Azure Active Directory B2C のカスタム ドメインを有効にする

"開始する前に"、[ポリシーの種類の選択] セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

この記事では、Azure Active Directory B2C (Azure AD B2C) のリダイレクト URL でカスタム ドメインを有効にする方法について説明します。 アプリケーションでカスタム ドメインを使用すると、よりシームレスなユーザー エクスペリエンスが得られます。 ユーザーの視点では、サインイン プロセス中、ユーザーは Azure AD B2C の既定ドメイン <tenant-name>.b2clogin.com にリダイレクトするのでなく、ドメインにとどまります。

Screenshot demonstrates an Azure AD B2C custom domain user experience.

カスタム ドメインの概要

Azure Front Door を使用して Azure AD B2C のカスタム ドメインを有効にできます。 Azure Front Door は、Microsoft グローバル エッジ ネットワークを使用して、セキュリティで保護された高速でスケーラビリティの高い Web アプリを作成するためのグローバル エントリ ポイントです。 Azure Front Door の背後にある Azure AD B2C コンテンツをレンダリングして、Azure Front Door のオプションを構成し、アプリケーションの URL でカスタム ドメインを介してコンテンツを配信できます。

Azure AD B2C カスタム ドメインの詳細については、こちらのビデオをご覧ください。

次の図は、Azure Front Door の統合を示しています。

  1. ユーザーは、アプリケーションからサインイン ボタンを選択すると、Azure AD B2C サインイン ページに移動します。 このページでカスタム ドメイン名が指定されます。
  2. Web ブラウザーによって、カスタム ドメイン名は Azure Front Door の IP アドレスに解決されます。 DNS 解決時に、カスタム ドメイン名の正規名 (CNAME) レコードが Front Door の既定フロントエンド ホスト (例: contoso-frontend.azurefd.net) を指します。
  3. カスタム ドメイン (例: login.contoso.com) 宛てのトラフィックは、指定された Front Door の既定のフロントエンド ホスト (contoso-frontend.azurefd.net) にルーティングされます。
  4. Azure Front Door が Azure AD B2C の <tenant-name>.b2clogin.com 既定ドメインを使用して Azure AD B2C コンテンツを呼び出します。 Azure AD B2C エンドポイントに対する要求に、元のカスタム ドメイン名が含まれます。
  5. Azure AD B2C は、関連するコンテンツと元のカスタム ドメインを表示して、要求に応答します。

Diagram shows the custom domain networking flow.

重要

ブラウザーと Azure Front Door 間の接続は、IPv6 でなく、常に IPv4 を使用する必要があります。

カスタム ドメインを使用するときは、次の点を考慮してください。

  • 複数のカスタム ドメインを設定できます。 サポートされているカスタム ドメインの最大数については、Azure AD B2C の「Azure AD サービスの制限と制約」、および Azure Front Door の「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。
  • Azure Front Door は別個の Azure サービスであるため、追加料金が発生します。 詳細については、「Front Door の価格」を参照してください。
  • Azure Front Door の Web Application Firewall を使用するには、ファイアウォールの構成とルールが Azure AD B2C ユーザー フローで正しく動作することを確認する必要があります。
  • カスタム ドメインを構成した後も、ユーザーは Azure AD B2C の既定ドメイン名 <tenant-name>.b2clogin.com にアクセスできます (カスタム ポリシーを使用してアクセスがブロックされている場合を除く)。
  • 複数のアプリケーションがある場合は、それらすべてをカスタム ドメインに移行してください (ブラウザーが、現在使用されているドメイン名の下に Azure AD B2C セッションを格納するため)。

前提条件

手順 1. カスタム ドメイン名を Azure AD B2C テナントに追加する

新しい Azure AD B2C テナントにはすべて、<domainname>.onmicrosoft.com という初期ドメイン名が付きます。 初期ドメイン名は変更したり削除したりできませんが、カスタム ドメインを追加することができます。

