Azure Active Directory B2C の新しいアプリの登録エクスペリエンス

Azure Active Directory B2C (Azure AD B2C) の新しい アプリの登録 エクスペリエンスが一般提供されました。 アプリケーションを Azure AD B2C に登録するためのアプリケーション エクスペリエンスに慣れている場合、ここでは「従来のエクスペリエンス」として触れられています。本ガイドは新しいエクスペリエンスの使用開始をサポートします。

概要

以前は、従来のエクスペリエンスを使用して、コンシューマー向けの Azure AD B2C アプリケーションを他のアプリとは別に管理する必要がありました。 これは、Azure のさまざまな場所で、さまざまなアプリ作成エクスペリエンスが存在していたことを意味します。

新しいエクスペリエンスでは、すべての Azure AD B2C アプリの登録と Microsoft Entra アプリの登録を 1 か所で表示し、一貫した方法で管理することができます。 顧客向けアプリの作成から、リソース管理のための Microsoft Graph アクセス許可を持つアプリの管理まで、1 つの方法を学習するだけで済みます。

新しいエクスペリエンスには、Azure portal の Azure AD B2C または Azure Active Directory サービスのいずれから、Azure AD B2C テナント内の [アプリの登録] に移動することでアクセスできます。

Azure AD B2C のアプリの登録エクスペリエンスは、すべての Microsoft Entra テナント向けの一般的なアプリの登録エクスペリエンスに基づいていますが、Azure AD B2C テナント向けにカスタマイズされています。

変更のない事項

• お使いのアプリケーションや関連する構成は、新しいエクスペリエンス内でそのまま見つかります。 アプリケーションを再度登録する必要はなく、アプリケーションのユーザーは再度サインインする必要はありません。

主要な新機能

• 統合されたアプリの一覧では、Azure AD B2C と Microsoft Entra ID で認証されているすべてのアプリケーションが、1 つの便利な場所に表示されます。 さらに、Microsoft Entra アプリケーションで既に利用できる機能を利用できます。たとえば、[作成日]、[証明書とシークレット] の状態、検索バーなどです。

• 統合されたアプリの登録により、顧客向けのアプリであるか Microsoft Graph にアクセスするアプリであるかにかかわらず、アプリをすばやく登録できます。

• エンドポイント ウィンドウを使用すると、シナリオに関連するエンドポイント (OpenID Connect の構成、SAML メタデータ、Microsoft Graph API、OAuth 2.0 ユーザー フロー エンドポイントを含む) をすばやく特定できます。

• API のアクセス許可および API の公開によって、より広範なスコープ、アクセス許可、および同意の管理が提供されます。 また、MS Graph のアクセス許可をアプリに割り当てられるようになりました。

• Azure AD B2C で認証するアプリに対して、所有者およびマニフェストを使用できるようになりました。 マニフェスト エディターを使用して、登録の所有者を追加したり、アプリケーションのプロパティを直接編集したりすることができます。

新たにサポートされているアカウントの種類

新しいエクスペリエンスでは、次のオプションからサポート アカウントの種類を選択します。

• この組織のディレクトリ内のアカウントのみ
• 任意の組織ディレクトリ内のアカウント (任意の Microsoft Entra ディレクトリ - マルチテナント)
• Accounts in any identity provider or organizational directory (for authenticating users with user flows) (任意の ID プロバイダーまたは組織のディレクトリ内のアカウント (ユーザー フローでユーザーを認証する場合))

アカウントの種類の違いを理解するには、[作成] エクスペリエンスで [選択に関する詳細] を選択します。

従来のエクスペリエンスでは、アプリは常に顧客向けアプリケーションとして作成されていました。 このようなアプリの場合、アカウントの種類は [Accounts in any identity provider or organizational directory (for authenticating users with user flows)](任意の ID プロバイダーまたは組織のディレクトリ内のアカウント (ユーザー フローでユーザーを認証する場合)) に設定されます。

このオプションを使用して、SAML サービス プロバイダーとして Azure AD B2C を使用することもできます。 詳細については、こちらを参照してください。

DevOps シナリオ用のアプリケーション

その他のアカウントの種類を使用して、たとえば、Microsoft Graph を使用して Identity Experience Framework ポリシーをアップロードしたり、ユーザーをプロビジョニングしたりといった、DevOps シナリオを管理するアプリを作成できます。 Microsoft Graph アプリケーションを登録して Azure AD B2C リソースを管理する方法を参照してください。

アクセス許可の多くは Azure B2C コンシューマー ユーザーには適用されないため、すべての Microsoft Graph のアクセス許可が表示されない場合があります。 Microsoft Graph を使用したユーザー管理の詳細については、こちらを参照してください。

