Azure AD B2C: Preguntas más frecuentes (P+F)

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

En esta página se responden las preguntas más frecuentes sobre Azure Active Directory B2C (Azure AD B2C). Siga comprobando si hay actualizaciones.

Fin de la venta de Azure AD B2C

A partir del 1 de mayo de 2025 , Azure AD B2C ya no estará disponible para comprar nuevos clientes, pero los clientes actuales de Azure AD B2C pueden seguir usando el producto. La experiencia del producto, incluida la creación de nuevos inquilinos o flujos de usuario, permanecerá sin cambios; sin embargo, solo se pueden crear nuevos inquilinos con Azure AD B2C P1. Azure AD B2C P2 se interrumpirá el 15 de marzo de 2026 para todos los clientes. Los compromisos operativos, incluidos los acuerdos de nivel de servicio (SLA), las actualizaciones de seguridad y el cumplimiento, también permanecerán sin cambios. Seguiremos admitiendo Azure AD B2C hasta al menos mayo de 2030. Más información, incluidos los planes de migración, estarán disponibles. Póngase en contacto con su representante de cuenta para obtener más información y aprender sobre id. externa de Microsoft Entra.

¿Qué es Id. externa de Microsoft Entra?

Hemos lanzado nuestro producto Microsoft Entra External ID de próxima generación que combina soluciones eficaces para trabajar con personas fuera de su organización. Con las funcionalidades de identificador externo, puede permitir que las identidades externas accedan de forma segura a sus aplicaciones y recursos. Tanto si trabaja con asociados externos, consumidores o clientes empresariales, los usuarios pueden traer sus propias identidades. Estas identidades pueden oscilar entre cuentas corporativas o emitidas por el gobierno a proveedores de identidades sociales como Google o Facebook. Para obtener más información, vea Introduction to Microsoft Entra External ID (Introducción al identificador externo de Microsoft Entra).

¿Por qué no puedo acceder a la extensión de Azure AD B2C en Azure Portal?

Hay dos razones comunes por las que la extensión de Microsoft Entra no funciona para usted. Azure AD B2C requiere que el rol de usuario del directorio sea administrador global. Póngase en contacto con el administrador si cree que debe tener acceso. Si tiene privilegios de administrador global, asegúrese de que está en un directorio de Azure AD B2C y no en un directorio de Microsoft Entra. Puede ver instrucciones para crear un inquilino de Azure AD B2C.

¿Puedo usar las características de Azure AD B2C en mi inquilino de Microsoft Entra basado en empleados existente?

Microsoft Entra ID y Azure AD B2C son ofertas de productos independientes. Para usar las características de Azure AD B2C, cree un inquilino de Azure AD B2C independiente del inquilino de Microsoft Entra basado en empleados existente. Un inquilino de Microsoft Entra representa una organización. Un inquilino de Azure AD B2C representa una colección de identidades que se van a usar con aplicaciones de usuario de confianza. Al agregar un nuevo proveedor de OpenID Connect en proveedores de identidades de Azure AD B2C > o con directivas personalizadas, Azure AD B2C puede federarse a Microsoft Entra ID, lo que permite la autenticación de los empleados de una organización.

¿Puedo usar Azure AD B2C para proporcionar inicio de sesión social (Facebook y Google+) en Microsoft 365?

Azure AD B2C no se puede usar para autenticar a los usuarios para Microsoft 365. Microsoft Entra ID es la solución de Microsoft para administrar el acceso de los empleados a las aplicaciones SaaS y tiene características diseñadas para este propósito, como licencias y acceso condicional. Azure AD B2C proporciona una plataforma de administración de identidades y acceso para crear aplicaciones web y móviles. Cuando Azure AD B2C está configurado para federarse en un inquilino de Microsoft Entra, el inquilino de Microsoft Entra administra el acceso de los empleados a las aplicaciones que dependen de Azure AD B2C.

¿Qué son las cuentas locales en Azure AD B2C? ¿Cuáles son diferentes de las cuentas profesionales o educativas en microsoft Entra ID?

En un inquilino de Microsoft Entra, los usuarios que pertenecen al inquilino inician sesión con una dirección de correo electrónico del formulario <xyz>@<tenant domain>. <tenant domain> es uno de los dominios comprobados del inquilino o del dominio inicial<...>.onmicrosoft.com. Este tipo de cuenta es una cuenta profesional o educativa.

En un inquilino de Azure AD B2C, la mayoría de las aplicaciones quieren que el usuario inicie sesión con cualquier dirección de correo electrónico arbitraria (por ejemplo, joe@comcast.net, bob@gmail.com, sarah@contoso.como jim@live.com). Este tipo de cuenta es una cuenta local. También se admiten nombres de usuario arbitrarios como cuentas locales (por ejemplo, joe, bob, sarah o jim). Puede elegir uno de estos dos tipos de cuenta local al configurar proveedores de identidades para Azure AD B2C en Azure Portal. En el inquilino de Azure AD B2C, seleccione Proveedores de identidades, cuenta local y, a continuación, nombre de usuario.

