Azure AD B2C: よく寄せられる質問 (FAQ)

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなりますが、現在の Azure AD B2C のお客様は製品を引き続き使用できます。 新しいテナントやユーザー フローの作成を含む製品エクスペリエンスは変更されません。ただし、新しいテナントは Azure AD B2C P1 でのみ作成できます。 Azure AD B2C P2 は、すべての顧客向けに 2026 年 3 月 15 日に廃止される予定です。 サービス レベル アグリーメント (SLA)、セキュリティ更新プログラム、コンプライアンスなどの運用コミットメントも変更されません。 少なくとも 2030 年 5 月まで、Azure AD B2C のサポートを継続します。 移行プランを含む詳細情報は、今後提供されます。 詳細および Microsoft Entra 外部 ID の詳細については、お客様のアカウント担当者にお問い合わせください。

Microsoft は、組織外のユーザーと連携するための強力なソリューションを組み合わせた次世代の Microsoft Entra External ID 製品をリリースしました。 外部 ID 機能を使用すると、外部 ID がアプリとリソースに安全にアクセスできるようにすることができます。 外部パートナー、コンシューマー、ビジネス顧客のいずれと連携している場合でも、ユーザーは自分の ID を持ち込むことができます。 これらの ID は、企業または政府が発行したアカウントから、Google や Facebook などのソーシャル ID プロバイダーまで多岐に分けられます。 詳細については、「Microsoft Entra External ID の概要」を参照してください。

Microsoft Entra 拡張機能が機能しない理由には、2 つの一般的な理由があります。 Azure AD B2C では、ディレクトリ内のユーザー ロールがグローバル管理者である必要があります。 アクセス権が必要な場合は、管理者に問い合わせてください。 グローバル管理者特権がある場合は、Microsoft Entra ディレクトリではなく、Azure AD B2C ディレクトリにいることを確認してください。 Azure AD B2C テナントを作成する手順を確認できます。

Microsoft Entra ID と Azure AD B2C は個別の製品オファリングです。 Azure AD B2C 機能を使用するには、既存の従業員ベースの Microsoft Entra テナントとは別の Azure AD B2C テナントを作成します。 Microsoft Entra テナントは、組織を表します。 Azure AD B2C テナントは、証明書利用者アプリケーションで使用される ID のコレクションを表します。 >を追加するか、カスタム ポリシーを使用して、Azure AD B2C を Microsoft Entra ID にフェデレーションし、組織内の従業員の認証を許可できます。

Azure AD B2C を使用して Microsoft 365 のユーザーを認証することはできません。 Microsoft Entra ID は、SaaS アプリへの従業員アクセスを管理するための Microsoft のソリューションであり、ライセンスや条件付きアクセスなどのこの目的のために設計された機能を備えています。 Azure AD B2C は、Web アプリケーションとモバイル アプリケーションを構築するための ID およびアクセス管理プラットフォームを提供します。 Azure AD B2C が Microsoft Entra テナントとフェデレーションするように構成されている場合、Microsoft Entra テナントは、Azure AD B2C に依存するアプリケーションへの従業員アクセスを管理します。

Microsoft Entra テナントでは、テナントに属するユーザーは、フォーム <xyz>@<tenant ___domain>の電子メール アドレスを使用してサインインします。 <tenant ___domain>は、テナント内の検証済みドメインまたは初期<...>.onmicrosoft.com ドメインの 1 つです。 この種類のアカウントは、職場または学校アカウントです。

Azure AD B2C テナントでは、ほとんどのアプリでは、ユーザーが任意の電子メール アドレス ( joe@comcast.net、 bob@gmail.com、 sarah@contoso.com、 jim@live.comなど) でサインインすることを望んでいます。 この種類のアカウントはローカル アカウントです。 また、ローカル アカウント (joe、bob、sarah、jim など) としての任意のユーザー名もサポートしています。 Azure portal で Azure AD B2C の ID プロバイダーを構成するときに、これら 2 つのローカル アカウントの種類のいずれかを選択できます。 Azure AD B2C テナントで、[ ID プロバイダー] を選択し、[ ローカル アカウント] を選択して、[ ユーザー名] を選択します。

アプリケーションのユーザー アカウントは、サインアップ ユーザー フロー、サインアップまたはサインイン ユーザー フロー、Microsoft Graph API、または Azure portal を使用して作成できます。

既定では、各テナントは合計 125 万個のオブジェクト (ユーザー アカウントとアプリケーション) に対応できますが、カスタム ドメインを追加して検証するときに、この制限を 525 万オブジェクトに増やすことができます。 この制限を引き上げるには、Microsoft サポートにお問い合わせください。 ただし、 2022 年 9 月より前にテナントを作成した場合、この制限は影響を受けず、テナントは作成時に割り当てられたサイズ ( 5,000 万 オブジェクト) を保持します。

