Azure AD B2C:よく寄せられる質問 (FAQ)

このページには、Azure Active Directory B2C (Azure AD B2C) に関してよく寄せられる質問への回答が記載されています。 常に最新情報をチェックしてください。

Azure Portal で Azure AD B2C の拡張機能にアクセスできないのはなぜですか。

Azure AD 拡張機能が動作しない一般的な理由は 2 つあります。 Azure AD B2C では、ディレクトリのユーザー ロールがグローバル管理者である必要があります。 アクセス権限が必要だと思われる場合は、管理者に問い合わせてください。 グローバル管理者権限がある場合、ユーザーが Azure Active Directory ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。 Azure AD B2C テナントの作成に関する手順を確認してください。

既存の従業員ベースの Azure AD テナントで Azure AD B2C 機能を使用できますか。

Azure AD と Azure AD B2C は、別個の製品であるため、同じテナントで共存させることはできません。 Azure AD テナントは、組織を表します。 Azure AD B2C テナントは、証明書利用者アプリケーションで使用される ID のコレクションを表します。 [Azure AD B2C] > [ID プロバイダー][新しい OpenID Connect プロバイダー] を追加します。または、Azure AD B2C では、カスタム ポリシーを使用して、Azure AD にフェデレーションし、組織の従業員の認証を許可することができます。

Azure AD B2C を使用してソーシャル ログイン (Facebook および Google+) を Microsoft 365 に提供することはできますか?

Azure AD B2C は、Microsoft 365 のユーザーの認証に使用できません。 Azure AD は、SaaS アプリへの従業員のアクセスを管理するための Microsoft のソリューションであり、その目的で設計された機能 (ライセンス付与や条件付きアクセスなど) を備えています。 Azure AD B2C には、Web およびモバイル アプリケーションを構築するための ID およびアクセスの管理プラットフォームが用意されています。 Azure AD テナントにフェデレーションするように Azure AD B2C を構成すると、Azure AD テナントでは、Azure AD B2C に依存するアプリケーションへの従業員のアクセスが管理されます。

Azure AD B2C のローカル アカウントとは何ですか。 それらは、Azure AD の職場または学校アカウントとはどのような点が異なるのですか。

Azure AD テナントでは、テナントに属するユーザーは、<xyz>@<tenant domain> の形式の電子メール アドレスを使用してサインインします。 <tenant domain> は、テナントの確認済みドメインの 1 つ、または初期の <...>.onmicrosoft.com ドメインです。 この種類のアカウントは、職場または学校アカウントです。

Azure AD B2C テナントでは、ユーザーは大部分のアプリに任意のメール アドレス (joe@comcast.net、bob@gmail.com、sarah@contoso.com、jim@live.com など) を使用してサインインします。 この種類のアカウントはローカル アカウントです。 ローカル アカウントとして任意のユーザー名もサポートしています (joe、bob、sarah、jim など)。 Azure Portal で Azure AD B2C の ID プロバイダーを構成する場合、この 2 種類のローカル アカウントのいずれかを選択できます。 ご利用の Azure AD B2C テナントで、 [ID プロバイダー][ローカル アカウント][ユーザー名] の順に選択します。

アプリケーションのユーザー アカウントは、サインアップ ユーザー フローによって、サインアップもしくはサインイン ユーザー フローによって、Microsoft Graph API によって、または Azure portal を通じて作成できます。

現在サポートされているソーシャル ID プロバイダーはどれですか。 将来サポートする予定のプロバイダーはどれですか。

現在のところ、Amazon、Facebook、GitHub (プレビュー)、Google、LinkedIn、Microsoft アカウント (MSA)、QQ (プレビュー)、Twitter、WeChat (プレビュー)、Weibo (プレビュー) など、いくつかのソーシャル ID プロバイダーをサポートしています。 お客様からご要望があれば、他の人気のあるソーシャル ID プロバイダーへのサポート追加を検討します。

Azure AD B2C もカスタム ポリシーをサポートしています。 カスタム ポリシーを使用すると、OpenID Connect または SAML をサポートする任意の ID プロバイダーに対して独自のポリシーを作成できます。 カスタム ポリシー スターター パックを使ってカスタム ポリシーの作成をお試しください。

さまざまなソーシャル ID プロバイダーからお客様に関する情報をさらに収集するためにスコープを構成できますか。

いいえ。 サポートされている一連のソーシャル ID プロバイダーに使用されている、既定のスコープは次のとおりです。

  • Facebook: 電子メール
  • Google +: 電子メール
  • Microsoft アカウント: openid 電子メール プロファイル
  • Amazon: プロファイル
  • LinkedIn: r_emailaddress、r_basicprofile

使用しているアプリケーションを Azure AD B2C で機能させるには、Azure で実行する必要がありますか。

いいえ。アプリケーションは任意の場所でホストできます (クラウドまたはオンプレミス)。 Azure AD B2C とやり取りするために必要なのは、パブリックにアクセス可能なエンドポイントで HTTP 要求を送受信する機能のみです。

