<p><!--META { "title": "Azure AD B2Cカスタムポリシーによる高度な認証フロー制御", "primary_category": "クラウド>Azure", "secondary_categories": ["Azure Active Directory B2C", "Identity and Access Management"], "tags": ["Azure AD B2C", "Custom Policy", "Identity Experience Framework", "Microsoft Graph API", "Authentication"], "summary": "Azure AD B2Cのカスタムポリシーを活用し、認証フローを詳細に制御するアーキテクチャ、設定、運用、セキュリティ、コスト、落とし穴を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Azure AD B2Cカスタムポリシーによる認証フローの高度な制御について解説。アーキテクチャから運用、セキュリティ、コストまで網羅しています。#Azure #AzureADB2C #IAM","hashtags":["#Azure","#AzureADB2C"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/custom-policies-overview"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure AD B2Cカスタムポリシーによる高度な認証フロー制御</h1> <p>Azure Active Directory B2C (Azure AD B2C) は、顧客向けの認証およびアクセス管理をクラウドで提供するサービスです。標準のユーザーフロー（旧称：ユーザーフロー）だけでは実現できない複雑な認証シナリオやカスタムロジックを必要とする場合、カスタムポリシーを利用することで、その制御を高度にカスタマイズできます。カスタムポリシーは、Identity Experience Framework (IEF) のXML定義ファイルを用いて、ユーザーが認証ジャーニーをどのように進むかを詳細に定義します。</p> <h2 class="wp-block-heading">アーキテクチャ</h2> <p>Azure AD B2Cのカスタムポリシーは、Identity Experience Framework (IEF) の概念に基づいています。これは、IDプロバイダーとの連携、ユーザーデータの収集と検証、クレームの変換、外部システムとの統合など、認証プロセスのあらゆる側面を制御するための柔軟なフレームワークです。</p> <p>カスタムポリシーは通常、複数のXMLファイルで構成されます。</p> <ul class="wp-block-list"> <li><p><code>TrustFrameworkBase.xml</code>: 基本的なクレーム、クレーム変換、テクニカルプロファイルなどを定義する基盤ポリシー。</p></li> <li><p><code>TrustFrameworkExtensions.xml</code>: <code>Base</code>ポリシーを拡張し、テナント固有の設定やカスタマイズを追加する。</p></li> <li><p><code>SignUpOrSignIn.xml</code> (または同様のリライングパーティポリシー): 特定のアプリケーションが利用するユーザー体験（ユーザージャーニー）を定義する。</p></li> </ul> <p>これらのポリシーは連携し、アプリケーションからの認証要求に応じて特定のユーザーフローを実行します。</p> <p>以下に、カスタムポリシーを利用した認証フローの概要を示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["ユーザー"] --> |認証リクエスト| B("Web/モバイルアプリケーション") B --> |OpenID Connect / OAuth 2.0| C["Azure AD B2C リライングパーティ"] C --> |リライングパーティポリシーを選択| D{"カスタムポリシー (IEF XML)"} D --> |ユーザージャーニー実行| E("オーケストレーションステップ") E --> |クレームプロバイダーの呼び出し| F["IDプロバイダー (Entra ID, Google, Facebook など)"] F --> |認証 / ユーザー属性返却| E E --> |クレーム変換 / REST API連携| G["Azure Functions / API Management"] G --> |カスタムロジック実行| E E --> |ユーザーセッション確立 / トークン発行| D D --> |IDトークン / アクセストークン| C C --> |トークン検証| B B --> |アプリケーションアクセス| A </pre></div> <p>図1: Azure AD B2Cカスタムポリシーによる認証フロー</p> <p>ユーザーはアプリケーションを通じて認証リクエストを送信します。Azure AD B2Cは、定義されたカスタムポリシー（リライングパーティポリシー）に従い、ユーザージャーニーを開始します。このジャーニーは、外部IDプロバイダーとの連携、登録情報の収集、多要素認証（MFA）、REST APIを通じた外部システムとのデータ交換、カスタムロジックの実行など、複数のオーケストレーションステップを通じて進行します。最終的に、Azure AD B2CはアプリケーションにIDトークンやアクセストークンを発行し、ユーザーはアプリケーションへのアクセスを許可されます。</p> <h2 class="wp-block-heading">設定手順</h2> <p>カスタムポリシーの設定は、XMLファイルを編集し、Azure AD B2Cテナントにアップロードする作業が中心となります。</p> <ol class="wp-block-list"> <li><p><strong>Azure AD B2Cテナントの準備</strong>:</p> <ul> <li><p>カスタムポリシーをデプロイするAzure AD B2Cテナントを作成します。