次の方法で共有

Azure Active Directory B2C のユーザー フローに条件付きアクセスを追加する

  • [アーティクル]

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください

開始する前にこのページの上部にある ポリシーの種類 セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

条件付きアクセスは、Azure Active Directory B2C (Azure AD B2C) ユーザー フローまたはカスタム ポリシーに追加して、アプリケーションへの危険なサインインを管理できます。 Microsoft Entra 条件付きアクセスは、Azure AD B2C がシグナルをまとめ、意思決定を行い、組織のポリシーを適用するために使用するツールです。 条件付きアクセス フロー ポリシー条件を使用してリスク評価を自動化すると、リスクの高いサインインがすぐに特定され、修復またはブロックされます。

サービスの概要

Azure AD B2C は、各サインイン イベントを評価し、ユーザーにアクセス権を付与する前にすべてのポリシー要件が満たされていることを確認します。 この 評価 フェーズでは、条件付きアクセス サービスによって、サインイン イベント中に Identity Protection リスク検出によって収集されたシグナルが評価されます。 この評価プロセスの結果は、サインインを許可するかブロックするかを示す一連の要求です。 Azure AD B2C ポリシーでは、これらの要求を使用してユーザー フロー内で機能します。 たとえば、アクセスをブロックしたり、多要素認証 (MFA) などの特定の修復策でユーザーにチャレンジしたりする場合です。 [アクセスのブロック] は、他のすべての設定よりも優先されます。

次の例は、サインインの脅威を評価するために使用される条件付きアクセス技術プロファイルを示しています。

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Identity Protection シグナルが適切に評価されるようにするには、ローカル アカウントとソーシャル アカウントの両方を含むすべてのユーザーに対して ConditionalAccessEvaluation テクニカル プロファイルを呼び出す必要があります。 そうしないと、Identity Protection はユーザーに関連付けられたリスクの度合いが正しくないことを示します。

次の 修復 フェーズでは、ユーザーに MFA がチャレンジされます。 完了すると、Azure AD B2C は、特定されたサインインの脅威が修復されたことと、どの方法によって修復されたかを Identity Protection に通知します。 この例では、Azure AD B2C は、ユーザーが多要素認証チャレンジを正常に完了したことを通知します。 修復は、他のチャネルを通じて行われる場合もあります。 たとえば、アカウントのパスワードが管理者またはユーザーによってリセットされた場合です。 ユーザーの リスク状態 は、 危険なユーザー レポートで確認できます。

重要

体験内でリスクを正常に修復するには、評価技術プロファイルの実行後に修復技術プロファイルが呼び出されることを確認します。 修復なしで評価が呼び出された場合、リスク状態は [リスクあり] と表示されます。 評価技術プロファイルの推奨事項が Block を返す場合、評価技術プロファイルの呼び出しは必要ありません。 リスクの状態は [リスク] に設定されます。 次の例は、特定された脅威を修復するために使用される条件付きアクセス技術プロファイルを示しています。

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

ソリューションのコンポーネント

Azure AD B2C で条件付きアクセスを有効にするコンポーネントは次のとおりです。

  • サインインとサインアップのプロセスをユーザーにガイドするユーザー フローまたはカスタム ポリシー
  • 意思決定を行い、組織のポリシーを適用するためのシグナルをまとめる条件付きアクセス ポリシー。 ユーザーが Azure AD B2C ポリシーを使用してアプリケーションにサインインすると、条件付きアクセス ポリシーでは Microsoft Entra ID Protection シグナルを使用して危険なサインインを特定し、適切な修復アクションを提示します。
  • ユーザーを適切な Azure AD B2C ユーザー フローまたはカスタム ポリシーに誘導する登録済みアプリケーション
  • 危険なサインインをシミュレートするための TOR ブラウザー

