このページには、Azure Active Directory B2C (Azure AD B2C) に関してよく寄せられる質問への回答が記載されています。 常に最新情報をチェックしてください。
Microsoft Entra 外部 ID プレビュー
Microsoft Entra 外部 ID とは
Microsoft は次世代の Microsoft Entra 外部 ID ソリューションの早期プレビューを発表しました。 この早期プレビューは、パートナー、お客様、市民、患者など、すべての外部 ID にわたる安全かつ魅力的なエクスペリエンスを 1 つの統合プラットフォームに統合するときの進化的な手順を表しています。 このプレビューの詳細については、「顧客向け Microsoft Entra 外部 ID とは」を参照してください。
このプレビューは私にどのような影響がありますか?
現時点では、お客様側でのアクションは必要ありません。 この次世代プラットフォームは、現在、早期プレビューでのみ提供されています。 現在の Azure AD B2C ソリューションのサポートに、引き続き全力で取り組みます。 現時点では、Azure AD B2C のお客様が移行するための要件はありません。また、現在の Azure AD B2C サービスを停止する予定もありません。 この次世代プラットフォームの GA が近くなりましたら、新しいプラットフォームへの移行を含め、使用できるオプションに関する詳細情報をすべての B2C のお客様に提供する予定です。
プレビューに参加するにはどうすればよいですか?
この次世代プラットフォームは、お客様の ID およびアクセス管理 (CIAM) の未来を表すものなので、早期プレビューへの皆様の参加とフィードバックをお待ちしております。 早期プレビューへの参加に関心をお持ちの場合、詳細については営業チームまでお問い合わせください。
全般
Azure Portal で Azure AD B2C の拡張機能にアクセスできないのはなぜですか。
Microsoft Entra の拡張機能が動作しない一般的な理由は 2 つあります。 Azure AD B2C では、ディレクトリのユーザー ロールがグローバル管理者である必要があります。 アクセス権限が必要と思われる場合は、管理者にお問い合わせください。 グローバル管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。 Azure AD B2C テナントの作成に関する手順を確認してください。
既存の従業員ベースの Microsoft Entra テナントで Azure AD B2C 機能を使用できますか?
Microsoft Entra ID と Azure AD B2C は別々の製品オファリングです。 Azure AD B2C 機能を使用するには、既存の従業員ベースの Microsoft Entra テナントとは別の Azure AD B2C テナントを作成します。 Microsoft Entra テナントは、組織を表します。 Azure AD B2C テナントは、証明書利用者アプリケーションで使用される ID のコレクションを表します。 [Azure AD B2C] > [ID プロバイダー] で [新しい OpenID Connect プロバイダー] を追加するか、またはカスタム ポリシーを使用して、Azure AD B2C で Microsoft Entra ID にフェデレーションして、組織の従業員の認証を許可することができます。
Azure AD B2C を使用してソーシャル サインイン (Facebook と Google+) を Microsoft 365 に組み込むことはできますか?
Azure AD B2C は、Microsoft 365 のユーザーの認証に使用できません。 Microsoft Entra ID は、SaaS アプリへの従業員のアクセスを管理するための Microsoft のソリューションであり、その目的で設計された機能 (ライセンス付与や条件付きアクセスなど) を備えています。 Azure AD B2C には、Web およびモバイル アプリケーションを構築するための ID およびアクセスの管理プラットフォームが用意されています。 Microsoft Entra テナントにフェデレーションするように Azure AD B2C を構成すると、Microsoft Entra テナントでは、Azure AD B2C に依存するアプリケーションへの従業員のアクセスが管理されます。
Azure AD B2C のローカル アカウントとは何ですか。 それらは、Microsoft Entra ID の職場または学校アカウントとはどのような点が異なるのですか?