複数の Azure AD B2C テナントがあります。 Azure Portal でこれらのテナントを管理するにはどうすればよいですか。

Azure ポータルの左側にあるメニューの [Azure AD B2C] を開く前に、管理するディレクトリに切り替える必要があります。 Azure ポータルの右上にある自分の ID をクリックしてディレクトリを切り替えた後、表示されるドロップダウンからディレクトリを選択します。

Azure AD B2C によって送信される検証電子メールをカスタマイズするにはどうすればいいですか (コンテンツおよび "From:" フィールド)。

検証電子メールの内容をカスタマイズするには、 会社のブランド化機能 を使用します。 具体的には、電子メールの次の 2 つの要素をカスタマイズできます。

  • バナー ロゴ:右下に表示されます。

  • 背景色:上部に表示されます。

    カスタマイズされた確認メールのスクリーンショット

電子メールの署名には、最初に Azure AD B2C テナントを作成したときに指定した Azure AD B2C テナントの名前が含まれます。 名前は次の手順を使用して変更できます。

  1. Azure Portal にグローバル管理者としてサインインします。
  2. [Azure Active Directory] ブレードを開きます。
  3. [プロパティ] タブをクリックします。
  4. [名前] フィールドを変更します。
  5. ページの上部にある [保存] をクリックします。

現在、電子メールの "From:" フィールドを変更することはできません。

ヒント

Azure AD B2C のカスタム ポリシーでは、ユーザーに送信される電子メール Azure AD B2C (電子メールの "From:" フィールドを含む) をカスタマイズできます。 カスタム メール確認では、MailjetSendGridSparkPost といったサードパーティの電子メール プロバイダーを使用する必要があります。

既存のユーザー名、パスワード、およびプロファイルを自分のデータベースから Azure AD B2C に移行するにはどのようにすればいいですか。

Microsoft Graph API を使用して、移行ツールを作成できます。 詳細についてはユーザーの移行ガイドを参照してください。

Azure AD B2C のローカル アカウントに使用されるパスワード ユーザー フローはどのようなものですか。

Azure AD B2C のローカル アカウントのパスワード ユーザー フローは Azure AD のポリシーに基づいています。 Azure AD B2C のサインアップ、サインアップまたはサインイン、パスワード リセットの各ユーザー フローでは、"強力な" パスワード強度を使用しており、いずれのパスワードにも有効期限がありません。 詳細については、「Azure Active Directory のパスワード ポリシーと制限」を参照してください。

アカウントのロックアウトとパスワードの詳細については、Azure AD B2C における資格情報攻撃の軽減に関するページをご覧ください。

Azure AD Connect を使用して、自分のオンプレミス Active Directory に保存されているお客様の ID を Azure AD B2C に移行できますか。

いいえ。Azure AD Connect は Azure AD B2C と連携するようには設計されていません。 ユーザーの移行には、Microsoft Graph API を使用することを検討してください。 詳細についてはユーザーの移行ガイドを参照してください。

アプリで Azure AD B2C ページを iFrame 内で開くことはできますか。

この機能はパブリック プレビュー段階にあります。 詳細については、「埋め込みサインイン エクスペリエンス」を参照してください。

Azure AD B2C は Microsoft Dynamics のような CRM システムと連携しますか。

Microsoft Dynamics 365 ポータルとの統合を使用できます。 Azure AD B2C を使用して認証するための Dynamics 365 ポータルの構成に関する記事を参照してください。

Azure AD B2C はオンプレミスの SharePoint 2016 以前と連携しますか。

Azure AD B2C は、SharePoint 外部パートナー共有のシナリオには適していません。この記事ではなく、Azure AD B2B に関する記事を参照してください。

外部 ID を管理するために Azure AD B2C または B2B を使用する必要がありますか。

外部 ID のシナリオに適した機能を使用する方法の詳細については、外部 ID のソリューションの比較に関するページを参照してください。

Azure AD B2C ではどのようなレポート機能と監査機能が提供されますか。 それは Azure AD Premium の機能と同じですか。

いいえ。Azure AD B2C では Azure AD Premium と同じレポート セットはサポートされていません。 ただし、多くの共通点があります。

  • サインイン レポートは、各サインインの記録を、詳細は除外して提供します。
  • 監査レポートには、管理アクティビティとアプリケーション アクティビティの両方が含まれます。
  • 使用状況レポートには、ユーザーの数、ログインの回数、MFA のボリュームが含まれます。

エンド ユーザーは、認証アプリで時間ベースのワンタイム パスワード (TOTP) を使用して、Azure AD B2C アプリに対する認証を実行できますか。

はい。 エンド ユーザーは、TOTP 検証をサポートする Microsoft Authenticator アプリなど (推奨) の任意の認証アプリをダウンロードする必要があります。 詳細については、「検証方法」を参照してください。

TOTP 認証アプリのコードが機能していないのはなぜですか。

TOTP 認証アプリ コードが Android または iPhone の携帯電話やデバイスで動作していない場合、デバイスのクロック時間が正しくない可能性があります。 デバイスの設定で、ネットワーク指定の時刻を使用するオプションか、時刻を自動的に設定するオプションを選択します。 この機能はパブリック プレビュー段階にあります。