Las cuentas de usuario de las aplicaciones se pueden crear mediante un flujo de usuario de registro, registro o flujo de usuario de inicio de sesión, Microsoft Graph API o Azure Portal.

¿Cuántos usuarios pueden alojar un inquilino de Azure AD B2C?

De forma predeterminada, cada inquilino puede alojar un total de 1,25 millones de objetos (cuentas de usuario y aplicaciones), pero puede aumentar este límite a 5,25 millones de objetos al agregar y comprobar un dominio personalizado. Si quiere aumentar este límite, póngase en contacto con el Soporte técnico de Microsoft. Sin embargo, si creó el inquilino antes de septiembre de 2022, este límite no le afecta y el inquilino conservará el tamaño que se le asignara en su creación, es decir, 50 millones de objetos.

¿Qué proveedores de identidades sociales admite ahora? ¿Cuáles planea apoyar en el futuro?

Actualmente se admiten varios proveedores de identidades sociales, como Amazon, Facebook, GitHub (versión preliminar), Google, LinkedIn, Cuenta Microsoft (MSA), QQ (versión preliminar), X, WeChat (versión preliminar) y Weibo (versión preliminar). Se evalúa cómo agregar compatibilidad con otros proveedores de identidades sociales populares en función de la demanda del cliente.

Azure AD B2C también admite directivas personalizadas. Las directivas personalizadas le permiten crear su propia directiva para cualquier proveedor de identidades que admita OpenID Connect o SAML. Para empezar a trabajar con directivas personalizadas, consulte nuestro paquete de inicio de directivas personalizado.

¿Puedo configurar ámbitos para recopilar más información sobre los consumidores de varios proveedores de identidades sociales?

No. Los ámbitos predeterminados que se usan para nuestro conjunto admitido de proveedores de identidades sociales son:

• Facebook: correo electrónico
• Google+: correo electrónico
• Cuenta Microsoft: perfil de correo electrónico openid
• Amazon: perfil
• LinkedIn: r_emailaddress, r_basicprofile

Uso ADFS como proveedor de identidades en Azure AD B2C. Cuando intento iniciar una solicitud de cierre de sesión desde Azure AD B2C, ADFS muestra el error *MSIS7084: los mensajes de solicitud de cierre de sesión de SAML y respuesta de cierre de sesión deben firmarse al usar el enlace HTTP Redirect o HTTP POST de SAML*. ¿Cómo se resuelve este problema?

En el servidor de ADFS, ejecute: Set-AdfsProperties -SignedSamlRequestsRequired $true. Esto obligará a Azure AD B2C a firmar todas las solicitudes a ADFS.

¿Mi aplicación tiene que ejecutarse en Azure para que funcione con Azure AD B2C?

No, puede hospedar la aplicación en cualquier lugar (en la nube o en el entorno local). Todo lo que necesita para interactuar con Azure AD B2C es la capacidad de enviar y recibir solicitudes HTTP en puntos de conexión accesibles públicamente.

Tengo varios inquilinos de Azure AD B2C. ¿Cómo puedo administrarlos en Azure Portal?

Antes de abrir el servicio Azure AD B2C en Azure Portal, debe cambiar al directorio que desea administrar. Seleccione el icono Configuración del menú superior para cambiar al directorio que desea administrar en el menú Directorios y suscripciones .

¿Por qué no puedo crear un inquilino de Azure AD B2C?

Es posible que no tenga permiso para crear un inquilino de Azure AD B2C. Solo los usuarios con al menos roles de Creador de inquilinos pueden crear el inquilino.

¿Cómo se personalizan los correos electrónicos de verificación (el contenido y el campo "From:") enviados por Azure AD B2C?

Puede usar la característica de personalización de marca de empresa para personalizar el contenido de los correos electrónicos de verificación. En concreto, estos dos elementos del correo electrónico se pueden personalizar:

• Logotipo de banner: se muestra en la parte inferior derecha.

• Color de fondo: se muestra en la parte superior.

  

La firma de correo electrónico contiene el nombre del inquilino de Azure AD B2C que proporcionó al crear por primera vez el inquilino de Azure AD B2C. Puede cambiar el nombre mediante estas instrucciones:

1. Inicie sesión en Azure Portal como administrador global.
2. Abra la hoja Microsoft Entra ID (Id. de Entra de Microsoft ).
3. Seleccione la pestaña Propiedades.
4. Cambie el campo Nombre .
5. En la parte superior de la página, seleccione Guardar.

Actualmente, no puede cambiar el campo "From:" en el correo electrónico.

Sugerencia

Con la directiva personalizada de Azure AD B2C, puede personalizar el correo electrónico que Azure AD B2C envía a los usuarios, incluido el campo "From:" en el correo electrónico. La comprobación de correo electrónico personalizada requiere el uso de un proveedor de correo electrónico de terceros como Mailjet o SendGrid.