サービスの制限と考慮事項

Microsoft Entra 条件付きアクセスを使用する場合は、次の点を考慮してください。

  • Identity Protection は、ローカル ID と、Google や Facebook などのソーシャル ID の両方で使用できます。 ソーシャル ID の場合は、条件付きアクセスを手動でアクティブ化する必要があります。 ソーシャルアカウントの認証情報は外部 ID プロバイダによって管理されるため、検出は制限されます。
  • Azure AD B2C テナントでは、 Microsoft Entra 条件付きアクセス ポリシーのサブセットのみを使用できます。

[前提条件]

価格階層

危険なサインイン ポリシーを作成するには、Azure AD B2C Premium P2 が必要です。 Premium P1 テナントは、場所、アプリケーション、ユーザーベース、またはグループベースのポリシーに基づくポリシーを作成できます。 詳細については、「Azure AD B2C の価格レベルを変更する」を参照してください。

Azure AD B2C テナントを準備する

条件付きアクセス ポリシーを追加するには、セキュリティの既定値群を無効にします。

  1. Azure portal にサインインします。

  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。

  3. Azure サービス で、Microsoft Entra ID を選択します。 または、検索ボックスを使用して Microsoft Entra ID を見つけて選択します。

  4. [プロパティ] を選択し、[セキュリティの既定値の管理] を選択します。

    セキュリティの既定値を無効にする

  5. [セキュリティの既定値を有効にする] で、[いいえ] を選択します。

    [セキュリティの既定値を有効にする] トグルを [いいえ] に設定します

条件付きアクセス ポリシーを追加する

条件付きアクセス ポリシーは、割り当てとアクセス制御の if-then ステートメントです。 条件付きアクセス ポリシーは、シグナルをまとめて意思決定を行い、組織のポリシーを適用します。

ヒント

この手順では、条件付きアクセス ポリシーを構成します。 テンプレート 1: サインイン リスクベースの条件付きアクセステンプレート 2: ユーザー リスクベースの条件付きアクセスまたはテンプレート 3: 条件付きアクセスで場所をブロックするテンプレートのいずれかを使用することをお勧めします。 条件付きアクセス ポリシーは、Azure portal または MS Graph API を使用して構成できます。

代入間の論理演算子は AND です。 各代入の演算子は OR です。

条件付きアクセスの割り当て 条件付きアクセス ポリシーを追加するには:

  1. Azure portal で、 [Azure AD B2C] を検索して選択します。

  2. [ セキュリティ] で、[ 条件付きアクセス] を選択します。 [条件付きアクセス ポリシー] ページが開きます。

  3. [新しいポリシー] を選択します。

  4. ポリシーの名前を入力します (例: 危険なサインインをブロックする)。

  5. [割り当て] で [ユーザーとグループ] を選択し、次のサポートされている設定のいずれかを選択します。

    包含 ライセンス 注記
    すべてのユーザー P1、P2 このポリシーは、すべてのユーザーに影響します。 ロックアウトされないようにするには、[ 除外] を選択し、[ ディレクトリ ロール] を選択し、一覧で [ グローバル管理者 ] を選択して、管理者アカウントを除外します。 [ ユーザーとグループ ] を選択し、[ 除外されたユーザーの選択 ] リストでアカウントを選択することもできます。

  6. [クラウド アプリまたはアクション] を選択し、[アプリの選択] を選択します。 証明書利用者アプリケーションを参照します。

  7. [条件] を選択し、次の条件から選択します。 たとえば、 [ サインイン リスク ] と [ のリスク レベル] を選択します。

    条件 ライセンス 注記
    ユーザー リスク P2 ユーザー リスクは、特定の ID またはアカウントが侵害されているおそれがあることを表します。
    サインイン リスク P2 サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性を表します。
    デバイス プラットフォーム サポートされていません デバイス上で実行されるオペレーティング システムによって特徴付けられます。 詳細については、「 デバイス プラットフォーム」を参照してください。
    場所 P1、P2 ネームド ロケーションには、パブリック IPv4 ネットワーク情報、国や地域、特定の国や地域にマッピングされていない不明なエリアが含まれる場合があります。 詳細については、「 場所」を参照してください。

