Microsoft Entra External ID の認証について調べてみた

本記事は 2026年1月23日時点のものです。
Microsoft Entra External ID は現在も機能拡張や仕様変更が継続されているサービスであり、本記事で記載している対応可否や制約事項は、将来的に変更される可能性があります。最新の情報については、Microsoft Learn の公式ドキュメントを必ず確認してください。

はじめに

Azure AD B2C は2025 年 5 月に新規購入が終了し、 既存利用のサポート継続は少なくとも 2030 年 5 月まで と Microsoft から発表されています¹。

これに伴い、 Azure AD B2C に替わる顧客認証 (Customer Identity and Access Management) の将来的な選択肢として、 Microsoft Entra External ID ( 以降、Entra External ID ) が案内されています。

本記事では、 Microsoft Entra External ID の概要、および設計・導入時の注意点を整理します。

Microsoft Entra External ID とは

Microsoft Entra External ID は、自組織の外部ユーザー（顧客・パートナー・委託先）に対して、安全にアプリケーションやリソースへのアクセスを提供するための ID・認証基盤です。

主な特徴は以下のとおりです。

• 社外ユーザーの利用を前提とした ID 管理・認証基盤
• 認証、アクセス制御、セキュリティ、ユーザーライフサイクル管理を提供
• Microsoft Entra ID の External Identities 機能を体系化した後継サービス

認証プロトコル

Microsoft Entra External ID で利用できる認証プロトコルは以下の通りです²³。

• OpenID Connect + OAuth 2.0
• SAML + OAuth 2.0
• SAML + OpenID Connect

Microsoft Entra External ID の 2 つのモデル

Microsoft Entra External ID は 1 つの製品名でありながら、

• 従業員テナント構成に組み込まれた B2B コラボレーション
• CIAM 専用として提供される 外部テナント構成

という性質の異なる 2 つの仕組みを包含している点が最大の特徴です。

詳しくはこちら を参照してください。

従業員テナント構成

従業員テナント構成は、通常の Microsoft Entra ID に標準で備わる外部ユーザー連携機能を利用した構成です。

この構成の中心となる機能が B2B コラボレーション です。

B2B コラボレーションとは

B2B コラボレーションは、別の Microsoft Entra テナントに所属する外部ユーザーをゲストユーザーとして自組織の従業員テナントに招待する仕組みです。

特徴・メリット

• 外部ユーザーに新しいアカウントを発行しない
• 外部ユーザーは 自分の所属テナントの認証方式（MFA、パスキー等）をそのまま利用
• 自組織側でアクセス権、条件付きアクセス、ガバナンスを管理可能

主な利用シナリオ

• 取引先企業の担当者
• グループ会社・委託先
• 社外メンバーとの共同作業（Microsoft 365、Azure リソース 等）

外部テナント構成

外部テナント構成は、Azure AD B2C の後継として提供される、顧客向け（CIAM）専用のテナントです。
アプリケーションに対して顧客自身がサインアップ・サインインすることを前提に設計されています。

特徴・メリット

• 顧客・一般利用者向けの認証基盤（CIAM）
• ユーザーフローによる認証機能の組み込み

ユーザーフローとは Microsoft Entra External ID（外部テナント構成）において提供される、サインアップ／サインイン／パスワードリセット等の一連の認証・登録処理を定義する構成単位を指します。
ユーザーフローでは、以下のような要素をコード実装なしで構成できます。

• サインインおよびサインアップの画面遷移
• 利用可能な認証方式（メール＋パスワード、メール＋ワンタイムコード等）
• 収集するユーザー属性（表示名、メールアドレス など）
• 認証完了後に発行されるトークンの内容

利用可能な認証方式 (2026年1月23日時点)

外部テナントで利用可能な認証方式は限定されています⁴⁵。

• 外部 ID プロバイダ

  • ソーシャル ID プロバイダ
    2026年1月23日時点では、 Facebook、Google、Apple のソーシャル ID プロバイダを利用可能
    
  • OpenID Connect / OAuth 2.0 に対応した外部 ID プロバイダ
  • SAML 2.0 / WS-Federation に対応した外部 ID プロバイダ
    

• 電子メール + パスワード
  External ID の外部テナントにローカルユーザーを作成し、電子メールアドレスとパスワードを用いてサインインする方式です。Azure AD B2C と同様に、顧客自身によるサインアップを前提としたCIAM 向けの基本的な認証方式となります。

• 電子メール ワンタイム パスコード（OTP）
  電子メールで送信されるワンタイムパスコードを用いてサインインする方式です。パスワードを保持しないため、比較的簡易なパスワードレス認証として利用できます。また、この方式は MFA（多要素認証）の要素としても使用されます。
  

これらは、認証結果を External ID が受け取ったうえで、アプリケーションに対しては OpenID Connect / OAuth 2.0 によるトークンが発行されます。

MFA

外部テナントで公式に利用可能な MFA は以下に限定されます⁶。

• メールのワンタイムパスコード
• SMS ベースの認証

利用できない主な認証方式

• FIDO2 / パスキー認証
• クライアント証明書認証
• Microsoft Entra ID アカウントによるサインイン

外部テナントでは、認証機能の実装方法は CIAM 向けユーザーフローに限定されており、利用可能な認証方式もメールベースを中心としたものに限られます。
特に、顧客がもつ Microsoft Entra ID アカウントを利用して認証したい場合には、従業員テナント構成の B2B コラボレーションを使用してください。

