Microsoft Entra ID で外部ユーザーを内部ユーザーに変換する機能がパブリックプレビューとなっていました。
実際に検証をしてみます。
機能の用途
組織の再編、合併、買収等の際に使う機能。
今まで外部ユーザーとして組織に登録されていたユーザーを内部ユーザーにするには、今までは
・外部ユーザーを削除
・新たにユーザーを作成
する必要がありました。
今回のアップデートで、外部ユーザーを内部ユーザーに変換する機能が追加されました。
<ユーザーの定義>
内部ユーザー:ローカルテナントで認証を行うユーザー
外部ユーザー:別の組織の Entra ID、Google フェデレーション、Microsoft アカウントなどで認証を行うユーザー
外部ユーザーの変換
Graph API もしくは Entra ID ポータルを使用して実行可能です。
クラウドユーザーも Active Directory 同期ユーザーも、どちらも変換可能です。
今回は別の組織のクラウドユーザーでテストを実施します。
・あらかじめ、テストテナントに組織外のクラウドユーザーを組織に招待しておく。
・Microsoft Entra 管理センターに [ユーザー管理者] 以上でサインインする。今回はテストなのでグローバル管理者で実施。
・[ID] > [ユーザー] > [すべてのユーザー] より変換したい外部ユーザーを表示する。
・[B2B コラボレーション] の [内部ユーザーに変換] をクリックする。
・新しいユーザー プリンシパル名などを入力し [変換] をクリックする。
以上で変換が完了。
変換されるもの
ユーザーを変換したテナントを新テナント、元々のユーザーのローカルテナントを旧テナントとして以下記載します。
・パスワードはユーザー変換時に設定したものを使用する
・表示名は新テナントのものがそのまま使用される
・ユーザーのプロパティは新テナントで設定したものが適用される
・マネージャーも新テナントで設定したものが適用される
・以下赤枠に関しても新テナントで設定したものが適用される
グループ/ライセンス/ロールあたりを引き継げるのがとても良さそうです。
なお、新テナントでユーザーを変換後、旧テナントのユーザーには何も影響はありませんでした。
さいごに
・ユーザー数が増えれば増えるほど、Graph API を使用するのが現実的ですね。
力技でやると限界が出るので機械に任せましょう…
・メール切替、Teams 切替はまた別途考慮する必要があります。
しかし今後 Microsoft がそのあたりの切り替えをスッとできるツールを作成してくれることを期待しつつ、外部ユーザーのプロパティをちゃんと埋めるという作業を今からやっておくといいのかもしれません。
・協力会社のメンバーをゲスト登録し技術サポート等を受けていたけれど、やはりテナント内ユーザーに変えたいときなどに便利そうです。