現在、Amazon、Facebook、GitHub (プレビュー)、Google、LinkedIn、Microsoft アカウント (MSA)、QQ (プレビュー)、X、WeChat (プレビュー)、Weibo (プレビュー) など、いくつかのソーシャル ID プロバイダーがサポートされています。 顧客の需要に基づいて、他の一般的なソーシャル ID プロバイダーのサポートを追加する評価を行います。

Azure AD B2C では、 カスタム ポリシーもサポートされています。 カスタム ポリシーを使用すると、 OpenID Connect または SAML をサポートする任意の ID プロバイダーに対して独自のポリシーを作成できます。 カスタム ポリシー スターター パックを確認して、 カスタム ポリシーの使用を開始します。

いいえ。 サポートされているソーシャル ID プロバイダーのセットに使用される既定のスコープは次のとおりです。

• Facebook: メール
• Google+: 電子メール
• Microsoft アカウント: openid 電子メール プロファイル
• Amazon: プロファイル
• LinkedIn: r_emailaddress、r_basicprofile

ADFS サーバーで、次を実行します: Set-AdfsProperties -SignedSamlRequestsRequired $true。 これにより、Azure AD B2C は ADFS へのすべての要求に署名する必要があります。

いいえ。任意の場所 (クラウドまたはオンプレミス) でアプリケーションをホストできます。 Azure AD B2C と対話するために必要なのは、パブリックにアクセス可能なエンドポイントで HTTP 要求を送受信する機能です。

Azure portal で Azure AD B2C サービスを開く前に、管理するディレクトリに切り替える必要があります。 上部のメニューの [設定] アイコンを選択して、[ ディレクトリ + サブスクリプション ] メニューから管理するディレクトリに切り替えます。

Azure AD B2C テナントを作成するアクセス許可がない可能性があります。 テナントを作成できるのは、少なくとも テナント作成者 ロールを持つユーザーだけです。

会社のブランド化機能を使用して、確認メールの内容をカスタマイズできます。 具体的には、電子メールの次の 2 つの要素をカスタマイズできます。

• バナーロゴ: 右下に表示されます。

• 背景色: 上部に表示されます。

  

電子メール署名には、Azure AD B2C テナントを初めて作成したときに指定した Azure AD B2C テナントの名前が含まれています。 名前は、次の手順で変更できます。

1. グローバル管理者として Azure portal にサインインします。
2. Microsoft Entra ID ブレードを開きます。
3. [プロパティ] タブを選択します。
4. [名前] フィールドを変更します。
5. ページの最上部で [保存] を選択します。

現時点では、メールの [From:] フィールドは変更できません。

Microsoft Graph API を使用して、移行ツールを作成できます。 詳細については、 ユーザー移行ガイド を参照してください。

ローカル アカウントの Azure AD B2C パスワード ユーザー フローは、Microsoft Entra ID のポリシーに基づいています。 Azure AD B2C のサインアップ、サインアップ、サインイン、パスワード リセットのユーザー フローでは、"強力な" パスワード強度が使用され、パスワードの有効期限は切れなくなります。 詳細については、「 Microsoft Entra ID のパスワード ポリシーと制限」を参照してください。

アカウントのロックアウトとパスワードの詳細については、「 Azure AD B2C での資格情報攻撃の軽減」を参照してください。

いいえ。Microsoft Entra Connect は、Azure AD B2C を使用するように設計されていません。 ユーザー移行に Microsoft Graph API を使用することを検討してください。 詳細については、 ユーザー移行ガイド を参照してください。

この機能はパブリック プレビュー段階にあります。 詳細については、「 埋め込みサインイン エクスペリエンス」を参照してください。

Microsoft Dynamics 365 ポータルとの統合を利用できます。 認証に Azure AD B2C を使用するための Dynamics 365 ポータルの構成を参照してください。

Azure AD B2C は、SharePoint 外部パートナー共有シナリオ用ではありません。代わりに Microsoft Entra B2B を参照してください。

外部 ID のソリューションを比較して、外部 ID シナリオに適切な機能を適用する方法の詳細を確認してください。

いいえ。Azure AD B2C は、Microsoft Entra ID P1 または P2 と同じレポート セットをサポートしていません。 ただし、多くの共通点があります。

• サインイン レポート には、詳細を減らした各サインインの記録が表示されます。
• 監査レポート には、管理者アクティビティとアプリケーション アクティビティの両方が含まれます。
• 使用状況レポート には、ユーザーの数、ログインの数、MFA の量が含まれます。

Azure AD External Identities SMS Phone Authentication の新しい 課金モデル に従うと、請求書に新しい名前が表示されることがあります。 以前は、電話 MFA は "Azure Active Directory B2C - Basic 1 Multi-Factor Authentication" として課金されていました。これで、 国または地域の価格レベルに基づいて、次の名前が表示されます。

