次の方法で共有

外部テナントのための ID プロバイダー

適用対象: 灰色の X 記号がある白い円。 従業員テナント 内側に白いチェック マーク記号がある緑の円。 外部テナント (詳細情報)

ヒント

この記事は、外部テナントでの外部 ID に関するものです。 従業員テナントについては、「従業員テナントでの外部 ID の ID プロバイダー」をご覧ください。

Microsoft Entra 外部 ID を使用すると、顧客および法人顧客向けアプリのための安全でカスタマイズされたサインイン エクスペリエンスを作成できます。 外部テナントでは、ユーザーがアプリにサインアップする方法が複数あります。 アカウントを作成するには、メールアドレスと、パスワードかワンタイム パスコードを使用します。 または、Facebook、Google、Apple、またはカスタム OIDC または SAML/WS-Fed ID プロバイダー (IdP) でサインインを有効にした場合、ユーザーは外部 ID プロバイダーの資格情報を使用してサインインできます。 ユーザー オブジェクトは、サインアップ時に収集された ID 情報を使用してディレクトリに作成されます。

この記事では、外部テナント内のアプリにサインアップしてサインインするときにプライマリ認証に使用できる ID プロバイダーについて説明します。 また、セキュリティを強化するために多要素認証 (MFA) ポリシーを適用して、ユーザーがサインインするたびに第 2 の形態での確認を要求することもできます (詳細については、こちらを参照してください)。

メールとパスワードのサインイン

ローカル アカウント ID プロバイダーの設定では、メール アドレスでのサインアップが既定で有効になっています。 電子メール オプションを使用すると、ユーザーは自分のメール アドレスとパスワードでサインアップしてサインインできます。

  • サインアップ: ユーザーは電子メール アドレスの入力を求められます。電子メール アドレスは、サインアップ時にワンタイム パスコードで確認されます。 ユーザーは、サインアップ ページで要求されたその他の情報 (表示名、名前、姓など) を入力します。 次に、 [続行] を選択してアカウントを作成します。

  • サインイン: ユーザーはサインアップしてアカウントを作成した後、メール アドレスとパスワードを入力してサインインできます。

  • パスワードのリセット: 電子メールとパスワードのサインインを有効にすると、パスワードのリセット リンクがパスワード ページに表示されます。 ユーザーが自分のパスワードを忘れた場合、このリンクを選択すると、電子メール アドレスにワンタイム パスコードが送信されます。 確認後、ユーザーは新しいパスワードを選択できます。

    パスワード付きメールのサインイン画面のスクリーンショット。

サインアップとサインインのユーザー フローを作成する場合、[パスワード付きメール] が既定のオプションです。

ワンタイム パスコード付きメールのサインイン

ワンタイム パスコード付きメールは、ローカル アカウント ID プロバイダー設定のオプションです。 このオプションを使用すると、ユーザーはサインインするたびに、保存されているパスワードではなく一時的なパスコードでサインインします。

  • サインアップ: ユーザーは自分のメール アドレスでサインアップし、電子メール アドレスに送信される一時的なコードを要求できます。 その後は、このコードを入力してサインインを続けます。

  • サインイン: ユーザーがサインアップしてアカウントを作成すると、サインインするたびにメール アドレスを入力し、一時的なパスコードを受け取ります。

    ワンタイム パスコード付きメールのサインイン画面のスクリーンショット。

サインイン ページでセルフサービス パスワード リセットのリンクを表示、非表示、またはカスタマイズするためのオプションも構成できます (詳細)。

サインアップとサインインのユーザー フローを作成する場合、[メールのワンタイム パスコード] はローカル アカウントのオプションの 1 つです。

ソーシャル ID プロバイダー: Facebook、Google、Apple

最適なサインイン エクスペリエンスを実現するには、可能な限りソーシャル ID プロバイダーとフェデレーションして、ユーザーにシームレスなサインアップとサインインエクスペリエンスを提供できるようにします。 外部テナントでは、ユーザーが自分の Facebook、Google、または Apple アカウントを使用してサインアップしてサインインすることを許可できます。

ソーシャル ID プロバイダーを有効にすると、ユーザーはサインアップ ページで使用可能にするソーシャル ID プロバイダーのオプションから選択できます。 外部テナントでソーシャル ID プロバイダーを設定するには、その ID プロバイダーでアプリケーションを作成し、資格情報を構成します。 クライアントまたはアプリ ID、クライアントまたはアプリ シークレット、または証明書を取得します。証明書を使用して外部テナントを構成できます。

Google サインイン

Google とのフェデレーションを設定すると、ユーザーが自分の Gmail アカウントを使用してアプリケーションにサインインできるようになります。 アプリケーションのサインイン オプションの 1 つとして Google を追加すると、ユーザーは、サインイン ページで Google アカウントを使用して Microsoft Entra 外部 ID にサインインできます。