</p></li> <li><p>Identity Experience Framework (IEF) のキーセット (ポリシー署名および暗号化キー) を設定します。これは、Azureポータルで「Identity Experience Framework」メニューから実行できます[1]。</p></li> </ul></li> <li><p><strong>スターターパックの取得</strong>:</p> <ul> <li>Microsoft が提供するカスタムポリシーのスターターパック (例: <code>SocialAndLocalAccounts</code>, <code>SocialAndLocalAccountsWithMFA</code>) をGitHubからダウンロードします。これらはカスタムポリシー開発の出発点となります[2]。</li> </ul></li> <li><p><strong>XMLポリシーファイルの編集</strong>:</p> <ul> <li><p>ダウンロードしたスターターパックのファイルを基に、カスタム要件に合わせてXMLファイルを編集します。主な編集対象は以下のファイルです。</p> <ul> <li><p><code>TrustFrameworkExtensions.xml</code>: カスタムクレーム、クレーム変換、テクニカルプロファイル、APIコネクタの設定など。</p></li> <li><p><code>SignUpOrSignIn.xml</code> (または同様のリライングパーティポリシー): ユーザーがたどる具体的なジャーニー、利用するクレームプロバイダーなどを定義します。</p></li> </ul></li> <li><p>例として、カスタムのユーザー属性を追加したり、特定の条件に基づいてMFAを強制したりするロジックをXMLに記述します。</p></li> </ul></li> <li><p><strong>カスタムポリシーのアップロード</strong>:</p> <ul> <li>編集したXMLポリシーファイルをAzure AD B2Cテナントにアップロードします。これはAzureポータルから手動で行うこともできますが、CI/CDパイプラインに組み込む場合はMicrosoft Graph APIを使用するのが一般的です。</li> </ul></li> </ol> <p>以下のPowerShellスクリプトは、Microsoft Graph APIを利用してカスタムポリシーをアップロードする例です。このスクリプトは、既存のポリシーを更新または新規作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># PowerShellのMicrosoft Graph SDKモジュールをインストールします（初回のみ） # Install-Module Microsoft.Graph -Scope CurrentUser # Azure ADに接続します。Policy.ReadWrite.TrustFramework スコープが必要です。 # Connect-MgGraph -Scopes "Policy.ReadWrite.TrustFramework" # カスタムポリシーXMLファイルのパスを指定します。 $policyFilePath = "C:\AzureB2C\CustomPolicy\TrustFrameworkExtensions.xml" # ポリシーIDは、XMLファイル内の<TrustFrameworkPolicy PolicyId="..." />要素の値と一致させる必要があります。 $policyId = "B2C_1A_TrustFrameworkExtensions" # ポリシーXMLファイルの内容を読み込みます。 $policyContent = Get-Content -Path $policyFilePath -Raw try { # 既存のポリシーを検索します。 # Get-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy は、カスタムポリシーを管理するためのコマンドレットです。 $existingPolicy = Get-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy -Filter "id eq '$policyId'" -ErrorAction Stop # 既存のポリシーを更新します。 # 更新時は -IdentityExperienceFrameworkPolicyId で対象を指定し、DefinitionプロパティでXML内容を渡します。 Update-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy -IdentityExperienceFrameworkPolicyId $policyId -Definition @{Definition = @($policyContent)} Write-Host "ポリシー '$policyId' を更新しました。" } catch [Microsoft.Graph.PowerShell.Runtime.RestException] { # ポリシーが存在しない場合（404 Not Foundなど）、新規作成します。 if ($_.Exception.Response.StatusCode -eq 404) { # 新規作成時は -Id でポリシーIDを指定し、DefinitionプロパティでXML内容を渡します。 New-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy -Id $policyId -Definition @($policyContent) Write-Host "ポリシー '$policyId' を新規作成しました。" } else { # その他のエラーは再スローします。 throw $_ } } catch { # その他の予期せぬエラー Write-Error "ポリシー '$policyId' の処理中にエラーが発生しました: $($_.Exception.Message)" throw $_ } # 作業完了後、接続を解除します。 # Disconnect-MgGraph </pre> </div> <p>コード1: PowerShellによるカスタムポリシーのアップロード</p> <p>このスクリプトは、<code>Microsoft.Graph</code> PowerShellモジュールを利用して、指定されたXMLファイルをAzure AD B2Cテナントにデプロイします。<code>Policy.ReadWrite.TrustFramework</code> スコープを持つMicrosoft Graph権限が必要です。</p> <h2 class="wp-block-heading">運用監視</h2> <p>Azure AD B2Cのカスタムポリシーの運用においては、認証フローの成功・失敗、パフォーマンス、セキュリティイベントを継続的に監視することが重要です。</p> <ul class="wp-block-list"> <li><p><strong>Azure Monitor と Log Analytics</strong>: Azure AD B2Cは、診断設定を通じてサインインログ、監査ログ、エージェントログをAzure MonitorのLog Analyticsワークスペースに送信できます[3]。</p> <ul> <li><p><strong>サインインログ</strong>: ユーザーのサインイン試行、成功、失敗に関する詳細情報が含まれます。カスタムポリシーがどのように評価されたか、どのクレームが発行されたかなども確認できます。</p></li> <li><p><strong>監査ログ</strong>: 管理操作（ポリシーのアップロード、キーセットの変更など）の記録が含まれます。</p></li> </ul></li> <li><p><strong>Application Insights</strong>: カスタムポリシー内でREST APIコネクタを使用している場合、そのAPIのパフォーマンスやエラーを監視するためにApplication Insightsを活用できます。</p></li> <li><p><strong>アラートとダッシュボード</strong>: Log Analyticsで収集したログデータに基づき、特定の失敗イベント（例: 認証失敗率の急増）やパフォーマンス低下に対してアラートを設定し、カスタムダッシュボードで重要なメトリックを可視化できます。</p></li> <li><p><strong>SLAとバックアップ/DR</strong>: Azure AD B2C自体はMicrosoftが提供するSLAに基づいて可用性が保証されます。カスタムポリシーのXMLファイルは、ソースコードとしてGitなどのバージョン管理システムで管理し、災害復旧（DR）計画の一環として安全にバックアップすることが不可欠です。</p></li> </ul> <h2 class="wp-block-heading">セキュリティ</h2> <p>カスタムポリシーを利用する上で、以下のセキュリティ側面を考慮する必要があります。</p> <ul class="wp-block-list"> <li><p><strong>最小特権の原則</strong>: カスタムポリシーの管理（アップロードやキーの管理）を行うEntra IDユーザーやサービスプリンシパルには、必要最小限のGraph API権限（例: <code>Policy.ReadWrite.TrustFramework</code>）のみを付与します。</p></li> <li><p><strong>条件付きアクセス (Conditional Access)</strong>: Azure AD B2C Premium P1/P2エディションでは、条件付きアクセスを適用できます。これにより、特定の条件（デバイスの状態、場所、リスクレベルなど）に基づいてアクセスを許可・拒否したり、MFAを強制したりすることで、認証フローのセキュリティを強化できます[5]。</p></li> <li><p><strong>MFA (多要素認証)</strong>: カスタムポリシー内でMFAを強制するロジックを組み込むことで、不正アクセスリスクを軽減します。</p></li> <li><p><strong>シークレットの管理</strong>: カスタムポリシーで外部APIを呼び出すためのAPIキーやクライアントシークレットは、Azure Key Vaultに安全に保管し、ポリシーからはKey Vault参照機能（プレビュー）を使用してアクセスするようにします。XMLファイル内に直接シークレットをハードコードすることは避けるべきです。</p></li> <li><p><strong>入力検証</strong>: ユーザーから受け取る入力や外部APIからの応答は、常に検証し、悪意のあるデータやインジェクション攻撃を防ぐための対策を講じます。</p></li> </ul> <h2 class="wp-block-heading">コスト</h2> <p>Azure AD B2Cの料金は、主に<strong>月間アクティブユーザー (MAU)</strong> の数に基づいて課金されます[4]。</p> <ul class="wp-block-list"> <li><p><strong>MAUベースの課金</strong>: ユーザーが月に一度でも認証を行った場合にアクティブユーザーとしてカウントされます。</p> <ul> <li><p>無料レベル: Standard Editionの場合、最初の50,000 MAUまでは無料で利用できます。</p></li> <li><p>これを超えるMAUに対しては、段階的に課金されます。</p></li> </ul></li> <li><p><strong>エディション</strong>:</p> <ul> <li><p><strong>Standard</strong>: 主要な認証機能、カスタムポリシーが利用可能です。</p></li> <li><p><strong>Premium P1/P2</strong>: 条件付きアクセス、Identity Protectionなどの高度なセキュリティ機能が追加されます。これらの機能を利用する場合、P1/P2のMAU料金が適用されます。</p></li> </ul></li> <li><p><strong>MFA</strong>: MFAの利用は、Standard SKUの場合、MAU課金とは別に認証検証1回あたりの料金が発生する可能性があります。