• Microsoft Entra 外部ID - 低コストの電話認証 1件のトランザクション
• Microsoft Entra 外部ID - 電話認証 中低コスト 1件のトランザクション
• Microsoft Entra 外部 ID - 電話認証 中高コスト 1 トランザクション
• Microsoft Entra 外部 ID - 電話認証の高コスト 1 トランザクション

新しい請求書には Microsoft Entra External ID が記載されていますが、 コア MAU 数に基づいて Azure AD B2C に対して課金されます。

はい。 エンド ユーザーは、 Microsoft Authenticator アプリ (推奨) など、TOTP 検証をサポートする認証アプリをダウンロードする必要があります。 詳細については、 確認方法を参照してください。

TOTP 認証アプリ コードが Android または iPhone の携帯電話またはデバイスで動作しない場合、デバイスのクロック時間が正しくない可能性があります。 デバイスの設定で、ネットワーク提供の時刻を使用するか、時刻を自動的に設定するオプションを選択します。

Azure AD B2C テナントの作成時に、Go-Local アドオンが国/地域で利用できる場合は、必要に応じて有効にするように求められます。

Go-Local アドオンを有効にすると、1 か月あたり 50,000 個の無料 MAU は 適用されません。 最初の MAU から Go-Local アドオンに対して料金が発生します。 ただし、Azure AD B2C Premium P1 または P2 の価格で利用できるその他の機能については、引き続き 1 か月あたり 50,000 の無料 MAU を利用できます。

「 Go-Local ad-onのアクティブ化」 の手順に従って、Azure AD B2C Go-Local アドオンをアクティブ化します。

はい。 言語のカスタマイズを参照してください。 36 言語の翻訳が用意されており、ニーズに合わせて任意の文字列をオーバーライドできます。

はい。独自のドメインを使用できます。 詳細については、 Azure AD B2C カスタム ドメインに関するページを参照してください。

Azure AD B2C テナントを削除するには、次の手順に従います。

新しい統合 アプリ登録 エクスペリエンスまたはレガシ アプリケーション (レガシ) エクスペリエンスを 使用できます。 新しいエクスペリエンスの詳細を確認します。

いいえ。Azure AD B2C は従量課金制の Azure サービスであり、Enterprise Mobility Suite の一部ではありません。

いいえ。Azure AD B2C テナントでは、Microsoft Entra ID P1 または Microsoft Entra ID P2 ライセンスは使用されません。 Azure AD B2C では Premium P1 または P2 ライセンスが使用されています。これは、2025 年 5 月 1 日の時点で購入できなくなります。 これらは、Standard Microsoft Entra テナントの Microsoft Entra ID P1 または P2 ライセンスとは異なります。 Azure AD B2C テナントは、サポートされている Microsoft Entra ID 機能で説明されているように、Microsoft Entra ID P1 または P2 の機能に似た一部の 機能をネイティブにサポートします。

いいえ。Azure AD B2C テナントは、 Microsoft Entra Enterprise Applications へのグループベースの割り当てをサポートしていません。

いいえ。Azure AD B2C は Microsoft Azure Government では使用できません。

ローリング 更新トークンの有効性を判断する際に、B2C では、アプリケーション内のユーザーの初期ログイン時間も考慮して、トークンの有効性スキューを計算します。 ユーザーがアプリケーションから非常に長い時間ログアウトしていない場合、この傾斜値はトークンの有効期間を超えるので、セキュリティ上の理由からトークンは無効と見なされます。 したがって、エラーです。 適切なログアウトを実行し、アプリケーションにログインし直すようユーザーに通知すると、スキューがリセットされます。 更新トークンのローリングが無限ローリングとして設定されている場合、このシナリオは適用されません。

Azure AD B2C では、 refreshTokensValidFromDateTime と refreshTokenIssuedTime の時間差が 5 分以下の場合、更新トークンは引き続き有効と見なされます。 ただし、 refreshTokenIssuedTime が refreshTokensValidFromDateTimeより大きい場合、更新トークンは取り消されます。 更新トークンが有効か取り消されているかを確認するには、次の手順に従います。

1. RefreshTokenを使用して、AccessTokenとauthorization_codeを取得します。

2. 7 分間待ちます。

3. Microsoft Graph PowerShell コマンドレット Revoke-MgUserSignInSession または Microsoft Graph API invalidateAllRefreshTokens を使用して、 RevokeAllRefreshToken コマンドを実行します。

4. 10 分間待ちます。

5. RefreshTokenをもう一度取得します。

現時点では、Azure AD B2C では、この特定のシナリオでのシングル サインアウトはサポートされていません。 すべてのアプリケーションが同じ Cookie で同時に動作しているため、Cookie の競合が原因で発生します。

Azure Active Directory B2C のファイル サポート要求に関するページを参照してください。

現在、Azure AD B2C では、Azure portal からのユーザー セッションの失効はサポートされていません。 ただし、このタスクは、 Microsoft Graph PowerShell または Microsoft Graph API を使用して実行できます。