概要: 外部テナントの外部 ID を使用してアプリをセキュリティで保護する

  • [アーティクル]

Microsoft Entra External ID には、Microsoft の顧客 ID およびアクセス管理 (CIAM) のソリューションを含まれています。 アプリをコンシューマーおよびビジネス顧客が利用できるようにする必要がある組織や企業の場合、外部 ID を使用すると、セルフサービス登録、パーソナライズされたサインイン エクスペリエンス、顧客アカウント管理などの CIAM 機能を簡単に追加できます。 これらの CIAM 機能は Microsoft Entra ID に組み込まれているため、セキュリティ、コンプライアンス、スケーラビリティの強化などのプラットフォーム機能の利点も得られます。

顧客 ID およびアクセス管理の概要を示す図。

専用外部テナントを作成する

コンシューマーおよびビジネス顧客アプリの外部 ID の使用を開始するときは、まず、顧客アカウントのアプリ、リソース、ディレクトリのテナントを作成します。

Microsoft Entra ID の作業経験がある場合、従業員ディレクトリ、内部アプリ、その他の組織リソースが入った Microsoft Entra テナントの使用に既に精通していることになります。 外部 ID を使用して、標準の Microsoft Entra テナント モデルに従って個別のテナントを作成しますが、外部シナリオ向けに構成します。 この外部テナントには次のものが含まれます。

  • ディレクトリ: ディレクトリには、顧客の資格情報とプロファイル データが格納されます。 コンシューマーまたはビジネス顧客がアプリにサインアップすると、外部テナントにローカル アカウントが作成されます。

  • アプリケーション登録: Microsoft Entra ID プラットフォームは、登録済みのアプリケーションに対してのみ ID およびアクセス管理を実行します。 アプリの登録によって信頼関係が確立され、そのアプリを Microsoft Entra ID と統合できるようになります。

  • ユーザー フロー: 外部テナントには、顧客に対して有効にしたい、セルフサービスのサインアップ、サインイン、パスワード リセットの各エクスペリエンスが含まれています。

  • 拡張機能: 外部システムからのユーザー属性とデータを追加する必要がある場合は、ユーザー フロー用のカスタム認証拡張機能を作成できます。

  • サインイン方法: ユーザー名とパスワード、ワンタイム パスコード、Google または Facebook の ID など、アプリにサインインするためのさまざまなオプションを有効にすることができます。

  • 暗号化キー: トークン、クライアント シークレット、証明書、パスワードの署名と検証のための暗号化キーを追加および管理します。

パスワードとワンタイム パスコードでのサインインの詳細、および GoogleFacebook のフェデレーションについて説明します。

外部テナントで管理できるユーザー アカウントには、次の 2 種類があります。

  • 顧客アカウント: アプリケーションにアクセスする顧客を表すアカウント。

  • 管理者アカウント: 職場アカウントを持つユーザーは、テナントのリソースを管理でき、管理者ロールがあれば、テナントも管理できます。 職場アカウントを持つユーザーは、新しいコンシューマー アカウントの作成、パスワードのリセット、アカウントのブロック/ブロック解除、アクセス許可の設定、セキュリティ グループへのアカウントの割り当てを行うことができます。

外部テナントでの顧客アカウント管理者アカウントの管理に関する詳細について確認してください。

カスタマイズされたサインインを追加する

外部 ID は、ID およびアクセスに Microsoft Entra プラットフォームを使用して、顧客がアプリケーションを利用できるようにする企業を対象としています。

  • アプリにサインアップ ページとサインイン ページを追加する。 直感的で使いやすいサインアップとサインアップのエクスペリエンスを顧客アプリに簡単に追加する。 顧客は 1 つの ID を使用して、使用するすべてのアプリケーションに安全にアクセスできます。

  • ソーシャル ID とエンタープライズ ID を使用してシングル サインオン (SSO) を追加する。 顧客は、ソーシャル ID、エンタープライズ ID、またはマネージド ID を選択して、ユーザー名とパスワード、電子メール、またはワンタイム パスコードでサインインできます。

  • サインアップ ページに会社のブランド化を追加する。 既定のエクスペリエンスと特定のブラウザー言語のエクスペリエンスの両方を含め、サインアップとサインインのエクスペリエンスの外観をカスタマイズします。

  • サインアップ フローを簡単にカスタマイズして拡張できます。 ID ユーザー フローをニーズに合わせて調整します。 サインアップ時に顧客から収集する属性を選択するか、独自のカスタム属性を追加します。 アプリで必要な情報が外部システムに含まれている場合は、収集するカスタム認証拡張機能を作成し、認証トークンにデータを追加します。

  • 複数のアプリの言語とプラットフォームを統合する。 Microsoft Entra を使用すると、複数のアプリの種類、プラットフォーム、言語に対して、セキュリティで保護されたブランド化された認証フローをすばやく設定して提供できます。

  • アプリにネイティブ認証を使用します。 iOS および Android 用のプレビュー Microsoft Authentication Library (MSAL) を使用して、モバイルおよびデスクトップ アプリケーション用のシームレスな認証エクスペリエンスを作成します。

