ログインの種類とユーザー ID

ログイン ID の種類

Microsoft Community Training プラットフォームでは、どのようなログイン ID がサポートされていますか?

現在、プラットフォームで既定でサポートされるログイン ID は、携帯電話番号、個人用メール アドレス (またはソーシャル アカウント)、Azure AD の 3 種類です。 お客様は、上記のいずれかの方法を認証方法として選ぶか、以下の説明のように、ポータルで学習者のログイン ID (上記の 3 つの形式) を任意に組み合わせて選択できます。

1. 携帯電話番号 - 学習者は、サインイン時に入力した携帯電話番号でワンタイムパスワードを受け取ります。 検証に成功すると、学習者はポータルにアクセスできるようになります。

2. 個人用メール アドレス - 学習者は、個人用メール アドレスまたはソーシャル アカウント (Facebook、LinkedIn など) を選んでポータルにログインできます。 ID プロバイダー (Google、FB、Microsoft など) の認証に成功すると、学習者は Microsoft Community Training ポータルにもログインします

3. Azure Active Directory - 学習者は、Azure Active Directory (別名 Azure AD) の資格情報を使ってポータルにログインします。

4. 複数モードによるログイン - Microsoft Community Training は、1 つのプラットフォーム インスタンスに対して複数の認証オプションの追加をサポートしています。 インスタンスに複数の認証を構成できるようにするには、まず AD B2C テナントを作成し、アプリケーションを登録して、インスタンスに携帯電話番号、個人用メール アドレス、Azure AD ログインのサポートを後で追加する必要があります。

また、既定の ID とは別に、プラットフォームはログインのために既存の OAuth 2.0、OpenID Connect、SAML ベースの認証サービスと統合することもできます。 詳細については、ヘルプデスクからお問い合わせください。

Microsoft Community Training プラットフォームを内部と外部の従業員のトレーニングに使いたいと考えています。 このようなシナリオに合わせてプラットフォームを構成するにはどうすればよいですか?

内部と外部の従業員がどのようにポータルにアクセスするかに応じて、次のようにプラットフォームを構成することができます。

"ケース 1: 内部と外部の従業員を両方管理する (Azure AD 経由)"

このプラットフォームは、Azure AD をログイン ID として設定できます。 学習者は、既存の資格情報を使ってトレーニング コンテンツにアクセスできます。 組織は、グループや管理者専用コースを使うことで、外部の従業員が内部の従業員向けのコース コンテンツにアクセスできないようにすることができます。

"ケース 2 - 内部の従業員は (Azure AD を介して) 管理され、外部の従業員は管理されない"

Azure AD B2C を使って個人用メール アドレスをサポートするようにこのプラットフォームを設定できます。また、B2C インスタンスに Azure AD ログイン サポートを追加することで、内部の従業員は職場アカウントを使ってログインし、外部パートナーは個人用メール ID を使ってログインできます。

"ケース 3 - 内部と外部の両方の従業員が管理されていない"

個人用メール アドレス (別名ソーシャル アカウント) または携帯電話番号をログイン ID としてプラットフォームを設定できます。 学習者は、既存のソーシャル アカウントや携帯電話番号を使ってトレーニング コンテンツにアクセスできます。 組織は、グループや管理者専用コースを使うことで、外部の従業員が内部の従業員向けのコース コンテンツにアクセスできないようにすることができます。

また、個人用メール アドレスでのログインをサポートするように、AD B2C を使ってインスタンスを設定することもできます。後で電話認証を追加して、ログインにメール アドレスか電話のどちらかをユーザーが選択できるようにすることもできます。

Microsoft Community Training プラットフォームにゲスト ログインの機能はありますか?

現在、Microsoft Community Training プラットフォームにゲスト ユーザー機能はありません。 プラットフォームのログイン ID 設定に応じて、すべてのユーザーは、コンテンツを使う前にプラットフォームにアクセスして認証を受ける必要があります。

学習者が同じインスタンスに携帯電話番号またはメール アドレスを使ってログインすることを許可できますか?

はい。MCT は同じインスタンスに対する複数のモードによるログインをサポートしています。そのためには、IDP として Azure AD の電話認証を追加できる B2C テナントを用意する必要があります。

学習者はメール アドレスも携帯電話番号も持っていません。ログインし、トレーニング コンテンツにアクセスするにはどうすればよいですか?

