Editar

Azure AD B2C: Preguntas más frecuentes

  • Preguntas más frecuentes

En esta página se responde a las preguntas frecuentes sobre Azure Active Directory B2C (Azure AD B2C). Siga comprobando si hay actualizaciones.

Versión preliminar de id. externa de Microsoft Entra

¿Qué es la id. externa de Microsoft Entra?

Anunciamos una versión preliminar anticipada de nuestra solución Id. externa de Microsoft Entra de última generación. Esta versión preliminar anticipada representa un paso evolutivo en la unificación de experiencias seguras y atractivas en todas las identidades externas, incluidos partners, clientes, ciudadanos y pacientes, entre otros, dentro de una plataforma única e integrada. Para obtener más información sobre la versión preliminar, consulte ¿Qué es la id. externa de Microsoft Entra para los clientes?.

¿Cómo me afecta esta versión preliminar?

No se requiere ninguna acción por su parte en este momento. Actualmente la plataforma de última generación solo se encuentra en versión preliminar anticipada. Seguimos comprometidos con el soporte técnico de la solución de Azure AD B2C actual. No hay ningún requisito para que los clientes de Azure AD B2C migren en este momento y no haya planes para interrumpir el servicio de Azure AD B2C actual. A medida que la plataforma de última generación se acerque a la fase de disponibilidad general, se facilitarán detalles a todos nuestros valiosos clientes B2C sobre las opciones disponibles, incluida la migración a la nueva plataforma.

¿Cómo participo en la versión preliminar?

Como la plataforma de última generación representa nuestro futuro para la administración de identidades y acceso de clientes (CIAM), agradecemos y alentamos su participación y comentarios durante la versión preliminar anticipada. Si está interesado en unirse a la versión preliminar anticipada, póngase en contacto con el equipo de ventas para obtener más información.

General

¿Por qué no puedo acceder a la extensión de Azure AD B2C en Azure Portal?

Hay dos causas comunes de por qué la extensión de Microsoft Entra no funciona en su caso. En Azure AD B2C es necesario que su rol de usuario en el directorio sea el de administrador global. Póngase en contacto con su administrador si cree que debería tener acceso. Si tiene privilegios de administrador global, asegúrese de que se encuentra en un directorio de Azure AD B2C y no en un directorio de Microsoft Entra. Puede consultar las instrucciones para crear un inquilino de Azure AD B2C.

¿Puedo usar las características de Azure AD B2C en mi inquilino de Microsoft Entra existente basado en el empleado?

Microsoft Entra ID y Azure AD B2C son ofertas de productos independientes. Para usar las características de Azure AD B2C, cree un inquilino de Azure AD B2C independiente del inquilino de Microsoft Entra existente basado en el empleado. Un inquilino de Microsoft Entra representa una organización. Un inquilino de Azure AD B2C representa una colección de identidades para su uso con aplicaciones de usuario de confianza. Al agregar Nuevo proveedor de OpenID Connect en Azure AD B2C > Proveedores de identidades o con directivas personalizadas, Azure AD B2C puede federarse con Microsoft Entra ID y permitir la autenticación de los empleados en una organización.

¿Puedo usar Azure AD B2C para proporcionar inicio de sesión social (Facebook y Google+) en Microsoft 365?

Azure AD B2C no se puede usar para autenticar a los usuarios en Microsoft 365. Microsoft Entra ID es la solución de Microsoft para administrar el acceso de los empleados a las aplicaciones SaaS, y tiene características diseñadas para este propósito, como el acceso condicional y las licencias. Azure AD B2C proporciona una plataforma de administración de identidades y acceso para la creación de aplicaciones web y móviles. Cuando Azure AD B2C está configurado para federarse con un inquilino de Microsoft Entra, este administra el acceso de los empleados a las aplicaciones que se basan en Azure AD B2C.

¿Qué son las cuentas locales en Azure AD B2C? ¿En qué se diferencian las cuentas profesionales o educativas en Microsoft Entra ID?