Premium SKUの場合はMFAもMAU料金に含まれることが多いです。</p></li> <li><p><strong>関連サービス</strong>: カスタムポリシーがAzure FunctionsやAPI Managementなどの外部サービスを呼び出す場合、それらのサービスの利用料金が別途発生します。</p></li> <li><p><strong>コスト最適化</strong>:</p> <ul> <li><p>MAUの予測に基づいた適切なSKUの選択。</p></li> <li><p>不要な外部API呼び出しを削減する。</p></li> <li><p>ログレベルを適切に設定し、Log Analyticsのデータ保持期間を最適化する。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">落とし穴</h2> <p>カスタムポリシーは非常に強力ですが、その複雑さゆえにいくつかの落とし穴があります。</p> <ul class="wp-block-list"> <li><p><strong>学習曲線</strong>: Identity Experience Framework (IEF) のXML構造と概念は複雑で、習得には時間がかかります。カスタムポリシーのデバッグも、詳細なログを読み解くスキルが必要です。</p></li> <li><p><strong>デバッグの困難さ</strong>: 認証フローが意図したとおりに動作しない場合、XML定義内のエラーやクレームフローの問題を特定するのが難しいことがあります。Azure MonitorのサインインログとApplication Insightsはデバッグに不可欠です。</p></li> <li><p><strong>バージョン管理</strong>: 複数のXMLファイルからなるポリシーは、変更管理が煩雑になりがちです。Gitなどのバージョン管理システムでポリシーファイルを管理し、変更履歴を追跡することが非常に重要です。</p></li> <li><p><strong>環境間の差異</strong>: 開発、テスト、本番環境で異なる設定（APIエンドポイント、キーなど）を持つ場合、各環境でポリシーファイルを適切に管理し、CI/CDパイプラインでの自動デプロイを構築することが推奨されます。</p></li> <li><p><strong>パフォーマンス</strong>: 過度なクレーム変換や外部API呼び出しは、認証フローの応答時間に影響を与える可能性があります。パフォーマンス要件を考慮し、APIコネクタの応答時間などを最適化する必要があります。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Azure AD B2Cのカスタムポリシーは、標準のユーザーフローでは実現できない高度で柔軟な認証フロー制御を可能にします。Identity Experience Frameworkに基づくXML定義は強力な一方で、学習コストやデバッグの複雑さも伴います。 、カスタムポリシーのアーキテクチャから、PowerShellとMicrosoft Graph APIを用いた具体的な設定手順、運用監視、セキュリティ対策、コスト考慮点、そして潜在的な落とし穴について解説しました。これらの知見を基に、効果的かつ安全にAzure AD B2Cカスタムポリシーを導入し、顧客に優れた認証体験を提供できるようになります。</p> <hr/> <p>[1] Azure AD B2C カスタム ポリシーの概要. Microsoft Learn. 2024年7月15日. <a href="https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/custom-policies-overview">https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/custom-policies-overview</a> [2] チュートリアル: Azure Active Directory B2C でユーザー フローとカスタム ポリシーを作成する. Microsoft Learn. 2024年7月15日. <a href="https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/tutorial-create-user-flows-custom-policies">https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/tutorial-create-user-flows-custom-policies</a> [3] Azure Monitor を使用して Azure AD B2C を監視する. Microsoft Learn. 2024年6月20日. <a href="https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/monitor">https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/monitor</a> [4] Azure Active Directory B2C の価格. Microsoft Azure. 2024年5月10日. <a href="https://azure.microsoft.com/ja-jp/pricing/details/active-directory-b2c/">https://azure.microsoft.com/ja-jp/pricing/details/active-directory-b2c/</a> [5] Azure AD B2C のセキュリティに関するベスト プラクティス. Microsoft Learn. 2024年7月1日. <a href="https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/security-best-practices">https://learn.microsoft.com/ja-jp/azure/active-directory-b2c/security-best-practices</a></p>