ローカル アカウントを設定して Azure AD B2C テナントを作成し、学習者が登録時に自分のユーザー名とパスワードを生成するように設定することができます。

詳細については、ヘルプデスクから問い合わせ、チケットの説明に要件を記入してください。

携帯電話番号によるログイン

携帯電話番号のワン タイム パスワード ベースのログインとは何ですか?

ユーザーが携帯電話番号を使ってログインするたびに、SMS でワンタイム パスワードが送信されます。 ユーザーが受信したコードを入力すると、ポータルにログインできます。

有効な電話番号またはメール アドレスがあれば誰でもプラットフォームにアクセスできる場合、Microsoft Community Training のセキュリティはどのように保護できますか? このようなシナリオでコース コンテンツへのアクセスを防ぐにはどうすればよいですか?

組織がポータルのアクセスを内部の従業員、特定のコミュニティ、または学習者の既存の一覧のみに限定する必要があるシナリオはよくあります。 このようなシナリオの場合、管理者は、管理ポータルの [Restricted User Access] (制限付きユーザー アクセス) 設定を使って、組織外のユーザーがポータルにログインできないようにすることができます。

この設定を有効にすると、組織によってポータルに追加またはインポートされたユーザーのみがポータルへのアクセスを許可されます。 ラーニング ポータルへのアクセスを制限する方法については、こちらの記事を参照してください。

電話ベースのログインの場合、学習者がワン タイム パスワード (OTP) を受け取ることができません。 どうすればよいですか。

ネットワーク事業者によっては、ワン タイム パスワードの受信に 1 分ほどかかる場合があります。学習者は、再送信ダイアログで OTP の再送信を依頼し、再試行することができます。

それでも問題が解決しない場合は、ヘルプデスクからお問い合わせください。

携帯電話ベースのログインの場合、学習者が電話番号を変更した場合はどうなりますか?

現在、学習者が電話番号を変更するユーザー インターフェイスは用意されていません。 学習者が携帯電話番号を変更し、ポータルにも反映する場合は、組織管理者に問い合わせる必要があります。

それを受けて、管理者はヘルプ デスクからお問い合わせください。詳細の更新をお手伝いします。

メール アドレスによるログイン

Microsoft Community Training プラットフォームでソーシャル アカウントまたはメール アドレスベースのログインを構成するにはどうすればよいですか?

Microsoft Community Training プラットフォームのソーシャル アカウントとメール アドレスベースのログインを構成する方法については、この記事を参照してください。

Google や Facebook などのソーシャル メディア アカウントを使用してユーザーがログインできるようにすることはできますか?

Microsoft Community Training インスタンスで Google と Facebook のログインを有効にするには、デプロイ時に Azure AD B2C を使って (つまりソーシャル アカウント オプション) プラットフォームを設定する必要があります。 その後、Azure AD B2C テナントで Google と Facebook を IDP プロバイダーとして追加できます。 詳細については、以下のリンクを参照してください。

1. Azure AD B2C を使った Microsoft Community Training の設定
2. Azure AD B2C で Google によるサインインを設定する

Azure Active Directory ログイン

別の Azure Active Directory アカウントのログインをサポートする Microsoft Community Training インスタンスを設定できますか? 複数の Azure AD 認証を使うことはできますか?

はい。Azure AD B2C 設定で Microsoft Community Training インスタンスをデプロイし、IDP プロバイダーとして Azure AD を有効にすると、学習者はログイン目的で既存の職場アカウントを使用できるようになります。

詳細については、ヘルプデスクから問い合わせ、チケットの説明に要件を記入してください。

SSO と外部 IDP との統合

既存の ID プロバイダーを使って Microsoft Community Training プラットフォームのシングル サインオンを設定するにはどうすればよいですか?