En un inquilino de Microsoft Entra, los usuarios que pertenecen al inquilino inician sesión con una dirección de correo electrónico con el formato <xyz>@<tenant domain>. <tenant domain> es uno de los dominios comprobados del inquilino o el dominio <...>.onmicrosoft.com inicial. Este tipo de cuenta es una cuenta profesional o educativa.

En un inquilino de Azure AD B2C, la mayoría de las aplicaciones desean que el usuario inicie sesión con cualquier dirección de correo electrónico arbitraria (por ejemplo, joe@comcast.net, bob@gmail.com, sarah@contoso.com o jim@live.com). Este tipo de cuenta es una cuenta local. También se admiten nombres de usuario arbitrarios tales como cuentas locales (por ejemplo, joe, bob, sarah o jim). Puede elegir uno de estos dos tipos de cuentas locales al configurar proveedores de identidades para Azure AD B2C en Azure Portal. En el inquilino de Azure AD B2C, seleccione Proveedores de identidades, Cuenta local y Nombre de usuario.

Las cuentas de usuario de las aplicaciones se pueden crear mediante un flujo de usuario de registro, un flujo de usuario de registro o inicio de sesión, Microsoft Graph API o Azure Portal.

¿Cuántos usuarios puede alojar un inquilino de Azure AD B2C?

  • De manera predeterminada, cada inquilino puede alojar un total de 1,25 millones de objetos (cuentas de usuario y aplicaciones), pero puede aumentar este límite a 5,25 millones de objetos al agregar y comprobar un dominio personalizado. Si quiere aumentar este límite, póngase en contacto con el Soporte técnico de Microsoft. Sin embargo, si creó el inquilino antes de septiembre de 2022, este límite no le afecta y el inquilino conservará el tamaño que se le asignara en su creación, es decir, 50 millones de objetos.

¿Qué proveedores de identidades sociales se admiten ahora? ¿Cuáles se prevén que se van a admitir en el futuro?

Actualmente se admiten varios proveedores de identidades sociales, como Amazon, Facebook, GitHub (versión preliminar), Google, LinkedIn, Microsoft Account (MSA), QQ (versión preliminar), Twitter, WeChat (versión preliminar) y Weibo (versión preliminar). Se está evaluando la posibilidad de agregar compatibilidad con otros proveedores de identidades de redes sociales conocidas en función de la demanda del cliente.

Azure AD B2C también admite directivas personalizadas. Las directivas personalizadas le permiten crear su propia directiva para cualquier proveedor de identidades que admita OpenID Connect o SAML. Empiece a trabajar con directivas personalizadas consultando nuestro paquete de inicio de directivas personalizadas.

¿Puedo configurar ámbitos para recopilar más información acerca de los consumidores de distintos proveedores de identidades sociales?

No. Los ámbitos predeterminados usados para el conjunto de proveedores de identidades sociales admitidos son:

  • Facebook: correo electrónico
  • Google+: correo electrónico
  • Cuenta Microsoft: perfil de correo electrónico de OpenID
  • Amazon: perfil
  • LinkedIn: r_emailaddress r_basicprofile

Estoy usando ADFS como proveedor de identidades en Azure AD B2C. Cuando intento iniciar una solicitud de cierre de sesión desde Azure AD B2C, ADFS muestra el error *MSIS7084: los mensajes de solicitud de cierre de sesión de SAML y respuesta de cierre de sesión deben estar firmados cuando se usa el Redireccionamiento HTTP SAML o el enlace HTTP POST*. ¿Cómo se resuelve este problema?

En el servidor de ADFS, ejecute: Set-AdfsProperties -SignedSamlRequestsRequired $true. Esto obligará a Azure AD B2C a firmar todas las solicitudes a ADFS.

¿La aplicación tiene que ejecutarse en Azure para que funcione con Azure AD B2C?

No, puede hospedar la aplicación en cualquier lugar (en la nube o de forma local). Todo lo que necesita para interactuar con Azure AD B2C es la capacidad de enviar y recibir solicitudes HTTP en puntos de conexión de acceso público.

Tengo varios inquilinos de Azure AD B2C. ¿Cómo puedo administrarlos en Azure Portal?

Antes de abrir el servicio Azure AD B2C en Azure Portal, debe cambiar al directorio que quiere administrar. Seleccione el icono Configuración en el menú superior para cambiar al directorio que quiera administrar desde el menú Directorios y suscripciones.