Microsoft Entra テナントでは、テナントに属するユーザーは、<xyz>@<tenant domain>
の形式の電子メール アドレスを使用してサインインします。 <tenant domain>
は、テナントの確認済みドメインの 1 つ、または初期の <...>.onmicrosoft.com
ドメインです。 この種類のアカウントは、職場または学校アカウントです。
Azure AD B2C テナントでは、ユーザーは大部分のアプリに任意のメール アドレス (joe@comcast.net、bob@gmail.com、sarah@contoso.com、jim@live.com など) を使用してサインインします。 この種類のアカウントはローカル アカウントです。 ローカル アカウントとして任意のユーザー名もサポートしています (joe、bob、sarah、jim など)。 Azure Portal で Azure AD B2C の ID プロバイダーを構成する場合、この 2 種類のローカル アカウントのいずれかを選択できます。 ご利用の Azure AD B2C テナントで、 [ID プロバイダー] 、 [ローカル アカウント] 、 [ユーザー名] の順に選択します。
アプリケーションのユーザー アカウントは、サインアップ ユーザー フローによって、サインアップもしくはサインイン ユーザー フローによって、Microsoft Graph API によって、または Azure portal を通じて作成できます。
Azure AD B2C テナントで対応できるユーザーの数はいくつですか?
- 既定では、各テナントは合計 125 万個のオブジェクト (ユーザー アカウントとアプリケーション) に対応できますがカスタム ドメインを追加して検証するときに、この制限を 525 万個のオブジェクトまで増やすことができます。 この制限を引き上げるには、Microsoft サポートにお問い合わせください。 ただし、2022 年 9 月より前にテナントを作成した場合は、この制限の影響はなく、テナントは作成時に割り当てられたサイズ (5,000 万個のオブジェクト) を保持します。
現在サポートされているソーシャル ID プロバイダーはどれですか。 将来サポートする予定のプロバイダーはどれですか。
現在のところ、Amazon、Facebook、GitHub (プレビュー)、Google、LinkedIn、Microsoft アカウント (MSA)、QQ (プレビュー)、Twitter、WeChat (プレビュー)、Weibo (プレビュー) など、いくつかのソーシャル ID プロバイダーをサポートしています。 お客様からご要望があれば、他の人気のあるソーシャル ID プロバイダーへのサポート追加を検討します。
Azure AD B2C もカスタム ポリシーをサポートしています。 カスタム ポリシーを使用すると、OpenID Connect または SAML をサポートする任意の ID プロバイダーに対して独自のポリシーを作成できます。 カスタム ポリシー スターター パックを使ってカスタム ポリシーの作成をお試しください。
さまざまなソーシャル ID プロバイダーからお客様に関する情報をさらに収集するためにスコープを構成できますか。
いいえ。 サポートされている一連のソーシャル ID プロバイダーに使用されている、既定のスコープは次のとおりです。
- Facebook: 電子メール
- Google +: 電子メール
- Microsoft アカウント: openid 電子メール プロファイル
- Amazon: プロファイル
- LinkedIn: r_emailaddress、r_basicprofile
Azure AD B2C の ID プロバイダーとして ADFS を使用しています。 Azure AD B2C からサインアウト要求を開始しようとすると、ADFS に *MSIS7084: SAML HTTP リダイレクトまたは HTTP POST バインドを使用する場合は、SAML ログアウト要求とログアウト応答メッセージに署名する必要があります* というエラーが表示されます。 この問題を解決するにはどうすればよいですか?
ADFS サーバーで、Set-AdfsProperties -SignedSamlRequestsRequired $true
を実行します。 これにより、Azure AD B2C は ADFS へのすべての要求に署名するように強制されます。
使用しているアプリケーションを Azure AD B2C で機能させるには、Azure で実行する必要がありますか。
いいえ。アプリケーションは任意の場所でホストできます (クラウドまたはオンプレミス)。 Azure AD B2C とやり取りするために必要なのは、パブリックにアクセス可能なエンドポイントで HTTP 要求を送受信する機能のみです。
複数の Azure AD B2C テナントがあります。 Azure Portal でこれらのテナントを管理するにはどうすればよいですか。
Azure portal で Azure AD B2C サービスを開く前に、管理するディレクトリに切り替える必要があります。 上部のメニューの [設定] アイコンを選択して、[ディレクトリとサブスクリプション] メニューから管理するディレクトリに切り替えます。
Azure AD B2C テナントを作成できないのはなぜですか?