¿Cómo puedo migrar mis nombres de usuario, contraseñas y perfiles existentes de mi base de datos a Azure AD B2C?

Puede usar Microsoft Graph API para escribir la herramienta de migración. Consulte la guía de migración de usuarios para obtener más información.

¿Qué flujo de usuario de contraseña se usa para las cuentas locales en Azure AD B2C?

El flujo de usuario de contraseña de Azure AD B2C para las cuentas locales se basa en la directiva de Microsoft Entra ID. Los flujos de usuario de registro, registro o inicio de sesión y restablecimiento de contraseña de Azure AD B2C usan la seguridad de contraseña "segura" y no expiran ninguna contraseña. Para obtener más información, consulte Directivas y restricciones de contraseñas en Microsoft Entra ID.

Para obtener información sobre los bloqueos de cuentas y las contraseñas, consulte Mitigación de ataques de credenciales en Azure AD B2C.

¿Puedo usar Microsoft Entra Connect para migrar identidades de consumidor almacenadas en mi Active Directory local a Azure AD B2C?

No, Microsoft Entra Connect no está diseñado para trabajar con Azure AD B2C. Considere la posibilidad de usar Microsoft Graph API para la migración de usuarios. Consulte la guía de migración de usuarios para obtener más información.

¿Puede mi aplicación abrir páginas de Azure AD B2C dentro de un iFrame?

Esta característica está en versión preliminar pública. Para más información, consulte Experiencia de inicio de sesión insertado.

¿Funciona Azure AD B2C con sistemas CRM como Microsoft Dynamics?

La integración con el portal de Microsoft Dynamics 365 está disponible. Consulte Configuración del portal de Dynamics 365 para usar Azure AD B2C para la autenticación.

¿Funciona Azure AD B2C con SharePoint local 2016 o versiones anteriores?

Azure AD B2C no está diseñado para el escenario de uso compartido de asociados externos de SharePoint; consulte Microsoft Entra B2B en su lugar.

¿Debo usar Azure AD B2C o B2B para administrar identidades externas?

Lea Compare solutions for External Identities (Comparar soluciones para identidades externas ) para obtener más información sobre cómo aplicar las características adecuadas a los escenarios de identidad externa.

¿Qué características de informes y auditoría proporciona Azure AD B2C? ¿Son iguales que en microsoft Entra ID P1 o P2?

No, Azure AD B2C no admite el mismo conjunto de informes que el id. de Entra P1 o P2 de Microsoft Entra. Sin embargo, hay muchas frecuencias:

• Los informes de inicio de sesión proporcionan un registro de cada inicio de sesión con detalles reducidos.
• Los informes de auditoría incluyen la actividad de administrador y la actividad de la aplicación.
• Los informes de uso incluyen el número de usuarios, el número de inicios de sesión y el volumen de MFA.

¿Por qué mi factura de Azure AD B2C muestra cargos de teléfono denominados "Id. externo de Microsoft Entra?"

Después del nuevo modelo de facturación para la autenticación de teléfono SMS de identidades externas de Azure AD, puede observar un nuevo nombre en la factura. Anteriormente, el MFA telefónico se facturaba como "Azure Active Directory B2C- Basic 1 Multi-Factor Authentication". Ahora verá los siguientes nombres en función del plan de tarifa de país o región:

• Microsoft Entra Identificador Externo - Autenticación Telefónica de Bajo Costo 1 Transacción
• Id. externo de Microsoft Entra: autenticación telefónica de costo medio-bajo por 1 transacción
• Microsoft Entra ID externo - Autenticación de teléfono - Costo medio-alto de 1 transacción
• Identificación externa de Microsoft Entra: 1 transacción de alto costo de autenticación telefónica

Aunque la nueva factura menciona el identificador externo de Microsoft Entra, todavía se le factura azure AD B2C según el recuento de MAU principal.

¿Los usuarios finales pueden usar una contraseña única (TOTP) basada en el tiempo con una aplicación autenticadora para autenticarse en mi aplicación de Azure AD B2C?

Sí. Los usuarios finales deben descargar cualquier aplicación de autenticador que admita la comprobación de TOTP, como la aplicación Microsoft Authenticator (recomendada). Para obtener más información, consulte Métodos de comprobación.

¿Por qué mis códigos de aplicación autenticadores TOTP no funcionan?

Si los códigos de aplicación de autenticación TOTP no funcionan con su teléfono móvil o dispositivo Android o iPhone, la hora del reloj del dispositivo podría ser incorrecta. En la configuración del dispositivo, seleccione la opción para usar la hora proporcionada por la red o para establecer la hora automáticamente.

¿Cómo sé que el complemento de Go-Local está disponible en mi país o región?

Al crear el inquilino de Azure AD B2C, si el complemento de Go-Local está disponible en su país o región, se le pedirá que lo habilite si lo necesita.

¿Todavía obtengo 50 000 MAU gratuitas al mes en el complemento de Go-Local cuando lo habilito?

