重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
Azure Active Directory B2C のユーザー フローとカスタム ポリシーが一般提供されました。 Azure AD B2C 機能は継続的に開発されているので、ほとんどの機能は一般提供されていますが、一部の機能はソフトウェア リリース サイクルの異なる段階にあります。 この記事では、Azure AD B2C の累積的な改善について説明し、機能の可用性を指定します。
パブリック プレビュー段階の機能に対する使用条件
パブリック プレビュー機能の使用は、評価目的のみで使用することが推奨されています。
サービス レベル アグリーメント (SLA) はパブリック プレビュー機能には適用されません。
パブリック プレビュー機能に対するサポート要求は、通常のサポート チャネルを通じて提出できます。
使用可能な機能
| 機能 | ユーザー フロー | カスタム ポリシー | 中国でのユーザー フロー | 中国のカスタム ポリシー | メモ |
|---|---|---|---|---|---|
| メールとパスワードによるサインアップとサインイン。 | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | |
| ユーザー名とパスワードによるサインアップとサインイン。 | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | |
| プロファイル編集フロー | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | |
| セルフサービス パスワード リセット | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | ジョージア州 (GA) | |
| パスワードの強制的なリセット | ジョージア州 (GA) | ジョージア州 (GA) | NAの | ジョージア州 (GA) | |
| 電話によるサインアップとサインイン | ジョージア州 (GA) | ジョージア州 (GA) | NAの | ジョージア州 (GA) | |
| スマート ロックアウト | ジョージア州 (GA) | ジョージア州 (GA) | NAの | NAの | |
| 条件付きアクセス | ジョージア州 (GA) | ジョージア州 (GA) | NAの | 限られた可用性 | SAML アプリケーションでは使用できません。 |
| 個人情報保護 | ジョージア州 (GA) | ジョージア州 (GA) | NAの | NAの | |
| キャプチャ | プレビュー | プレビュー | NAの | NAの | ローカル アカウントのサインアップまたはサインイン中に有効にすることができます。 |
OAuth 2.0 アプリケーション認可フロー
Azure AD B2C と連携できる OAuth 2.0 および OpenId Connect アプリケーションの認証フローを、次の表にまとめています。
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| 承認コード | ジョージア州 (GA) | ジョージア州 (GA) | ユーザーが Web アプリケーションにサインインできます。 Web アプリケーションで認可コードを受け取ります。 承認コードと引き換えに、Web API を呼び出すためのトークンを取得します。 |
| 認可コードと PKCE | ジョージア州 (GA) | ジョージア州 (GA) | ユーザーが、モバイルおよびシングルページ アプリケーションにサインインできます。 アプリケーションで Proof Key for Code Exchange (PKCE) を使用して認可コードを受け取ります。 承認コードと引き換えに、Web API を呼び出すためのトークンを取得します。 |
| クライアントの資格情報フロー | プレビュー | プレビュー | アプリケーションの ID を使用して Web 上のリソースにアクセスできます。 バックグラウンドでの実行が必要なサーバー間の相互作用に使用され、ユーザーとの即時の相互動作は必要ありません。 |
| デバイス認可付与 | NAの | NAの | ユーザーは、スマート TV、IoT デバイス、プリンターなどの入力制限のあるデバイスにサインインできます。 |
| 暗黙的なフロー | ジョージア州 (GA) | ジョージア州 (GA) | ユーザーがシングルページ アプリケーションにサインインできます。 バック エンド サーバーと資格情報のやりとりをせずに、アプリで使用するトークンを直接取得します。 注: SPA をサポートするための推奨されるフローは、 |
| On-Behalf-Of | NAの | NAの | アプリケーションでサービスまたは Web API を呼び出し、それがさらに別のサービスまたは Web API を呼び出す必要があります。 中間層のサービスから下流のサービスに対して認証要求を行うには、"クライアント資格情報" トークンを認可ヘッダーに埋め込みます。 必要に応じて、Azure AD B2C ユーザーのトークンを含むカスタム ヘッダーも使用できます。 |
| OpenID Connect | ジョージア州 (GA) | ジョージア州 (GA) | OpenID Connect には、ID トークンの概念が導入されています。ID トークンとは、クライアントがユーザーの本人性を確認できるセキュリティ トークンです。 |
| OpenId Connect ハイブリッド フロー | ジョージア州 (GA) | ジョージア州 (GA) | Web アプリケーションから認可要求を行って ID トークンと認可コードを取得できます。 |
| リソース所有者のパスワード資格情報 (ROPC) | ジョージア州 (GA) | ジョージア州 (GA) | モバイル アプリケーションで直接パスワードを処理して、ユーザーをサインインさせることができます。 |
| サインアウト | ジョージア州 (GA) | ジョージア州 (GA) | |
