概要: 外部テナントの外部 ID を使用してアプリをセキュリティで保護する

適用対象: 従業員テナント 外部テナント (詳細はこちら)

Microsoft Entra External ID には、Microsoft の顧客 ID およびアクセス管理 (CIAM) のソリューションを含まれています。 アプリをコンシューマーおよびビジネス顧客が利用できるようにする必要がある組織や企業の場合、外部 ID を使用すると、セルフサービス登録、パーソナライズされたサインイン エクスペリエンス、顧客アカウント管理などの CIAM 機能を簡単に追加できます。 これらの CIAM 機能は Microsoft Entra ID に組み込まれているため、セキュリティ、コンプライアンス、スケーラビリティの強化などのプラットフォーム機能の利点も得られます。

専用外部テナントを作成する

コンシューマーおよびビジネス顧客アプリの外部 ID の使用を開始するときは、まず、顧客アカウントのアプリ、リソース、ディレクトリのテナントを作成します。

Microsoft Entra ID の作業経験がある場合、従業員ディレクトリ、内部アプリ、その他の組織リソースが入った Microsoft Entra テナントの使用に既に精通していることになります。 外部 ID を使用して、標準の Microsoft Entra テナント モデルに従って個別のテナントを作成しますが、外部シナリオ向けに構成します。 この外部テナントには次のものが含まれます。

• ディレクトリ: ディレクトリには、顧客の資格情報とプロファイル データが格納されます。 コンシューマーまたはビジネス顧客がアプリにサインアップすると、外部テナントにローカル アカウントが作成されます。

• アプリケーション登録: Microsoft Entra ID プラットフォームは、登録済みのアプリケーションに対してのみ ID およびアクセス管理を実行します。 アプリの登録によって信頼関係が確立され、そのアプリを Microsoft Entra ID と統合できるようになります。

• ユーザー フロー: 外部テナントには、顧客に対して有効にしたい、セルフサービスのサインアップ、サインイン、パスワード リセットの各エクスペリエンスが含まれています。

• 拡張機能: 外部システムからのユーザー属性とデータを追加する必要がある場合は、ユーザー フロー用のカスタム認証拡張機能を作成できます。

• サインイン方法: ユーザー名とパスワード、ワンタイム パスコード、Google、Facebook、Apple、またはカスタム OIDC ID など、アプリにサインインするためのさまざまなオプションを有効にすることができます。

• 暗号化キー: トークン、クライアント シークレット、証明書、パスワードの署名と検証のための暗号化キーを追加および管理します。

サインイン パスワードとワンタイム パスコード、Google、Facebook、Apple、OIDC フェデレーションの について説明します。

外部テナントで管理できるユーザー アカウントには、次の 2 種類があります。

• 顧客アカウント: アプリケーションにアクセスする顧客を表すアカウント。

• 管理者アカウント: 職場アカウントを持つユーザーは、テナントのリソースを管理でき、管理者ロールがあれば、テナントも管理できます。 職場アカウントを持つユーザーは、新しいコンシューマー アカウントの作成、パスワードのリセット、アカウントのブロック/ブロック解除、アクセス許可の設定、セキュリティ グループへのアカウントの割り当てを行うことができます。

外部テナントでの顧客アカウントと管理者アカウントの管理に関する詳細について確認してください。

カスタマイズされたサインインを追加する

外部 ID は、ID およびアクセスに Microsoft Entra プラットフォームを使用して、顧客がアプリケーションを利用できるようにする企業を対象としています。

• アプリにサインアップ ページとサインイン ページを追加する。 顧客アプリの直感的で使いやすいサインアップとサインインエクスペリエンスをすばやく追加します。 顧客は 1 つの ID を使用して、使用するすべてのアプリケーションに安全にアクセスできます。

• ソーシャル ID とエンタープライズ ID を使用してシングル サインオン (SSO) を追加する。 顧客は、ソーシャル ID、エンタープライズ ID、またはマネージド ID を選択して、ユーザー名とパスワード、電子メール、またはワンタイム パスコードでサインインできます。

• サインアップページに会社のブランドを追加する。 既定のエクスペリエンスと特定のブラウザー言語のエクスペリエンスの両方を含め、サインアップとサインインのエクスペリエンスの外観をカスタマイズします。

• サインアップ フローを簡単にカスタマイズして拡張できます。 ID ユーザー フローをニーズに合わせて調整します。 サインアップ時に顧客から収集する属性を選択するか、独自のカスタム属性を追加します。 アプリで必要な情報が外部システムに含まれている場合は、収集するカスタム認証拡張機能を作成し、認証トークンにデータを追加します。

• 複数のアプリの言語とプラットフォームを統合する。 Microsoft Entra を使用すると、複数のアプリの種類、プラットフォーム、言語に対して、セキュリティで保護されたブランド化された認証フローをすばやく設定して提供できます。

• アプリにネイティブ認証を使用します。 iOS および Android 用のMicrosoft Authentication Library (MSAL) を使用して、モバイルおよびデスクトップ アプリケーション用のシームレスな認証エクスペリエンスを作成します。

• セルフサービス アカウント管理を提供します。 顧客は、自分でオンライン サービスに登録したり、プロファイルを管理したり、アカウントを削除したり、多要素認証 (MFA) メソッドに登録したり、管理者やヘルプ デスクのサポートなしでパスワードをリセットしたりできます。

• 利用規約とプライバシー ポリシーに同意します。 サインアップ中、使用条件に同意するようにユーザーに求めることができます。 顧客のユーザー属性を使用すると、サインアップ フォームにチェックボックスを追加し、利用規約とプライバシー ポリシーへのリンクを含めることができます。

