Azure Active Directory B2C の新しいアプリ登録エクスペリエンス

2025-05-08

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。詳細については、FAQ を参照してください。

Azure Active Directory B2C (Azure AD B2C) の新しい アプリ登録 エクスペリエンスが一般公開されました。「レガシエクスペリエンス」と呼ばれる Azure AD B2C にアプリケーションを登録するための Applications エクスペリエンスについて詳しく理解している場合は、このガイドで新しいエクスペリエンスの使用を開始します。

概要

以前は、レガシエクスペリエンスを使用して、Azure AD B2C コンシューマー向けアプリケーションを他のアプリとは別に管理する必要がありました。これは、Azure のさまざまな場所で異なるアプリ作成エクスペリエンスを意味しました。

新しいエクスペリエンスでは、すべての Azure AD B2C アプリ登録と Microsoft Entra アプリの登録が 1 か所で表示され、それらを一貫した方法で管理できます。顧客向けのアプリの作成から、リソース管理のための Microsoft Graph アクセス許可を持つアプリの管理まで、1 つの方法で学習するだけで済みます。

Azure portal の Azure AD B2C または Microsoft Entra ID サービスの両方から、Azure AD B2C テナントのアプリ登録に移動することで、新しいエクスペリエンスにアクセスできます。

Azure AD B2C アプリ登録エクスペリエンスは、Microsoft Entra テナントの一般的なアプリ登録エクスペリエンスに基づいていますが、Azure AD B2C テナント向けに調整されています。

何が変わっていないのですか?

アプリケーションと関連する構成は、新しいエクスペリエンス as-is 見つけることができます。アプリケーションを再登録する必要はありません。また、アプリケーションのユーザーは再度サインインする必要はありません。

注

以前に作成したすべてのアプリケーションを表示するには、[ アプリの登録 ] ブレードに移動し、[ すべてのアプリケーション ] タブを選択します。これにより、レガシエクスペリエンスで作成されたアプリ、新しいエクスペリエンス、および Microsoft Entra サービスで作成されたアプリが表示されます。

主な新機能

統合アプリの一覧には、Azure AD B2C と Microsoft Entra ID で認証するすべてのアプリケーションが 1 か所に表示されます。さらに、Microsoft Entra アプリケーションで既に利用できる機能を利用できます。たとえば、[作成日 ] 、[ 証明書とシークレット ] の状態、検索バーなどです。
アプリの統合登録 を使用すると、顧客向けのアプリでも、Microsoft Graph にアクセスするアプリでも、アプリをすばやく登録できます。
[エンドポイント] ウィンドウでは、OpenID 接続構成、SAML メタデータ、Microsoft Graph API、OAuth 2.0 ユーザーフローエンドポイントなど、シナリオに関連するエンドポイントをすばやく特定できます。
API のアクセス許可 と API の公開により 、より広範なスコープ、アクセス許可、および同意の管理が提供されます。アプリに MS Graph のアクセス許可を割り当てることもできます。
所有者 と マニフェスト は、Azure AD B2C で認証するアプリで使用できるようになりました。マニフェストエディターを使用して、登録の所有者を追加したり、アプリケーションのプロパティを直接編集したりできます。

サポートされている新しいアカウントの種類

新しいエクスペリエンスでは、次のオプションからサポートアカウントの種類を選択します。

この組織のディレクトリ内のアカウントのみ
任意の組織ディレクトリ内のアカウント (任意の Microsoft Entra ディレクトリ – マルチテナント)
任意の ID プロバイダーまたは組織ディレクトリ内のアカウント (ユーザーフローを使用してユーザーを認証するため)

さまざまなアカウントの種類を理解するには、作成エクスペリエンスで [ ヘルプ] を選択 します。

従来のエクスペリエンスでは、アプリは常に顧客向けのアプリケーションとして作成されていました。これらのアプリの場合、アカウントの種類は任意の ID プロバイダーまたは組織ディレクトリのアカウントに設定されます (ユーザーフローを使用してユーザーを認証するため)。

注

このオプションは、このアプリケーションのユーザーを認証するために Azure AD B2C ユーザーフローを実行できる必要があります。ユーザーフローで使用するアプリケーションを登録する方法について説明します。

このオプションを使用して、AZURE AD B2C を SAML サービスプロバイダーとして使用することもできます。詳細については、こちらを参照してください。

DevOps シナリオ用のアプリケーション

他のアカウントの種類を使用して、Microsoft Graph を使用して Identity Experience Framework ポリシーをアップロードしたり、ユーザーをプロビジョニングしたりするなど、DevOps シナリオを管理するアプリを作成できます。 Microsoft Graph アプリケーションを登録して Azure AD B2C リソースを管理する方法について説明します。

