ユーザー フローの電話でのサインアップとサインインを設定する
メール アドレスとユーザー名に加えて、電話でのサインアップとサインインをローカル アカウント ID プロバイダーに追加することで、電話番号をサインアップ オプションとしてテナント全体で有効にできます。 ローカル アカウントに対して電話でのサインアップとサインインを有効にすると、ユーザー フローに電話でのサインアップを追加できるようになります。
ユーザー フローにおける電話でのサインアップとサインインの設定には、次の手順が含まれます。
ローカル アカウント ID プロバイダーで電話でのサインアップとサインインをテナント全体で構成して、電話番号をユーザーの ID として受け入れます。
電話でのサインアップをユーザー フローに追加して、ユーザーが自分の電話番号を使用してアプリケーションにサインアップできるようにします。
回復用メール プロンプト (プレビュー) を有効にして、ユーザーが携帯電話を持っていないときにアカウントを回復するために使用できるメール アドレスをユーザーが指定できるようにします。
サインアップまたはサインインのフロー中にユーザーに同意情報を表示します。 既定の同意情報を表示するか、独自の同意情報をカスタマイズできます。
電話でのサインアップを使用したユーザー フローを構成するときは、多要素認証 (MFA) が既定で無効化されます。 電話でのサインアップを使用したユーザー フローで MFA を有効にすることはできますが、電話番号がプライマリ ID として使用されるため、2 番目の認証要素に使用できる唯一のオプションは電子メールによるワンタイム パスコードです。
電話でのサインアップとサインインをテナント全体で構成する
ローカル アカウント ID プロバイダーの設定では、メール アドレスでのサインアップが既定で有効になっています。 テナントでサポートする ID の種類を変更するには、メール アドレスでのサインアップ、ユーザー名、または電話番号を選択または選択解除します。
Azure portal にサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選び、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。
[管理] で、 [ID プロバイダー] を選択します。
ID プロバイダー リストで、 [ローカル アカウント] を選択します。
[Configure local IDP](ローカル IDP を構成します) ページで、コンシューマーが Azure AD B2C テナントにローカル アカウントを作成するために使用できる、許可される ID の種類の 1 つとして [電話] が選択されていることを確認します。
[保存] を選択します。
ユーザー フローに電話でのサインアップを追加する
ローカル アカウントの ID オプションとして電話でのサインアップを追加した後で、これをユーザー フローに追加できます。ただし、推奨されている最新のユーザー フロー バージョンである場合に限ります。 新しいユーザー フローに電話でのサインアップを追加する方法を示す例を次に示します。 ただし、既存の推奨されるバージョンのユーザー フローに電話でのサインアップを追加することもできます ( [ユーザー フロー]>ユーザーフロー名>[ID プロバイダー]>[Local Account Phone signup](ローカル アカウントの電話サインアップ) を選択)。
新しいユーザー フローに電話でのサインアップを追加する方法を示す例を次に示します。
Azure portal にサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選び、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
Azure portal で、 [Azure AD B2C] を検索して選択します。
[ポリシー] で、 [ユーザー フロー] を選択し、 [新しいユーザー フロー] を選択します。
[ユーザー フローを作成する] ページで、 [サインアップとサインイン] ユーザー フローを選択します。
[バージョンの選択] で [Recommended]\(推奨\) を選択して、 [作成] を選択します。 (ユーザー フローのバージョンに関する詳細情報)。
ユーザー フローの [名前] (signupsignin1 など) を入力します。
[ID プロバイダー] セクションの [ローカル アカウント] の下にある [Phone signup](電話でのサインアップ) を選択します。
[ソーシャル ID プロバイダー] で、このユーザー フローに対して許可するその他の ID プロバイダーを選択します。
注意
サインアップのユーザー フローでは、多要素認証 (MFA) は既定で無効になっています。 電話でのサインアップのユーザー フローで MFA を有効にすることはできますが、電話番号がプライマリ識別子として使用されるため、2 番目の認証要素に使用できるオプションは、電子メールによるワンタイム パスコードと Authenticator アプリ - TOTP (プレビュー) のみとなります。
[ユーザー属性とトークン要求] セクションで、サインアップ中にユーザーから収集して送信する要求と属性を選択します。 たとえば、 [Show more](さらに表示) を選択し、 [国/リージョン] 、 [表示名] 、 [郵便番号] の属性と要求を選択します。 [OK] を選択します。
[作成] を選択して、ユーザー フローを追加します。 B2C_1 というプレフィックスが自動的に名前に追加されます。
回復用メール プロンプトを有効にする (プレビュー)
ユーザー フローで電話でのサインアップとサインインを有効にする場合、回復用メール機能を有効にすることもお勧めします。 この機能を使用すると、ユーザーが自分の電話を持っていないときにアカウントを回復するために使用できるメール アドレスを指定できます。 このメール アドレスは、アカウントの回復のみに使用されます。 サインインに使用することはできません。
