次の方法で共有

外部テナントのカスタム URL ドメイン (プレビュー)

  • [アーティクル]

適用対象: 灰色の X 記号がある白い円。 従業員テナント 内側に白いチェック マーク記号がある緑の円。 外部テナント (詳細情報)

カスタム URL ドメインを使用すると、Microsoft の既定のドメイン名ではなく、独自のカスタム URL ドメインで、アプリケーションのサインイン エンドポイントをブランド化できます。

重要

現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、その他の一般提供されていない Azure の機能とサービスに適用される法律条項については、オンライン サービスのユニバーサル ライセンス条項に関するページを参照してください。

スクリーンショットでは、外部 ID のカスタム URL ドメインのユーザー エクスペリエンスが示されています。

検証済みのカスタム URL ドメインを使うと、いくつかの利点があります。

  • より一貫性のあるユーザー エクスペリエンスを提供します。 ユーザーからは、サインイン プロセスの間も、既定のドメイン "<テナント名>.ciamlogin.com" にリダイレクトされず、ブランドのドメインに留まっているように見えます。
  • サインインの間もアプリケーションの同じドメイン内に留まることで、サード パーティの Cookie ブロックの影響を軽減できます。

ヒント

今すぐ試す

この機能を試すには、Woodgrove Groceries のデモにアクセスして、"カスタム ドメイン名" のユース ケースを始めてください。

カスタム URL ドメインのしくみ

カスタム URL ドメインでは、検証済みのカスタム ドメイン名をアプリケーションのサインイン認証エンドポイントとして使用できます。 新しいカスタム ドメイン名を追加するときに、それをカスタム URL ドメインと関連付けることができます。 その後、Azure Front Door などのリバース プロキシ サービスでカスタム URL ドメインを使って、サインインをブランドのアプリケーションに転送できます。

次の図は、Azure Front Door の統合を示しています。

Azure Front Door と外部 ID の統合を示す図。

  1. ユーザーは、アプリケーションでサインイン ボタンを選ぶと、サインイン ページに移動します。 このページではカスタム URL ドメインが指定されています。
  2. Web ブラウザーは、カスタム URL ドメインを Azure Front Door の IP アドレスに解決します。 ドメイン ネーム システム (DNS) の解決で、カスタム URL ドメインを含む正規名 (CNAME) レコードは、Front Door の既定のフロントエンド ホスト (例: contoso-frontend.azurefd.net) を指し示します。
  3. カスタム URL ドメイン (例: login.contoso.com) 宛てのトラフィックは、指定された Front Door の既定のフロントエンド ホスト (contoso-frontend.azurefd.net) にルーティングされます。
  4. Azure Front Door は、<tenant-name>.ciamlogin.com の既定のドメインを使ってコンテンツを呼び出します。 エンドポイントへの要求には、元のカスタム URL ドメインが含まれます。
  5. 外部 ID は、関連するコンテンツと元のカスタム URL ドメインを表示して、カスタム URL ドメインの要求に応答します。

Azure Front Door は、ユーザーの元の IP アドレス (監査レポートに表示される IP アドレス) を渡します。

重要

クライアントが x-forwarded-for ヘッダーを Azure Front Door に送信する場合、外部 ID は、条件付きアクセスの評価と {Context:IPAddress} クレーム リゾルバーに対するユーザーの IP アドレスとして、発信元の x-forwarded-for を使います。

考慮事項と制限事項

カスタム URL ドメインを使用する場合:

  • 複数のカスタム ドメインを設定できます。 サポートされているカスタム ドメインの最大数については、Microsoft Entra に関する「Microsoft Entra サービスの制限と制約」と、Azure Front Door に関する「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。
  • 追加料金が発生する別の Azure サービスである Azure Front Door を使用できます。 詳細については、「Front Door の価格」を参照してください。 Azure Front Door インスタンスは、外部テナントとは異なるサブスクリプションでホストできます。
  • カスタム URL ドメインを構成した後も、ユーザーは既定のドメイン名 "<テナント名>.ciamlogin.com" にアクセスできます。
  • ブラウザーは現在使われているドメイン名の下にセッションを格納するため、複数のアプリケーションがある場合は、それらすべてをカスタム URL ドメインに移行します。

重要

  • ブラウザーと Azure Front Door 間の接続は、IPv6 でなく、常に IPv4 を使用する必要があります。
  • カスタム URL ドメインは現在、ソーシャル ID プロバイダーをサポートしていません。 ソーシャル ID プロバイダーを使ってサインアップまたはサインインしたいユーザーは、カスタム URL ドメイン エンドポイントではなく、既定のエンドポイント "<テナント名>.ciamlogin.com" を使う必要があります。

次のステップ

Microsoft Entra 外部 ID に対してカスタム URL ドメインを有効にします