Azure AD B2C:よく寄せられる質問 (FAQ)

Microsoft は次世代の Microsoft Entra 外部 ID ソリューションの早期プレビューを発表しました。 この早期プレビューは、パートナー、お客様、市民、患者など、すべての外部 ID にわたる安全かつ魅力的なエクスペリエンスを 1 つの統合プラットフォームに統合するときの進化的な手順を表しています。 このプレビューの詳細については、「顧客向け Microsoft Entra 外部 ID とは」を参照してください。

現時点では、お客様側でのアクションは必要ありません。 この次世代プラットフォームは、現在、早期プレビューでのみ提供されています。 現在の Azure AD B2C ソリューションのサポートに、引き続き全力で取り組みます。 現時点では、Azure AD B2C のお客様が移行するための要件はありません。また、現在の Azure AD B2C サービスを停止する予定もありません。 この次世代プラットフォームの GA が近くなりましたら、新しいプラットフォームへの移行を含め、使用できるオプションに関する詳細情報をすべての B2C のお客様に提供する予定です。

この次世代プラットフォームは、お客様の ID およびアクセス管理 (CIAM) の未来を表すものなので、早期プレビューへの皆様の参加とフィードバックをお待ちしております。 早期プレビューへの参加に関心をお持ちの場合、詳細については営業チームまでお問い合わせください。

Microsoft Entra の拡張機能が動作しない一般的な理由は 2 つあります。 Azure AD B2C では、ディレクトリのユーザー ロールがグローバル管理者である必要があります。 アクセス権限が必要と思われる場合は、管理者にお問い合わせください。 グローバル管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。 Azure AD B2C テナントの作成に関する手順を確認してください。

Microsoft Entra ID と Azure AD B2C は別々の製品オファリングです。 Azure AD B2C 機能を使用するには、既存の従業員ベースの Microsoft Entra テナントとは別の Azure AD B2C テナントを作成します。 Microsoft Entra テナントは、組織を表します。 Azure AD B2C テナントは、証明書利用者アプリケーションで使用される ID のコレクションを表します。 [Azure AD B2C] > [ID プロバイダー] で [新しい OpenID Connect プロバイダー] を追加するか、またはカスタム ポリシーを使用して、Azure AD B2C で Microsoft Entra ID にフェデレーションして、組織の従業員の認証を許可することができます。

Azure AD B2C は、Microsoft 365 のユーザーの認証に使用できません。 Microsoft Entra ID は、SaaS アプリへの従業員のアクセスを管理するための Microsoft のソリューションであり、その目的で設計された機能 (ライセンス付与や条件付きアクセスなど) を備えています。 Azure AD B2C には、Web およびモバイル アプリケーションを構築するための ID およびアクセスの管理プラットフォームが用意されています。 Microsoft Entra テナントにフェデレーションするように Azure AD B2C を構成すると、Microsoft Entra テナントでは、Azure AD B2C に依存するアプリケーションへの従業員のアクセスが管理されます。

Microsoft Entra テナントでは、テナントに属するユーザーは、<xyz>@<tenant domain> の形式の電子メール アドレスを使用してサインインします。 <tenant domain> は、テナントの確認済みドメインの 1 つ、または初期の <...>.onmicrosoft.com ドメインです。 この種類のアカウントは、職場または学校アカウントです。

Azure AD B2C テナントでは、ユーザーは大部分のアプリに任意のメール アドレス (joe@comcast.net、bob@gmail.com、sarah@contoso.com、jim@live.com など) を使用してサインインします。 この種類のアカウントはローカル アカウントです。 ローカル アカウントとして任意のユーザー名もサポートしています (joe、bob、sarah、jim など)。 Azure Portal で Azure AD B2C の ID プロバイダーを構成する場合、この 2 種類のローカル アカウントのいずれかを選択できます。 ご利用の Azure AD B2C テナントで、 [ID プロバイダー] 、 [ローカル アカウント] 、 [ユーザー名] の順に選択します。

アプリケーションのユーザー アカウントは、サインアップ ユーザー フローによって、サインアップもしくはサインイン ユーザー フローによって、Microsoft Graph API によって、または Azure portal を通じて作成できます。

• 既定では、各テナントは合計 125 万個のオブジェクト (ユーザー アカウントとアプリケーション) に対応できますがカスタム ドメインを追加して検証するときに、この制限を 525 万個のオブジェクトまで増やすことができます。 この制限を引き上げるには、Microsoft サポートにお問い合わせください。 ただし、2022 年 9 月より前にテナントを作成した場合は、この制限の影響はなく、テナントは作成時に割り当てられたサイズ (5,000 万個のオブジェクト) を保持します。