管理者の同意と offline_access+openid スコープ

Azure AD B2C を使用してユーザーをアプリにサインインできるようにするには、openid スコープが必要です。 ユーザーに更新トークンを発行するには、offline_access スコープが必要です。 これらのスコープは以前に追加されており、管理者の同意が既定で付与されています。 [openid と offline_access アクセス許可に対して管理者の同意を付与します] オプションを確実に選択することにより、作成プロセス中にこれらのスコープに対するアクセス許可を簡単に追加できるようになりました。 それ以外の場合、Microsoft Graph のアクセス許可は、管理者の同意とともに既存のアプリの [API のアクセス許可] 設定で追加できます。

アクセス許可と同意についてご確認ください。

プラットフォーム/認証:応答 URL/リダイレクト URI

従来のエクスペリエンスでは、さまざまなプラットフォームの種類が [プロパティ] で管理されており、Web アプリや API の応答 URL として、またネイティブ クライアントのリダイレクト URI として使用されていました。 "ネイティブ クライアント" は "パブリック クライアント" とも呼ばれ、iOS、macOS、Android、およびその他の種類のモバイルおよびデスクトップ アプリケーション向けのアプリが含まれます。

新しいエクスペリエンスでは、応答 URL とリダイレクト URI は両方ともリダイレクト URI と呼ばれ、アプリの [認証] セクションにあります。 アプリの登録は、Web アプリまたはネイティブ アプリケーションのいずれかに制限されているわけではありません。 それぞれのリダイレクト URI を登録することで、これらすべてのプラットフォームの種類に対して、同じアプリの登録を使用できます。

リダイレクト URI は、Web またはパブリック (モバイルおよびデスクトップ) のアプリの種類のいずれかに関連付けられている必要があります。 リダイレクト URI の詳細情報についてご確認ください

iOS/macOS と Android プラットフォームは、パブリック クライアントの一種です。 これらでは、MSAL で使用するための対応するリダイレクト URI を使用して、iOS/macOS または Android アプリを簡単に構成できるようにする方法が提供されています。 アプリケーション構成オプションの詳細をご確認ください。

アプリケーション証明書とシークレット

新しいエクスペリエンスでは、[キー] ではなく [証明書とシークレット] ブレードを使用して、証明書とシークレットを管理します。 証明書とシークレットを使用すると、アプリケーションは Web アドレス指定可能な場所でトークンを受信するときに、認証サービスに対して身元を証明できます (HTTPS スキームを使用します)。 Microsoft Entra ID に対して認証する場合は、クライアント シークレットではなく証明書をクライアントの資格情報シナリオに使用することをお勧めします。 Azure AD B2C に対しては、証明書を使用して認証を行うことはできません。

Azure AD B2C テナントに適用されない機能

次の Microsoft Entra アプリの登録機能は、Azure AD B2C テナントに適用されないか、テナントで利用できません。

• ロールと管理者 - 現在、Azure AD B2C では使用できません。
• ブランド - UI や UX のカスタマイズは、会社のブランド エクスペリエンスまたはユーザー フローの一部として構成されます。 Azure Active Directory B2C 内のユーザー インターフェイスをカスタマイズする方法を参照してください。
• 発行元ドメインの検証 - アプリは、検証済みのドメインではない onmicrosoft.com に登録されます。 また、発行元ドメインは主にユーザーの同意を与えるために使用され、ユーザー認証のために Azure AD B2C アプリに適用されるものではありません。 発行元ドメインの詳細についてご確認ください。
• トークン構成 - トークンは、アプリではなくユーザー フローの一部として構成されます。
• クイックスタート エクスペリエンスは現在、Azure AD B2C テナントでは使用できません。

制限事項

新しいエクスペリエンスには次のような制限があります。

• 現時点では、Azure AD B2C は暗黙的なフローでアクセス トークンと ID トークンのどちらが発行可能であるかを区別していません。 [認証] ブレードで [ID トークン] オプションが選択されている場合、両方の種類のトークンが暗黙的な許可フローに使用できます。

• サポートされているアカウントの値の変更は、UI ではサポートされていません。 Microsoft Entra のシングル テナントとマルチ テナントの切り替えを行う場合を除き、アプリ マニフェストを使用する必要があります。

次のステップ

新しいアプリの登録エクスペリエンスを開始するには、以下に従ってください。

• Web アプリケーションを登録する方法を参照してください。
• Web API を登録する方法を参照してください。
• ネイティブ クライアント アプリケーションを登録する方法を参照してください。
• Microsoft Graph アプリケーションを登録して Azure AD B2C リソースを管理する方法を参照してください。
• Azure AD B2C を SAML サービス プロバイダーとして使用する方法を参照してください。
• アプリケーションの種類を参照してください。