ディレクトリロールで招待された管理者等のゲストに関しては Microsoft Entra アカウントや Microsoft アカウントによる認証が提供されていますが、2026年1月23日時点でプレビューです⁷。

OpenID Connect / OAuth 2.0 や SAML 2.0 / WS-Federation に対応した外部 ID プロバイダのフェデレーション先として Microsoft Entra テナントを構成することは現在サポートされていません。

• OpenID Connect / OAuth2.0 ⁸

  他の Microsoft Entra テナントを外部 ID プロバイダーとして構成することは現在サポートされていません。 そのため、発行者 URI の microsoftonline.com ドメインは受け入れられません。

• SAML 2.0 / WS-Federation ⁹

  I understand you are concerning whether it is possible to add a workforce tenant as an identity provider for an external tenant, specifically using SAML/WS-Fed protocols.
  As stated in the document, SAML/WS-Fed identity providers are currently only supported for workforce tenants and not for external tenants such as the one you are utilizing.

以下の画像のように、外部テナントに対して B2B コラボレーションを適用することもサポートされていません。

課金モデル

Microsoft Entra External ID の課金は、
External ID によって認証された外部ユーザーの月間アクティブユーザー数（MAU）
を基準として行われます¹⁰。

この MAU には、以下のユーザーが 合算してカウントされます。

• 従業員テナントで B2B コラボレーションにより招待された外部ゲストユーザー
• External ID の 外部テナントでサインインを行った外部ユーザー

つまり、Microsoft Entra External ID の課金においては、B2B コラボレーションの外部ゲストと、外部テナントの外部ユーザーは、同一の MAU として集計される点に注意が必要です。

そのうえで、Microsoft Entra External ID には、月間 50,000 MAUまでの無償枠が提供されています。
月間 MAU が 50,000 を超過した場合にのみ、超過分に対して課金が発生します。

設計時の注意点・検討事項

第一認証方式に関する制約

外部テナントの CIAM では、パスキー・証明書認証を前提とした設計は2026年1月23日時点では困難です。
セキュリティ要件が高い場合は、顧客テナントを Microsoft Entra ID として構成し、 B2B コラボレーションを利用する設計が必要になるでしょう。

また、外部テナントは Azure AD B2C の後継として位置づけられており、

• 顧客自身がアカウントを作成する
• サインアップ⇒サインインを行う

という CIAM モデルを前提としています。
そのため、

• 管理者がユーザーを「招待」する
• ユーザーは招待を受けて初めてサインイン可能

といったようなサインアップを含めたくない要件に関しては対応していません。
このような場合も、 Microsoft Entra ID の B2B コラボレーションを利用する形になるでしょう。

MFA に関する制約

前述の通り、Microsoft Entra External ID で提供されている MFA は以下の 2 つです。

• メールのワンタイムパスコード
• SMS ベースの認証

Azure AD B2C で使用できていた以下の MFA が利用できないことに注意が必要です¹¹。

• 電話呼び出し
• Microsoft Authenticator

おわりに

本記事では、Microsoft Entra External ID の概要に加え、
従業員テナント（B2B コラボレーション）構成と外部テナント（CIAM）構成の違いを、認証方式等の観点から整理しました。

特に重要な点として、以下が挙げられます。

• B2B コラボレーションおよび B2B Direct Federation は、企業・組織間連携を前提とした機能であること
  • Entra ID 同士の連携は B2B コラボレーションを利用する
  • Entra ID 以外の SAML / WS-Federation IdP との連携は B2B Direct Federation を利用する
• External ID の外部テナントは、組織の ID 基盤との信頼関係を前提としない CIAM 向けサービスであること
  • 利用可能な認証方式はメールベースやソーシャル ID を中心に限定されている
  • Microsoft Entra ID テナントを外部 ID プロバイダとして利用することはサポートされていない

これらは単なる機能差ではなく、「誰の ID を、誰が、どの責任範囲で管理するのか」 という Microsoft の設計思想の違いに基づくものです。

Azure AD B2C からの移行や、新規に CIAM を設計する際には、「External ID であればすべての認証要件を満たせる」と考えるのではなく、

• 顧客・パートナー・委託先のどれを対象とするのか
• 組織の ID 基盤を前提とした連携が必要か
• パスキーや強固な MFA を必須とするか

といった 利用シナリオとセキュリティ要件を起点に、従業員テナント（B2B）と外部テナント（CIAM）を適切に選択することが重要です。

本記事が、その違いを正しく理解し、要件に適した認証基盤を設計するための一助となれば幸いです。

We Are Hiring!

1. Azure AD B2C: よく寄せられる質問 (FAQ) ↩

2. 従業員テナントと外部テナントでサポートされている機能 - アプリケーションの登録 ↩

3. 認証と承認 - Microsoft ID プラットフォームを使用した認証と承認 ↩

4. Microsoft Entra 外部 ID で使用できる認証方法 ↩

5. 外部テナントのための ID プロバイダー ↩

6. 外部テナントでの多要素認証 ↩

7. 従業員テナントと外部テナントでサポートされている機能 - ID プロバイダーと認証方法 ↩

8. 外部 ID プロバイダーとして OpenID Connect を追加する - 管理センターで新しい OpenID 接続 ID プロバイダーを構成する ↩

9. Use SAML/WS-Fed federation as an identity provider in External tenant ↩

10. Microsoft Entra External ID の価格体系と課金モデル ↩

11. Azure Active Directory B2C で多要素認証を有効にする ↩