¿Por qué no puedo crear un inquilino de Azure AD B2C?

Es posible que no tenga permiso para crear un inquilino de Azure AD B2C. Solo los usuarios con los roles Administrador global o Creador de inquilinos pueden crear el inquilino. Debe ponerse en contacto con su Administrador global.

¿Cómo puedo personalizar los mensajes de correo electrónico de comprobación (el contenido y el campo "De:") enviados por Azure AD B2C?

Puede utilizar la característica de personalización de marca de compañía para personalizar el contenido de los mensajes de correo electrónico de comprobación. En concreto, se pueden personalizar estos dos elementos del correo electrónico:

  • Logotipo del banner: se muestra en la esquina inferior derecha.

  • Color de fondo: se muestra en la parte superior.

    Screenshot of a customized verification email

La firma de correo electrónico contiene el nombre del inquilino de Azure AD B2C que proporcionó cuando lo creó por primera vez. Puede cambiar el nombre siguiendo estas instrucciones:

  1. Inicie sesión en Azure Portal como administrador global.
  2. Abra la hoja Microsoft Entra ID.
  3. Seleccione la pestaña Propiedades.
  4. Cambie el campo Nombre.
  5. En la parte superior de la página, seleccione Guardar.

Actualmente no se puede cambiar el campo "De:" del correo electrónico.

Sugerencia

Con la directiva personalizada de Azure AD B2C, puede personalizar el correo electrónico que Azure AD B2C envía a los usuarios, incluido el campo "De:" del correo electrónico. La verificación del correo electrónico personalizado requiere el uso de un proveedor de correo electrónico de terceros, como Mailjet, SendGrid o SparkPost.

¿Cómo puedo migrar mis nombres de usuario, contraseñas y perfiles existentes desde la base de datos a Azure AD B2C?

Puede usar Microsoft Graph API para escribir la herramienta de migración. Consulte la guía de migración para el usuario para detalles.

¿Qué flujo de usuario de contraseñas se usa para las cuentas locales en Azure AD B2C?

El flujo de usuarios de contraseña de Azure AD B2C para cuentas locales se basa en la directiva de Microsoft Entra ID. Los flujos de usuario de restablecimiento de la contraseña, inicio de sesión, registro e inicio de sesión de Azure AD B2C usan la seguridad de la contraseña "segura" y las contraseñas no caducan. Para más información, consulte Restricciones y directivas de contraseñas en Microsoft Entra ID.

Para obtener información sobre los bloqueos de cuenta y las contraseñas, vea Mitigación de ataques de credenciales en Azure AD B2C.

¿Puedo usar Microsoft Entra Connect para migrar identidades de consumidores almacenadas en mi instancia de Active Directory local a Azure AD B2C?

No, Microsoft Entra Connect no está diseñado para funcionar con Azure AD B2C. Considere la posibilidad de usar Microsoft Graph API para la migración de usuarios. Consulte la guía de migración para el usuario para detalles.

¿Mi aplicación puede abrir páginas de Azure AD B2C dentro de un iFrame?

Esta característica está en versión preliminar pública. Para obtener más información, consulte Experiencia de inicio de sesión insertada.

¿Funciona Azure AD B2C con sistemas CRM, como Microsoft Dynamics?

La integración básica con el portal de Microsoft Dynamics 365 está disponible. Consulte Configuración del proveedor Azure AD B2C para portales.

¿Funciona Azure AD B2C con SharePoint local 2016 o una versión anterior?

Azure AD B2C no se ha diseñado para escenarios de uso compartido con asociados externos de SharePoint; en su lugar, consulte Microsoft Entra B2B.

¿Debo utilizar Azure AD B2C o B2B para administrar identidades externas?

Lea el artículo Comparación de soluciones para identidades externas para obtener más información sobre cómo aplicar las características apropiadas a los escenarios de identidades externas.

¿Qué características de auditoría e informes proporciona Azure AD B2C? ¿Son iguales que en Microsoft Entra ID P1 o P2?