カスタムドメインを Azure AD B2C テナントに追加するには、次の手順に従います。

  1. Azure AD にカスタム ドメイン名を追加します

    重要

    これらの手順では、必ず Azure AD B2C テナントにサインインして Azure Active Directory サービスを選択してください。

  2. ドメイン レジストラーに DNS 情報を追加します。 Azure AD にカスタム ドメイン名を追加した後、ドメインの DNS TXT または MX レコードを作成します。 ドメインのこの DNS レコードを作成することで、ドメイン名の所有権が検証されます。

    次の例は、login.contoso.com および account.contoso.com の TXT レコードを示しています。

    名前 (ホスト名) 種類 データ
    ログイン (login) TXT MS=ms12345678
    account TXT MS=ms87654321

    TXT レコードは、サブドメイン、またはドメインのホスト名に関連付けられている必要があります。 たとえば、contoso.com ドメインの login 部分です。 ホスト名が空または @ の場合、Azure AD は追加したカスタム ドメインを確認できません。 次の例では、レコードは両方とも正しく構成されません。

    名前 (ホスト名) 種類 データ
    TXT MS=ms12345678
    @ TXT MS=ms12345678

    ヒント

    GoDaddy などの一般公開されている DNS サービスを使用して、カスタム ドメインを管理できます。 DNS サーバーがない場合、Azure DNS ゾーンまたは App Service ドメインを使用できます。

  3. カスタム ドメイン名を検証します。 使用する予定の各サブドメイン (ホスト名) を検証します。 たとえば、login.contoso.comaccount.contoso.com でサインインできるようになるためには、最上位ドメイン contoso.com ではなく、両方のサブドメインを検証する必要があります。

    重要

    ドメインが検証された後で、作成した DNS TXT レコードを削除します。

手順 2. 新しい Azure Front Door インスタンスを作成する

Azure AD B2C テナントの Front Door を作成するには、次の手順に従います。 詳細については、「アプリケーションのフロントドアの作成」を参照してください。

  1. Azure portal にサインインします。

  2. Azure AD B2C テナントが含まれるディレクトリではなく Azure Front Door に使用する Azure サブスクリプションが含まれるディレクトリを選択するため、ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。

  3. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD ディレクトリを [ディレクトリ名] リストで見つけ、 [スイッチ] を選択します。

  4. ホーム ページまたは Azure メニューから [リソースの作成] を選択します。 [ネットワーク]>[すべて表示]>[フロントドア] の順に選択します。

  5. [フロント ドアを作成する] ページの [基本] タブで、次の情報を入力または選択してから、 [次へ: 構成] を選択します。

    設定
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ 既存のリソース グループを選択するか、 [新規作成] を選択して新しく作成します。
    リソース グループの場所 リソース グループの場所を選択します。 たとえば [米国中部] です。

2.1 フロントエンド ホストを追加する

フロントエンド ホストは、アプリケーションで使用されるドメイン名です。 Front Door を作成すると、既定のフロントエンド ホストは azurefd.net のサブドメインになります。

Azure Front Door には、カスタム ドメインをフロントエンド ホストと関連付けるオプションが用意されています。 このオプションを使用して、Front Door に所有されているドメイン名の代わりに、URL 内のカスタム ドメインに Azure AD B2C のユーザー インターフェイスを関連付けます。 たとえば、「 https://login.contoso.com 」のように入力します。

フロントエンド ホストを追加するには、次の手順に従います。

  1. [Frontends/domains](フロントエンド/ドメイン) で、 []+ を選択して [フロントエンド ホストの追加] を開きます。

  2. グローバルに一意のホスト名を [ホスト名] に入力します。 このホスト名はカスタム ドメインではありません。 この例では、contoso-frontend を使用します。 [追加] を選択します。

    Screenshot demonstrates how to add a frontend host.

2.2 バックエンドとバックエンド プールを追加する

バックエンドとは、Azure AD B2C テナント名tenant-name.b2clogin.com を指します。 バックエンド プールを追加するには、次の手順に従います。

  1. 引き続き [フロント ドアを作成する][バックエンド プール] で []+ を選択し、 [バックエンド プールの追加] を開きます。

  2. [名前] を入力します。 たとえば、myBackendPool のように指定します。 [バックエンドの追加] を選択します。

    次のスクリーンショットでは、バックエンド プールを作成する方法を示しています。

    Screenshot demonstrates how to add a frontend backend pool.

