使用できます。 次の表は、Microsoft Entra 外部 ID でのサインイン、セルフサービス サインアップ、セルフサービス パスワード リセット、多要素認証 (MFA) の間に認証方法を使用できる場合の概要を示しています。
| メソッド | サインイン | サインアップ | パスワードのリセット | MFA |
|---|---|---|---|---|
| メールとパスワード | 
|
|
||
| ワンタイム パスコードの電子メール送信 |
|
|
|
|
| SMS ベースの認証 |
|
|||
| Apple フェデレーション |
|
|
||
| Facebook フェデレーション |
|
|
||
| Google フェデレーション |
|
|
||
| Microsoft 個人用アカウント (OpenID Connect) |
|
|
||
| OpenID Connect フェデレーション |
|
|
||
| SAML/WS-Fed フェデレーション |
|
|
アプリケーションの登録
次の表は、それぞれのテナントの種類でアプリケーションの登録に使用できる機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| プロトコル | SAML 証明書利用者、OpenID Connect、および OAuth2 | SAML 証明書利用者、OpenID Connect、および OAuth2 |
| サポートされているアカウントの種類 | 次のアカウントの種類:
|
常に「この組織ディレクトリのみに含まれるアカウント (シングル テナント)」を使用します。 |
| プラットフォーム | 次のプラットフォーム:
|
次のプラットフォーム:
|
| 認証>リダイレクト URI | ユーザーの認証またはサインアウトが完了した後で、認証応答 (トークン) を返すときに Microsoft Entra ID が宛先として受け入れる URI。 | 従業員テナントと同じ。 |
| 認証>フロントチャネル ログアウト URL | この URL では、アプリケーションがユーザーのセッション データをクリアするように Microsoft Entra ID が要求を送信します。 フロントチャネル ログアウト URL は、シングル サインアウトを正常に行うために必要です。 | 従業員テナントと同じ。 |
| 認証>暗黙的な許可およびハイブリッド フロー | アプリケーションが承認エンドポイントからトークンを直接要求します。 | 従業員テナントと同じ。 |
| 証明書とシークレット | 複数の資格情報: | 従業員テナントと同じ。 |
| 証明書とシークレット>ローテーション | クライアント資格情報を更新して、有効で安全な状態を維持しながら、ユーザーは引き続きサインインできるようにします。 証明書、 シークレット、 およびフェデレーション資格情報 は、新しい資格情報を追加してから古い資格情報を削除することでローテーションできます。 | 従業員テナントと同じ。 |
| 証明書とシークレット>政策 | シークレットと証明書の制限を適用するように アプリケーション管理ポリシー を構成します。 | 使用できません |
| API のアクセス許可 | アプリケーションへのアクセス許可を追加、削除、または置換できます。 アプリケーションにアクセス許可が追加された後は、ユーザーまたは管理者が新しいアクセス許可に同意する必要があります。 Microsoft Entra ID でアプリの要求されたアクセス許可を更新する方法について、詳細を確認してください。 | 許可されるのは、Microsoft Graph の offline_access、openid、User.Read、および [自分の API] の委任されたアクセス許可です。 管理者のみが組織を代表して同意できます。 |
| API の公開 | API によって保護されているデータと機能へのアクセスを制限するカスタム スコープを定義します。 この API の一部にアクセスする必要があるアプリケーションは、ユーザーまたは管理者がそれらのスコープのうち 1 つ以上に同意するよう要求できます。 | API によって保護されているデータと機能へのアクセスを制限するカスタム スコープを定義します。 この API の一部にアクセスする必要があるアプリケーションは、管理者がそれらのスコープのうち 1 つ以上に同意するよう要求できます。 |
| 所有者 | アプリケーション所有者は、アプリケーションの登録を表示および編集できます。 また、アプリケーションを管理するための管理者特権を持つ任意のユーザー (一覧に示されていない場合もあります) も、アプリケーションの登録を表示および編集できます (クラウド アプリケーション管理者など)。 | 従業員テナントと同じ。 |
| ロールと管理者 | 管理者ロールは、Microsoft Entra ID の特権アクションへのアクセスを許可するために使用されます。 | 外部テナントのアプリには、クラウド アプリケーション管理者ロールのみを使用できます。 このロールは、アプリケーションの登録とエンタープライズ アプリケーションに関するすべての側面について、作成と管理の権限を付与します。 |
アプリケーションのアクセス制御
次の表は、テナントの種類ごとにアプリケーションの承認に使用できる機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| ロールベースのアクセス制御 (RBAC) | アプリケーションのアプリケーション ロールを定義し、それらのロールをユーザーとグループに割り当てることができます。 Microsoft Entra ID には、セキュリティ トークンにユーザー ロールが含まれています。 その後、アプリケーションは、セキュリティ トークンの値に基づいて承認の決定を行うことができます。 | 従業員テナントと同じ。 外部テナントでのアプリケーションのロールベースのアクセス制御の使用について、詳細を確認してください。 使用可能な機能については、 グループとアプリケーション ロールのサポートに関する説明を参照してください。 |