  8. アクセス制御 で、許可 を選択します。 次に、アクセスをブロックするか許可するかを選択します。

    選択肢 ライセンス 注記
    [アクセスのブロック] P1、P2 この条件付きアクセス ポリシーで指定された条件に基づくアクセスを防止します。
    [多要素認証が必要]アクセスを許可する P1、P2 この条件付きアクセス ポリシーで指定された条件に基づいて、ユーザーは Azure AD B2C 多要素認証を通過する必要があります。

  9. [ ポリシーの有効化] で、次のいずれかを選択します。

    選択肢 ライセンス 注記
    レポート専用 P1、P2 レポート専用では、管理者は、条件付きアクセス ポリシーを環境で有効にする前に、その影響を評価できます。 この状態でポリシーを確認し、多要素認証を必要とせずにエンドユーザーへの影響を判断したり、ユーザーをブロックしたりすることをお勧めします。 詳細については、「監査レポートで条件付きアクセスの結果を確認する」を参照してください
    オン P1、P2 アクセス ポリシーは評価され、強制されません。
    オフ P1、P2 アクセスポリシーはアクティブ化されず、ユーザーには影響しません。

  10. テストの条件付きアクセス ポリシーを有効にするには、 [作成] を選択します。

テンプレート 1: サインイン リスクベースの条件付きアクセス

ほとんどのユーザーは、追跡できる正常な動作をしています。この規範から外れた場合は、そのユーザーにサインインを許可すると危険であることがあります。 そのユーザーをブロックしたり、多要素認証を実行してユーザーが本人であることを証明するように求めたりすることが必要な場合もあります。 サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。 P2 ライセンスを持つ Azure AD B2C テナントは、Microsoft Entra ID Protection のサインイン リスク検出を組み込んだ条件付きアクセス ポリシーを作成できます。

B2C の Identity Protection 検出に関する制限事項に注意してください。 リスクが検出された場合、ユーザーは多要素認証を実行して自己修復し、危険なサインイン イベントを閉じて、管理者の不要なノイズを防ぐことができます。

Azure portal または Microsoft Graph API を使用して条件付きアクセスを構成し、サインイン リスクが中または高い場合に MFA を必要とするサインイン リスクベースの条件付きアクセス ポリシーを有効にします。

  1. [Include](含める) で、 [すべてのユーザー] を選択します。
  2. [ 除外] で、[ ユーザーとグループ ] を選択し、組織の緊急アクセス用またはブレイクグラスアカウントを選択します。
  3. 完了を選択します。
  4. [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
  5. [条件]>[ログイン リスク] で、[構成][はい] に設定します。 [ このポリシーを適用するサインイン リスク レベルを選択してください]
    1. [高][中] を選択します。
    2. 完了を選択します。
  6. アクセス制御>許可で、アクセスの許可を選択し、多要素認証が必要を要求し、選択をクリックします。
  7. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。
  8. [作成] を選択して、ポリシーを作成および有効化します。

条件付きアクセス API を使用してテンプレート 1 を有効にする (省略可能)

MS Graph API を使用して、サインイン リスクベースの条件付きアクセス ポリシーを作成します。 詳細については、「 条件付きアクセス API」を参照してください。 次のテンプレートを使用すると、レポート専用モードで "Template 1: Require MFA for medium+ sign-in risk" (テンプレート 1: 中 + サインイン リスクに MFA が必要)" という表示名を持つ条件付きアクセス ポリシーを作成できます。

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

テンプレート 2: ユーザー リスクベースの条件付きアクセス

Identity Protection は、ユーザーの行動に対して正常と思われるものを計算し、それを使用してリスクの判断を下すことができます。 ユーザーリスクとは、IDが侵害された確率の計算です。 P2 ライセンスを持つ B2C テナントは、ユーザー リスクを組み込んだ条件付きアクセス ポリシーを作成できます。 ユーザーが危険にさらされていると検出された場合、リスクを是正し、アカウントにアクセスできるように、パスワードを安全に変更するように要求できます。 ユーザーが自己修復できるように、安全なパスワードの変更を要求するようにユーザー リスク ポリシーを設定することを強くお勧めします。