  3. [バックエンドの追加] ブレードで、次の情報を選択し、 [追加] を選択します。

    設定
    バックエンド ホストの種類 [カスタム ホスト] を選択します。
    バックエンド ホスト名 Azure AD B2C の名前 <tenant-name>.b2clogin.com を選択します。 たとえば、「contoso.b2clogin.com」とします。
    バックエンド ホスト ヘッダー [バックエンド ホスト名] で選択したものと同じ値を選択します。

    "*他のフィールドはすべて既定値のままにします。 "

    次のスクリーンショットでは、Azure AD B2C テナントに関連付けられているカスタム ホスト バックエンドを作成する方法を示しています。

    Screenshot demonstrates how to add a custom host backend.

  4. バックエンド プールの構成を完了するには、 [バックエンド プールの追加] ブレードで [追加] を選択します。

  5. バックエンドバックエンド プールに追加した後で、正常性プローブを無効にします。

    Screenshot demonstrates how to add a backend pool and disable the health probes.

2.3 ルーティング規則を追加する

最後に、ルーティング規則を追加します。 フロントエンド ホストは、ルーティング規則によってバックエンド プールにマップされます。 規則により、フロントエンド ホストの要求が Azure AD B2C バックエンドに転送されます。 ルーティング規則を追加するには、次の手順に従います。

  1. [規則を追加する][名前] に「LocationRule」と入力します。 すべて既定値のままにし、 [追加] を選択してルーティング規則を追加します。

  2. [確認および作成][作成] の順に選択します。

    Screenshot demonstrates how to create Azure Front Door.

手順 3. Azure Front Door でカスタム ドメインを設定する

この手順では、手順 1 で登録したカスタム ドメインを Front Door に追加します。

3.1 CNAME DNS レコードを作成する

カスタム ドメインを Front Door で使用するためには、最初に Front Door の既定のフロントエンド ホスト (contoso-frontend.azurefd.net など) を指す正規名 (CNAME) レコードをドメイン プロバイダーで作成する必要があります。

CNAME レコードは、ソース ドメイン名を宛先ドメイン名 (別名) にマップする DNS レコードの一種です。 Azure Front Door では、ソース ドメイン名はカスタム ドメイン名であり、宛先ドメイン名は手順 2.1 で構成した Front Door の既定のホスト名です。

作成した CNAME レコードが Front Door によって検証されると、ソース カスタム ドメイン (login.contoso.com など) 宛てのトラフィックは、指定された宛先の Front Door 既定フロントエンド ホスト (contoso-frontend.azurefd.net など) にルーティングされます。 詳細については、「Front Door にカスタム ドメインを追加する」を参照してください。

カスタム ドメインの CNAME レコードを作成するには:

  1. カスタム ドメインのドメイン プロバイダーの Web サイトにサインインします。

  2. プロバイダーの資料を調べるか、 [ドメイン名][DNS] 、または [ネームサーバー管理] という名前のつけられた Web サイトの領域を探して、DNS レコードを管理するためのページを見つけます。

  3. カスタム ドメインの CNAME レコード エントリを作成し、次の表に示すようにフィールドを入力します (フィールド名は異なる場合があります)。

    source Type 宛先
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • ソース: カスタム ドメイン名 (例: login.contoso.com) を入力します。

    • 型: 「CNAME」と入力します。

    • ターゲット: 手順 2.1 で作成した既定の Front Door フロントエンド ホストを入力します。 名前は、 <ホスト名> .azurefd.net の形式である必要があります。 たとえば、「 contoso-frontend.azurefd.net 」のように入力します。

  4. 変更を保存します。

3.2 カスタム ドメインを Front Door と関連付ける

カスタム ドメインを登録したら、それを Front Door に追加できます。

  1. [Front Door デザイナー] ページの [Frontends/domains](フロントエンド/ドメイン) の下で、+ を選択してカスタム ドメインを追加します。

    Screenshot demonstrates how to add a custom domain.