| セキュリティ グループ | セキュリティ グループを使用して、アプリケーションに RBAC を実装できます。このアプリケーションでは、特定のグループ内のユーザーのメンバーシップがロール メンバーシップとして解釈されます。 Microsoft Entra ID には、セキュリティ トークンにユーザー グループ メンバーシップが含まれています。 その後、アプリケーションは、セキュリティ トークンの値に基づいて承認の決定を行うことができます。 | 従業員テナントと同じ。 グループの省略可能な要求は、グループ オブジェクト ID に制限されます。 |
| 属性ベースのアクセス制御 (ABAC) | アクセス トークンにユーザー属性を含むようにアプリを構成できます。 その後、アプリケーションは、セキュリティ トークンの値に基づいて承認の決定を行うことができます。 詳細については、「トークンの カスタマイズ」を参照してください。 | 従業員テナントと同じ。 |
| ユーザー割り当ての要求 | ユーザー割り当てが要求される場合は、アプリケーションに (直接のユーザー割り当てを使用して、またはグループ メンバーシップに基づいて) 割り当てたユーザーのみがサインインできます。 詳細については、アプリケーションへのユーザーとグループの割り当ての管理に関するページを参照してください。 | 従業員テナントと同じ。 詳細については、 グループとアプリケーション ロールのサポートに関するページを参照してください。 |
エンタープライズ アプリケーション
次の表は、従業員と外部テナントでの エンタープライズ アプリケーション の登録に使用できる一意の機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| アプリケーション ギャラリー | アプリケーション ギャラリーには、Microsoft Entra ID に事前に割り当てられている何千ものアプリケーションが含まれています。 | アプリケーション ギャラリー カタログは使用できません。 アプリを検索するには、代わりに検索バーを使用します。 |
| ID プロバイダー (IdP) によって開始されるサインイン | シングル サインオンには SAML 2.0 ID プロバイダー (IdP) を使用します。 | 使用できません。 |
| セルフサービス | ユーザー がアプリを自己検出できるようにします。 | マイ アプリ ポータルのセルフサービスは使用できません。 |
| アプリケーション プロキシ | Microsoft Entra アプリケーション プロキシ は、オンプレミスの Web アプリケーションへの安全なリモート アクセスを提供します。 | 使用できません。 |
エンタープライズ アプリケーションの同意とアクセス許可の機能
次の表は、テナントの種類ごとにエンタープライズ アプリケーションで使用できる同意とアクセス許可の機能を示しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| エンタープライズ アプリケーションの管理者の同意 | テナント全体の管理者アクセス許可を付与したり、それらを確認したり取り消したりすることもできます。 | 従業員テナントと同じ。 |
| エンタープライズ アプリケーションに対するユーザーの同意 | ユーザーがアプリケーションに同意する方法を構成し、これらのアクセス許可を更新できます。 | 管理者の同意を必要としないアクセス許可に限定されます。 |
| 管理者の同意を確認または取り消す | アクセス許可を確認して取り消します。 | Microsoft Entra 管理センターを使用して、管理者 の同意を取り消します。 |
| ユーザーの同意を確認または取り消す | アクセス許可を確認して取り消します。 | Microsoft Graph API または PowerShell を使用して、ユーザーの同意を取り消します。 |
| アプリにユーザーまたはグループを割り当てる | 個々の割り当てまたはグループベースの割り当てで アプリへのアクセスを管理 できます。 入れ子になったグループ メンバーシップは現在サポートされていません。 | 従業員テナントと同じ。 |
| アプリのロールに対するロールベースのアクセス制御 (RBAC) | きめ細かな アクセス制御のためにロールを定義して割り当てることができます。 | 従業員テナントと同じ。 |
OpenID Connect と OAuth2 のフロー
次の表は、それぞれのテナントの種類で OAuth 2.0 と OpenID Connect の承認フローに使用できる機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| OpenID Connect | あり | あり |
| 承認コード | あり | あり |
| 承認コードと Code Exchange (PKCE) | あり | あり |
| クライアント資格情報 | あり | v2.0 アプリケーション (プレビュー) |
| デバイス承認 | あり | プレビュー |
| On-Behalf-Of フロー | あり | あり |
| 暗黙的な許可 | あり | あり |
| リソース所有者のパスワード資格情報 | あり | なし。モバイル アプリケーションではネイティブ認証を使用します。 |