アプリへのサインインとサインアップの追加およびサインインの外観のカスタマイズについて確認してください。

セルフサービス サインアップ用のユーザー フローを設計する

アプリケーションにユーザー フローを追加することで、顧客向けの簡単なサインアップとサインインのエクスペリエンスを作成できます。 ユーザー フローでは、ユーザーが従う一連のサインアップ手順と、ユーザーが使用できるサインイン方法 (電子メールとパスワード、ワンタイム パスコード、Googleからのソーシャル アカウント、Facebook または Apple、カスタム OIDC ID プロバイダー など) を定義します。 また、一連のユーザー組み込み属性から選択するか、独自のカスタム属性を追加することで、サインアップ時に顧客から情報を収集することもできます。

いくつかのユーザー フロー設定により、顧客がアプリケーションにサインアップする方法を制御できます。これには以下が含まれます。

• サインイン メソッドと外部 ID プロバイダー
• サインアップする顧客から収集する属性 (名、郵便番号、居住国/地域など)
• 会社のブランド化と言語のカスタマイズ

ユーザー フローの構成の詳細については、「顧客向けのサインアップとサインインのユーザー フローを作成する」を参照してください。

独自のビジネス ロジックの追加

外部 ID は、認証フロー内の特定のポイントにアクションを定義できるようにして柔軟性を実現できるように設計されています。 カスタム認証拡張機能を使用すると、トークンがアプリケーションに発行される直前に、外部システムからのクレームをトークンに追加できます。

カスタム認証拡張機能を使用した独自のビジネス ロジックの追加の詳細を確認してください。

Microsoft Entra のセキュリティと信頼性

外部 ID は、企業-消費者間 (B2C) 機能を Microsoft Entra プラットフォームに集約することを意味します。 セキュリティの強化、規制への準拠、ID およびアクセス管理プロセスをスケーリングする機能など、プラットフォーム機能の恩恵を受けることができます。

条件付きアクセス

Microsoft Entra 条件付きアクセスは、決定を行い、セキュリティ ポリシーを適用するためにシグナルをまとめます。 条件付きアクセス ポリシーは、簡単に言えば、(if) ユーザーがアプリケーションにアクセスする場合、(then) ユーザーはアクションを完了する必要があるという if-then ステートメントです。

条件付きアクセス ポリシーは、ユーザーが第 1 段階認証が完了した後で適用されます。 たとえば、ユーザーのサインイン リスク レベルが高い場合は、アクセスを取得するために MFA を実行する必要があります。 または、最も制限の厳しいアプローチは、アプリケーションへのアクセスをブロックすることです。

ヒント

この機能を試すには、Woodgrove Groceries のデモにアクセスし、“条件付きアクセスと多要素認証” のユース ケースを開始します。

多要素認証 (MFA)

Microsoft Entra MFA を使用すると、ユーザーにとってのシンプルさを確保しながら、データやアプリケーションへのアクセスを保護することができます。 Microsoft Entra 外部 ID は、Microsoft Entra MFA と直接統合されるため、2 段階目の認証を要求することで、サインアップとサインインのエクスペリエンスにセキュリティを付加できます。 MFA は、アプリに対して適用したいセキュリティの範囲に応じて微調整できます。 次のシナリオについて考えてみましょう。

• 顧客に 1 つのアプリを提供し、追加のセキュリティを実現するために MFA を有効にしたいものとします。 すべてのユーザーとアプリを対象とする条件付きアクセス ポリシーで MFA を有効にすることができます。

• 顧客に複数のアプリを提供するものの、すべてのアプリケーションで MFA を要求するわけではないものとします。 たとえば、顧客が自動車保険アプリケーションにサインインするにはソーシャルまたはローカル アカウントを使用できますが、同じディレクトリに登録されている住宅保険アプリケーションにアクセスするには事前に電話番号を確認する必要があるような場合です。 条件付きアクセス ポリシーでは、MFA を適用するアプリのみを除くすべてのユーザーを対象にすることができます。

外部テナントでの MFA の詳細について学習するか、多要素認証を有効にする方法を確認してください。

Microsoft Entra の信頼性とスケーラビリティ

高度にカスタマイズされたサインイン エクスペリエンスを作成し、顧客アカウントを大規模に管理できます。 Microsoft Entra のパフォーマンス、回復性、ビジネス継続性、低待機時間、高スループットを活用して、優れたカスタマー エクスペリエンスを確保できます。

ユーザー アクティビティとエンゲージメントを分析する

[使用状況と分析情報] のアプリケーション ユーザー アクティビティ機能は、テナントに登録されているアプリケーションのユーザー アクティビティとエンゲージメントに関するデータ分析を提供します。 この機能を使用すると、Microsoft Entra 管理センターでユーザー アクティビティ データを表示、照会、分析できます。 これにより、戦略的な意思決定を支援し、ビジネスの成長を促進できる貴重な分析情報を発見することができます。

顧客テナントで使用できるアプリケーション ユーザー アクティビティ ダッシュボードの詳細について確認してください。

Azure AD B2C について

2025 年 5 月 1 日より、 Azure AD B2C は新規のお客様による購入ができなくなります ( 詳細については FAQ を参照してください)。 Microsoft Entra External ID は、Microsoft の次世代 CIAM ソリューションであり、すべての新機能がこのプラットフォーム上に構築されています。

次のステップ

• トレーニング、ライブ デモ、ビデオ をご覧ください。
• Microsoft Entra 外部 ID の計画 の詳細について確認する。
• 最新の開発者向けコンテンツとリソースについては、Microsoft Entra 外部 ID デベロッパー センターも参照してください。