回復用メール プロンプトがオンの場合、ユーザーが初めてサインアップするときに、バックアップのメール アドレスの確認を求められます。 前に回復用メールを提供していないユーザーは、次回のサインイン時にバックアップのメール アドレスの確認を求められます。
回復用メールがオフの場合、ユーザーがサインアップまたはサインインしても、回復用メール プロンプトは表示されません。
ユーザー フローのプロパティで、回復用メール プロンプトを有効にすることができます。
注意
開始する前に、前に説明したように、ユーザー フローに電話でのサインアップが追加されていることを確認してください。
回復用メール プロンプトを有効にするには
Azure portal にサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選び、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
Azure portal で、 [Azure AD B2C] を検索して選択します。
Azure AD B2C の [ポリシー] で、 [ユーザー フロー] を選択します。
一覧からユーザー フローを選択します。
[設定] で [プロパティ] を選択します。
[Enable recovery email prompt for phone number signup and sign in (preview)](電話番号でのサインアップとサインインの回復用メール プロンプトを有効にする (プレビュー)) の横で、次のように選択します。
- [オン] : サインアップとサインインの両方で回復用メール プロンプトを表示する。
- [オフ] : 回復用メール プロンプトを非表示にする。
[保存] を選択します。
回復用メール プロンプトをテストする
ユーザー フローで電話でのサインアップとサインインを有効にし、回復用メール プロンプトを有効にしたら、 [ユーザー フローを実行します] を使用してユーザー エクスペリエンスをテストすることができます。
[ポリシー]>[ユーザー フロー] を選択して、作成したユーザー フローを選択します。 ユーザー フローの [概要] ページで、 [ユーザー フローを実行します] を選択します。
[アプリケーション] で、手順 1. で登録した Web アプリケーションを選択します。 [応答 URL] に
https://jwt.msと表示されます。[ユーザー フローを実行します] を選択し、次の動作を確認します。
- 初めてサインアップしたユーザーは、回復用メールを提供するように求められます。
- 既にサインアップしていても、回復用メールを提供していないユーザーについては、サインイン時にこれを提供するように求められます。
メール アドレスを入力し、 [確認コードの送信] を選択します。 指定したメール アドレスの受信トレイにコードが送信されていることを確認します。 コードを取得し、 [確認コード] ボックスに入力します。 次に、 [コードの確認] を選択します。
同意情報を有効にする
サインアップおよびサインインのフローに同意情報を含めることを強くお勧めします。 サンプル テキストが提供されています。 CTIA Web サイトにある「Short Code Monitoring Handbook」(ショート コード監視に関するハンドブック) を参照し、ご自身のコンプライアンス ニーズを満たすための最終的なテキストと機能の構成に関するガイダンスについては、法務またはコンプライアンスの専門家に相談してください。
"電話番号を入力すると、テキスト メッセージによって送信されるワンタイム パスコードの受信に同意したことになり、<挿入: アプリケーション名> にサインインできるようになります"。 メッセージとデータの標準的な通信料が適用される場合があります。
<挿入: プライバシーに関する声明へのリンク>
<挿入: サービス利用規約へのリンク>
同意情報を有効にするには
Azure portal にサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
Azure portal で、 [Azure AD B2C] を検索して選択します。
Azure AD B2C の [ポリシー] で、 [ユーザー フロー] を選択します。
一覧からユーザー フローを選択します。
[カスタマイズ] で、 [言語] を選択します。
同意テキストを表示するには、 [言語のカスタマイズを有効化] を選択します。
同意情報をカスタマイズするには、一覧から言語を選択します。
言語パネルで、[Phone signIn page](電話サインイン ページ) を選択します。
[既定値のダウンロード] を選択します。
ダウンロードした JSON ファイルを開きます。 次のテキストを検索し、それをカスタマイズします。
disclaimer_link_1_url: override を "true" に変更し、プライバシー情報の URL を追加します。
disclaimer_link_2_url: override を "true" に変更し、使用条件の URL を追加します。
disclaimer_msg_intro: override を "true" に変更し、value を希望する免責事項の文字列に変更します。
ファイルを保存します。 [Upload new overrides](新しいオーバーライドのアップロード) で、ファイルを参照して選択します。 "オーバーライドは正常にアップロードされました" という通知が表示されたことを確認します。
[Phone signUp page](電話サインアップ ページ) を選択し、手順 10 から 12 を繰り返します。
ディレクトリ内のユーザーの電話番号を取得する
Graph エクスプローラーで、次の要求を実行します。
GET https://graph.microsoft.com/v1.0/users/{object_id}?$select=identities返された応答で
issuerAssignedIdプロパティを見つけます。"identities": [ { "signInType": "phoneNumber", "issuer": "contoso.onmicrosoft.com", "issuerAssignedId": "+11231231234" } ]