OpenID Connect と OAuth2 のフローでの機関 URL
機関 URL は、MSAL がトークンを要求できるディレクトリを示す URL です。 外部テナントのアプリには、常に <tenant-name>.ciamlogin.com という形式を使用します。
次の JSON は、機関 URL を含む .NET アプリケーション用の appsettings.json ファイルの例を示しています。
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
条件付きアクセス
次の表は、それぞれのテナントの種類で条件付きアクセスに使用できる機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 割り当て | ユーザー、グループ、およびワークロード ID | [すべてのユーザー] を含め、ユーザーとグループを除外します。 詳細については、「多要素認証 (MFA) をアプリに追加する」を参照してください。 |
| ターゲット リソース | ||
| 条件 | ||
| 許可 | リソースへのアクセスの許可またはブロック | |
| セッション | セッション制御 | 使用できません |
使用条件ポリシー
次の表は、テナントの各種類の利用規約ポリシーで使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 条件付きアクセス ポリシー | Microsoft Entra の使用条件 | 使用できません |
| セルフサービス サインアップ | 使用できません | サインアップ ページで、利用規約ポリシーにリンクされている 必要な属性 を追加します。 ハイパーリンクは、さまざまな言語をサポートするようにカスタマイズできます。 |
| サインイン ページ | 会社のブランドを使用してプライバシー情報の右下隅に追加できるリンク。 | 労働力と同じです。 |
アカウント管理
次の表は、それぞれのテナントの種類でユーザー管理に使用できる機能を比較したものです。 表に記載されているように、特定のアカウントの種類は、招待またはセルフサービス サインアップを通じて作成されます。 テナントのユーザー管理者は、管理センターを使用してアカウントを作成することもできます。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| アカウントの種類 |
|
|
| ユーザー プロファイル情報の管理 |
|
従業員と同じですが、テナント間の同期は使用できません。 |
| ユーザーのパスワードのリセット | パスワードを忘れた場合、ユーザーがデバイスからロックアウトされた場合、またはユーザーがパスワードを受け取っていない場合、管理者はユーザーのパスワードをリセットできます。 | 従業員テナントと同じ。 |
| 最近削除されたユーザーの復元または削除 | ユーザーを削除した後、アカウントは 30 日間、中断状態のままになります。 その 30 日の期間中は、ユーザー アカウントをそのすべてのプロパティと共に復元することができます。 | 従業員テナントと同じ。 |
| アカウントの無効化 | 新しいユーザーがサインインできないようにします。 | 従業員テナントと同じ。 |
パスワード保護
次の表は、それぞれのテナントの種類でパスワード保護に使用できる機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| スマート ロックアウト | スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方式を使用して侵入を試みたりする悪意のあるユーザーのロックアウトを支援します。 | 従業員テナントと同じ。 |
| カスタム禁止パスワード | Microsoft Entra のカスタム禁止パスワード リストを使用して、評価およびブロックする特定の文字列を追加できます。 | 使用できません。 |
トークンのカスタマイズ
次の表は、それぞれのテナントの種類でトークンのカスタマイズに使用できる機能を比較したものです。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 要求のマッピング | エンタープライズ アプリケーション用に JSON Web Token (JWT) で発行される要求をカスタマイズできます。 | 従業員テナントと同じ。 オプションの要求は、[属性と要求] を使用して構成する必要があります。 |
| 要求の変換 | エンタープライズ アプリケーション用に JSON Web Token (JWT) で発行されるユーザー属性に変換を適用できます。 | 従業員テナントと同じ。 |
| カスタム クレーム プロバイダー | 外部システムから要求をフェッチするために、外部 REST API を呼び出すカスタム認証拡張機能。 | 従業員テナントと同じ。 詳細情報 |
| セキュリティ グループ | グループのオプション要求を構成できます。 | グループのオプション要求の構成は、グループ オブジェクト ID に制限されています。 |
| トークンの有効期間 | Microsoft Entra ID によって発行されるセキュリティ トークンの有効期間を指定できます。 | 従業員テナントと同じ。 |
| セッションとトークンの失効 | 管理者は、ユーザー のすべての更新トークンとセッションを無効 にすることができます。 | 従業員テナントと同じ。 |
単一サインイン