No, Azure AD B2C no admite el mismo conjunto de informes que Microsoft Entra ID P1 o P2. Pero hay muchos elementos en común:

  • Los informes de inicio de sesión proporcionan un registro de cada inicio de sesión con menos detalles.
  • Los informes de auditoría incluyen la actividad administrativa y la actividad de la aplicación.
  • Los informes de usuario incluyen el número de usuarios, el número de inicios de sesión y el volumen de MFA.

¿Pueden los usuarios finales usar una contraseña de un solo uso y duración definida (TOTP) con una aplicación de autenticador para autenticarme en mi aplicación Azure AD B2C?

Sí. Los usuarios finales deben descargar una aplicación de autenticación que admita la comprobación de TOTP, como la aplicación Microsoft Authenticator (opción recomendada). Para obtener más información, vea métodos de comprobación.

¿Por qué mis códigos de aplicación de autenticador TOTP no funcionan?

Si los códigos de la aplicación de autenticador TOTP no funcionan con su dispositivo o teléfono móvil Android o iPhone, es posible que la hora del reloj del dispositivo sea incorrecta. En la configuración del dispositivo, seleccione la opción de utilizar la hora proporcionada por la red o de establecer la hora automáticamente.

¿Cómo sé que el complemento de Go-Local está disponible en mi país o región?

Al crear el inquilino de Azure AD B2C, si el complemento de Go-Local está disponible en su país o región, se le pedirá que lo habilite si lo necesita.

¿Todavía obtengo 50 000 MAU gratis al mes en el complemento Go-Local al habilitarlo?

No. Los 50 000 MAU gratis al mes no se aplican al habilitar el complemento Go-Local. Tendrá un cargo por el complemento Go-Local desde el primer MAU. Sin embargo, seguirá disfrutando de 50 000 MAU gratis al mes en las otras características disponibles en los precios de Azure AD B2C en Premium P1 o P2.

Tengo un inquilino de Azure AD B2C existente en Japón o Australia que no tiene habilitado el complemento Go-Local. ¿Cómo se activa este complemento?

Siga los pasos descritos en Activar complemento Go-Local para activar el complemento Go-Local de Azure AD B2C.

¿Puedo localizar la interfaz de usuario de páginas servidas por Azure AD B2C? ¿Qué idiomas se admiten?

Si, consulte personalización de idioma. Se ofrecen traducciones a 36 idiomas, y puede invalidar cualquier cadena para satisfacer sus necesidades.

¿Puedo usar mis propias direcciones URL en las páginas de registro y de inicio que proporciona Azure AD B2C? Por ejemplo, ¿puedo cambiar la URL de contoso.b2clogin.com a login.contoso.com?

Sí, puede usar su propio dominio. Para obtener más información, consulte Dominios personalizados de Azure AD B2C.

¿Cómo puedo eliminar al inquilino de Azure AD B2C?

Siga estos pasos para eliminar el inquilino de Azure AD B2C.

Puede usar la nueva experiencia Registros de aplicaciones unificada o nuestra experiencia Applications (Legacy) (Aplicaciones [heredadas]) anterior. Más información acerca de la nueva experiencia.

  1. Inicie sesión en Azure Portal como administrador de la suscripción. Use la misma cuenta profesional o educativa o la misma cuenta de Microsoft que ha usado para registrarse en Azure.
  2. Asegúrese de que usa el directorio que contiene el inquilino de Azure AD B2C. Seleccione el icono Configuración en la barra de herramientas del portal.
  3. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD B2C en la lista Nombre de directorio y seleccione Cambiar.
  4. En el menú de la izquierda, seleccione Azure AD B2C. O bien, seleccione Todos los servicios y busque y seleccione Azure AD B2C.
  5. Elimine todos los flujos de usuario (directivas) del inquilino de Azure AD B2C.
  6. Elimine todos los proveedores de identidades del inquilino de Azure AD B2C.
  7. Seleccione Registros de aplicaciones y luego seleccione la pestaña Todas las aplicaciones.
  8. Elimine todas las aplicaciones que ha registrado.
  9. Elimine b2c-extensions-app.
  10. En Administrar, seleccione Usuarios.
  11. Seleccione cada usuario de uno en uno (excluya al administrador de suscripciones con el que inició sesión). Seleccione Eliminar en la parte inferior de la página y seleccione cuando se le pida confirmación.
  12. Seleccione Microsoft Entra ID en el menú de la izquierda.
  13. En Administrar, seleccione Propiedades.
  14. En Administración del acceso para los recursos de Azure, seleccione y luego Guardar.
  15. Cierre la sesión de Azure Portal y vuelva a iniciar sesión para actualizar el acceso.
  16. Seleccione Microsoft Entra ID en el menú de la izquierda.
  17. En la página Información general, seleccione Eliminar inquilino. Siga las instrucciones que aparecen en pantalla para completar el proceso.