| シングル サインアウト | NAの | プレビュー |
OAuth 2.0 のオプション
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| サインインをソーシャル プロバイダーにリダイレクトする | ジョージア州 (GA) | ジョージア州 (GA) | クエリ文字列パラメーター domain_hint。 |
| サインイン名を事前入力する | ジョージア州 (GA) | ジョージア州 (GA) | クエリ文字列パラメーター login_hint。 |
client_assertion を使用して JSON をユーザー体験に挿入 |
NAの | 非推奨 | |
| id_token_hint として JSON をユーザー体験に挿入する | NAの | ジョージア州 (GA) | |
| ID プロバイダー トークンをアプリケーションに渡す | プレビュー | プレビュー | 例: Facebook からアプリへ。 |
| サインインしたままにする (KMSI) | ジョージア州 (GA) | ジョージア州 (GA) |
SAML2 アプリケーションの認証フロー
Azure AD B2C と連携できる Security Assertion Markup Language (SAML) アプリケーションの認証フローを、次の表にまとめています。
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| SP 開始 | NAの | ジョージア州 (GA) | POST とリダイレクトのバインディング。 |
| IDP 開始 | NAの | ジョージア州 (GA) | ID プロバイダーは Azure AD B2C です。 |
ユーザー エクスペリエンスのカスタマイズ
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| 複数言語のサポート | ジョージア州 (GA) | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| カスタム ドメイン | ジョージア州 (GA) | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| カスタム メール確認 | NAの | ジョージア州 (GA) | |
| 組み込みテンプレートを使用したユーザー インターフェイスのカスタマイズ | ジョージア州 (GA) | ジョージア州 (GA) | |
| カスタム テンプレートを使用したユーザー インターフェイスのカスタマイズ | ジョージア州 (GA) | ジョージア州 (GA) | HTML テンプレートを使用します。 |
| ページ レイアウト バージョン | ジョージア州 (GA) | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| JavaScript | ジョージア州 (GA) | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| 埋め込みサインイン エクスペリエンス | NAの | プレビュー | インライン フレーム要素の <iframe> を使用します。 |
| パスワードの複雑さ | ジョージア州 (GA) | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| メールの確認を無効にする | ジョージア州 (GA) | ジョージア州 (GA) | 運用環境での使用はお勧めしません。 サインアップ プロセスでの電子メールの検証を無効にすると、スパムにつながる場合があります。 |
ID プロバイダー
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| AD FS | NAの | ジョージア州 (GA) | |
| アマゾン | ジョージア州 (GA) | ジョージア州 (GA) | |
| 林檎 | ジョージア州 (GA) | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| Microsoft Entra ID (シングルテナント) | ジョージア州 (GA) | ジョージア州 (GA) | |
| Microsoft Entra ID (マルチテナント) | NAの | ジョージア州 (GA) | |
| Azure AD B2C | ジョージア州 (GA) | ジョージア州 (GA) | |
| イーベイ | NAの | プレビュー | |
| フェイスブック | ジョージア州 (GA) | ジョージア州 (GA) | |
| GitHubの | プレビュー | ジョージア州 (GA) | |
| グーグル | ジョージア州 (GA) | ジョージア州 (GA) | |
| ID.me | ジョージア州 (GA) | ジョージア州 (GA) | |
| LinkedIn を する | ジョージア州 (GA) | ジョージア州 (GA) | |
| Microsoft アカウント | ジョージア州 (GA) | ジョージア州 (GA) | |
| QQの | プレビュー | ジョージア州 (GA) | |
| Salesforce | ジョージア州 (GA) | ジョージア州 (GA) | |
| Salesforce (SAML プロトコル) | NAの | ジョージア州 (GA) | |
| ウィーチャット | プレビュー | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| 微博(ウェイボー) | プレビュー | ジョージア州 (GA) | |
| X | ジョージア州 (GA) | ジョージア州 (GA) |
汎用の ID プロバイダー
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| OAuth2 を |
NAの | ジョージア州 (GA) | たとえば、Google、GitHub、Facebook などです。 |
| OAuth1の | NAの | ジョージア州 (GA) | たとえば、 X。 |
