概要: 外部テナントの外部 ID を使用してアプリをセキュリティで保護する
適用対象: 従業員テナント 外部テナント (詳細はこちら)
Microsoft Entra 外部 ID には、Microsoft の顧客 ID およびアクセス管理 (CIAM) のソリューションを含まれています。 アプリをコンシューマーおよびビジネス顧客が利用できるようにしたい組織や企業の場合、外部 ID を使用すると、セルフサービス登録、パーソナライズされたサインイン エクスペリエンス、顧客アカウント管理などの CIAM 機能を簡単に追加できます。 これらの CIAM 機能は Microsoft Entra ID に組み込まれているため、セキュリティ、コンプライアンス、スケーラビリティの強化などのプラットフォーム機能の利点も得られます。
専用外部テナントを作成する
コンシューマーおよびビジネス顧客アプリの外部 ID の使用を開始するときは、まず、顧客アカウントのアプリ、リソース、ディレクトリのテナントを作成します。
Microsoft Entra ID での作業経験があるのなら、従業員ディレクトリ、内部アプリ、その他の組織リソースが入った Microsoft Entra テナントの使用に既に精通していることになります。 外部 ID を使用して、標準の Microsoft Entra テナント モデルに従って個別のテナントを作成しますが、外部シナリオ向けに構成します。 この外部テナントには次のものが含まれます:
ディレクトリ: ディレクトリには、顧客の資格情報とプロファイル データが格納されます。 コンシューマーまたはビジネス顧客がアプリにサインアップすると、外部テナントにそのローカル アカウントが作成されます。
アプリケーション登録: Microsoft Entra ID プラットフォームは、登録済みのアプリケーションに対してのみ ID およびアクセス管理を実行します。 アプリの登録によって信頼関係が確立され、そのアプリを Microsoft Entra ID と統合できるようになります。
ユーザー フロー: 外部テナントには、顧客に対して有効にしたい、セルフサービスのサインアップ、サインイン、パスワードのリセットの各エクスペリエンスが含まれています。
拡張機能: 外部システムからのユーザー属性とデータを追加する必要がある場合は、ユーザー フロー用のカスタム認証拡張機能を作成できます。
サインイン方法: ユーザー名とパスワード、ワンタイム パスコード、Google または Facebook の ID など、アプリにサインインするためのさまざまなオプションを有効にすることができます。
暗号化キー: トークン、クライアント シークレット、認定資格証、パスワードの署名と検証のための暗号化キーを追加および管理します。
パスワードとワンタイム パスコード でのサインインの詳細、および Google と Facebook のフェデレーションについて説明します。
外部テナントで管理できるユーザー アカウントには、次の 2 種類があります:
顧客アカウント: アプリケーションにアクセスする顧客を表すアカウント。
管理者アカウント: 業務用アカウントを持つユーザーは、テナントのリソースを管理でき、管理者ロールがあれば、テナントも管理できます。 業務用アカウントを持つユーザーは、新しいコンシューマー アカウントの作成、パスワードのリセット、アカウントのブロック/ブロック解除、アクセス許可の設定、セキュリティ グループへのアカウントの割り当てを行うことができます。
外部テナントでの 顧客アカウント と 管理者アカウント の管理に関する詳細について確認してください。
カスタマイズされたサインインを追加する
外部 ID は、顧客がID およびアクセス管理のために Microsoft Entra プラットフォームを使用してアプリケーションを利用できるようにしたい企業を対象としています。
アプリにサインアップ ページとサインイン ページを追加します。 直感的で使いやすいサインアップとサインアップのエクスペリエンスを顧客アプリに簡単に追加します。 顧客は 単一の ID を使用して、使用するすべてのアプリケーションに安全にアクセスできます。
ソーシャル ID とエンタープライズ ID を使用してシングル サインオン (SSO) を追加します。 顧客は、ソーシャル ID、エンタープライズ ID、またはマネージド ID を選択して、ユーザー名とパスワード、電子メール、またはワンタイム パスコードでサインインできます。
サインアップ ページに会社のブランドを追加します。 既定のエクスペリエンスと特定のブラウザー言語のエクスペリエンスの両方を含め、サインアップとサインインのエクスペリエンスの外観をカスタマイズします。
サインアップ フローを簡単にカスタマイズして拡張できます。 ID ユーザー フローをニーズに合わせて調整します。 サインアップ時に顧客から収集する属性を選択するか、独自のカスタム属性を追加します。 アプリで必要な情報が外部システムに含まれている場合は、収集するカスタム認証拡張機能を作成し、認証トークンにデータを追加します。
複数のアプリの言語とプラットフォームを統合します。 Microsoft Entra を使用すると、複数のアプリの種類、プラットフォーム、言語に対して、セキュリティで保護されたブランド化された認証フローをすばやく設定して提供できます。
アプリにネイティブ認証を使用します。 iOS および Android 用のMicrosoft Authentication Library (MSAL) を使用して、モバイルおよびデスクトップ アプリケーション用のシームレスな認証エクスペリエンスを作成します。