Identity Protection のユーザー リスクの詳細については、B2C の Identity Protection 検出の制限を考慮してください。

Azure portal または Microsoft Graph API を使用して条件付きアクセスを構成し、ユーザー リスクが中または高の場合に多要素認証 (MFA) とパスワードの変更を必要とするユーザー リスクベースの条件付きアクセス ポリシーを有効にします。

ユーザー ベースの条件付きアクセスを構成するには:

  1. Azure portal にサインインします。
  2. Azure AD B2C>Security>Conditional Access を参照します。
  3. [新しいポリシー] を選択します。
  4. ポリシーの名前を設定してください。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーとグループ] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [ 除外] で、[ ユーザーとグループ ] を選択し、組織の緊急アクセス用またはブレイクグラスアカウントを選択します。
    3. 完了を選択します。
  6. [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
  7. [条件]>[ユーザー リスク] で、[構成][はい] に設定します。 ポリシー適用に必要なユーザーリスクレベルの設定
    1. [高][中] を選択します。
    2. 完了を選択します。
  8. アクセス制御>許可 で、アクセスの許可パスワード変更の必要 を選択し、選択 を選択します。 [多要素認証が必要 ] もデフォルトで必須です。
  9. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

条件付きアクセス API を使用してテンプレート 2 を有効にする (省略可能)

条件付きアクセス API を使用してユーザー リスクベースの条件付きアクセス ポリシーを作成するには、 条件付きアクセス API のドキュメントを参照してください。

次のテンプレートを使用すると、レポート専用モードで "テンプレート 2: 中 + ユーザー リスクに対してセキュリティで保護されたパスワードの変更を要求する" という表示名を持つ条件付きアクセス ポリシーを作成できます。

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

テンプレート 3: 条件付きアクセスで場所をブロックする

条件付きアクセスで場所の条件を使用すると、ユーザーのネットワークの場所に基づいて、クラウド アプリへのアクセスを制御できます。 Azure portal または Microsoft Graph API を使用して条件付きアクセスを構成し、特定の場所へのアクセスをブロックする条件付きアクセス ポリシーを有効にします。 詳細については、「条件付きアクセス ポリシーでの場所条件の使用」を参照してください

場所を定義する

  1. Azure portal にサインインします。
  2. Azure AD B2C>Security>Conditional Access>Named Locations に移動します。
  3. [国] の場所または [IP 範囲の場所] を選択します
  4. 場所に名前を付けます。
  5. IP 範囲を指定するか、指定する場所の国/地域を選択します。 国/地域を選択する場合、必要に応じて不明な領域を含めることもできます。
  6. 保存] を選択します。

条件付きアクセスポリシーで有効にするには:

  1. Azure portal にサインインします。
  2. Azure AD B2C>Security>Conditional Access を参照します。
  3. [新しいポリシー] を選択します。
  4. ポリシーの名前を設定してください。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーとグループ] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [ 除外] で、[ ユーザーとグループ ] を選択し、組織の緊急アクセス用またはブレイクグラスアカウントを選択します。
    3. 完了を選択します。
  6. [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
  7. 条件>ロケーション
    1. [構成][はい] に設定します。
    2. [Include](含める)[選択された場所] を選択します
    3. 作成したネームドロケーションを選択します。
    4. [選択] をクリックします
  8. [アクセス制御] で>[アクセスのブロック] を選択し、[選択] を選択します。
  9. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

条件付きアクセス API を使用してテンプレート 3 を有効にする (省略可能)

条件付きアクセス API を使用して場所ベースの条件付きアクセス ポリシーを作成するには、 条件付きアクセス API のドキュメントを参照してください。 ネームド ロケーションを設定するには、 ネームド ロケーションのドキュメントを参照してください。

次のテンプレートを使用すると、レポート専用モードで "テンプレート 3: 許可されていない場所をブロックする" という表示名を持つ条件付きアクセス ポリシーを作成できます。

