次の方法で共有

Azure Active Directory B2C でユーザー データを管理する

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください

この記事では、 Microsoft Graph API によって提供される操作を使用して、Azure Active Directory B2C (Azure AD B2C) のユーザー データを管理する方法について説明します。 ユーザー データの管理には、監査ログからのデータの削除またはエクスポートが含まれます。

この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。

ユーザー データを削除する

ユーザー データは、Azure AD B2C ディレクトリと監査ログに格納されます。 すべてのユーザー監査データは、Azure AD B2C で 7 日間保持されます。 その 7 日以内にユーザー データを削除する場合は、[ ユーザーの削除 ] 操作を使用できます。 データが存在する可能性がある Azure AD B2C テナントごとに DELETE 操作が必要です。

Azure AD B2C のすべてのユーザーにオブジェクト ID が割り当てられます。 オブジェクト ID は、Azure AD B2C のユーザー データの削除に使用する明確な識別子を提供します。 アーキテクチャによっては、オブジェクト ID は、財務、マーケティング、顧客関係管理データベースなど、他のサービス間で便利な関連付け識別子になる場合があります。

ユーザーのオブジェクト ID を取得する最も正確な方法は、Azure AD B2C での認証体験の一部として取得することです。 他の方法を使用してユーザーからデータに対する有効な要求を受け取った場合は、カスタマー サービス サポート エージェントによる検索などのオフライン プロセスが、ユーザーを検索し、関連付けられているオブジェクト ID をメモするために必要な場合があります。

次の例は、考えられるデータ削除フローを示しています。

  1. ユーザーがサインインし、[データの 削除] を選択します。
  2. アプリケーションには、アプリケーションの管理セクション内のデータを削除するオプションが用意されています。
  3. アプリケーションは、Azure AD B2C に認証を強制します。 Azure AD B2C は、ユーザーのオブジェクト ID を持つトークンをアプリケーションに返します。
  4. トークンはアプリケーションによって受信され、オブジェクト ID は Microsoft Graph API の呼び出しを通じてユーザー データを削除するために使用されます。 Microsoft Graph API はユーザー データを削除し、状態コード 200 OK を返します。
  5. アプリケーションは、オブジェクト ID または他の識別子を使用して、必要に応じて他の組織システムのユーザー データの削除を調整します。
  6. アプリケーションはデータの削除を確認し、ユーザーに次の手順を提供します。

顧客データをエクスポートする

Azure AD B2C から顧客データをエクスポートするプロセスは、削除プロセスと似ています。

Azure AD B2C ユーザー データは次に制限されます。

  • Microsoft Entra ID に格納されているデータ: オブジェクト ID またはサインイン名 (メール アドレスやユーザー名など) を使用して、Azure AD B2C 認証ユーザー体験のデータを取得できます。
  • ユーザー固有の監査イベント レポート: オブジェクト ID を使用してデータのインデックスを作成できます。

エクスポート データ フローの次の例では、アプリケーションによって実行されていると説明されている手順は、バックエンド プロセスまたはディレクトリ内の管理者ロールを持つユーザーによっても実行できます。

  1. ユーザーがアプリケーションにサインインします。 Azure AD B2C では、必要に応じて Microsoft Entra 多要素認証による認証が適用されます。
  2. アプリケーションは、ユーザーの資格情報を使用して Microsoft Graph API 操作を呼び出し、ユーザー属性を取得します。 Microsoft Graph API は、JSON 形式で属性データを提供します。 スキーマに応じて、ID トークンの内容を設定して、ユーザーに関するすべての個人データを含めることができます。
  3. アプリケーションは、ユーザー監査アクティビティを取得します。 Microsoft Graph API は、アプリケーションにイベント データを提供します。
  4. アプリケーションはデータを集計し、ユーザーが使用できるようにします。

次のステップ

ユーザーがアプリケーションにアクセスする方法を管理する方法については、「 ユーザー アクセスの管理」を参照してください。