これらのアクセス許可の多くは Azure B2C コンシューマーユーザーには適用されないため、すべての Microsoft Graph アクセス許可が表示されない場合があります。詳細については、Microsoft Graph を使用したユーザーの管理に関する記事を参照してください。

Azure AD B2C がユーザーをアプリにサインインできるようにするには、 openid スコープが必要です。 ユーザーの更新トークンを発行するには、offline_access スコープが必要です。これらのスコープは、以前に追加され、既定で管理者の同意が与えられました。これで、[ openid に管理者の同意を与え 、アクセス許可をoffline_access] オプションが選択されていることを確認することで、作成プロセス中にこれらのスコープのアクセス許可を簡単に追加できるようになりました。それ以外の場合は、既存のアプリの API アクセス許可設定で管理者の同意を得て Microsoft Graph のアクセス許可 を追加できます。

アクセス許可と同意の詳細を確認します。

プラットフォーム/認証: 応答 URL/リダイレクト URI

従来のエクスペリエンスでは、さまざまなプラットフォームの種類は、Web アプリ/API の応答 URL としての プロパティ とネイティブクライアントのリダイレクト URI で管理されていました。 "ネイティブクライアント" は "パブリッククライアント" とも呼ばれ、iOS、macOS、Android、その他のモバイルおよびデスクトップアプリケーションの種類のアプリが含まれます。

新しいエクスペリエンスでは、応答 URL とリダイレクト URI はどちらもリダイレクト URI と呼ばれ、アプリの認証セクションにあります。アプリの登録は、Web アプリまたはネイティブアプリケーションに限定されるわけではありません。それぞれのリダイレクト URI を登録することで、これらのプラットフォームの種類すべてに同じアプリ登録を使用できます。

リダイレクト URI は、Web またはパブリック (モバイルとデスクトップ) のいずれかのアプリの種類に関連付ける必要があります。リダイレクト URI の詳細

iOS/macOS および Android プラットフォームは、パブリッククライアントの一種です。 MSAL で使用するために、対応するリダイレクト URI を使用して iOS/macOS または Android アプリを簡単に構成する方法が提供されます。アプリケーション構成オプションの詳細を確認します。

アプリケーション証明書とシークレット

新しいエクスペリエンスでは、キーではなく、[ 証明書とシークレット ] ブレードを使用して証明書とシークレットを管理します。証明書とシークレットを使用すると、(HTTPS スキームを使用して) Web アドレス指定可能な場所でトークンを受信するときに、アプリケーションが認証サービスに対して自身を識別できます。 Microsoft Entra ID に対して認証する場合、クライアント資格情報のシナリオでは、クライアントシークレットの代わりに証明書を使用することをお勧めします。証明書を使用して Azure AD B2C に対する認証を行うことはできません。

Azure AD B2C テナントでは適用できない機能

次の Microsoft Entra アプリ登録機能は、Azure AD B2C テナントには適用されず、使用できません。

ロールと管理者 - 現在、Azure AD B2C では使用できません。
ブランド化 - UI/UX のカスタマイズは、 会社のブランド化 エクスペリエンスで、またはユーザーフローの一部として構成されます。 Azure Active Directory B2C でユーザーインターフェイスをカスタマイズする方法について説明します。
発行元ドメインの検証 - アプリは、検証済みドメインではない .onmicrosoft.com に登録されています。さらに、パブリッシャードメインは主にユーザーの同意を付与するために使用されます。これは、ユーザー認証用の Azure AD B2C アプリには適用されません。パブリッシャードメインの詳細を確認します。
トークンの構成 - トークンは、アプリではなくユーザーフローの一部として構成されます。
クイック スタート エクスペリエンスは、現在、Azure AD B2C テナントでは使用できません。

制限事項

新しいエクスペリエンスには、次の制限があります。

現時点では、Azure AD B2C では、暗黙的なフローに対してアクセストークンまたは ID トークンを発行できるかどうかは区別されません。[認証] ブレードで [ID トークン] オプションが選択されている場合は、両方の種類のトークンを暗黙的な許可フローに使用できます。

サポートされているアカウントの値の変更は、UI ではサポートされていません。 Microsoft Entra シングルテナントとマルチテナントを切り替える場合を除き、アプリマニフェストを使用する必要があります。

次のステップ

新しいアプリ登録エクスペリエンスを開始するには:

Web アプリケーションを登録する方法について説明します。
Web API を登録する方法について説明します。
ネイティブクライアントアプリケーションを登録する方法について説明します。
Microsoft Graph アプリケーションを登録して Azure AD B2C リソースを管理する方法について説明します。
Azure AD B2C を SAML サービスプロバイダーとして使用する方法について説明します。
アプリケーションの種類について説明します。