No. 50 000 MAUs gratis al mes no se aplica al habilitar el complemento de Go-Local. Incurrirá en un cargo en el complemento Go-Local desde el primer MAU. Sin embargo, seguirá disfrutando de 50 000 MAU gratis al mes en las otras características disponibles en los precios de Azure AD B2C en Premium P1 o P2.

Tengo un inquilino de Azure AD B2C existente en Japón o Australia que no tiene habilitado un complemento Go-Local. ¿Cómo se activa este complemento?

Siga los pasos descritos en Activación de Go-Local ad-on para activar el complemento de Go-Local de Azure AD B2C.

¿Puedo localizar la interfaz de usuario de las páginas que sirve Azure AD B2C? ¿Qué idiomas se admiten?

Sí, consulte personalización de idioma. Proporcionamos traducciones para 36 idiomas y puede invalidar cualquier cadena que se adapte a sus necesidades.

¿Puedo usar mis propias direcciones URL en mis páginas de registro e inicio de sesión que sirve Azure AD B2C? Por ejemplo, ¿puedo cambiar la dirección URL de contoso.b2clogin.com a login.contoso.com?

Sí, puede usar su propio dominio. Para más información, consulte Dominios personalizados de Azure AD B2C.

¿Cómo se elimina mi inquilino de Azure AD B2C?

Siga estos pasos para eliminar el inquilino de Azure AD B2C.

Puede usar nuestra nueva experiencia unificada de registros de aplicaciones o nuestra experiencia heredada de aplicaciones (heredadas ). Obtenga más información sobre la nueva experiencia.

Registros de aplicaciones

1. Inicie sesión en Azure Portal como administrador de suscripciones. Use la misma cuenta profesional o educativa o la misma cuenta de Microsoft que ha usado para registrarse en Azure.
2. Asegúrese de que usa el directorio que contiene el inquilino de Azure AD B2C. Selecciona el icono Configuración en la barra de herramientas del portal.
3. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD B2C en la lista Nombre de directorio y seleccione Cambiar.
4. En el menú izquierdo, seleccione Azure AD B2C. O bien, seleccione Todos los servicios y busque y seleccione Azure AD B2C.
5. Elimine todos los flujos de usuario (directivas) del inquilino de Azure AD B2C.
6. Elimine todos los proveedores de identidades del inquilino de Azure AD B2C.
7. Seleccione Registros de aplicaciones y, a continuación, seleccione la pestaña Todas las aplicaciones .
8. Elimine todas las aplicaciones que registró.
9. Elimine b2c-extensions-app.
10. En Administrar, seleccione Usuarios.
11. Seleccione cada usuario a su vez (excluya el usuario administrador de suscripciones que ha iniciado sesión actualmente como). Seleccione Eliminar en la parte inferior de la página y seleccione Sí cuando se le solicite.
12. Seleccione Microsoft Entra ID en el menú de la izquierda.
13. En Administrar, seleccione Propiedades.
14. En Administración del acceso para los recursos de Azure, seleccione Sí y luego Guardar.
15. Cierre la sesión de Azure Portal y vuelva a iniciar sesión para actualizar el acceso.
16. Seleccione Microsoft Entra ID en el menú de la izquierda.
17. En la página Información general , seleccione Eliminar inquilino. Siga las instrucciones que aparecen en pantalla para completar el proceso.

Aplicaciones (heredado)

1. Inicie sesión en Azure Portal como administrador de suscripciones. Use la misma cuenta profesional o educativa o la misma cuenta de Microsoft que ha usado para registrarse en Azure.
2. Asegúrese de que usa el directorio que contiene el inquilino de Azure AD B2C. Selecciona el icono Configuración en la barra de herramientas del portal.
3. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD B2C en la lista Nombre de directorio y seleccione Cambiar.
4. En el menú izquierdo, seleccione Azure AD B2C. O bien, seleccione Todos los servicios y busque y seleccione Azure AD B2C.
5. Elimine todos los flujos de usuario (directivas) del inquilino de Azure AD B2C.
6. Elimine todas las aplicaciones (heredadas) que registró en el inquilino de Azure AD B2C.
7. Seleccione Microsoft Entra ID en el menú de la izquierda.
8. En Administrar, seleccione Usuarios.
9. Seleccione cada usuario a su vez (excluya el usuario administrador de suscripciones que ha iniciado sesión actualmente como). Seleccione Eliminar en la parte inferior de la página y seleccione Sí cuando se le solicite.
10. En Administrar, seleccione Registros de aplicaciones.
11. Seleccione Ver todas las aplicaciones.
12. Seleccione la aplicación denominada b2c-extensions-app, seleccione Eliminar y, a continuación, seleccione Sí cuando se le solicite.
13. En Administrar, seleccione Configuración de usuario.
14. Si está presente, en Conexiones de cuentas de LinkedIn, seleccione No y, a continuación, seleccione Guardar.
15. En Administrar, seleccione Propiedades.
16. En Administración del acceso para los recursos de Azure, seleccione Sí y luego Guardar.
17. Cierre la sesión de Azure Portal y vuelva a iniciar sesión para actualizar el acceso.
18. Seleccione Microsoft Entra ID en el menú de la izquierda.
19. En la página Información general , seleccione Eliminar directorio. Siga las instrucciones que aparecen en pantalla para completar el proceso.