セルフサービス アカウント管理を提供します。 顧客は、自分でオンライン サービスに登録したり、プロファイルを管理したり、アカウントを削除したり、多要素認証 (MFA) メソッドに登録したり、管理者やヘルプ デスクのサポートなしでパスワードをリセットしたりできます。
利用規約とプライバシー ポリシーに同意します。 サインアップ中、ご契約条件に同意するようにユーザーに求めることができます。 顧客のユーザー属性を使用すると、サインアップ フォームにチェックボックスを追加し、利用規約とプライバシー ポリシーへのリンクを含めることができます。
アプリへのサインインとサインアップの追加 および サインインの外観のカスタマイズ について確認してください。
セルフサービス サインアップ用のユーザー フローを設計する
アプリケーションにユーザー フローを追加することで、顧客向けの簡単なサインアップとサインインのエクスペリエンスを作成できます。 ユーザー フローでは、顧客が従う一連のサインアップ手順と、使用できるサインイン方法 (メールとパスワード、ワンタイム パスコード、Google や Facebook のソーシャル アカウントなど) を定義します。 また、一連のユーザー組み込み属性から選択するか、独自のカスタム属性を追加することで、サインアップ時に顧客から情報を収集することもできます。
いくつかのユーザー フロー設定により、顧客がアプリケーションにサインアップする方法を制御できます。これには以下が含まれます:
- サインイン方法とソーシャル ID プロバイダー (Google または Facebook)
- サインアップする顧客から収集する属性 (名、郵便番号、居住国/地域など)
- 会社のブランド化と言語のカスタマイズ
ユーザー フローの構成の詳細については、「顧客向けのサインアップとサインインのユーザー フローを作成する」を参照してください。
独自のビジネス ロジックの追加
外部 ID は、認証フロー内の特定のポイントにアクションを定義できるようにして柔軟性を実現できるように設計されています。 カスタム認証拡張機能を使用すると、トークンがアプリケーションに発行される直前に、外部システムからのクレームをトークンに追加できます。
カスタム認証拡張機能を使用した「独自のビジネス ロジックの追加」の詳細を確認してください。
Microsoft Entra のセキュリティと信頼性
外部 ID は、企業-消費者間 (B2C) 機能を Microsoft Entra プラットフォームに集約することを意味します。 セキュリティの強化、規制への準拠、ID およびアクセス管理プロセスをスケーリングする機能など、プラットフォーム機能の恩恵を受けることができます。
Microsoft Entra のセキュリティ。 条件付きアクセス、多要素認証、ガバナンスなど、Microsoft Entra のすべてのセキュリティとデータ プライバシーの利点を得られます。 強力な認証とリスクベースの適応アクセス ポリシーを使用して、アプリへのアクセスを保護します。 顧客は別のテナントで管理されるため、通常は管理対象デバイスではなく個人用デバイスや共有デバイスを使用するユーザーに対してアクセス ポリシーを合わせることができます。
Microsoft Entra の信頼性とスケーラビリティ。 高度にカスタマイズされたサインイン エクスペリエンスを作成し、顧客アカウントを大規模に管理できます。 Microsoft Entra のパフォーマンス、回復性、ビジネス継続性、低遅延、高処理能力を活用して、優れたカスタマー エクスペリエンスを確保できます。
外部テナントで使用できる セキュリティとガバナンス の機能の詳細について確認してください。
ユーザー アクティビティとエンゲージメントを分析する
[使用状況と分析情報] のアプリケーション ユーザー アクティビティ機能は、テナントに登録されているアプリケーションのユーザー アクティビティとエンゲージメントに関するデータ分析を提供します。 この機能を使用すると、Microsoft Entra 管理センターでユーザー アクティビティ データを表示、クエリ、分析できます。 これにより、戦略的な意思決定を支援し、ビジネスの成長を促進できる貴重な分析情報を発見することができます。
顧客テナントで使用できる アプリケーション ユーザー アクティビティ ダッシュボード の詳細について確認してください。
Azure AD B2C について
新しい顧客の場合、Azure AD B2C と Microsoft Entra 外部 ID のどちらのソリューションが適しているのか迷うことがあるかもしれません。 次の場合は、現在の Azure AD B2C 製品を選択してください:
運用環境に対応したビルドをすぐにデプロイする必要がある。
注意
次世代の Microsoft Entra 外部 ID プラットフォームは Microsoft の CIAM の未来に相当するため、迅速なイノベーションや新しい機能と性能は、このプラットフォームに集中ことになります。 最初から次世代プラットフォームを選択することで、迅速なイノベーションと将来性のあるアーキテクチャの利点が得られます。
次の場合は、次世代 Microsoft Entra 外部 ID プラットフォームを選択してください:
- アプリへの ID の新しい構築を開始しているか、製品ディスカバリーの初期段階にある。
- 迅速なイノベーション、新しい機能や性能追加の利点が優先されます。
次のステップ
- トレーニング、ライブ デモ、ビデオ をご覧ください。
- Microsoft Entra 外部 ID の計画 の詳細について確認する。
- 最新の開発者向けコンテンツとリソースについては、「Microsoft Entra 外部 ID 開発者 センター」も参照してください。