Azure AD B2C テナントを作成するアクセス許可がない可能性があります。 グローバル管理者またはテナント作成者のロールを持つユーザーのみがテナントを作成できます。 グローバル管理者に連絡する必要があります。
Azure AD B2C によって送信される検証電子メールをカスタマイズするにはどうすればいいですか (コンテンツおよび "From:" フィールド)。
検証電子メールの内容をカスタマイズするには、 会社のブランド化機能 を使用します。 具体的には、電子メールの次の 2 つの要素をカスタマイズできます。
バナー ロゴ:右下に表示されます。
背景色:上部に表示されます。
電子メールの署名には、最初に Azure AD B2C テナントを作成したときに指定した Azure AD B2C テナントの名前が含まれます。 名前は次の手順を使用して変更できます。
- Azure Portal にグローバル管理者としてサインインします。
- [Microsoft Entra ID] ブレードを開きます。
- [プロパティ] タブを選択します。
- [名前] フィールドを変更します。
- ページの最上部で [保存] を選択します。
現在、メールの送信元フィールドは変更できません。
既存のユーザー名、パスワード、およびプロファイルを自分のデータベースから Azure AD B2C に移行するにはどのようにすればいいですか。
Microsoft Graph API を使用して、移行ツールを作成できます。 詳細についてはユーザーの移行ガイドを参照してください。
Azure AD B2C のローカル アカウントに使用されるパスワード ユーザー フローはどのようなものですか。
Azure AD B2C のローカル アカウントのパスワード ユーザー フローは Microsoft Entra ID のポリシーに基づいています。 Azure AD B2C のサインアップ、サインアップまたはサインイン、パスワード リセットの各ユーザー フローでは、"強力な" パスワード強度を使用しており、いずれのパスワードにも有効期限がありません。 詳細については、「Microsoft Entra ID のパスワード ポリシーと制限」を参照してください。
アカウントのロックアウトとパスワードの詳細については、Azure AD B2C における資格情報攻撃の軽減に関するページをご覧ください。
Microsoft Entra Connect を使用して、自分のオンプレミス Active Directory に保存されているお客様の ID を Azure AD B2C に移行できますか?
いいえ。Microsoft Entra Connect は Azure AD B2C と連携するようには設計されていません。 ユーザーの移行には、Microsoft Graph API を使用することを検討してください。 詳細についてはユーザーの移行ガイドを参照してください。
アプリで Azure AD B2C ページを iFrame 内で開くことはできますか。
この機能はパブリック プレビュー段階にあります。 詳細については、「埋め込みサインイン エクスペリエンス」を参照してください。
Azure AD B2C は Microsoft Dynamics のような CRM システムと連携しますか。
Microsoft Dynamics 365 ポータルとの統合を使用できます。 Azure AD B2C を使用して認証するための Dynamics 365 ポータルの構成に関する記事を参照してください。
Azure AD B2C はオンプレミスの SharePoint 2016 以前と連携しますか。
Azure AD B2C は、SharePoint 外部パートナー共有のシナリオには適していません。代わりに、Microsoft Entra B2B に関する記事を参照してください。
外部 ID を管理するために Azure AD B2C または B2B を使用する必要がありますか。
外部 ID のシナリオに適した機能を使用する方法の詳細については、外部 ID のソリューションの比較に関するページを参照してください。
Azure AD B2C ではどのようなレポート機能と監査機能が提供されますか。 これらは Microsoft Entra ID P1 または P2 の場合と同じですか?