¿Puedo obtener Azure AD B2C como parte de Enterprise Mobility Suite?

No, Azure AD B2C es un servicio de Azure de pago por uso y no forma parte de Enterprise Mobility Suite.

¿Puedo comprar licencias de Microsoft Entra ID P1 y Microsoft Entra ID P2 para mi inquilino de Azure AD B2C?

No, los inquilinos de Azure AD B2C no usan licencias de Microsoft Entra ID P1 ni de Microsoft Entra ID P2. Azure AD B2C usa licencias Premium P1 o P2, que ya no están disponibles para su compra a partir del 1 de mayo de 2025. Son diferentes de las licencias P1 o P2 de Microsoft Entra ID para un inquilino estándar de Microsoft Entra. Los inquilinos de Azure AD B2C admiten de forma nativa algunas características similares a las características P1 o P2 de Id. de Microsoft Entra, como se explica en Características admitidas de Microsoft Entra ID.

¿Puedo usar una asignación basada en grupos para Aplicaciones empresariales de Microsoft Entra en mi inquilino de Azure AD B2C?

No, los inquilinos de Azure AD B2C no admiten la asignación basada en grupos a Aplicaciones empresariales de Microsoft Entra.

¿Azure AD B2C está disponible en Microsoft Azure Government?

No, Azure AD B2C no está disponible en Microsoft Azure Government.

Estoy usando tokens de actualización gradual para mi aplicación y obtengo un error de invalid_grant al canjear los tokens de actualización recién adquiridos dentro de su período de validez establecido. ¿Por qué ocurre esto?

Al determinar la validez de los tokens de actualización gradual, B2C considerará la hora de inicio de sesión inicial del usuario en la aplicación también para calcular la asimetría de validez del token. Si el usuario no ha cerrado la sesión de la aplicación durante mucho tiempo, este valor de asimetría superará el período de validez del token y, por tanto, por motivos de seguridad, los tokens se considerarán no válidos. Por lo tanto, el error. Informe al usuario de que realice un cierre de sesión correcto y vuelva a iniciar sesión en la aplicación y esto debe restablecer la asimetría. Este escenario no es aplicable si la puesta al día del token de actualización se establece como gradual infinita.

He revocado el token de actualización mediante InvalidateAllRefreshTokens de Microsoft Graph o Microsoft Graph PowerShell, Revoke-MgUserSignInSession. ¿Por qué Azure AD B2C sigue aceptando el token de actualización anterior?

En Azure AD B2C, si la diferencia de tiempo entre refreshTokensValidFromDateTime y refreshTokenIssuedTime es menor o igual que 5 minutos, el token de actualización todavía se considera válido. Sin embargo, si refreshTokenIssuedTime es mayor que refreshTokensValidFromDateTime, se revoca el token de actualización. Siga los pasos siguientes para comprobar si el token de actualización es válido o revocado:

1. Recupere y RefreshTokenAccessToken canjee .authorization_code

2. Espere 7 minutos.

3. Use el cmdlet de PowerShell Revoke-MgUserSignInSession o Microsoft Graph API invalidateAllRefreshTokens para ejecutar el RevokeAllRefreshToken comando.

4. Espere 10 minutos.

5. Recupere de RefreshToken nuevo.

Sugerencia

Con la directiva personalizada de Azure AD B2C, puede reducir el tiempo de asimetría mencionado anteriormente de 5 minutos (300000 milisegundos) ajustando el valor de InputParameter "TreatAsEqualIfWithinMillseconds" en el identificador de transformación de notificación "AssertRefreshTokenIssuedLaterThanValidFromDate". Esta transformación de notificación se puede encontrar en el archivo de TrustFrameworkBase.xml en el paquete de estado de la directiva personalizada más reciente.

Uso varias pestañas en un explorador web para iniciar sesión en varias aplicaciones que he registrado en el mismo inquilino de Azure AD B2C. Cuando intento realizar un cierre de sesión único, no todas las aplicaciones se cierran. ¿Por qué ocurre esto?

Actualmente, Azure AD B2C no admite el cierre de sesión único para este escenario específico. Se debe a la contención de cookies, ya que todas las aplicaciones operan en la misma cookie simultáneamente.

¿Cómo se notifica un problema con Azure AD B2C?

Consulte Solicitudes de soporte técnico de archivos para Azure Active Directory B2C.

En Azure AD B2C, revoco todas las sesiones de un usuario mediante el botón Revocar sesiones de Azure Portal, pero no funciona.

Actualmente, Azure AD B2C no admite la revocación de sesiones de usuario desde Azure Portal. Sin embargo, puede lograr esta tarea mediante Microsoft Graph PowerShell o Microsoft Graph API.