  2. [Frontend host](フロントエンド ホスト) には、CNAME レコードのターゲット ドメインとして使用するフロントエンド ホストが事前入力されていて、Front Door から派生されています ( <既定のホスト名> .azurefd.net)。 この値は変更しないでください。

  3. [カスタム ホスト名] に、CNAME レコードのソース ドメインとして使用するカスタム ドメイン (サブドメインを含む) を入力します。 たとえば、login.contoso.com のように指定します。

    Screenshot demonstrates how to verify a custom domain.

    入力したカスタム ドメイン名に対する CNAME レコードが存在するかどうかが Azure によって確認されます。 CNAME が正しければ、カスタム ドメインが検証されます。

  4. カスタム ドメイン名が検証された後、 [Custom domain name HTTPS](カスタム ドメイン名 HTTPS) で、 [有効] を選択します。

    Screenshot shows how to enable HTTPS using an Azure Front Door certificate.

  5. [証明書の管理の種類] で、[管理されているフロント ドア] または[自分の証明書を使用する] を選択します。 [管理されているフロント ドア] オプションを選択した場合、証明書が完全にプロビジョニングされるまで待ちます。

  6. [追加] を選択します。

3.3 ルーティング規則を更新する

  1. [ルーティング規則] で、手順 2.3 で作成したルーティング規則を選択します。

    Screenshot demonstrates how to select a routing rule.

  2. [Frontends/domains](フロントエンド/ドメイン) で、カスタム ドメイン名を選択します。

    Screenshot demonstrates how to update the Azure Front Door routing rule.

  3. [更新] を選択します。

  4. メイン ウィンドウで、 [保存] を選択します。

手順 4. CORS を構成する

HTML テンプレートを使用して Azure AD B2C ユーザー インターフェイスをカスタマイズする場合は、カスタム ドメインを使用して CORS を構成する必要があります。

Azure Blob Storage のクロスオリジン リソース共有を、次の手順で構成します。

  1. Azure portal のストレージ アカウントに移動します。
  2. メニューで [CORS] を選択します。
  3. [許可されるオリジン] には、https://your-domain-name を入力します。 your-domain-name を自分のドメイン名に置き換えます。 たとえば、「 https://login.contoso.com 」のように入力します。 テナント名を入力するときは、すべて小文字を使用します。
  4. [許可されたメソッド] に、GETOPTIONS を両方選択します。
  5. [許可されたヘッダー] に、アスタリスク (*) を入力します。
  6. [公開されるヘッダー] に、アスタリスク (*) を入力します。
  7. [最長有効期間] には「200」と入力します。
  8. [保存] を選択します。

カスタム ドメインのテスト

  1. Azure portal にサインインします。

  2. ご自分の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。

  3. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページの [ディレクトリ名] の一覧で自分の Azure AD B2C ディレクトリを見つけて、 [切り替え] を選択します。

  4. Azure portal で、 [Azure AD B2C] を検索して選択します。

  5. [ポリシー][ユーザー フロー (ポリシー)] を選択します。

  6. ユーザー フローを選択して、 [ユーザー フローの実行] を選択します。

  7. [アプリケーション] で、以前に登録した webapp1 という名前の Web アプリケーションを選択します。 [応答 URL]https://jwt.ms と表示されます。

  8. [ユーザー フロー エンドポイントを実行] の URL をコピーします。

    Screenshot demonstrates how to copy the authorization request URI.

  9. カスタム ドメインを使用したサインインをシミュレートするには、Web ブラウザーを開き、コピーした URL を使用します。 Azure AD B2C ドメイン ( <tenant-name> .b2clogin.com) を自分のカスタム ドメインに置き換えます。

    たとえば、次の表記の代わりに、

    https://contoso.b2clogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=63ba0d17-c4ba-47fd-89e9-31b3c2734339&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    を使う代わりに、

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=63ba0d17-c4ba-47fd-89e9-31b3c2734339&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login    
    
