次の方法で共有

Microsoft Entra 外部 ID 展開ガイドの概要

このドキュメントは、セキュリティ チームと ID チームの ID アーキテクトとエンジニアリング リーダーを対象としています。 読者は、顧客 ID とアクセス管理 (CIAM) の機能と関連するビジネス ユース ケースを理解していることを前提としています。 このガイドは、 Microsoft Entra 外部 ID テナントの計画、設計、実装、運用に役立ちます。

CIAM は、承認された個人のみが組織の機密情報にアクセスできるように、多要素認証などのセキュリティ方法を組み込んだ一連のテクノロジとプロセスです。

CIAM 設計

CIAM ソリューションを設計するときは、考慮すべきファセットがあります。 たとえば、顧客はサービスに対する認証を支援するメカニズムに依存しています。 摩擦のないセルフサービス エクスペリエンスは、CIAM ソリューションの一部です。 CIAM ソリューションを含め、顧客向けのタッチポイントを通じてブランドを一貫して表現できます。

デジタル ID は、電話のタップと移動によるストア内チェックアウトなど、オムニチャネルとハイブリッドのシナリオでますます使用されています。

主なファセットを次の図に示します。

CIAM の機能とオプションの図。

また、運用の詳細も検討してください。

  • モニタリング
  • ロギング(記録)
  • 構成管理
  • 支援
  • インシデント対応

お客様向けの Microsoft Entra 外部 ID: ユーザー エクスペリエンス

Microsoft Entra External ID では、認証フローのユーザー エクスペリエンスを複数の方法でカスタマイズできます。 認証体験の破棄率を減らすには、完了率と変換率を向上させます。 認証フローを作成します。

  • 他のデジタル タッチポイントと一貫してブランドを表現する
  • サインアップ、サインイン、パスワードリセットのためにセルフサービス エクスペリエンスを簡単に移動できるようにする
  • ソーシャル ID プロバイダー (IdP) またはその他の IdP との統合
  • 顧客に提供されるシングル サインオン (SSO) アプリケーションを有効にする
  • コンテンツをローカライズして世界中のユーザーにリーチする

Microsoft Entra External ID では、 ユーザー フロー を作成して、認証フローの構造、エクスペリエンス、ブランド化を定義できます。 ユーザー フローは、顧客が従う一連のサインアップとサインインの手順を定義します。 サインイン方法には、メールとパスワード、ワンタイム パスコード (OTP)、Google または Facebook のソーシャル アカウントが含まれます。 サインアップ時にユーザー フローが顧客から情報を収集できるようにします。組み込みのユーザー属性から選択するか、カスタム属性を追加します。 カスタム ワークフローを実行するか、Security Assertion Markup Language (SAML) および OpenID Connect (OIDC) IdP とフェデレーションするようにユーザー フローを構成します。

ブランド化の要件を使用して、ユーザー フローを通じて認証するときにユーザーに表示される画面の外観を構成します。 ブランド化は、Microsoft Entra External ID テナント内のすべてのユーザー フローで一般的に表示されます。 近い将来、アプリケーションごとのブランド化を追加するという目標があります。

カスタム ドメインを使用してユーザーを認証することをお勧めします。 login.contoso.com など、ブランドに一致するドメイン名を使用します。 所有するドメイン名を使用すると、パブリックにアクセスできる認証エンドポイントの保護を強化できます。

Microsoft Entra ID ユーザー フローは、認証フローのユーザー エクスペリエンスのカスタマイズを保持するコンテナーです。 アプリケーション全体またはアプリケーションのサブセットに割り当てます。 必要に応じて、アプリケーションごとにより特殊なユーザー フローを作成します。 ユーザーがフローに慣れるので、アプリケーション スイート全体で一貫したエクスペリエンスを有効にすることをお勧めします。

カスタマイズする

ユーザー フローを設計するときに、より多くのワークフローが必要になる場合があります。 たとえば、顧客ロイヤルティ番号を検証するときにトリガーが発生したり、ウェルカム メールを送信したりする場合があります。 カスタム認証拡張機能機能を使用して、これらのシナリオを実現します。 作成した REST API エンドポイントを使用して、独自のカスタム ロジックを実行します。

認証体験をより詳細に制御し、ビジネス プロセスと統合します。

安全

CIAM は、匿名でアクセス可能なエンドポイントをインターネットに公開し、サービスに対してユーザーを認証します。 たとえば、次のエンドポイントが該当します。

  • 認証エンドポイント
  • メタデータ エンドポイント

これらのエンドポイントは、アプリケーションに対する認証時のフロント ドアです。 そのため、エンドポイントを保護するために、セキュリティ制御の複数のレイヤーを実装します。

  • エッジ保護 - Azure Web Application Firewall (WAF) を使用してボットの不正使用からエンドポイントを保護する
  • サインアップ詐欺防止 - ボットがサインアップできないようにするために、電子メールの検証、ショート メッセージ サービス (SMS) 検証、キャプチャコントロール、不正行為の分析手法などの不正行為防止手法を統合します
  • アカウント引き継ぎ保護 - リスクベースの認証ソリューションを統合してサインイン リスクを検出し、必要に応じてより強力な認証要素を求めます。 Microsoft は、統合されたサード パーティのアカウント引き継ぎ保護ソリューションを追加することを目標としています。
  • 承認 - Microsoft Entra グループとロールを使用して、アプリケーションにアクセスできるユーザーと、アプリケーションでアクセスできるユーザーを決定します

ユーザー ディレクトリ

CIAM ソリューションでは、ユーザー プロファイルと属性を保持するためのディレクトリ ストアが必要です。 この構成により、ユーザーはサービス間で一方向に表現され、他のシステムによって参照される一意の識別子が使用されます。 たとえば、顧客関係を構築し、ビジネスの分析情報を生成するときに、このデータを安全かつ冗長に保持します。

Microsoft Entra External ID は、Microsoft Entra ID ディレクトリ テクノロジを使用して、スケール、回復性、冗長性を実現します。 関連付けられているユーザー ディレクトリに自動アクセスするための Microsoft Entra 外部 ID テナントを作成します。

アラートと監視

認証体験は、サービスのフロント ドアです。 それを監視して、全体的な正常性 (認証体験の成功率、多要素認証 (MFA) 率、調整、ログ記録) を決定します。 このデータを使用して、摩擦のないセキュリティのバランスを取るために認証体験を進化させます。 デプロイ間のバランスを決定するには、収集したデータをビジネスに提示します。

Microsoft Entra External ID には、認証体験を操作するユーザーに対する分析を生成するためのユーザー分析情報ダッシュボードがあります。 Microsoft Entra ID サインインと監査ログを使用して分析するための詳細な認証ログを参照してください。 Microsoft Azure Monitor または Microsoft Graph API を使用してエクスポートします。 Azure Monitor では、ログはログ分析ワークスペースに最大 2 年間保持されます。 長い期間のログ アーカイブは、ストレージ アカウントで実現されます。 詳細については、 セキュリティ操作に関するページを参照してください。

次のステップ

Microsoft Entra External ID の展開を開始するには、次の記事を参照してください。