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

ユーザー フローに条件付きアクセスを追加する

Microsoft Entra 条件付きアクセス ポリシーを追加したら、ユーザー フローまたはカスタム ポリシーで条件付きアクセスを有効にします。 条件付きアクセスを有効にする場合、ポリシー名を指定する必要はありません。 複数の条件付きアクセス ポリシーは、いつでも個々のユーザーに適用できます。 この場合、最も厳格なアクセス制御ポリシーが優先されます。 たとえば、1 つのポリシーで MFA が必要で、もう 1 つのポリシーでアクセスがブロックされている場合、ユーザーはブロックされます。

多要素認証を有効にする (オプション)

ユーザー フローに条件付きアクセスを追加する場合は、 多要素認証 (MFA) の使用を検討してください。 ユーザーは、SMSまたは音声によるワンタイムコード、電子メールによるワンタイムパスワード、または認証アプリを介した時間ベースのワンタイムパスワード(TOTP)コードを使用して多要素認証を行うことができます。 MFA 設定は、条件付きアクセス設定とは別に構成されます。 次の MFA オプションから選択できます。

  • オフ - サインイン時に MFA が適用されることはなく、ユーザーはサインアップまたはサインイン時に MFA への登録を求められません。
  • Always On - 条件付きアクセスの設定に関係なく、MFA は常に必要です。 サインアップ時に、ユーザーは MFA に登録するように求められます。 サインイン中に、ユーザーがまだ MFA に登録されていない場合は、登録を求められます。
  • 条件付き - サインアップとサインイン中に、ユーザーは MFA (新しいユーザーと MFA に登録されていない既存のユーザーの両方) に登録するように求められます。 サインイン中、MFA は、アクティブな条件付きアクセス ポリシー評価で必要な場合にのみ適用されます。
    • 結果がリスクのない MFA チャレンジである場合は、MFA が適用されます。 ユーザーがまだ MFA に登録されていない場合は、登録を求められます。
    • 結果がリスクによる MFA チャレンジであり ユーザーが MFA に登録されていない場合、サインインはブロックされます。

    Azure AD B2C での条件付きアクセスの一般提供により、ユーザーはサインアップ時に MFA メソッドに登録するように求められるようになりました。 一般提供前に作成したサインアップ ユーザー フローは、この新しい動作を自動的に反映しませんが、新しいユーザー フローを作成することで動作を含めることができます。

ユーザー フローの条件付きアクセスを有効にするには、バージョンが条件付きアクセスをサポートしていることを確認します。 これらのユーザー フロー バージョンには 、 [推奨] というラベルが付けられています。

  1. Azure portal にサインインします。
  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
  3. Azure サービスで、Azure AD B2C を選択します。 または、検索ボックスを使用して Azure AD B2C を検索して選択します。
  4. [ポリシー][ユーザー フロー] を選択します。 次に、ユーザー フローを選択します。
  5. [プロパティ] を選択し、ユーザー フローが条件付きアクセスをサポートしていることを確認するために、 [条件付きアクセス] というラベルの付いた設定を探します。 プロパティでの MFA と条件付きアクセスの構成
  6. [ 多要素認証 ] セクションで、目的の 方法の種類を選択し、[ MFA の適用] で [条件付き] を選択します。
  7. [条件付きアクセス] セクションで、[条件付きアクセス ポリシーを適用する] チェック ボックスをオンにします。
  8. 保存 を選択します。

ポリシーに条件付きアクセスを追加する

  1. 条件付きアクセス ポリシーの例を GitHub で入手してください。
  2. 各ファイルで、 yourtenant 文字列を Azure AD B2C テナントの名前に置き換えます。 たとえば、B2C テナントの名前が contosob2c の場合、 yourtenant.onmicrosoft.com のすべてのインスタンスが contosob2c.onmicrosoft.comになります。
  3. ポリシー ファイルをアップロードします。