¿Puedo obtener Azure AD B2C como parte de Enterprise Mobility Suite?

No, Azure AD B2C es un servicio de Azure de pago por uso y no forma parte de Enterprise Mobility Suite.

¿Puedo comprar licencias de Microsoft Entra ID P1 y Microsoft Entra ID P2 para mi inquilino de Azure AD B2C?

No, los inquilinos de Azure AD B2C no usan licencias de Microsoft Entra ID P1 ni de Microsoft Entra ID P2. Azure AD B2C usa licencias de Azure AD B2C Premium P1 o P2, que son diferentes de las licencias de Microsoft Entra ID P1 o P2 de un inquilino de Microsoft Entra estándar. Los inquilinos de Azure AD B2C admiten de forma nativa algunas características que son parecidas a las de Microsoft Entra ID P1 o P2, como se explica en Características de Microsoft Entra ID admitidas.

¿Puedo usar una asignación basada en grupos con las aplicaciones empresariales de Microsoft Entra en mi inquilino de Azure AD B2C?

No, los inquilinos de Azure AD B2C no admiten la asignación basada en grupos a aplicaciones empresariales de Microsoft Entra.

¿Qué características de Azure AD B2C no están disponibles en Microsoft Azure Government?

Las siguientes características de AD B2C no están disponibles actualmente en Microsoft Azure Government:

  • Conectores de API
  • Acceso condicional

He revocado el token de actualización mediante invalidateAllRefreshTokens de Microsoft Graph o Revoke-MgUserSignInSession de Microsoft Graph PowerShell. ¿Por qué Azure AD B2C sigue aceptando el token de actualización anterior?

En Azure AD B2C, si la diferencia de tiempo entre refreshTokensValidFromDateTime y refreshTokenIssuedTime es menor o igual que 5 minutos, el token de actualización todavía se considera válido. Sin embargo, si refreshTokenIssuedTime es mayor que refreshTokensValidFromDateTime, se revoca el token de actualización. Siga estos pasos para comprobar si el token de actualización es válido o se ha revocado:

  1. Recupere RefreshToken y AccessToken canjeando authorization_code.

  2. Espere 7 minutos.

  3. Use el cmdlet Revoke-MgUserSignInSession de Microsoft Graph PowerShell o invalidateAllRefreshTokens de Microsoft Graph API para ejecutar el comando RevokeAllRefreshToken.

  4. Espere 10 minutos.

  5. Recupere RefreshToken otra vez.

Uso varias pestañas en un explorador web para iniciar sesión en varias aplicaciones que he registrado en el mismo inquilino de Azure AD B2C. Cuando intento realizar un cierre de sesión único, no todas las aplicaciones se cierran. ¿Por qué ocurre esto?

Actualmente, Azure AD B2C no admite el cierre de sesión único para este escenario específico. Se debe a la contención de cookies, ya que todas las aplicaciones operan en la misma cookie simultáneamente.

¿Cómo puedo informar sobre problemas con Azure AD B2C?

Consulte Versión preliminar de Azure Active Directory B2C: presentación de solicitudes de soporte técnico.

En Azure AD B2C, revoco todas las sesiones de un usuario mediante el botón Revocar sesiones de Azure Portal, pero no funciona.

Actualmente, Azure AD B2C no admite la revocación de sesiones de usuario desde el Azure Portal. Sin embargo, puede completar esta tarea mediante Microsoft Graph PowerShell o Microsoft Graph API.