Azure Active Directory B2C サービスの制限と制約
開始する前にこのページの上部にある ポリシーの種類 セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。
この記事では、Azure Active Directory B2C (Azure AD B2C) サービスの使用上の制約およびその他のサービスの制限を説明します。 これらの制限は、脅威を効果的に管理し、高いレベルのサービス品質を確保することで保護するために設定されています。
Note
この記事で説明されているサービスの制限を引き上げるには、サポートにお問い合わせください。
ユーザーまたは従量課金に関連する制限
Azure AD B2C テナントで認証できるユーザー数は、要求の制限によって制御されます。 次の表は、Azure AD B2C テナントに対する要求の制限を示しています。
| カテゴリ | 制限 |
|---|---|
| Azure AD B2C テナントごとの IP あたりの最大要求数 | 6,000/5 分 |
| Azure AD B2C テナントあたりの最大要求数 | 200/秒 |
エンドポイント要求の使用状況
Azure AD B2C は、OAuth 2.0OpenID Connect (OIDC)SAML プロトコルに準拠しています。 次の表に示すエンドポイントを使用して、ユーザー認証とシングル サインオン (SSO) 機能を提供します。
Azure AD B2C エンドポイントに対して行われる要求の頻度によって、全体のトークンの発行機能が決まります。 Azure AD B2C は、異なる数の要求を使用するエンドポイントを公開します。 アプリケーションで使用されるエンドポイントの詳細については、認証プロトコルに関する記事を参照してください。
| エンドポイント | エンドポイントの種類 | 使用される要求 |
|---|---|---|
| /oauth2/v2.0/authorize | 動的 | 状況に応じて異なる1 |
| /oauth2/v2.0/token | 静的 | 1 |
| /openid/v2.0/userinfo | 静的 | 1 |
| /.well-known/openid-config | 静的 | 1 |
| /discovery/v2.0/keys | 静的 | 1 |
| /oauth2/v2.0/logout | 静的 | 1 |
| /samlp/sso/login | 動的 | 状況に応じて異なる1 |
| /samlp/sso/logout | 静的 | 1 |
1ユーザー フローの種類が、これらのエンドポイントを使用するときに消費される要求の総数を決定します。
1カスタム ポリシーの構成が、これらのエンドポイントを使用するときに消費される要求の総数を決定します。
トークン発行レート
ユーザー フローの種類ごとに一意のユーザー エクスペリエンスが提供され、異なる数の要求が使用されます。 ユーザー フローのトークン発行レートは、静的エンドポイントと動的エンドポイントの両方で使用される要求の数によって異なります。 次の表は、各ユーザー フローの動的エンドポイントで使用される要求の数を示します。
| ユーザー フロー | 使用される要求 |
|---|---|
| サインアップ | 6 |
| サインイン | 4 |
| パスワードのリセット | 4 |
| プロファイルの編集 | 4 |
| 電話によるサインアップとサインイン | 6 |
ユーザー フローに、多要素認証などの機能を追加すると、より多くの要求が使用されます。 次の表は、ユーザーが次の機能のいずれかを操作するときに使用される追加の要求の数を示しています。
| 機能 | 使用される追加の要求 |
|---|---|
| Microsoft Entra 多要素認証 | 2 |
| メールのワンタイム パスワード | 2 |
| 年齢制限 | 2 |
| フェデレーション ID プロバイダー | 2 |
ユーザー フローの 1 秒あたりのトークン発行レートを取得する方法:
- 上記の表を使用して、動的エンドポイントで使用される要求の総数を追加します。
- アプリケーションの種類に基づいて、静的エンドポイントで必要な要求の数を追加します。
- 次の数式を使用して、1 秒あたりのトークン発行レートを計算します。
Tokens/sec = 200/requests-consumed
カスタム ポリシーのトークン発行レートは、静的エンドポイントと動的エンドポイントで使用される要求の数によって異なります。 次の表は、Azure AD B2C スターター パックの動的エンドポイントで使用される要求の数を示します。
| スターター パック | シナリオ | ユーザー体験 ID | 使用される要求 |
|---|---|---|---|
| LocalAccounts | サインイン | SignUpOrSignIn | 2 |
| LocalAccounts SocialAndLocalAccounts | サインアップ | SignUpOrSignIn | 6 |
| LocalAccounts | プロファイルの編集 | ProfileEdit | 2 |
| LocalAccounts SocialAndLocalAccounts SocialAndLocalAccountsWithMfa | パスワードのリセット | PasswordReset | 6 |
| SocialAndLocalAccounts | フェデレーション アカウントのサインイン | SignUpOrSignIn | 4 |
| SocialAndLocalAccounts | フェデレーション アカウントのサインアップ | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | MFA を使用したローカル アカウント サインイン | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | MFA を使用したローカル アカウント サインアップ | SignUpOrSignIn | 10 |
| SocialAndLocalAccountsWithMfa | MFA を使用したフェデレーション アカウント サインイン | SignUpOrSignIn | 8 |
| SocialAndLocalAccountsWithMfa | MFA を使用したフェデレーション アカウント サインアップ | SignUpOrSignIn | 10 |
特定のユーザー体験の 1 秒あたりのトークン発行レートを取得するには、次のようにします。