いいえ。Azure AD B2C は、Microsoft Entra ID P1 または P2 と同じレポート セットをサポートしていません。 ただし、多くの共通点があります。
- サインイン レポートは、各サインインの記録を、詳細は除外して提供します。
- 監査レポートには、管理アクティビティとアプリケーション アクティビティの両方が含まれます。
- 使用状況レポートには、ユーザーの数、ログインの回数、MFA のボリュームが含まれます。
エンド ユーザーは、認証アプリで時間ベースのワンタイム パスワード (TOTP) を使用して、Azure AD B2C アプリに対する認証を実行できますか。
はい。 エンド ユーザーは、TOTP 検証をサポートする Microsoft Authenticator アプリなど (推奨) の任意の認証アプリをダウンロードする必要があります。 詳細については、「検証方法」を参照してください。
TOTP 認証アプリのコードが機能していないのはなぜですか。
TOTP 認証アプリ コードが Android または iPhone の携帯電話やデバイスで動作していない場合、デバイスのクロック時間が正しくない可能性があります。 デバイスの設定で、ネットワーク指定の時刻を使用するオプションか、時刻を自動的に設定するオプションを選択します。
自分の国またはリージョンで Go-Local アドオンが利用できることを確認するにはどうすればよいですか?
お住まいの国またはリージョンで Go-Local アドオンが利用可能な場合は、Azure AD B2C テナントの作成時にアドオンを必要に応じて有効にするように求められます。
Go-Local アドオンを有効にすると、引き続き 1 か月あたり 50,000 の無料 MAU を獲得できますか?
いいえ。Go-Local アドオンを有効にするときに、1 か月あたり 50,000 の無料 MAU は適用されません。 Go-Local アドオンでは、最初の MAU から料金が発生します。 ただし、Azure AD B2C Premium P1 または P2 の価格で利用できるその他の機能については、1 か月あたり 50,000 の無料 MAU が引き続き適用されます。
日本またはオーストラリアに、Go-Local アドオンが有効になっていない既存の Azure AD B2C テナントがあります。 このアドオンをアクティブ化するにはどうすればよいですか?
「Go-Local アドオンのアクティブ化」の手順に従って、Azure AD B2C Go-Local アドオンをアクティブ化します。
Azure AD B2C で提供されているページの UI をローカライズできますか。 どの言語がサポートされていますか。
「言語のカスタマイズ」をご覧ください。 Microsoft では、36 言語の翻訳を提供しおり、お客様は、ニーズに合わせて任意の文字列をオーバーライドすることができます。
Azure AD B2C によって提供されているサインアップおよびサインイン ページで独自の URL を使用できますか。 たとえば、URL を contoso.b2clogin.com から login.contoso.com に変更できますか。
はい、独自のドメインを使用できます。 詳細については、Azure AD B2C カスタムドメインに関するページを参照してください。
Azure AD B2C テナントを削除する方法はありますか。
Azure AD B2C テナントを削除するには、次の手順に従います。
新しい統一的なアプリの登録エクスペリエンスと、従来のアプリケーション (レガシ) エクスペリエンスのいずれかを利用できます。 この新しいエクスペリエンスの詳細を参照してください。
- サブスクリプション管理者として Azure portal にサインインします。 Azure へのサインアップに使用したものと同じ職場または学校アカウント、または同じ Microsoft アカウントを使用します。
- ご自分の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 ポータルツール バーの [設定] アイコンを選択します。
- [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD B2C ディレクトリを [ディレクトリ名] リストで見つけ、 [Switch] を選択します。
- 左側のメニューで、 [Azure AD B2C] を選択します。 または、 [すべてのサービス] を選択し、 [Azure AD B2C] を検索して選択します。
- Azure AD B2C テナント内のすべてのユーザー フロー (ポリシー) を削除します。
- Azure AD B2C テナントの ID プロバイダーをすべて削除します。
- [アプリの登録] 、 [すべてのアプリケーション] タブの順に選択します。
- 登録したすべてのアプリケーションを削除します。
- b2c-extensions-app を削除します。
- [管理] にある [ユーザー] を選択します。
- 各ユーザーを順に選択します (ただし、現在サインインに使用しているサブスクリプション管理者ユーザーは除きます)。 ページ下部の [削除] を選択し、確認を求められたら [はい] を選択します。
- 左側のメニューで [Microsoft Entra ID] を選択します。
- [管理] の下で、 [プロパティ] を選択します。
- [Azure リソースのアクセス管理] の下で [はい] を選択した後、[保存] を選択します。
- Azure portal からサインアウトした後に、もう一度サインインして、ご自分のアクセス権を更新します。
- 左側のメニューで [Microsoft Entra ID] を選択します。
- [概要] ページで [テナントの削除] を選択します。 画面の指示に従って、プロセスを完了します。
Enterprise Mobility Suite の一部として Azure AD B2C を取得できますか。
いいえ。Azure AD B2C は従量課金制の Azure サービスであり、Enterprise Mobility Suite には含まれていません。
Azure AD B2C テナント用として Microsoft Entra ID P1 と Microsoft Entra ID P2 ライセンスを購入できますか?