MFA に使用する電話番号以外のクレームを設定する

上記の条件付きアクセス ポリシーでは、 DoesClaimExist 要求変換方法によって、要求に値が含まれているかどうか (たとえば、 strongAuthenticationPhoneNumber 要求に電話番号が含まれているかどうか) がチェックされます。 請求の変換は、 strongAuthenticationPhoneNumber 請求に限定されません。 シナリオによっては、他の任意の要求を使用できます。 次の XML スニペットでは、代わりに strongAuthenticationEmailAddress クレームがチェックされます。 選択する要求には有効な値が必要であり、そうでない場合は、 IsMfaRegistered 要求は False に設定されます。 Falseに設定すると、条件付きアクセス ポリシーの評価では Block の許可の種類が返され、ユーザーがユーザー フローを完了できなくなります。

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

カスタム ポリシーをテストする

  1. B2C_1A_signup_signin_with_caポリシーまたはB2C_1A_signup_signin_with_ca_whatifポリシーを選択して、その概要ページを開きます。 次に、 [ユーザー フローの実行] を選択します。 [アプリケーション] で [webapp1] を選択します。 応答 URLhttps://jwt.msが表示されます。
  2. [ ユーザー フロー エンドポイントの実行] の下の URL をコピーします。
  3. 危険なサインインをシミュレートするには、 Tor ブラウザを開き、前の手順でコピーしたURLを使用して登録済みアプリにサインインします。
  4. サインイン ページに要求された情報を入力し、サインインを試みます。 トークンは https://jwt.ms に返され、表示されます。 jwt.ms デコードされたトークンでは、サインインがブロックされたことがわかります。

ユーザー フローをテストする

  1. 作成したユーザー フローを選択して概要ページを開き、 [ ユーザー フローの実行] を選択します。 [アプリケーション] で [webapp1] を選択します。 応答 URLhttps://jwt.msが表示されます。
  2. [ ユーザー フロー エンドポイントの実行] の下の URL をコピーします。
  3. 危険なサインインをシミュレートするには、 Tor ブラウザを開き、前の手順でコピーしたURLを使用して登録済みアプリにサインインします。
  4. サインイン ページに要求された情報を入力し、サインインを試みます。 トークンは https://jwt.ms に返され、表示されます。 jwt.ms デコードされたトークンでは、サインインがブロックされたことがわかります。

監査レポートで条件付きアクセスの結果を確認する

条件付きアクセス イベントの結果を確認するには:

  1. Azure portal にサインインします。
  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
  3. Azure サービスで、Azure AD B2C を選択します。 または、検索ボックスを使用して Azure AD B2C を検索して選択します。
  4. [ アクティビティ] で、[ 監査ログ] を選択します。
  5. 監査ログをフィルター処理するには、[ カテゴリ][B2C ] に設定し、[ アクティビティ リソースの種類 ] を [IdentityProtection] に設定します。 次に、[適用] を選択します。
  6. 過去 7 日間の監査アクティビティを確認します。 次のタイプのアクティビティが含まれます。
    • 条件付きアクセス ポリシーの評価: この監査ログ エントリは、認証中に条件付きアクセス評価が実行されたことを示します。
    • ユーザーの修復: このエントリは、条件付きアクセス ポリシーの付与または要件がエンド ユーザーによって満たされ、このアクティビティがユーザーの軽減 (リスク軽減) のためにリスク エンジンに報告されたことを示します。
  7. 一覧で [条件付きアクセス ポリシーの評価 ] ログ エントリを選択して [ アクティビティの詳細: 監査ログ ] ページを開きます。このページには、監査ログ識別子と、次の情報が [ 追加の詳細 ] セクションに表示されます。
    • ConditionalAccessResult: 条件付きポリシーの評価に必要な付与。
    • AppliedPolicies: 条件が満たされ、ポリシーが ON になっているすべての条件付きアクセス ポリシーの一覧。
    • ReportingPolicies: レポート専用モードに設定された条件付きアクセス ポリシーと、条件が満たされた場所の一覧。

関連コンテンツ

Azure AD B2C ユーザー フローのユーザー インターフェイスをカスタマイズする