Azure Active Directory B2C サービスの制限と制約

  • [アーティクル]

開始する前に 、このページの上部にある [ポリシーの種類 の選択] セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

この記事では、Azure Active Directory B2C (Azure AD B2C) サービスの使用上の制約およびその他のサービスの制限を説明します。 これらの制限は、脅威を効果的に管理し、高いレベルのサービス品質を確保することで保護するために設定されています。

Note

この記事で説明されているサービスの制限を引き上げるには、サポートにお問い合わせください。

Azure AD B2C テナントで認証できるユーザー数は、要求の制限によって制御されます。 次の表は、Azure AD B2C テナントに対する要求の制限を示しています。

カテゴリ 制限
Azure AD B2C テナントごとの IP あたりの最大要求数 6,000/5 分
Azure AD B2C テナントあたりの最大要求数 200/秒

エンドポイント要求の使用状況

Azure AD B2C は、OAuth 2.0OpenID Connect (OIDC)SAML プロトコルに準拠しています。 次の表に示すエンドポイントを使用して、ユーザー認証とシングル サインオン (SSO) 機能を提供します。

Azure AD B2C エンドポイントに対して行われる要求の頻度によって、全体のトークンの発行機能が決まります。 Azure AD B2C は、異なる数の要求を使用するエンドポイントを公開します。 アプリケーションで使用されるエンドポイントの詳細については、認証プロトコルに関する記事を参照してください。

エンドポイント エンドポイントの種類 使用される要求
/oauth2/v2.0/authorize 動的 状況に応じて異なる1
/oauth2/v2.0/token 静的 1
/openid/v2.0/userinfo 静的 1
/.well-known/openid-config 静的 1
/discovery/v2.0/keys 静的 1
/oauth2/v2.0/logout 静的 1
/samlp/sso/login 動的 状況に応じて異なる1
/samlp/sso/logout 静的 1

1ユーザー フローの種類が、これらのエンドポイントを使用するときに消費される要求の総数を決定します。

1カスタム ポリシーの構成が、これらのエンドポイントを使用するときに消費される要求の総数を決定します。

トークン発行レート

ユーザー フローの種類ごとに一意のユーザー エクスペリエンスが提供され、異なる数の要求が使用されます。 ユーザー フローのトークン発行レートは、静的エンドポイントと動的エンドポイントの両方で使用される要求の数によって異なります。 次の表は、各ユーザー フローの動的エンドポイントで使用される要求の数を示します。

ユーザー フロー 使用される要求
サインアップ 6
サインイン 4
パスワードのリセット 4
プロファイルの編集 4
電話によるサインアップとサインイン 6

ユーザー フローに、多要素認証などの機能を追加すると、より多くの要求が使用されます。 次の表は、ユーザーが次の機能のいずれかを操作するときに使用される追加の要求の数を示しています。

機能 使用される追加の要求
Microsoft Entra 多要素認証 2
メールのワンタイム パスワード 2
年齢制限 2
フェデレーション ID プロバイダー 2

ユーザー フローの 1 秒あたりのトークン発行レートを取得する方法:

  1. 上記の表を使用して、動的エンドポイントで使用される要求の総数を追加します。
  2. アプリケーションの種類に基づいて、静的エンドポイントで必要な要求の数を追加します。
  3. 次の数式を使用して、1 秒あたりのトークン発行レートを計算します。
Tokens/sec = 200/requests-consumed

カスタム ポリシーのトークン発行レートは、静的エンドポイントと動的エンドポイントで使用される要求の数によって異なります。 次の表は、Azure AD B2C スターター パックの動的エンドポイントで使用される要求の数を示します。

スターター パック シナリオ ユーザー体験 ID 使用される要求
LocalAccounts サインイン SignUpOrSignIn 2
LocalAccounts SocialAndLocalAccounts サインアップ SignUpOrSignIn 6
LocalAccounts プロファイルの編集 ProfileEdit 2
LocalAccounts SocialAndLocalAccounts SocialAndLocalAccountsWithMfa パスワードのリセット PasswordReset 6
SocialAndLocalAccounts フェデレーション アカウントのサインイン SignUpOrSignIn 4
SocialAndLocalAccounts フェデレーション アカウントのサインアップ SignUpOrSignIn 6
SocialAndLocalAccountsWithMfa MFA を使用したローカル アカウント サインイン SignUpOrSignIn 6
SocialAndLocalAccountsWithMfa MFA を使用したローカル アカウント サインアップ SignUpOrSignIn 10
SocialAndLocalAccountsWithMfa MFA を使用したフェデレーション アカウント サインイン SignUpOrSignIn 8
SocialAndLocalAccountsWithMfa MFA を使用したフェデレーション アカウント サインアップ SignUpOrSignIn 10

特定のユーザー体験の 1 秒あたりのトークン発行レートを取得するには、次のようにします。

  1. 上の表を使用して、ユーザー体験で使用される要求の数を確認します。
  2. アプリケーションの種類に基づいて、静的エンドポイントで必要な要求の数を追加します。
  3. 次の数式を使用して、1 秒あたりのトークン発行レートを計算します。
Tokens/sec = 200/requests-consumed

カスタム ポリシーのトークン発行レートを計算する

独自のカスタム ポリシーを作成して、アプリケーションに固有の認証エクスペリエンスを提供できます。 動的エンドポイントで使用される要求の数は、どの機能がカスタム ポリシーを経由するようにユーザーが設定するかによって異なります。 次の表は、カスタム ポリシーの各機能で使用される要求の数を示しています。

機能 使用される要求
セルフアサートの技術プロファイル 2
電話要素の技術プロファイル 4
メール確認 (Verified.Email) 2
表示コントロール 2
フェデレーション ID プロバイダー 2

カスタム ポリシーの 1 秒あたりのトークン発行レートを取得する方法:

  1. 上記の表を使用して、動的エンドポイントで使用される要求の総数を計算します。
  2. アプリケーションの種類に基づいて、静的エンドポイントで必要な要求の数を追加します。
  3. 次の数式を使用して、1 秒あたりのトークン発行レートを計算します。
Tokens/sec = 200/requests-consumed

ベスト プラクティス

次の構成オプションを考慮して、トークン発行レートを最適化できます。

Azure AD B2C 構成の制限

次の表に、Azure AD B2C サービスの管理構成の制限を示します。

カテゴリ 制限
アプリケーションごとのスコープの数 1000
ユーザーあたりのカスタム属性の数 1 100
アプリケーションあたりのリダイレクト URL の数 100
アプリケーションあたりのサインアウト URL の数 1
属性あたりの文字列制限 250 文字
サブスクリプションあたりの B2C テナントの数 20
テナントあたりのオブジェクト (ユーザー アカウントとアプリケーション) の合計数 (既定の制限) 125 万
テナントあたりのオブジェクト (ユーザー アカウントとアプリケーション) の合計数 (検証済みのカスタムドメインを使用) 525 万
カスタム ポリシーでの継承のレベル 10
Azure AD B2C テナントあたりのポリシーの数 (ユーザー フロー + カスタム ポリシー) 200
ポリシー ファイルの最大サイズ 1024 KB
テナントあたりの API コネクタの数 20

1Microsoft Entra サービスの制限と制約」も参照してください。

次のステップ