Microsoft Community Training (Microsoft コミュニティ トレーニング) プラットフォームは、標準の OAuth 2.0 と OpenID Connect 認証サービス プロバイダーをすべてサポートしており、既存のシステムと Microsoft Community Training プラットフォーム間でシームレスにシングル サインオンを有効にすることができます。 詳細については、デプロイ ガイドを参照してください。

既存の ID システムが OAuth2.0 または OpenID Connect ベースではない場合、Microsoft Community Training と既存システム間でシングル サインオンを有効にするには、次のフロー図に示すようにカスタムの作業が必要です。 詳細については、サポート チケットを発行し、SSO の問い合わせを始めてください。

SSO やカスタム ログインに関するすべてのお問い合わせは、ヘルプデスクから問い合わせ、チケットの説明に要件を記入してください。

既に OKTA を従業員の管理に使っています。 Microsoft Community Training で SSO を有効にするにはどうすればよいですか?

Microsoft Community Training は、OKTA によるシングル サインオンをサポートしています。 これを有効にするには、Azure AD B2C (別名ソーシャル アカウント ログイン) でプラットフォームを設定し、Azure AD B2C テナントで IDP プロバイダーとして OKTA を追加する必要があります。 詳細については、以下の記事を参照してください。

1. Azure AD B2C を使った Microsoft Community Training の設定
2. Azure AD B2C で OKTA を使ったサインインを設定する

Microsoft Community Training は OAuth2.0 または SAML ベースの ID プロバイダーをサポートしていますか?

Microsoft Community Training は、Azure AD B2C を使ったログインに既存の OAuth 2.0、OpenID Connect、または SAML ベースの認証サービスと統合できます。

OAuth 2.0 または SAML を有効にするには、ヘルプデスクから問い合わせ、チケットの説明に要件を記入してください。

ユーザー アクセスを制限する

承認プロセスなしで学習者が自分のアカウントを作成し、プラットフォーム上のコースにアクセスすることはできますか?

Microsoft Community Training プラットフォームでは、ユーザー登録と認証の設定に 2 つの方法があります。

1. Open to Everyone (誰でも参加可能): このモードでは、承認プロセスなしでユーザーは電話番号またはメール アドレスで自分で登録し、コースの使用を開始できます。

2. Restrict to your community or organization (自分のコミュニティまたは組織に限定する): このモードの場合、組織はプラットフォームにアクセスできるユーザーを決定し、プラットフォームへのアクセスを既知のユーザー一覧のみに限定することができます。 .

詳細については、こちらの記事を参照してください。

ユーザーが組織を離れた後、プラットフォームへのアクセスを防ぐにはどうすればよいですか?

組織を離れたユーザーはプラットフォームから削除できます。 方法については、こちらの記事を参照してください。

ログインしていないユーザーが私のコース コンテンツを閲覧することはできますか?

いいえ。Microsoft Community Training プラットフォームでは、ユーザーがコース コンテンツを閲覧する前にポータルにログインする必要があります。

組織外のユーザーがプラットフォームにアクセスできないようにするにはどうすればよいですか? 外部のユーザーがプラットフォームのコンテンツにアクセスできないようにする必要があります

プラットフォームからユーザーを制限する方法が用意されています。

方法については、こちらの記事を参照してください。

プラットフォームにユーザーを事前登録し、ポータルへのアクセスをそのユーザーのみに限定することはできますか?

既存のユーザー データベースを Microsoft Community Training ポータルにインポートすることで、ユーザーを事前登録できます。

詳細については、こちらを参照してください。

データベースにユーザーの一覧があり、トレーニング ポータルをこれらのユーザーの一覧のみに限定する必要があります

組織は、ポータルへのアクセスを社内の従業員、特定のコミュニティ、または既存の学習者一覧のみに限定することができます。

たとえば、大規模な製造会社で、組織内の販売およびサービスの従業員向けの製品トレーニング コースを作成したとします。 トレーニング プログラムの ID として電話番号を使ってプラットフォームを設定しました。

これらのトレーニング コースは社内の従業員のみを対象としているため、管理者は管理ポータルの [Restricted User Access] (制限付きユーザー アクセス) 設定を使って、組織外のユーザーがポータルにログインできないようにすることができます。 この設定を有効にすると、組織によってポータルに追加またはインポートされたユーザーのみがポータルへのアクセスを許可されます。

詳細については、こちらを参照してください

名前、電子メール ID、電話番号などの学習者データはどこに保存されますか?