いいえ。Azure AD B2C テナントは、Microsoft Entra ID P1 または Microsoft Entra ID P2 ライセンスを使用しません。 Azure AD B2C では、Azure AD B2C Premium P1 または P2 のライセンスが使用されます。これは、Standard Microsoft Entra テナントの Microsoft Entra ID P1 または P2 のライセンスとは異なります。 Azure AD B2C テナントは、「サポートされている Microsoft Entra ID 機能」で説明されているように、Microsoft Entra ID P1 または P2 の機能に似た機能をネイティブにサポートしています。
Azure AD B2C テナントの Microsoft Entra エンタープライズ アプリケーションに対してグループベースの割り当てを使用できますか?
いいえ。Azure AD B2C テナントでは、Microsoft Entra エンタープライズ アプリケーションへのグループベースの割り当てはサポートされていません。
Microsoft Azure Governmentで利用できないAzure AD B2Cの機能はありますか?
次の AD B2C 機能は、現在 Microsoft Azure Government では利用できません。
- API コネクタ
- 条件付きアクセス
Microsoft Graph invalidateAllRefreshTokens または Microsoft Graph PowerShell、Revoke-MgUserSignInSession を使用して更新トークンを取り消しました。 Azure AD B2C でまだ古い更新トークンが受け入れられるのはなぜですか。
Azure AD B2C で、refreshTokensValidFromDateTime
と refreshTokenIssuedTime
の時間差が 5 分以下の場合、更新トークンは引き続き有効と見なされます。 ただし、refreshTokenIssuedTime
が refreshTokensValidFromDateTime
より大きい場合、更新トークンは取り消されます。
次の手順に従って、更新トークンが有効か取り消されたかを確認します。
authorization_code
を利用して、RefreshToken
とAccessToken
を取得します。7 分間待機します。
Microsoft Graph PowerShell コマンドレット Revoke-MgUserSignInSession または Microsoft Graph API invalidateAllRefreshTokens を使用して、
RevokeAllRefreshToken
コマンドを実行します。10 分間待機します。
再度
RefreshToken
を取得します。
Web ブラウザーで複数のタブを使用して、同じ Azure AD B2C テナントに登録した複数のアプリケーションにサインインします。 シングル サインアウトを実行しようとしても、一部のアプリケーションがサインアウトされません。なぜこのようになるのですか?
現在、Azure AD B2C では、この特定のシナリオでのシングル サインアウトはサポートされていません。 これは、すべてのアプリケーションが同じ Cookie で同時に動作しているため、Cookie の競合が原因で発生します。
Azure AD B2C に関する問題を報告するにはどのようにすればいいですか。
Azure Active Directory B2C のサポート要求の提出に関するページを参照してください。
Azure portal の [セッションの取り消し] ボタンを使用して Azure AD B2C のユーザーのすべてのセッションを取り消したのですが、機能しません。
現在、Azure portal から Azure AD B2C のユーザー セッションを失効させることはできません。 しかし、Microsoft Graph PowerShell または Microsoft Graph API を使用して、このタスクをアーカイブすることはできます。