graph TD
    A["ユーザー"] --> |認証リクエスト| B("Web/モバイルアプリケーション")
    B --> |OpenID Connect / OAuth 2.0| C["Azure AD B2C リライングパーティ"]
    C --> |リライングパーティポリシーを選択| D{"カスタムポリシー (IEF XML)"}
    D --> |ユーザージャーニー実行| E("オーケストレーションステップ")
    E --> |クレームプロバイダーの呼び出し| F["IDプロバイダー (Entra ID, Google, Facebook など)"]
    F --> |認証 / ユーザー属性返却| E
    E --> |クレーム変換 / REST API連携| G["Azure Functions / API Management"]
    G --> |カスタムロジック実行| E
    E --> |ユーザーセッション確立 / トークン発行| D
    D --> |IDトークン / アクセストークン| C
    C --> |トークン検証| B
    B --> |アプリケーションアクセス| A

# PowerShellのMicrosoft Graph SDKモジュールをインストールします（初回のみ）


# Install-Module Microsoft.Graph -Scope CurrentUser

# Azure ADに接続します。Policy.ReadWrite.TrustFramework スコープが必要です。


# Connect-MgGraph -Scopes "Policy.ReadWrite.TrustFramework"

# カスタムポリシーXMLファイルのパスを指定します。

$policyFilePath = "C:\AzureB2C\CustomPolicy\TrustFrameworkExtensions.xml"

# ポリシーIDは、XMLファイル内の<TrustFrameworkPolicy PolicyId="..." />要素の値と一致させる必要があります。

$policyId = "B2C_1A_TrustFrameworkExtensions"

# ポリシーXMLファイルの内容を読み込みます。

$policyContent = Get-Content -Path $policyFilePath -Raw

try {

    # 既存のポリシーを検索します。


    # Get-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy は、カスタムポリシーを管理するためのコマンドレットです。

    $existingPolicy = Get-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy -Filter "id eq '$policyId'" -ErrorAction Stop

    # 既存のポリシーを更新します。


    # 更新時は -IdentityExperienceFrameworkPolicyId で対象を指定し、DefinitionプロパティでXML内容を渡します。

    Update-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy -IdentityExperienceFrameworkPolicyId $policyId -Definition @{Definition = @($policyContent)}
    Write-Host "ポリシー '$policyId' を更新しました。"
}
catch [Microsoft.Graph.PowerShell.Runtime.RestException] {

    # ポリシーが存在しない場合（404 Not Foundなど）、新規作成します。

    if ($_.Exception.Response.StatusCode -eq 404) {

        # 新規作成時は -Id でポリシーIDを指定し、DefinitionプロパティでXML内容を渡します。

        New-MgIdentityB2cUserFlowIdentityExperienceFrameworkPolicy -Id $policyId -Definition @($policyContent)
        Write-Host "ポリシー '$policyId' を新規作成しました。"
    }
    else {

        # その他のエラーは再スローします。

        throw $_
    }
}
catch {

    # その他の予期せぬエラー

    Write-Error "ポリシー '$policyId' の処理中にエラーが発生しました: $($_.Exception.Message)"
    throw $_
}

# 作業完了後、接続を解除します。


# Disconnect-MgGraph