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

En esta página se responden las preguntas más frecuentes sobre Azure Active Directory B2C (Azure AD B2C). Siga comprobando si hay actualizaciones.

A partir del 1 de mayo de 2025 , Azure AD B2C ya no estará disponible para comprar nuevos clientes, pero los clientes actuales de Azure AD B2C pueden seguir usando el producto. La experiencia del producto, incluida la creación de nuevos inquilinos o flujos de usuario, permanecerá sin cambios; sin embargo, solo se pueden crear nuevos inquilinos con Azure AD B2C P1. Azure AD B2C P2 se interrumpirá el 15 de marzo de 2026 para todos los clientes. Los compromisos operativos, incluidos los acuerdos de nivel de servicio (SLA), las actualizaciones de seguridad y el cumplimiento, también permanecerán sin cambios. Seguiremos admitiendo Azure AD B2C hasta al menos mayo de 2030. Más información, incluidos los planes de migración, estarán disponibles. Póngase en contacto con su representante de cuenta para obtener más información y aprender sobre id. externa de Microsoft Entra.

Hemos lanzado nuestro producto Microsoft Entra External ID de próxima generación que combina soluciones eficaces para trabajar con personas fuera de su organización. Con las funcionalidades de identificador externo, puede permitir que las identidades externas accedan de forma segura a sus aplicaciones y recursos. Tanto si trabaja con asociados externos, consumidores o clientes empresariales, los usuarios pueden traer sus propias identidades. Estas identidades pueden oscilar entre cuentas corporativas o emitidas por el gobierno a proveedores de identidades sociales como Google o Facebook. Para obtener más información, vea Introduction to Microsoft Entra External ID (Introducción al identificador externo de Microsoft Entra).

Hay dos razones comunes por las que la extensión de Microsoft Entra no funciona para usted. Azure AD B2C requiere que el rol de usuario del directorio sea administrador global. Póngase en contacto con el administrador si cree que debe tener acceso. Si tiene privilegios de administrador global, asegúrese de que está en un directorio de Azure AD B2C y no en un directorio de Microsoft Entra. Puede ver instrucciones para crear un inquilino de Azure AD B2C.

Microsoft Entra ID y Azure AD B2C son ofertas de productos independientes. Para usar las características de Azure AD B2C, cree un inquilino de Azure AD B2C independiente del inquilino de Microsoft Entra basado en empleados existente. Un inquilino de Microsoft Entra representa una organización. Un inquilino de Azure AD B2C representa una colección de identidades que se van a usar con aplicaciones de usuario de confianza. Al agregar un nuevo proveedor de OpenID Connect en proveedores de identidades de Azure AD B2C > o con directivas personalizadas, Azure AD B2C puede federarse a Microsoft Entra ID, lo que permite la autenticación de los empleados de una organización.

Azure AD B2C no se puede usar para autenticar a los usuarios para Microsoft 365. Microsoft Entra ID es la solución de Microsoft para administrar el acceso de los empleados a las aplicaciones SaaS y tiene características diseñadas para este propósito, como licencias y acceso condicional. Azure AD B2C proporciona una plataforma de administración de identidades y acceso para crear aplicaciones web y móviles. Cuando Azure AD B2C está configurado para federarse en un inquilino de Microsoft Entra, el inquilino de Microsoft Entra administra el acceso de los empleados a las aplicaciones que dependen de Azure AD B2C.

En un inquilino de Microsoft Entra, los usuarios que pertenecen al inquilino inician sesión con una dirección de correo electrónico del formulario <xyz>@<tenant domain>. <tenant domain> es uno de los dominios comprobados del inquilino o del dominio inicial<...>.onmicrosoft.com. Este tipo de cuenta es una cuenta profesional o educativa.

En un inquilino de Azure AD B2C, la mayoría de las aplicaciones quieren que el usuario inicie sesión con cualquier dirección de correo electrónico arbitraria (por ejemplo, joe@comcast.net, bob@gmail.com, sarah@contoso.como jim@live.com). Este tipo de cuenta es una cuenta local. También se admiten nombres de usuario arbitrarios como cuentas locales (por ejemplo, joe, bob, sarah o jim). Puede elegir uno de estos dos tipos de cuenta local al configurar proveedores de identidades para Azure AD B2C en Azure Portal. En el inquilino de Azure AD B2C, seleccione Proveedores de identidades, cuenta local y, a continuación, nombre de usuario.

Las cuentas de usuario de las aplicaciones se pueden crear mediante un flujo de usuario de registro, registro o flujo de usuario de inicio de sesión, Microsoft Graph API o Azure Portal.

De forma predeterminada, cada inquilino puede alojar un total de 1,25 millones de objetos (cuentas de usuario y aplicaciones), pero puede aumentar este límite a 5,25 millones de objetos al agregar y comprobar un dominio personalizado. Si quiere aumentar este límite, póngase en contacto con el Soporte técnico de Microsoft. Sin embargo, si creó el inquilino antes de septiembre de 2022, este límite no le afecta y el inquilino conservará el tamaño que se le asignara en su creación, es decir, 50 millones de objetos.

