Azure Active Directory B2C のユーザー アカウントの概要

  • [アーティクル]

Azure Active Directory B2C (Azure AD B2C) には、作成できるアカウントの種類がいくつかあります。 Microsoft Entra ID、Microsoft Entra B2B、および Azure Active Directory B2C (Azure AD B2C) は、使用できるユーザー アカウントの種類を共有します。

次の種類のアカウントを使用できます。

  • 職場アカウント - 職場アカウントは、テナントのリソースにアクセスでき、管理者ロールを使用してテナントを管理できます。
  • ゲスト アカウント - ゲスト アカウントにできるのは、テナントの管理などの管理責任を共有するために使用できる Microsoft アカウントまたは Microsoft Entra ユーザーのみです。
  • コンシューマー アカウント - コンシューマー アカウントは、Azure AD B2C に登録したアプリケーションのユーザーによって使用されます。 コンシューマー アカウントは、次によって作成できます。
    • Azure AD B2C アプリケーションでサインアップ ユーザー フローを実行するユーザー
    • Microsoft Graph API の使用
    • Azure ポータルの使用

職場アカウント

職場アカウントは、Microsoft Entra ID に基づいて、すべてのテナントに対して同じ方法で作成されます。 職場アカウントを作成するには、「クイック スタート: Microsoft Entra ID に新しいユーザーを追加する」の情報を使用できます。 職場アカウントは、Azure portal で [新しいユーザー] を選択して作成できます。

新しい職場アカウントを追加する場合は、次の構成設定を考慮する必要があります。

  • [名前][ユーザー名] - [名前] プロパティには、ユーザーの姓名が含まれます。 [ユーザー名] は、ユーザーがサインインするために入力する識別子です。 ユーザー名には、完全なドメインが含まれます。 ユーザー名のドメイン名の部分は、既定の初期ドメイン名 your-domain.onmicrosoft.com、または検証済みの非フェデレーション カスタム ドメイン名 (contoso.com など) のいずれかである必要があります。

  • メール アドレス - 新しいユーザーは、メール アドレスを使用してサインインすることもできます。 メール アドレスでは、特殊文字やマルチバイト文字 (日本語の文字など) はサポートされていません。

  • プロファイル - アカウントは、ユーザー データのプロファイルを使用して設定されます。 姓、名、役職、および部署名を入力できます。 プロファイルは、アカウントの作成後に編集できます。

  • グループ - グループを使用して管理タスクを実行します。たとえば、多くのユーザーやデバイスにライセンスまたはアクセス許可を一度に割り当てることができます。 新しいアカウントを、テナントの既存のグループに配置できます。

  • ディレクトリ ロール - ユーザー アカウントが所有する、テナントのリソースへのアクセス レベルを指定する必要があります。 次のアクセス許可レベルを使用できます。

    • ユーザー - ユーザーは、割り当てられたリソースにアクセスできますが、テナントのリソースの大半を管理できません。
    • グローバル管理者 - グローバル管理者は、テナントのすべてのリソースに対するフル コントロールの権限を持ちます。
    • 制限付き管理者- ユーザーの管理ロールまたはロールを選択します。 選択できるロールの詳細については、「Microsoft Entra ID の管理者ロールの割り当て」を参照してください。

職場アカウントを作成する

次の情報を使用して、新しい職場アカウントを作成できます。

ユーザー アカウントを更新する

次の情報を使用して、ユーザーのプロファイルを更新できます。

ユーザーのパスワードをリセットする

次の情報を使用して、ユーザーのパスワードをリセットできます。

ゲスト ユーザー

外部ユーザーをゲスト ユーザーとしてテナントに招待できます。 ゲスト ユーザーを Azure AD B2C テナントに招待する一般的なシナリオは、管理責任を共有することです。 ゲスト アカウントの使用例は、「Microsoft Entra B2B コラボレーション ユーザーのプロパティ」を参照してください。

ゲスト ユーザーをテナントに招待するときは、受信者の電子メール アドレスと、招待であることを説明するメッセージを指定します。 招待リンクによって、ユーザーは同意ページに移動します。 受信トレイが電子メール アドレスにアタッチされていない場合、ユーザーは、招待資格情報を使用して Microsoft ページに移動することで、同意ページに移動できます。 その後、ユーザーは、電子メール内のリンクのクリックと同じ方法で招待を受け入れます。 (例: https://myapps.microsoft.com/B2CTENANTNAME)。

ゲスト ユーザーは、Microsoft Graph API を使用して招待することもできます。

コンシューマー ユーザー

コンシューマー ユーザーは、Azure AD B2C によってセキュリティで保護されているアプリケーションにサインインできますが、Azure portal などの Azure リソースにはアクセスできません。 コンシューマー ユーザーは、ローカル アカウントまたは Facebook や Twitter などのフェデレーション アカウントを使用できます。 コンシューマー アカウントは、サインアップ ユーザー フローまたはサインイン ユーザー フローを使用するか、Microsoft Graph API を使用するか、あるいは Azure portal を使用して作成されます。

コンシューマー ユーザー アカウントを作成するときに収集されるデータを指定できます。 詳細については、ユーザー属性の追加とユーザー入力のカスタマイズに関する記事を参照してください。

コンシューマー アカウントの管理の詳細については、「Microsoft Graph での Azure AD B2C ユーザーアカウントの管理」を参照してください。

コンシューマー ユーザー アカウントを移行する

既存のコンシューマー ユーザー アカウントを ID プロバイダーから Azure AD B2C に移行しなければならない場合があります。 詳細については、「Azure AD B2C へユーザーを移行する」を参照してください。