次のスクリーンショットは、Google エクスペリエンスでのサインインを示しています。 サインイン ページで、ユーザーは [Google アカウントでサインイン] を選択します。 その時点で、ユーザーは Google ID プロバイダーにリダイレクトされ、サインインが完了します。

Google サインイン画面のスクリーンショット。

ID プロバイダーとして Google を追加する方法に関するページを確認してください。

Facebook サインイン

Facebook とのフェデレーションを設定すると、ユーザーが自分の Facebook アカウントを使用してアプリケーションにサインインできるようになります。 アプリケーションのサインイン オプションの 1 つとして Facebook を追加すると、サインイン ページで、ユーザーは Facebook アカウントを使用して Microsoft Entra 外部 ID にサインインできます。

次のスクリーンショットは、Facebook エクスペリエンスでのサインインを示しています。 サインイン ページで、ユーザーは [Facebook アカウントでサインイン] を選択します。 その後、ユーザーは Facebook ID プロバイダーにリダイレクトされ、サインインが完了します。

Facebook サインイン画面のスクリーンショット。

ID プロバイダーとして Facebook を追加する方法に関するページを確認してください。

Apple サインイン (プレビュー)

Apple とのフェデレーションを設定すると、ユーザーが自分の Apple アカウントを使用してアプリケーションにサインインできるようになります。 アプリケーションのサインイン オプションの 1 つとして Apple を追加した後、サインイン ページで、ユーザーは Apple アカウントを使用して Microsoft Entra External ID にサインインできます。

次のスクリーンショットは、Apple エクスペリエンスでのサインインを示しています。 サインイン ページで、ユーザーは [Apple でサインイン] を選択します。 その後、ユーザーは Apple ID プロバイダーにリダイレクトされ、サインインが完了します。 Apple を ID プロバイダーとして追加 方法について説明します。

カスタム SAML/WS-Fed アイデンティティ プロバイダー

SAML または WS-Fed ID プロバイダーを設定して、ユーザーが ID プロバイダーで自分のアカウントを使用してアプリケーションにサインアップしてサインインできるようにすることができます。 ユーザーは、サインアップまたはサインインオプションを選択して サインアップ または サインイン できます。 ID プロバイダーにリダイレクトされ、正常にサインインすると Microsoft Entra に返されます。 外部テナントの場合、ユーザーのサインイン電子メールは、SAML フェデレーション中に設定された定義済みのドメインと一致する必要はありません。 その結果、ドメインを追加、変更、または削除してフェデレーションセットアップを更新しても、既存のユーザーのエクスペリエンスには影響しません。

いずれかの外部 ID プロバイダーの定義済みドメインと一致する電子メール アドレスをサインイン ページに入力したユーザーは、その ID プロバイダーで認証するようにリダイレクトされます。 アカウントがない場合は、追加の詳細を求められる場合があり、アカウントが作成されます。

詳細については、「 SAML/WS-Fed ID プロバイダー」を参照してください。 詳細なセットアップ手順については、「 SAML/WS-Fed ID プロバイダーとのフェデレーションを追加する」を参照してください。

カスタム OIDC ID プロバイダー

カスタム OpenID Connect (OIDC) ID プロバイダーを設定して、ユーザーが外部 ID プロバイダーの資格情報を使用してアプリケーションにサインアップしてサインインできるようにすることができます。 OIDC プロトコルを使用して、サインインフローとサインアップ フローを Azure AD B2C テナントとフェデレーションすることもできます。

カスタム OIDC ID プロバイダー設定する方法について説明します。

サインイン方法の更新

アプリのサインイン オプションはいつでも更新できます。 たとえば、ソーシャル ID プロバイダーを追加したり、ローカル アカウントのサインイン方法を変更したりすることができます。

サインイン方法を変更すると、変更は新しいユーザーにのみ影響します。 既存のユーザーは、元の方法を使用して引き続きサインインします。 たとえば、メールとパスワードのサインイン方法から始めて、後にワンタイム パスコードを使用したメールに変更するとします。 新しいユーザーはワンタイム パスコードを使用してサインインしますが、メールとパスワードで既にサインアップしているユーザーは、引き続きメールとパスワードの入力を求められます。

Microsoft Graph API

次の Microsoft Graph API の操作では、Microsoft Entra 外部 ID での ID プロバイダーと認証方法の管理をサポートしています。

  • サポート対象の ID プロバイダーと認証方法を特定するには、List availableProviderTypes API を呼び出します。
  • テナントで既に構成され有効になっている ID プロバイダーと認証方法を特定するには、List identityProviders API を呼び出します。
  • サポート対象の ID プロバイダーまたは認証方法を有効にするには、Create identityProvider API を呼び出します。

関連コンテンツ