次の方法で共有

Azure AD B2C の Identity Protection と条件付きアクセス

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください

Microsoft Entra ID Protection と条件付きアクセスを使用して、Azure Active Directory B2C (Azure AD B2C) のセキュリティを強化します。 リスクの高いユーザーや危険なサインインなど、Identity Protection のリスク検出機能が自動的に検出され、Azure AD B2C テナントに表示されます。 これらのリスク検出を使用してアクションを決定し、組織のポリシーを適用する条件付きアクセス ポリシーを作成できます。 これらの機能を組み合わせることで、Azure AD B2C アプリケーション所有者は危険な認証とアクセス ポリシーをより高度に制御できます。

Microsoft Entra ID での Identity Protection条件付きアクセス に既に慣れている場合は、Azure AD B2C でこれらの機能を使用すると、この記事で説明する小さな違いを使い慣れたエクスペリエンスになります。

B2C テナントの条件付きアクセス

危険なサインイン ポリシーを作成するには Azure AD B2C Premium P2 が必要ですが、2025 年 5 月 1 日の時点で非推奨になりました。 Premium P1 テナントは、場所、アプリケーション、ユーザーベース、またはグループベースのポリシーに基づくポリシーを作成できます。

Azure AD B2C の Identity Protection と条件付きアクセスの利点

条件付きアクセス ポリシーと Identity Protection リスク検出を組み合わせることで、リスクの高い認証に適切なポリシー アクションで対応できます。

  • アプリと顧客ベースの認証リスクを新しいレベルで可視化します。 Microsoft Entra ID と Microsoft アカウントで行われる毎月数十億件の認証からのシグナルにより、リスク検出アルゴリズムは、ローカル コンシューマーや一般ユーザーに低、中、高の認証リスク フラグを設定します。
  • 独自のアダプティブ認証を構成することで、リスクに自動的に対処します。 指定されたアプリケーションの場合、多要素認証 (MFA) のように、特定のユーザー セットに 2 番目の認証要素を提供するように要求できます。 または、検出されたリスク レベルに基づいてアクセスをブロックすることもできます。 他の Azure AD B2C エクスペリエンスと同様に、組織の声、スタイル、ブランドを使用して、結果として得られるエンドユーザー エクスペリエンスをカスタマイズできます。 ユーザーがアクセスできない場合は、軽減策の代替手段を表示することもできます。
  • 場所、グループ、アプリに基づいてアクセスを制御します。  条件付きアクセスを使用して、非リスクベースの状況を制御することもできます。 たとえば、特定のアプリにアクセスする顧客に MFA を要求したり、指定した地域からのアクセスをブロックしたりできます。
  • Azure AD B2C ユーザー フローおよび Identity Experience Framework カスタム ポリシーと統合します。 既存のカスタマイズされたエクスペリエンスを使用し、条件付きアクセスとインターフェイスするために必要なコントロールを追加します。 ナレッジ ベースのアクセスや独自の優先 MFA プロバイダーなど、アクセスを許可するための高度なシナリオを実装することもできます。

機能の相違点と制限事項

Azure AD B2C の Identity Protection と条件付きアクセスは、通常、Microsoft Entra ID と同じように動作しますが、次の例外があります。

  • Microsoft Defender for Cloud は、Azure AD B2C では使用できません。

  • Identity Protection と条件付きアクセスは、Azure AD B2C テナントの ROPC サーバー間フローではサポートされていません。

  • Azure AD B2C テナントでは、Identity Protection のリスク検出は、Google や Facebook などのローカル ID とソーシャル ID の両方で使用できます。 ソーシャル ID の場合は、条件付きアクセスをアクティブにする必要があります。 ソーシャル アカウントの資格情報は外部 ID プロバイダーによって管理されるため、検出は制限されます。

  • Azure AD B2C テナントでは、Identity Protection リスク検出のサブセットを使用できます。 「Identity Protection を使用したリスクの調査」および「ユーザー フローへの条件付きアクセスの追加」を参照してください。

  • 条件付きアクセス デバイス コンプライアンス機能は、Azure AD B2C テナントでは使用できません。

条件付きアクセスをユーザー フローとカスタム ポリシーと統合する

Azure AD B2C では、組み込みのユーザー フローから条件付きアクセス条件をトリガーできます。 条件付きアクセスをカスタム ポリシーに組み込むこともできます。 B2C ユーザー フローの他の側面と同様に、エンド ユーザー エクスペリエンス メッセージングは、組織の音声、ブランド、軽減策の代替手段に従ってカスタマイズできます。 ユーザー フローへの条件付きアクセスの追加を参照してください。

Microsoft Graph API

Microsoft Graph API を使用して、Azure AD B2C で条件付きアクセス ポリシーを管理することもできます。 詳細については、 条件付きアクセスのドキュメントMicrosoft Graph の操作を参照してください。

次のステップ