Microsoft Entra B2B / External ID 完全ガイド｜パートナー招待・顧客認証・Cross-tenant Settings

Microsoft Entra B2B Collaboration は、外部組織 (取引先・パートナー企業・委託先) のユーザーを自社 Entra ID テナントに『ゲスト』として招待し、Microsoft 365 / Azure リソースへの共同作業を可能にする機能。コスト無料 (50,000 ゲストまで)、ゲストは自社 (出身組織) の Entra ID で認証 (Federated)、自社では Guest User として表示。代表的なシナリオ: 1) パートナー企業との SharePoint 共有プロジェクト、2) 委託先エンジニアへの Azure リソースアクセス、3) 顧客への Power BI レポート共有、4) Teams 招待ゲスト、5) Microsoft 365 Group メンバー外部追加。Cross-tenant Access Settings で許可組織を限定可能、Microsoft Entra External Identity の中核機能で、SC-300 / MS-102 試験で深く問われます。

B2B Collaboration: 外部組織のユーザーを自社 Entra ID テナントにゲスト招待、Microsoft 365 共同作業向け、ゲストは出身組織の Entra ID で認証 (Federated)、無料 (50,000 ゲストまで)。Microsoft Entra External ID for customers (旧 Azure AD B2C、2024 リブランド): エンドユーザー (顧客) 向けカスタムアプリ認証、独立した External Tenant、Email/Password・Social 認証 (Google・Facebook・Apple)、Custom Policy で UI / フロー完全カスタマイズ、MAU (Monthly Active Users) ベース課金。判断: 1) Microsoft 365 共同作業 (パートナー企業) → B2B、2) SaaS カスタムアプリの顧客認証 → External ID for customers、3) 両方混在する組織は両方併用。Microsoft は B2C を External ID for customers として 2024 年から段階的にリブランド、新規プロジェクトでは新ブランド名で構築が推奨されます。

標準的な B2B ゲスト招待フロー: 1) 招待者 (自社ユーザー) が Entra ID 管理者または Group Owner として、Entra ID 管理センターの『User → Invite external user』で外部メールアドレス入力、2) Microsoft が招待メールを外部ユーザーに送信 (Invitation Redemption Link 付き)、3) 外部ユーザーがリンクをクリック → Entra ID で認証 (自社 Entra ID or 個人 Microsoft アカウント)、4) Privacy Statement への同意 + 利用規約への同意、5) ゲストアカウントが自社 Entra ID テナントに作成 (UserType: Guest)、6) 招待時に指定された Group / SharePoint / Teams にアクセス権付与、7) 以降は通常ユーザーのように Microsoft 365 / Azure リソースアクセス可能。Invitation Redemption Process の自動化 (Self-Service Sign-up・SharePoint Sharing Link 経由・Teams 招待自動受諾) で運用負荷削減可能、エンタープライズでは Access Package + Entitlement Management 経由の自動招待が標準パターンです。

Cross-tenant Access Settings は、Entra ID テナント間 (自社 ↔ 外部組織) のアクセス制御を集中管理する機能 (2022 GA)。3 つの設定軸: 1) Inbound Access (外部組織から自社へのアクセス、B2B Collaboration / Direct Connect)、2) Outbound Access (自社ユーザーが外部組織にアクセス)、3) Microsoft Cloud Settings (Azure Government・Azure China との Cross-cloud)。Default Settings (全外部組織共通) + Organizational Settings (特定組織別カスタマイズ) で柔軟設定。代表的な構成: 1) Default で全ゲスト招待 Allow + MFA 強制、2) Specific Partner (主要 5 社) は Direct Connect 有効化、3) Untrusted Country (中国・ロシア組織) からの B2B 招待を Block。Conditional Access for Cross-tenant で 詳細制御 (デバイス Compliance 要求・Sign-in Risk 評価) も可能、本番運用ではセキュリティ + 業務利便性のバランスが重要です。

External ID for customers の構成手順: 1) External Tenant 作成 (Workforce Tenant とは別の独立テナント、無料プラン: 月 50,000 MAU まで)、2) User Flow (組み込み認証フロー、Sign up + Sign in・Password Reset・Profile Edit) を構成、3) Identity Provider 追加 (Email + Password 標準、Google / Facebook / Apple ID / GitHub 追加可)、4) Branding カスタマイズ (Company Logo・Background Image・Custom CSS・Custom HTML)、5) Application Registration でアプリ登録、6) MSAL ライブラリで認証実装 (Authorization Code + PKCE Flow)、7) Custom Attribute (ユーザー登録時の追加項目) 定義。Premium プラン (MAU 課金) で高度機能 (Custom Policy・Phone Auth・Risk-based Conditional Access) が利用可能。代表的なユースケース: BtoC EC サイト・SaaS カスタマーポータル・モバイルアプリの顧客認証・Web アプリのユーザー登録基盤です。

Entitlement Management の Access Package で B2B 招待プロセスを自動化する標準パターン: 1) Access Package 作成 (例: 『パートナーポータル参加』)、2) Resources で SharePoint Site・Microsoft 365 Group・Azure リソースをパッケージ化、3) Policy 設定: For external users → Specific connected organizations または All configured connected organizations を選択、4) Approval Workflow 設定 (1 段階 / 2 段階承認・指定承認者)、5) Auto Assignment Policy で特定属性ユーザーへの自動付与、6) Lifecycle 設定 (有効期限・更新可否・Access Review との連携)、7) パートナーが申請可能な Portal URL を共有。利点: 1) IT 部門の手動招待作業削減、2) 承認プロセスの監査ログ完備、3) 期限切れで自動アクセス削除、4) Access Review で定期棚卸し。エンタープライズの大規模 B2B 運用で必須機能、Entra ID P2 ライセンス必要です。

重要施策: 1) Cross-tenant Access Settings で許可組織を明示的に制限 (全 Allow 設定は危険)、2) ゲストユーザーに Conditional Access ポリシー強制 (MFA 必須・Compliant Device 要求)、3) Access Package + Entitlement Management で招待プロセス自動化、4) Access Review で 3-6 ヶ月ごとにゲスト棚卸し → 不要ゲスト自動削除、5) Guest User Permission の Default を最小化 (Guest user access restrictions を Restricted に)、6) Microsoft Sentinel に B2B 招待 / Sign-in イベント送信 → KQL で異常検知、7) Cross-tenant Synchronization (B2B Auto Provisioning、2023 GA) で大規模パートナー組織との同期自動化、8) External Identity Branding でゲスト体験向上、9) Guest User の Lifecycle Workflows (退職した外部組織員の自動 Cleanup)、10) Data Loss Prevention で機密データへのゲストアクセス制限。本番運用では『便利さ + セキュリティ』の両立が課題、継続的なポリシーレビューが必須です。

SC-300 (Identity and Access Administrator Associate) のドメイン 1 (ID 管理 20-25%) で B2B / External ID が深く問われる本領域の本命認定。MS-102 (Microsoft 365 Administrator Expert) のドメイン 2 (Identity and Access)、SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の Identity 柱・外部 ID 統合、AZ-204 (Developer Associate) で開発者視点での External ID 認証実装、AZ-104 (Administrator) で基礎。Microsoft Entra B2B Collaboration と External ID for customers の区別・適切な使い分けが試験で頻出、エンタープライズ ID 管理者にとって必須スキルです。