- 上の表を使用して、ユーザー体験で使用される要求の数を確認します。
- アプリケーションの種類に基づいて、静的エンドポイントで必要な要求の数を追加します。
- 次の数式を使用して、1 秒あたりのトークン発行レートを計算します。
Tokens/sec = 200/requests-consumed
カスタム ポリシーのトークン発行レートを計算する
独自のカスタム ポリシーを作成して、アプリケーションに固有の認証エクスペリエンスを提供できます。 動的エンドポイントで使用される要求の数は、どの機能がカスタム ポリシーを経由するようにユーザーが設定するかによって異なります。 次の表は、カスタム ポリシーの各機能で使用される要求の数を示しています。
| 機能 | 使用される要求 |
|---|---|
| セルフアサートの技術プロファイル | 2 |
| 電話要素の技術プロファイル | 4 |
| メール確認 (Verified.Email) | 2 |
| 表示コントロール | 2 |
| フェデレーション ID プロバイダー | 2 |
カスタム ポリシーの 1 秒あたりのトークン発行レートを取得する方法:
- 上記の表を使用して、動的エンドポイントで使用される要求の総数を計算します。
- アプリケーションの種類に基づいて、静的エンドポイントで必要な要求の数を追加します。
- 次の数式を使用して、1 秒あたりのトークン発行レートを計算します。
Tokens/sec = 200/requests-consumed
ベスト プラクティス
次の構成オプションを考慮して、トークン発行レートを最適化できます。
- アクセスと更新のトークンの有効期間を長くします。
- Azure AD B2C Web セッションの有効期間を長くします。
- [サインインしたままにする] を有効化します。
- API の OpenId Connect のメタデータ ドキュメントをキャッシュします。
- 条件付きアクセスを使用して条件付き MFA を適用します。
Azure AD B2C 構成の制限
次の表に、Azure AD B2C サービスの管理構成の制限を示します。
| カテゴリ | なし |
|---|---|
| アプリケーションあたりのスコープの数 | 1000 |
| ユーザーあたりのカスタム属性の数 1 | 100 |
| アプリケーションあたりのリダイレクト URL の数 | 100 |
| アプリケーションあたりのサインアウト URL の数 | 1 |
| 属性あたりの文字列制限 | 250 文字 |
| サブスクリプションあたりの B2C テナントの数 | 20 |
| テナントあたりのオブジェクト (ユーザー アカウントとアプリケーション) の合計数 (既定の制限) | 125 万 |
| テナントあたりのオブジェクト (ユーザー アカウントとアプリケーション) の合計数 (検証済みのカスタム ドメインを使用)。 この制限を引き上げるには、Microsoft サポートにお問い合わせください。 | 525 万 |
| カスタム ポリシーでの継承のレベル | 10 |
| Azure AD B2C テナントあたりのポリシーの数 (ユーザー フロー + カスタム ポリシー) | 200 |
| ポリシー ファイルの最大サイズ | 1024 KB |
| テナントあたりの API コネクタの数 | 20 |
1「Microsoft Entra サービスの制限と制約」も参照してください。
リージョン固有のサービス制限
Microsoft は、お客様の保護として、特定のリージョン コードのテレフォニー検証に制限を設けています。 次の表に、リージョン コードとそれに対応する制限の一覧を示します。
| リージョン コード | 地域の名前 | 60 分あたりのテナントあたりの制限 | 24 時間あたりのテナントあたりの制限 |
|---|---|---|---|
| 228 | トーゴ | 10 | 30 |
| 257 | ウズベク語 | 10 | 30 |
| 970 | パレスチナ | 10 | 30 |
| 249 | スーダン | 10 | 30 |
| 226 | ブルキナファソ | 10 | 30 |
| 252 | ソマリア | 10 | 30 |
| 501 | ベリーズ | 10 | 30 |
| 855 | カンボジア | 50 | 200 |
| 84 | ベトナム | 150 | 500 |
| 94 | スリランカ | 100 | 500 |
| 63 | フィリピン | 50 | 200 |
| 62 | インドネシア | 50 | 200 |
| 7 | ロシア | 100 | 1000 |
| 258 | モザンビーク | 50 | 200 |
| 92 | パキスタン | 100 | 1000 |
| 994 | アゼルバイジャン | 50 | 200 |
| 880 | バングラデシュ | 50 | 200 |
| 20 | エジプト | 50 | 200 |
| 260 | ザンビア | 50 | 200 |
| 502 | グアテマラ | 10 | 50 |
| 255 | タンザニア | 10 | 50 |
| 261 | マダガスカル | 10 | 30 |
| 998 | ウズベキスタン | 10 | 30 |
| 223 | マリ | 20 | 100 |
| 52 | メキシコ | 100 | 500 |
| 60 | マレーシア | 50 | 200 |
| 221 | セネガル | 10 | 30 |
| 216 | チュニジア | 20 | 100 |
| 503 | エルサルバドル | 10 | 30 |
| 234 | ナイジェリア | 20 | 100 |
| 386 | スロベニア | 10 | 50 |
| 591 | ボリビア | 10 | 30 |
| 263 | ジンバブエ | 10 | 30 |
| 261 | マダガスカル | 10 | 30 |
| 995 | ジョージア | 10 | 30 |
| 993 | トルクメニスタン | 10 | 30 |
| 256 | ウガンダ | 20 | 100 |
| 212 | モロッコ | 20 | 100 |
| 856 | ラオス | 50 | 200 |
| 224 | ギニア | 20 | 100 |
| 992 | タジキスタン | 10 | 30 |
| 238 | カーボベルデ | 10 | 30 |
次のステップ
- Microsoft Graph の調整ガイダンスについて理解する
- Azure AD B2C アプリケーションの検証の相違点について学習します
- 開発者のベスト プラクティスによる回復性向上について理解する