現在のところ、Amazon、Facebook、GitHub (プレビュー)、Google、LinkedIn、Microsoft アカウント (MSA)、QQ (プレビュー)、Twitter、WeChat (プレビュー)、Weibo (プレビュー) など、いくつかのソーシャル ID プロバイダーをサポートしています。 お客様からご要望があれば、他の人気のあるソーシャル ID プロバイダーへのサポート追加を検討します。

Azure AD B2C もカスタム ポリシーをサポートしています。 カスタム ポリシーを使用すると、OpenID Connect または SAML をサポートする任意の ID プロバイダーに対して独自のポリシーを作成できます。 カスタム ポリシー スターター パックを使ってカスタム ポリシーの作成をお試しください。

いいえ。 サポートされている一連のソーシャル ID プロバイダーに使用されている、既定のスコープは次のとおりです。

• Facebook: 電子メール
• Google +: 電子メール
• Microsoft アカウント: openid 電子メール プロファイル
• Amazon: プロファイル
• LinkedIn: r_emailaddress、r_basicprofile

ADFS サーバーで、Set-AdfsProperties -SignedSamlRequestsRequired $true を実行します。 これにより、Azure AD B2C は ADFS へのすべての要求に署名するように強制されます。

いいえ。アプリケーションは任意の場所でホストできます (クラウドまたはオンプレミス)。 Azure AD B2C とやり取りするために必要なのは、パブリックにアクセス可能なエンドポイントで HTTP 要求を送受信する機能のみです。

Azure portal で Azure AD B2C サービスを開く前に、管理するディレクトリに切り替える必要があります。 上部のメニューの [設定] アイコンを選択して、[ディレクトリとサブスクリプション] メニューから管理するディレクトリに切り替えます。

Azure AD B2C テナントを作成するアクセス許可がない可能性があります。 グローバル管理者またはテナント作成者のロールを持つユーザーのみがテナントを作成できます。 グローバル管理者に連絡する必要があります。

検証電子メールの内容をカスタマイズするには、 会社のブランド化機能 を使用します。 具体的には、電子メールの次の 2 つの要素をカスタマイズできます。

• バナー ロゴ:右下に表示されます。

• 背景色:上部に表示されます。

  

電子メールの署名には、最初に Azure AD B2C テナントを作成したときに指定した Azure AD B2C テナントの名前が含まれます。 名前は次の手順を使用して変更できます。

1. Azure Portal にグローバル管理者としてサインインします。
2. [Microsoft Entra ID] ブレードを開きます。
3. [プロパティ] タブを選択します。
4. [名前] フィールドを変更します。
5. ページの最上部で [保存] を選択します。

現在、メールの送信元フィールドは変更できません。

Microsoft Graph API を使用して、移行ツールを作成できます。 詳細についてはユーザーの移行ガイドを参照してください。

Azure AD B2C のローカル アカウントのパスワード ユーザー フローは Microsoft Entra ID のポリシーに基づいています。 Azure AD B2C のサインアップ、サインアップまたはサインイン、パスワード リセットの各ユーザー フローでは、"強力な" パスワード強度を使用しており、いずれのパスワードにも有効期限がありません。 詳細については、「Microsoft Entra ID のパスワード ポリシーと制限」を参照してください。

アカウントのロックアウトとパスワードの詳細については、Azure AD B2C における資格情報攻撃の軽減に関するページをご覧ください。

いいえ。Microsoft Entra Connect は Azure AD B2C と連携するようには設計されていません。 ユーザーの移行には、Microsoft Graph API を使用することを検討してください。 詳細についてはユーザーの移行ガイドを参照してください。

この機能はパブリック プレビュー段階にあります。 詳細については、「埋め込みサインイン エクスペリエンス」を参照してください。

Microsoft Dynamics 365 ポータルとの統合を使用できます。 Azure AD B2C を使用して認証するための Dynamics 365 ポータルの構成に関する記事を参照してください。

Azure AD B2C は、SharePoint 外部パートナー共有のシナリオには適していません。代わりに、Microsoft Entra B2B に関する記事を参照してください。