  10. Azure AD B2C が正しく読み込まれていることを確認します。 次に、ローカル アカウントでサインインします。

  11. 残りのポリシーでテストを繰り返します。

ID プロバイダーを構成する

ユーザーがソーシャル ID プロバイダーでのサインインを選択すると、Azure AD B2C が承認要求を開始し、ユーザーは選択した ID プロバイダーに移動してサインイン プロセスを完了します。 承認要求では、redirect_uri が Azure AD B2C の既定ドメイン名で指定されます。

https://<tenant-name>.b2clogin.com/<tenant-name>/oauth2/authresp

外部 ID プロバイダーを使ってサインインできるようポリシーを構成した場合は、カスタム ドメインを使用して OAuth リダイレクト URI を更新します。 ほとんどの ID プロバイダーでは、複数のリダイレクト URI を登録できます。 リダイレクト URI を置き換えるのでなく追加して、Azure AD B2C の既定のドメイン名を使用するアプリケーションに影響を与えることなくカスタム ポリシーをテストできるようにすることをお勧めします。

次のリダイレクト URI に対して、以下を行います。

https://<custom-domain-name>/<tenant-name>/oauth2/authresp
  • <custom-domain-name> を自分のカスタム ドメイン名に置き換えます。
  • <tenant-name> を自分のテナント名、またはテナント ID に置き換えます。

次の例は、有効な OAuth リダイレクト URI を示しています。

https://login.contoso.com/contoso.onmicrosoft.com/oauth2/authresp

テナント ID を使用した場合、有効な OAuth リダイレクト URI は次の例のようになります。

https://login.contoso.com/11111111-1111-1111-1111-111111111111/oauth2/authresp

SAML ID プロバイダーのメタデータは、次の例のようになります。

https://<custom-domain-name>.b2clogin.com/<tenant-name>/<your-policy>/samlp/metadata?idptp=<your-technical-profile>

アプリケーションの作成

カスタム ドメインを構成してテストしたら、Azure AD B2C ドメインでなくカスタム ドメインをホスト名として指定する URL を読み込むように、アプリケーションを更新できます。

カスタム ドメイン統合は、ユーザーを認証するために Azure AD B2C ポリシー (ユーザー フローまたはカスタム ポリシー) を使用する認証エンドポイントに適用されます。 これらのエンドポイントは次の例のようになります。

  • https://<custom-domain>/<tenant-name>/<policy-name>/v2.0/.well-known/openid-configuration

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/authorize

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/token

置換前のコード:

SAML サービス プロバイダーのメタデータは、次の例のようになります。

https://custom-domain-name/tenant-name/policy-name/Samlp/metadata

(省略可能) テナント ID を使用する

URL の B2C テナント名を自分のテナント ID GUID に置き換えて、URL 内の "b2c" へのすべての参照が削除されるようにできます。 テナント ID GUID は、Azure portal の「B2C の概要」ページにあります。 たとえば、https://account.contosobank.co.uk/contosobank.onmicrosoft.com/https://account.contosobank.co.uk/<tenant ID GUID>/ に変更します

テナント名の代わりにテナント ID を使用する場合は、ID プロバイダーの OAuth リダイレクト URI をそれに合わせて更新してください。 詳しくは、「ID プロバイダーを構成する」をご覧ください。

トークン発行

トークン発行者名 (iss) 要求は、使用しているカスタム ドメインに基づいて変わります。 次に例を示します。

https://<domain-name>/11111111-1111-1111-1111-111111111111/v2.0/

既定のドメイン名へのアクセスをブロックする

カスタム ドメインを追加してアプリケーションを構成した後も、ユーザーは <tenant-name>.b2clogin.com ドメインにアクセスできます。 アクセスできないようにするために、承認要求の「ホスト名」を許可されているドメイン一覧と照合するように、ポリシーを構成できます。 ホスト名は、URL に表示されるドメイン名です。 ホスト名は {Context:HostName}要求リゾルバーを通じて入手できます。 その後に、カスタム エラー メッセージを提示できます。

  1. GitHub からホスト名を調べる条件付きアクセス ポリシーの例を取得します。
  2. 各ファイル内で、文字列 yourtenant を、使用している Azure AD B2C テナントの名前に置き換えます。 たとえば、B2C テナントの名前が contosob2c であれば、yourtenant.onmicrosoft.com のすべてのインスタンスは contosob2c.onmicrosoft.com になります。
  3. ポリシー ファイルは、B2C_1A_TrustFrameworkExtensions_HostName.xmlB2C_1A_signup_signin_HostName.xml の順序でアップロードします。