Actualmente se admiten varios proveedores de identidades sociales, como Amazon, Facebook, GitHub (versión preliminar), Google, LinkedIn, Cuenta Microsoft (MSA), QQ (versión preliminar), X, WeChat (versión preliminar) y Weibo (versión preliminar). Se evalúa cómo agregar compatibilidad con otros proveedores de identidades sociales populares en función de la demanda del cliente.

Azure AD B2C también admite directivas personalizadas. Las directivas personalizadas le permiten crear su propia directiva para cualquier proveedor de identidades que admita OpenID Connect o SAML. Para empezar a trabajar con directivas personalizadas, consulte nuestro paquete de inicio de directivas personalizado.

No. Los ámbitos predeterminados que se usan para nuestro conjunto admitido de proveedores de identidades sociales son:

• Facebook: correo electrónico
• Google+: correo electrónico
• Cuenta Microsoft: perfil de correo electrónico openid
• Amazon: perfil
• LinkedIn: r_emailaddress, r_basicprofile

En el servidor de ADFS, ejecute: Set-AdfsProperties -SignedSamlRequestsRequired $true. Esto obligará a Azure AD B2C a firmar todas las solicitudes a ADFS.

No, puede hospedar la aplicación en cualquier lugar (en la nube o en el entorno local). Todo lo que necesita para interactuar con Azure AD B2C es la capacidad de enviar y recibir solicitudes HTTP en puntos de conexión accesibles públicamente.

Antes de abrir el servicio Azure AD B2C en Azure Portal, debe cambiar al directorio que desea administrar. Seleccione el icono Configuración del menú superior para cambiar al directorio que desea administrar en el menú Directorios y suscripciones .

Es posible que no tenga permiso para crear un inquilino de Azure AD B2C. Solo los usuarios con al menos roles de Creador de inquilinos pueden crear el inquilino.

Puede usar la característica de personalización de marca de empresa para personalizar el contenido de los correos electrónicos de verificación. En concreto, estos dos elementos del correo electrónico se pueden personalizar:

• Logotipo de banner: se muestra en la parte inferior derecha.

• Color de fondo: se muestra en la parte superior.

  

La firma de correo electrónico contiene el nombre del inquilino de Azure AD B2C que proporcionó al crear por primera vez el inquilino de Azure AD B2C. Puede cambiar el nombre mediante estas instrucciones:

1. Inicie sesión en Azure Portal como administrador global.
2. Abra la hoja Microsoft Entra ID (Id. de Entra de Microsoft ).
3. Seleccione la pestaña Propiedades.
4. Cambie el campo Nombre .
5. En la parte superior de la página, seleccione Guardar.

Actualmente, no puede cambiar el campo "From:" en el correo electrónico.

Sugerencia

Con la directiva personalizada de Azure AD B2C, puede personalizar el correo electrónico que Azure AD B2C envía a los usuarios, incluido el campo "From:" en el correo electrónico. La comprobación de correo electrónico personalizada requiere el uso de un proveedor de correo electrónico de terceros como Mailjet o SendGrid.

Puede usar Microsoft Graph API para escribir la herramienta de migración. Consulte la guía de migración de usuarios para obtener más información.

El flujo de usuario de contraseña de Azure AD B2C para las cuentas locales se basa en la directiva de Microsoft Entra ID. Los flujos de usuario de registro, registro o inicio de sesión y restablecimiento de contraseña de Azure AD B2C usan la seguridad de contraseña "segura" y no expiran ninguna contraseña. Para obtener más información, consulte Directivas y restricciones de contraseñas en Microsoft Entra ID.

Para obtener información sobre los bloqueos de cuentas y las contraseñas, consulte Mitigación de ataques de credenciales en Azure AD B2C.

No, Microsoft Entra Connect no está diseñado para trabajar con Azure AD B2C. Considere la posibilidad de usar Microsoft Graph API para la migración de usuarios. Consulte la guía de migración de usuarios para obtener más información.

Esta característica está en versión preliminar pública. Para más información, consulte Experiencia de inicio de sesión insertado.

La integración con el portal de Microsoft Dynamics 365 está disponible. Consulte Configuración del portal de Dynamics 365 para usar Azure AD B2C para la autenticación.

Azure AD B2C no está diseñado para el escenario de uso compartido de asociados externos de SharePoint; consulte Microsoft Entra B2B en su lugar.

Lea Compare solutions for External Identities (Comparar soluciones para identidades externas ) para obtener más información sobre cómo aplicar las características adecuadas a los escenarios de identidad externa.

No, Azure AD B2C no admite el mismo conjunto de informes que el id. de Entra P1 o P2 de Microsoft Entra. Sin embargo, hay muchas frecuencias:

• Los informes de inicio de sesión proporcionan un registro de cada inicio de sesión con detalles reducidos.
• Los informes de auditoría incluyen la actividad de administrador y la actividad de la aplicación.
• Los informes de uso incluyen el número de usuarios, el número de inicios de sesión y el volumen de MFA.

