Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Verbessern Sie die Sicherheit von Azure Active Directory B2C (Azure AD B2C) mit Microsoft Entra ID Protection und bedingtem Zugriff. Die Features zur Risikoerkennung von Identitätsschutz, einschließlich riskanter Benutzer und riskanter Anmeldungen, werden automatisch in Ihrem Azure AD B2C-Mandanten erkannt und angezeigt. Sie können Richtlinien für bedingten Zugriff erstellen, die diese Risikoerkennungen verwenden, um Aktionen zu bestimmen und Organisationsrichtlinien zu erzwingen. Gemeinsam bieten diese Funktionen Azure AD B2C-Anwendungsbesitzern eine bessere Kontrolle über riskante Authentifizierungen und Zugriffsrichtlinien.
Wenn Sie bereits mit Identitätsschutz und bedingtem Zugriff in Microsoft Entra ID vertraut sind, ist die Verwendung dieser Funktionen mit Azure AD B2C eine vertraute Erfahrung mit den in diesem Artikel erläuterten geringfügigen Unterschieden.
Hinweis
Azure AD B2C Premium P2 ist erforderlich, um riskante Anmelderichtlinien zu erstellen, aber sie ist ab dem 1. Mai 2025 veraltet. Premium P1-Mandanten können eine Richtlinie erstellen, die auf Standort-, Anwendungs-, benutzerbasierten oder gruppenbasierten Richtlinien basiert.
Vorteile von Identitätsschutz und bedingtem Zugriff für Azure AD B2C
Indem Sie Richtlinien für bedingten Zugriff mit der Identitätsschutz-Risikoerkennung koppeln, können Sie mit der entsprechenden Richtlinienaktion auf riskante Authentifizierungen reagieren.
- Erhalten Sie einen neuen Einblick in die Authentifizierungsrisiken für Ihre Apps und Ihre Kundenbasis. Anhand von Signalen aus mehreren Milliarden monatlichen Authentifizierungen für Microsoft Entra ID- und Microsoft-Konten können die Risikoerkennungsalgorithmen Authentifizierungen für Ihre lokalen Consumer oder Citizen als niedriges, mittleres oder hohes Risiko kennzeichnen.
- Behandeln Sie Risiken automatisch, indem Sie Ihre eigene adaptive Authentifizierung konfigurieren. Für bestimmte Anwendungen können Sie einen bestimmten Satz von Benutzern benötigen, um einen zweiten Authentifizierungsfaktor bereitzustellen, wie bei der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA). Oder Sie können den Zugriff basierend auf der erkannten Risikostufe blockieren. Wie bei anderen Azure AD B2C-Oberflächen können Sie die resultierende Endbenutzererfahrung mit der Sprache, dem Stil und der Marke Ihrer Organisation anpassen. Sie können auch Alternativen zur Entschärfung anzeigen, wenn der Benutzer keinen Zugriff erhalten kann.
- Steuern des Zugriffs basierend auf Standort, Gruppen und Apps. Bedingter Zugriff kann auch verwendet werden, um nicht risikobasierte Situationen zu steuern. Sie können z. B. MFA für Kunden anfordern, die auf eine bestimmte App zugreifen, oder den Zugriff von bestimmten Regionen blockieren.
- Integration mit Benutzerflüssen von Azure AD B2C und benutzerdefinierten Richtlinien des Identity Experience Frameworks. Verwenden Sie Ihre vorhandenen benutzerdefinierten Oberflächen, und fügen Sie die Steuerelemente hinzu, die Sie für die Schnittstelle mit bedingtem Zugriff benötigen. Sie können auch erweiterte Szenarien für die Gewährung des Zugriffs implementieren, z. B. wissensbasierten Zugriff oder Ihren eigenen bevorzugten MFA-Anbieter.
Unterschiede und Einschränkungen von Features
Identitätsschutz und bedingter Zugriff in Azure AD B2C funktionieren in der Regel auf die gleiche Weise wie in microsoft Entra ID, mit den folgenden Ausnahmen:
Microsoft Defender für Cloud ist in Azure AD B2C nicht verfügbar.
Identitätsschutz und bedingter Zugriff werden für ROPC-Server-zu-Server-Flüsse in Azure AD B2C-Mandanten nicht unterstützt.
In Azure AD B2C-Mandanten stehen Identitätsschutz-Risikoerkennungen sowohl für lokale als auch für soziale Identitäten wie Google oder Facebook zur Verfügung. Für soziale Identitäten muss der bedingte Zugriff aktiviert werden. Die Erkennung ist eingeschränkt, da die Anmeldeinformationen für das soziale Konto vom externen Identitätsanbieter verwaltet werden.
In Azure AD B2C-Mandanten ist eine Teilmenge der Identitätsschutz-Risikoerkennungen verfügbar. Siehe Untersuchen des Risikos mit Identitätsschutz und Hinzufügen des bedingten Zugriffs auf Benutzerflüsse.
Die Funktion zur Gerätekonformität für bedingten Zugriff ist in Azure AD B2C-Mandanten nicht verfügbar.
Integrieren des bedingten Zugriffs in Benutzerflüsse und benutzerdefinierte Richtlinien
In Azure AD B2C können Sie Bedingungen für den bedingten Zugriff aus integrierten Benutzerflüssen auslösen. Sie können auch bedingten Zugriff in benutzerdefinierte Richtlinien integrieren. Das Messaging der Endbenutzererfahrung kann genau wie andere Aspekte des B2C-Benutzerflows an die Sprache, Marke und Abhilfealternativen Ihrer Organisation angepasst werden. Siehe Hinzufügen des bedingten Zugriffs zu Benutzerflüssen.
Microsoft Graph-API
Sie können Richtlinien für bedingten Zugriff auch in Azure AD B2C mit der Microsoft Graph-API verwalten. Ausführliche Informationen finden Sie in der Dokumentation zum bedingten Zugriff und in den Microsoft Graph-Vorgängen.