トラブルシューティング

Azure AD B2C で「ページが見つかりません」エラーが返される

  • 現象 - カスタム ドメインを構成した後で、カスタム ドメインでサインインしようとすると、HTTP 404 エラー メッセージが表示されます。
  • 考えられる原因 - この問題は、DNS 構成または Azure Front Door バックエンド構成に関連している可能性があります。
  • 解決方法:
    1. カスタム ドメインが Azure AD B2C テナントに登録されていて正常に検証されていることを確認します。
    2. カスタム ドメインが正しく構成されていることを確認します。 カスタム ドメインの CNAME レコードは、Azure Front Door の既定のフロントエンド ホスト (例: contoso-frontend.azurefd.net) をポイントしていなければなりません。
    3. Azure Front Door バックエンド プール構成が、カスタム ドメイン名が設定されていてユーザー フローまたはカスタム ポリシーが格納されているテナントをポイントしていることを確認します。

Azure AD B2C で「探しているリソースは削除されたか、名前が変更されたか、または一時的に使用不可能になっています」エラーが返される。

  • 現象 - カスタム ドメインを構成した後で、カスタム ドメインでサインインしようとすると、"探しているリソースは削除されたか、名前が変更されたか、または一時的に使用不可能になっています" というエラー メッセージが表示されます。
  • 考えられる原因 - この問題は、Azure AD カスタム ドメインの検証に関連している可能性があります。
  • 解決方法: カスタム ドメインが Azure AD B2C テナントに登録されていて正常に検証されていることを確認します。

ID プロバイダーがエラーを返す

  • 現象 -カスタム ドメインを構成した後に、ローカル アカウントでサインインできるようになります。 しかし、外部のソーシャルまたはエンタープライズ ID プロバイダーの資格情報を使用してサインインすると、ID プロバイダーでエラー メッセージが表示されます。
  • 考えられる原因 - Azure AD B2C でユーザーがフェデレーション ID プロバイダーを使用してサインインすると、リダイレクト URI が指定されます。 リダイレクト URI は、ID プロバイダーがトークンを返す場所のエンドポイントです。 リダイレクト URI は、アプリケーションが承認要求で使用するものと同じドメインです。 リダイレクト URI がまだ ID プロバイダーに登録されていない場合は、新しいリダイレクト URI は信頼されない可能性があり、その結果としてエラー メッセージが表示されます。
  • 解決方法 - 「ID プロバイダーを構成する」の手順に従って、新しいリダイレクト URI を追加します。

よく寄せられる質問

Azure Front Door の高度な構成、たとえば "Web アプリケーション ファイアウォール規則" を使用できますか。

Azure Front Door の高度な構成設定は正式にサポートされていないため、ご自分の責任でご使用ください。

[今すぐ実行] を使用して自分のポリシーを実行しようとすると、カスタム ドメインが表示されないのはなぜですか。

URL をコピーし、ドメイン名を手動で変更して、ブラウザーに貼り付けてください。

Azure AD B2C に提示される IP アドレスはどちらですか。 ユーザーの IP アドレスですか。それとも Azure Front Door の IP アドレスですか。

Azure Front Door は、ユーザーの元の IP アドレスを渡します。 これは、監査レポートまたはカスタム ポリシーに表示される IP アドレスです。

サードパーティ製の Web アプリケーション ファイアウォール (WAF) を B2C で使用できますか。

独自の Web アプリケーション ファイアウォールを Azure Front Door の前面で使用するには、すべてが Azure AD B2C のユーザー フローまたはカスタム ポリシーで正しく動作するよう構成して検証する必要があります。

Azure Front Door インスタンスを Azure AD B2C テナントとは異なるサブスクリプションでホストすることはできますか。

はい。Azure Front Door は別のサブスクリプションにできます。

次のステップ

OAuth 承認要求について学習します。