発信AzureAD/B2CテナントIDを匿名化するにはどうすればよいですか？

Question

Azure AD Tenant 1（リソースフォレストと同義）にあるマルチテナントアプリケーション（HRソフトウェア）を購入したとします。

私も2

私はテナント1も2

質問への管理者権限を所有していないAzureのテナントにある別の会社が所有しているヘルスアプリケーションを購入する1

• Office 365/AzureADフォレストの管理者は、ユーザーがこれらのテナントにログインすることを許可しますが、自分が所有していないアプリケーション間でユーザーIDの関連付けを防止するにはどうすればよいですか？言い換えれば

、私はハッカー、または他のエンティティが結託して「参加」したくないアプリケーション1とアプリケーション2

間のデータ私は心配です値は次のとおりです。

TenantIdenfifiers 
http://schemas.microsoft.com/identity/claims/tenantid: 
iss: 

UserIdentifiers 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn: 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier: 
http://schemas.microsoft.com/identity/claims/objectidentifier: 
name 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname: 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname: 

質問2

• 上記のもの以外の他の値は、私がどうあるべきかconcer匿名化されたユーザーを再構築するための結託についてはどうですか？ （msftグラフ、オフィスAPIなど）

Answer 1

テナントと一緒にユーザーの一意の識別子は、通常のAzure ADに渡されます。あなたは本当にそれについて何もすることはできません。

これらの属性はアプリケーションで必要です。テナントIDは、サブスクリプションが何であるか、アクセスできるデータなどを知るために使用されます。ユーザープリンシパル名を変更できるため、ユーザーオブジェクトIDを使用してユーザーを識別できます。

しかし、あなたのテナントのユーザーは、テナントにログインすることはできません。そこにゲストとして追加されず、それを受け入れます。

通常、サブスクリプションを購入するアプリはマルチテナントなので、テナント管理者はそのアプリにログインする必要があります。それが済んだら、テナントのユーザーがサインインすることができます。この場合、彼らはまだあなたのテナントにサインインしていますが、そのために作成されたサービスプリンシパルを介してあなたのテナントにアプリケーションが許可されています。

Azure AD B2Cでは、アプリケーションに与えられたクレームに影響を与えることができます。しかし、当然ながら、B2Cはマルチテナントアプリケーションをサポートしていません。少なくともNot yet。後で、B2CでAzure AD認証を許可することもできます。しかし、それでもアプリケーションの所有者がクレームとアプリケーションを制御します。