  • セルフサービス アカウント管理を提供する。 顧客は、自分でオンライン サービスに登録したり、プロファイルを管理したり、アカウントを削除したり、多要素認証 (MFA) メソッドに登録したり、管理者やヘルプ デスクのサポートなしでパスワードをリセットしたりできます。

  • 利用規約とプライバシー ポリシーに同意します。 サインアップ中、使用条件に同意するようにユーザーに求めることができます。 顧客のユーザー属性を使用すると、サインアップ フォームにチェックボックスを追加し、利用規約とプライバシー ポリシーへのリンクを含めることができます。

アプリへのサインインとサインアップの追加およびサインインの外観のカスタマイズについて確認してください。

セルフサービス サインアップ用のユーザー フローを設計する

アプリケーションにユーザー フローを追加することで、顧客向けの簡単なサインアップとサインインのエクスペリエンスを作成できます。 ユーザー フローでは、顧客が従う一連のサインアップ手順と、使用できるサインイン方法 (メールとパスワード、ワンタイム パスコード、GoogleFacebook のソーシャル アカウントなど) を定義します。 また、一連のユーザー組み込み属性から選択するか、独自のカスタム属性を追加することで、サインアップ時に顧客から情報を収集することもできます。

いくつかのユーザー フロー設定により、顧客がアプリケーションにサインアップする方法を制御できます。これには以下が含まれます。

  • サインイン方法とソーシャル ID プロバイダー (Google または Facebook)
  • サインアップする顧客から収集する属性 (名、郵便番号、居住国/地域など)
  • 会社のブランド化と言語のカスタマイズ

ユーザー フローの構成の詳細については、「顧客向けのサインアップとサインインのユーザー フローを作成する」を参照してください。

独自のビジネス ロジックの追加

外部 ID は、認証フロー内の特定のポイントにアクションを定義できるようにして柔軟性を実現できるように設計されています。 カスタム認証拡張機能を使用すると、トークンがアプリケーションに発行される直前に、外部システムからのクレームをトークンに追加できます。

カスタム認証拡張機能を使用した独自のビジネス ロジックの追加の詳細を確認してください。

Microsoft Entra のセキュリティと信頼性

外部 ID は、企業-消費者間 (B2C) 機能を Microsoft Entra プラットフォームに集約することを意味します。 セキュリティの強化、規制への準拠、ID およびアクセス管理プロセスをスケーリングする機能など、プラットフォーム機能の恩恵を受けることができます。

  • Microsoft Entra のセキュリティ。 条件付きアクセス、多要素認証、ガバナンスなど、Microsoft Entra のすべてのセキュリティとデータ プライバシーの利点を得られます。 強力な認証とリスクベースのアダプティブ アクセス ポリシーを使用して、アプリへのアクセスを保護します。 顧客は別のテナントで管理されるため、通常は管理対象デバイスではなく個人用デバイスや共有デバイスを使用するユーザーに対してアクセス ポリシーを合わせることができます。

  • Microsoft Entra の信頼性とスケーラビリティ。 高度にカスタマイズされたサインイン エクスペリエンスを作成し、顧客アカウントを大規模に管理できます。 Microsoft Entra のパフォーマンス、回復性、ビジネス継続性、低待機時間、高スループットを活用して、優れたカスタマー エクスペリエンスを確保できます。

外部テナントで使用できるセキュリティとガバナンスの機能の詳細について確認してください。

ユーザー アクティビティとエンゲージメントを分析する

[使用状況と分析情報] のアプリケーション ユーザー アクティビティ機能は、テナントに登録されているアプリケーションのユーザー アクティビティとエンゲージメントに関するデータ分析を提供します。 この機能を使用すると、Microsoft Entra 管理センターでユーザー アクティビティ データを表示、照会、分析できます。 これにより、戦略的な意思決定を支援し、ビジネスの成長を促進できる貴重な分析情報を発見することができます。

顧客テナントで使用できるアプリケーション ユーザー アクティビティ ダッシュボードの詳細について確認してください。

Azure AD B2C について

新しい顧客の場合、Azure AD B2C と Microsoft Entra 外部 ID のどちらのソリューションが適しているのか迷うかもしれません。 次の場合は、現在の Azure AD B2C 製品を選択してください。

  • 運用環境に対応したビルドをすぐにデプロイする必要がある。

    Note

    次世代の Microsoft Entra 外部 ID プラットフォームは Microsoft の CIAM の未来に相当するため、迅速なイノベーションや新しい機能と性能は、このプラットフォームに集中することになります。 最初から次世代プラットフォームを選択することで、迅速なイノベーションと将来性のあるアーキテクチャの利点が得られます。

次の場合は、次世代 Microsoft Entra 外部 ID プラットフォームを選択してください。

  • アプリへの ID の新しい構築を開始しているか、製品探索の初期段階にある。
  • 迅速なイノベーション、新しい機能や性能追加の利点が優先である。

次のステップ