| OpenIDコネクト | ジョージア州 (GA) | ジョージア州 (GA) | たとえば、Microsoft Entra ID です。 |
| SAML2 (英語) | NAの | ジョージア州 (GA) | たとえば、Salesforce と AD-FS などです。 |
| WSFEDの | NAの | NAの |
API コネクタ
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| サインアップ時に ID プロバイダーとのフェデレーションを行った後 | ジョージア州 (GA) | ジョージア州 (GA) | |
| ユーザーを作成する前 | ジョージア州 (GA) | ジョージア州 (GA) | |
| トークンにアプリケーション要求を含める前 | プレビュー | ジョージア州 (GA) | |
| 基本認証を使用したセキュリティ保護 | ジョージア州 (GA) | ジョージア州 (GA) | |
| クライアント証明書認証を使用したセキュリティ保護 | ジョージア州 (GA) | ジョージア州 (GA) | |
| OAuth2 ベアラー認証を使用したセキュリティ保護 | NAの | ジョージア州 (GA) | |
| API キー認証のセキュリティ保護 | NAの | ジョージア州 (GA) |
カスタム ポリシー機能
セッションの管理
| 機能 | カスタム ポリシー | メモ |
|---|---|---|
| 既定の SSO セッション プロバイダー | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| 外部ログイン セッション プロバイダー | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| SAML SSO セッション プロバイダー | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| OAuth SSO セッション プロバイダー | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
コンポーネント
| 機能 | カスタム ポリシー | メモ |
|---|---|---|
| 認証アプリで時間ベースのワンタイム パスワード (TOTP) を使用する MFA | ジョージア州 (GA) | ユーザーは、TOTP 検証をサポートする任意の認証アプリ (Microsoft Authenticator アプリなど) を使用できます。 |
| 電話要素認証 | ジョージア州 (GA) | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| Microsoft Entra 多要素認証 | ジョージア州 (GA) | |
| ワンタイム パスワード | ジョージア州 (GA) | |
| ローカル ディレクトリとしての Microsoft EntraID | ジョージア州 (GA) | |
| 述語の検証 | ジョージア州 (GA) | 例: パスワードの複雑さ。 |
| 表示コントロール | ジョージア州 (GA) | |
| サブ体験 | ジョージア州 (GA) |
開発者向けインターフェイス
| 機能 | カスタム ポリシー | メモ |
|---|---|---|
| Azure Portal | ジョージア州 (GA) | |
| Application Insights のユーザー体験ログ | プレビュー | 開発中のトラブルシューティングに使用される。 |
| Application Insights のイベント ログ | プレビュー | 運用環境でユーザー フローとカスタム ポリシーを監視するために使用されます。 |
その他の機能
| 機能 | ステータス | メモ |
|---|---|---|
| Go-Local アドオン | ジョージア州 (GA) | Azure AD B2C の Go-Local アドオンを使用すると、Azure AD B2C の作成時に選択した国/リージョン内に Azure AD B2C テナントを作成できます。 |
カスタム ポリシー機能セット開発者の責任
手動のポリシー構成で付与される Azure AD B2C の基になるプラットフォームへのアクセス レベルは低くなるため、信頼できる一意のフレームワークが作成されます。 カスタム ID プロバイダー、信頼関係、外部サービスとの統合、ステップバイステップのワークフローの起こり得る多くの配列には、設計および構成に対する系統的なアプローチが必要です。
カスタム ポリシーの機能セットを使用する開発者は、次のガイドラインに従う必要があります。
- カスタム ポリシーとキー/シークレット管理の構成言語について理解を深める。 詳細については、「TrustFrameworkPolicy」を参照してください。
- シナリオおよびカスタム統合の主導権を得る。 ご自分の作業内容を文書化し、ライブ サイト組織に通知します。
- シナリオの体系的なテストを実行する。
- ソフトウェア開発とステージングのベスト プラクティスに従ってください。 少なくとも 1 つの開発およびテスト環境が推奨されます。
- ID プロバイダーによる新しい開発と、統合するサービスに関する情報を常に入手する。 たとえば、シークレットの変更や、サービスの予定された変更と予定外の変更を把握します。
- アクティブな監視を設定し、運用環境の応答性を監視する。 Application Insights との統合の詳細については、Azure Active Directory B2C: ログの収集に関するページを参照してください。
- Azure サブスクリプションの連絡先のメール アドレスを最新に保ち、Microsoft のライブ サイト チームのメールに対応できるようにしておく。
- Microsoft ライブ サイト チームからのアドバイスがあった場合に、すぐに対処する。
次のステップ
- Azure AD B2C に使用可能な Microsoft Graph 操作を確認します。
- カスタム ポリシーについて、およびユーザー フローとの違いについて学習します。