外部テナントのカスタム URL ドメイン (プレビュー)

適用対象: 従業員テナント 外部テナント (詳細情報)

カスタム URL ドメインを使用すると、Microsoft の既定のドメイン名ではなく、独自のカスタム URL ドメインで、アプリケーションのサインイン エンドポイントをブランド化できます。

検証済みのカスタム URL ドメインを使うと、いくつかの利点があります。

• より一貫性のあるユーザー エクスペリエンスを提供します。 ユーザーからは、サインイン プロセスの間も、既定のドメイン "<テナント名>.ciamlogin.com" にリダイレクトされず、ブランドのドメインに留まっているように見えます。
• サインインの間もアプリケーションの同じドメイン内に留まることで、サード パーティの Cookie ブロックの影響を軽減できます。

カスタム URL ドメインのしくみ

カスタム URL ドメインでは、検証済みのカスタム ドメイン名をアプリケーションのサインイン認証エンドポイントとして使用できます。 新しいカスタム ドメイン名を追加するときに、それをカスタム URL ドメインと関連付けることができます。 その後、Azure Front Door などのリバース プロキシ サービスでカスタム URL ドメインを使って、サインインをブランドのアプリケーションに転送できます。

次の図は、Azure Front Door の統合を示しています。

1. ユーザーは、アプリケーションでサインイン ボタンを選ぶと、サインイン ページに移動します。 このページではカスタム URL ドメインが指定されています。
2. Web ブラウザーは、カスタム URL ドメインを Azure Front Door の IP アドレスに解決します。 ドメイン ネーム システム (DNS) の解決で、カスタム URL ドメインを含む正規名 (CNAME) レコードは、Front Door の既定のフロントエンド ホスト (例: contoso-frontend.azurefd.net) を指し示します。
3. カスタム URL ドメイン (例: login.contoso.com) 宛てのトラフィックは、指定された Front Door の既定のフロントエンド ホスト (contoso-frontend.azurefd.net) にルーティングされます。
4. Azure Front Door は、<tenant-name>.ciamlogin.com の既定のドメインを使ってコンテンツを呼び出します。 エンドポイントへの要求には、元のカスタム URL ドメインが含まれます。
5. 外部 ID は、関連するコンテンツと元のカスタム URL ドメインを表示して、カスタム URL ドメインの要求に応答します。

Azure Front Door は、ユーザーの元の IP アドレス (監査レポートに表示される IP アドレス) を渡します。

考慮事項と制限事項

カスタム URL ドメインを使用する場合:

• 複数のカスタム ドメインを設定できます。 サポートされているカスタム ドメインの最大数については、Microsoft Entra に関する「Microsoft Entra サービスの制限と制約」と、Azure Front Door に関する「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。
• 追加料金が発生する別の Azure サービスである Azure Front Door を使用できます。 詳細については、「Front Door の価格」を参照してください。 Azure Front Door インスタンスは、外部テナントとは異なるサブスクリプションでホストできます。
• カスタム URL ドメインを構成した後も、ユーザーは既定のドメイン名 "<テナント名>.ciamlogin.com" にアクセスできます。
• ブラウザーは現在使われているドメイン名の下にセッションを格納するため、複数のアプリケーションがある場合は、それらすべてをカスタム URL ドメインに移行します。

次のステップ

Microsoft Entra 外部 ID に対してカスタム URL ドメインを有効にします。