外部 ID のシナリオに適した機能を使用する方法の詳細については、外部 ID のソリューションの比較に関するページを参照してください。

いいえ。Azure AD B2C は、Microsoft Entra ID P1 または P2 と同じレポート セットをサポートしていません。 ただし、多くの共通点があります。

• サインイン レポートは、各サインインの記録を、詳細は除外して提供します。
• 監査レポートには、管理アクティビティとアプリケーション アクティビティの両方が含まれます。
• 使用状況レポートには、ユーザーの数、ログインの回数、MFA のボリュームが含まれます。

はい。 エンド ユーザーは、TOTP 検証をサポートする Microsoft Authenticator アプリなど (推奨) の任意の認証アプリをダウンロードする必要があります。 詳細については、「検証方法」を参照してください。

TOTP 認証アプリ コードが Android または iPhone の携帯電話やデバイスで動作していない場合、デバイスのクロック時間が正しくない可能性があります。 デバイスの設定で、ネットワーク指定の時刻を使用するオプションか、時刻を自動的に設定するオプションを選択します。

お住まいの国またはリージョンで Go-Local アドオンが利用可能な場合は、Azure AD B2C テナントの作成時にアドオンを必要に応じて有効にするように求められます。

いいえ。Go-Local アドオンを有効にするときに、1 か月あたり 50,000 の無料 MAU は適用されません。 Go-Local アドオンでは、最初の MAU から料金が発生します。 ただし、Azure AD B2C Premium P1 または P2 の価格で利用できるその他の機能については、1 か月あたり 50,000 の無料 MAU が引き続き適用されます。

「Go-Local アドオンのアクティブ化」の手順に従って、Azure AD B2C Go-Local アドオンをアクティブ化します。

「言語のカスタマイズ」をご覧ください。 Microsoft では、36 言語の翻訳を提供しおり、お客様は、ニーズに合わせて任意の文字列をオーバーライドすることができます。

はい、独自のドメインを使用できます。 詳細については、Azure AD B2C カスタムドメインに関するページを参照してください。

Azure AD B2C テナントを削除するには、次の手順に従います。

新しい統一的なアプリの登録エクスペリエンスと、従来のアプリケーション (レガシ) エクスペリエンスのいずれかを利用できます。 この新しいエクスペリエンスの詳細を参照してください。

いいえ。Azure AD B2C は従量課金制の Azure サービスであり、Enterprise Mobility Suite には含まれていません。

いいえ。Azure AD B2C テナントは、Microsoft Entra ID P1 または Microsoft Entra ID P2 ライセンスを使用しません。 Azure AD B2C では、Azure AD B2C Premium P1 または P2 のライセンスが使用されます。これは、Standard Microsoft Entra テナントの Microsoft Entra ID P1 または P2 のライセンスとは異なります。 Azure AD B2C テナントは、「サポートされている Microsoft Entra ID 機能」で説明されているように、Microsoft Entra ID P1 または P2 の機能に似た機能をネイティブにサポートしています。

いいえ。Azure AD B2C テナントでは、Microsoft Entra エンタープライズ アプリケーションへのグループベースの割り当てはサポートされていません。

次の AD B2C 機能は、現在 Microsoft Azure Government では利用できません。

• API コネクタ
• 条件付きアクセス

Azure AD B2C で、refreshTokensValidFromDateTime と refreshTokenIssuedTime の時間差が 5 分以下の場合、更新トークンは引き続き有効と見なされます。 ただし、refreshTokenIssuedTime が refreshTokensValidFromDateTime より大きい場合、更新トークンは取り消されます。 次の手順に従って、更新トークンが有効か取り消されたかを確認します。

1. authorization_code を利用して、RefreshToken と AccessToken を取得します。

2. 7 分間待機します。

3. Microsoft Graph PowerShell コマンドレット Revoke-MgUserSignInSession または Microsoft Graph API invalidateAllRefreshTokens を使用して、RevokeAllRefreshToken コマンドを実行します。

4. 10 分間待機します。

5. 再度 RefreshToken を取得します。

現在、Azure AD B2C では、この特定のシナリオでのシングル サインアウトはサポートされていません。 これは、すべてのアプリケーションが同じ Cookie で同時に動作しているため、Cookie の競合が原因で発生します。

Azure Active Directory B2C のサポート要求の提出に関するページを参照してください。

現在、Azure portal から Azure AD B2C のユーザー セッションを失効させることはできません。 しかし、Microsoft Graph PowerShell または Microsoft Graph API を使用して、このタスクをアーカイブすることはできます。