Azure AD B2C で提供されているページの UI をローカライズできますか。 どの言語がサポートされていますか。

言語のカスタマイズ」をご覧ください。 Microsoft では、36 言語の翻訳を提供しおり、お客様は、ニーズに合わせて任意の文字列をオーバーライドすることができます。

Azure AD B2C によって提供されているサインアップおよびサインイン ページで独自の URL を使用できますか。 たとえば、URL を contoso.b2clogin.com から login.contoso.com に変更できますか。

はい、独自のドメインを使用できます。 詳細については、Azure AD B2C カスタムドメインに関するページを参照してください。

Azure AD B2C テナントを削除する方法はありますか。

Azure AD B2C テナントを削除するには、次の手順に従います。

新しい統一的なアプリの登録エクスペリエンスと、従来のアプリケーション (レガシ) エクスペリエンスのいずれかを利用できます。 この新しいエクスペリエンスの詳細を参照してください

  1. サブスクリプション管理者として Azure portal にサインインします。 Azure へのサインアップに使用したものと同じ職場または学校アカウント、または同じ Microsoft アカウントを使用します。
  2. ご自分の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。
  3. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD B2C ディレクトリを [ディレクトリ名] リストで見つけ、 [Switch] を選択します。
  4. 左側のメニューで、 [Azure AD B2C] を選択します。 または、 [すべてのサービス] を選択し、 [Azure AD B2C] を検索して選択します。
  5. Azure AD B2C テナント内のすべてのユーザー フロー (ポリシー) を削除します。
  6. Azure AD B2C テナントの ID プロバイダーをすべて削除します。
  7. [アプリの登録][すべてのアプリケーション] タブの順に選択します。
  8. 登録したすべてのアプリケーションを削除します。
  9. b2c-extensions-app を削除します。
  10. [管理] にある [ユーザー] を選択します。
  11. 各ユーザーを順に選択します (ただし、現在サインインに使用しているサブスクリプション管理者ユーザーは除きます)。 ページ下部の [削除] を選択し、確認を求められたら [はい] を選択します。
  12. 左側のメニューで、 [Azure Active Directory] を選択します。
  13. [管理] の下で、 [プロパティ] を選択します。
  14. [Azure リソースのアクセス管理] の下で [はい] を選択した後、[保存] を選択します。
  15. Azure portal からサインアウトした後に、もう一度サインインして、ご自分のアクセス権を更新します。
  16. 左側のメニューで、 [Azure Active Directory] を選択します。
  17. [概要] ページで [テナントの削除] を選択します。 画面の指示に従って、プロセスを完了します。

Enterprise Mobility Suite の一部として Azure AD B2C を取得できますか。

いいえ。Azure AD B2C は従量課金制の Azure サービスであり、Enterprise Mobility Suite には含まれていません。

Azure AD B2C テナント用に Azure AD Premium P1 と Azure AD Premium P2 のライセンスを購入することはできますか?

いいえ、Azure AD B2C テナントは Azure AD Premium P1 または Azure AD Premium P2 のライセンスを使用しません。 Azure AD B2C では、Azure AD B2C Premium P1 または P2 のライセンスが使用されます。これは、Standard Azure AD テナントの Azure AD Premium P1 または P2 のライセンスとは異なります。 Azure AD B2C テナントは、「サポートされる Azure AD の機能」で説明されているように、Azure AD Premium 機能に似た機能をネイティブでサポートしています。

Azure AD B2C テナントの Azure AD Enterprise アプリケーションに対してグループベースの割り当てを使用できますか。

いいえ、Azure AD B2C テナントでは、Azure AD エンタープライズ アプリケーションへのグループベースの割り当てはサポートされていません。

Microsoft Azure Governmentで利用できないAzure AD B2Cの機能はありますか?

次の AD B2C 機能は、現在 Microsoft Azure Government では利用できません。

  • API コネクタ
  • 条件付きアクセス

Microsoft Graph invalidateAllRefreshTokens または Azure AD PowerShell、Revoke-AzureADUserAllRefreshToken を使用して更新トークンを取り消しました。 Azure AD B2C でまだ古い更新トークンが受け入れられるのはなぜですか。

Azure AD B2C で、refreshTokensValidFromDateTimerefreshTokenIssuedTime の時間差が 5 分以下の場合、更新トークンは引き続き有効と見なされます。 ただし、refreshTokenIssuedTimerefreshTokensValidFromDateTime より大きい場合、更新トークンは取り消されます。 次の手順に従って、更新トークンが有効か取り消されたかを確認します。

  1. authorization_code を利用して、RefreshTokenAccessToken を取得します。

  2. 7 分間待機します。

  3. PowerShell コマンドレット Revoke-AzureADUserAllRefreshToken または Microsoft Graph API invalidateAllRefreshTokens を使用して、RevokeAllRefreshToken コマンドを実行します。

  4. 10 分間待機します。

  5. 再度 RefreshToken を取得します。

Azure AD B2C に関する問題を報告するにはどのようにすればいいですか。

Azure Active Directory B2C のサポート要求の提出に関するページを参照してください。