シングル サインオン (SSO) を使用すると、ユーザーが資格情報を要求される回数を減らすことで、よりシームレスなエクスペリエンスを実現できます。 ユーザーは資格情報を 1 回入力します。確立されたセッションは、同じデバイスと Web ブラウザー上の他のアプリケーションが、それ以上のプロンプトを表示せずに再利用できます。 次の表は、テナントの種類ごとに SSO に使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| アプリケーション登録の種類 |
|
|
| ドメイン名 | ユーザーが認証を行うと、Web ブラウザーの Microsoft Entra ドメイン login.microsoftonline.com にセッション Cookie が設定されます。 |
ユーザーが認証を行うと、Microsoft Entra 外部 ID ドメイン <tenant-name>.ciamlogin.com または Web ブラウザーの カスタム URL ドメイン にセッション Cookie が設定されます。 SSO 機能を正しく機能させるには、1 つの URL ドメインを使用します。 |
| サインインしたままにする | サインインしたままにするオプションを有効または無効にすることができます。 | 従業員テナントと同じ。 |
| ユーザー プロビジョニング | System for Cross-___domain Identity Management (SCIM) で 自動ユーザー プロビジョニングを 使用して、Microsoft Entra External ID とサポートされているアプリの間でユーザー アカウントを同期します。 これにより、ユーザー データが自動的に最新の状態に維持されます。 ユーザー プロビジョニングでは、差分クエリがサポートされます。 これらのクエリは、前回の更新以降の変更のみを同期します。 これにより、パフォーマンスが向上し、システムの負荷が軽減されます。 | 従業員テナントと同じ。 |
| セッションの無効化 | SSO が無効になる可能性があり、再認証が必要なシナリオ:
|
従業員テナントと同じ。 |
| 条件付きアクセス | [条件付きアクセス] セクションを確認します。 | [条件付きアクセス] セクションを確認します。 |
| Microsoft Entra のネイティブ認証 | 使用できません | ネイティブ認証 では SSO はサポートされていません。 |
| サインアウト | SAML または OpenID Connect アプリケーションがユーザーをログアウト エンドポイントに誘導すると、Microsoft Entra ID によってユーザーのセッションがブラウザーから削除され、無効になります。 | 従業員テナントと同じ。 |
| シングル サインアウト | サインアウトが成功すると、Microsoft Entra ID は、ユーザーがサインインしている他のすべての SAML および OpenID Connect アプリケーションにログアウト通知を送信します。 | 従業員テナントと同じ。 |
アクティビティ ログとレポート
次の表は、さまざまな種類のテナントのアクティビティ ログとレポートで使用できる機能を比較しています。
| 機能 | 従業員テナント | 外部テナント |
|---|---|---|
| 監査ログ | アプリケーション、グループ、ユーザーの変更など、Microsoft Entra ID に記録されたすべてのイベントの詳細なレポート。 | 従業員テナントと同じ。 |
| サインイン ログ | サインイン ログは、アプリケーションやリソースへのアクセスを含め、Microsoft Entra テナント内のすべてのサインイン アクティビティを追跡します。 | 従業員テナントと同じ。 |
| サインアップ ログ (プレビュー) | 使用できません | Microsoft Entra External ID は、サインアップの成功と失敗した試行の両方を含め、すべてのセルフサービス サインアップ イベントをログに記録します。 |
| プロビジョニング ログ | プロビジョニング ログには、ユーザー アカウントの作成、更新、削除など、テナント内のプロビジョニング イベントの詳細なレコードが表示されます。 | 使用できません |
| 保持ポリシーのアクティビティ ログ | Microsoft Entra データ保持ポリシーは、さまざまな種類のログ (監査、サインイン、プロビジョニング ログなど) の保存期間を決定します。 | 7 日間 |
| アクティビティ ログのエクスポート | Microsoft Entra ID の診断設定を使用すると、ログを Azure Monitor と統合したり、ログをイベント ハブにストリーミングしたり、セキュリティ情報およびイベント管理 (SIEM) ツールと統合したりできます。 | Azure Monitor 外部テナント用 (プレビュー) |
| アプリケーション ユーザー アクティビティ レポート | 使用できません | アプリケーション ユーザー アクティビティは、ユーザーがテナント内の登録済みアプリケーションと対話する方法に関する分析を提供します。 アクティブ ユーザー、新しいユーザー、サインイン、多要素認証 (MFA) 成功率などのメトリックを追跡します。 |
Microsoft Graph API
外部テナントでサポートされているすべての機能は、Microsoft Graph API を使用した自動化でもサポートされています。 外部テナントでプレビュー段階にある機能の一部が、Microsoft Graph を通じて一般提供される場合があります。 詳細については、「Microsoft Graph を使用して Microsoft Entra ID とネットワーク アクセス機能を管理する」を参照してください。