すべての学習者データは、お客様のサブスクリプションの Azure SQL DB に格納されます。 デプロイ時に希望するデータ センター リージョンを選択できます。

Microsoft Community Training プラットフォームは何人のユーザーをサポートしていますか?

Microsoft Community Training は、プラットフォームに追加できるユーザー数に制限がありません。 必要な数のユーザーを登録できます。

ネイティブ ADB2C 電話認証を設定する: Azure ADB2C For MCT を介した電話ログインのカスタム ポリシー

テナント全体でサインアップ オプションとして電話番号を有効にすることができます。これには、カスタム ポリシー (Azure Active Directory B2C テナントの動作を定義した構成ファイル) を定義して MCT 電話認証を使うのではなく、ADB2C を介して電話によるサインアップとサインインをローカル アカウント ID プロバイダーに追加します。

前提条件

• まだ持っていない場合は、お使いの Azure サブスクリプションにリンクされている Azure AD B2C テナントを作成します。
• Web アプリケーションを登録し、ID トークンの暗黙的な許可を有効にします。

署名および暗号化キーを追加します。

1. Azure portal にサインインします。
2. ご自分の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。
3. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページの [ディレクトリ名] の一覧で自分の Azure AD B2C ディレクトリを見つけて、 [切り替え] を選択します。
4. Azure portal で、 [Azure AD B2C] を検索して選択します。
5. [概要] ページで、 [ポリシー] を選択してから [Identity Experience Framework] を選択します。

署名キーを作成します。

1. [ポリシー キー] を選択し、 [追加] を選択します。
2. オプションについては、Generateを選択します。
3. 名前にTokenSigningKeyContainerを入力します。 プレフィックス B2C_1A_ が自動的に追加される場合があります。
4. キー タイプについては、RSA を選択します。
5. [キー使用法] には [署名] を選択します。
6. ［作成］ を選択します

暗号化キーを作成します。

1. [ポリシー キー] を選択し、 [追加] を選択します。
2. オプションについては、Generateを選択します。
3. 名前にTokenEncryptionKeyContainerを入力します。 プレフィックス B2C_1A_ が自動的に追加される場合があります。
4. キー タイプについては、RSA を選択します。
5. [キー使用法] には [暗号化] を選択します。
6. ［作成］ を選択します

カスタム ポリシー

1. .zip ファイルをダウンロードする

2. ディレクトリ内のすべてのファイルで、文字列 yourtenant を Azure AD B2C テナントの名前に置き換えます。

   たとえば、B2C テナントの名前が contosotenantであれば、yourtenant.onmicrosoft.com のすべてのインスタンスは contosotenant.onmicrosoft.com になります。

3. ファイルを保存します。

ポリシーをアップロードします。

1. Azure portal で B2C テナントに移動し、 [Identity Experience Framework] を選択します。
2. [カスタム ポリシーのアップロード] を選択します。
3. 次の順序でポリシー ファイルをアップロードします。
   1. Phone_Email_Base.xml
   2. SignUpOrSignInWithPhone.xml

ファイルをアップロードすると、Azure によって、それぞれに B2C_1A_ が追加されます。

カスタム ポリシーをテストする

1. [カスタム ポリシー] で、[B2C_1A_SignUpOrSignInWithPhone] を選択します。
2. カスタム ポリシーの概要ページの [アプリケーションの選択] で、以前に登録した webapp1 という名前の Web アプリケーションを選択します。
3. [返信 URL] が https://jwt.ms であることを確認します。
4. [今すぐ実行] を選択します。
5. 電話番号を使ってサインアップします。
6. もう一度 [今すぐ実行] を選択します。
7. 同じアカウントでサインインし、構成が正しく行われていることを確認します。

アプリ設定を更新する

1. [App Service] の構成に移動します。
2. idp:AzureADB2CExternalAuthPolicy を検索します
3. 値を B2C_1A_SignUpOrSignInWithPhone に更新します
4. アプリ設定を保存します

リファレンス

1. チュートリアル - ユーザー フローとカスタム ポリシーを作成する - Azure Active Directory B2C

2. 電話番号のパスワードレス

次のステップ

「Azure AD B2C アーキテクチャ詳細情報シリーズ」の詳細情報もご覧ください。