Después del nuevo modelo de facturación para la autenticación de teléfono SMS de identidades externas de Azure AD, puede observar un nuevo nombre en la factura. Anteriormente, el MFA telefónico se facturaba como "Azure Active Directory B2C- Basic 1 Multi-Factor Authentication". Ahora verá los siguientes nombres en función del plan de tarifa de país o región:

• Microsoft Entra Identificador Externo - Autenticación Telefónica de Bajo Costo 1 Transacción
• Id. externo de Microsoft Entra: autenticación telefónica de costo medio-bajo por 1 transacción
• Microsoft Entra ID externo - Autenticación de teléfono - Costo medio-alto de 1 transacción
• Identificación externa de Microsoft Entra: 1 transacción de alto costo de autenticación telefónica

Aunque la nueva factura menciona el identificador externo de Microsoft Entra, todavía se le factura azure AD B2C según el recuento de MAU principal.

Sí. Los usuarios finales deben descargar cualquier aplicación de autenticador que admita la comprobación de TOTP, como la aplicación Microsoft Authenticator (recomendada). Para obtener más información, consulte Métodos de comprobación.

Si los códigos de aplicación de autenticación TOTP no funcionan con su teléfono móvil o dispositivo Android o iPhone, la hora del reloj del dispositivo podría ser incorrecta. En la configuración del dispositivo, seleccione la opción para usar la hora proporcionada por la red o para establecer la hora automáticamente.

Al crear el inquilino de Azure AD B2C, si el complemento de Go-Local está disponible en su país o región, se le pedirá que lo habilite si lo necesita.

No. 50 000 MAUs gratis al mes no se aplica al habilitar el complemento de Go-Local. Incurrirá en un cargo en el complemento Go-Local desde el primer MAU. Sin embargo, seguirá disfrutando de 50 000 MAU gratis al mes en las otras características disponibles en los precios de Azure AD B2C en Premium P1 o P2.

Siga los pasos descritos en Activación de Go-Local ad-on para activar el complemento de Go-Local de Azure AD B2C.

Sí, consulte personalización de idioma. Proporcionamos traducciones para 36 idiomas y puede invalidar cualquier cadena que se adapte a sus necesidades.

Sí, puede usar su propio dominio. Para más información, consulte Dominios personalizados de Azure AD B2C.

Siga estos pasos para eliminar el inquilino de Azure AD B2C.

Puede usar nuestra nueva experiencia unificada de registros de aplicaciones o nuestra experiencia heredada de aplicaciones (heredadas ). Obtenga más información sobre la nueva experiencia.

Registros de aplicaciones

1. Inicie sesión en Azure Portal como administrador de suscripciones. Use la misma cuenta profesional o educativa o la misma cuenta de Microsoft que ha usado para registrarse en Azure.
2. Asegúrese de que usa el directorio que contiene el inquilino de Azure AD B2C. Selecciona el icono Configuración en la barra de herramientas del portal.
3. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD B2C en la lista Nombre de directorio y seleccione Cambiar.
4. En el menú izquierdo, seleccione Azure AD B2C. O bien, seleccione Todos los servicios y busque y seleccione Azure AD B2C.
5. Elimine todos los flujos de usuario (directivas) del inquilino de Azure AD B2C.
6. Elimine todos los proveedores de identidades del inquilino de Azure AD B2C.
7. Seleccione Registros de aplicaciones y, a continuación, seleccione la pestaña Todas las aplicaciones .
8. Elimine todas las aplicaciones que registró.
9. Elimine b2c-extensions-app.
10. En Administrar, seleccione Usuarios.
11. Seleccione cada usuario a su vez (excluya el usuario administrador de suscripciones que ha iniciado sesión actualmente como). Seleccione Eliminar en la parte inferior de la página y seleccione Sí cuando se le solicite.
12. Seleccione Microsoft Entra ID en el menú de la izquierda.
13. En Administrar, seleccione Propiedades.
14. En Administración del acceso para los recursos de Azure, seleccione Sí y luego Guardar.
15. Cierre la sesión de Azure Portal y vuelva a iniciar sesión para actualizar el acceso.
16. Seleccione Microsoft Entra ID en el menú de la izquierda.
17. En la página Información general , seleccione Eliminar inquilino. Siga las instrucciones que aparecen en pantalla para completar el proceso.

Aplicaciones (heredado)

1. Inicie sesión en Azure Portal como administrador de suscripciones. Use la misma cuenta profesional o educativa o la misma cuenta de Microsoft que ha usado para registrarse en Azure.
2. Asegúrese de que usa el directorio que contiene el inquilino de Azure AD B2C. Selecciona el icono Configuración en la barra de herramientas del portal.
3. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD B2C en la lista Nombre de directorio y seleccione Cambiar.
4. En el menú izquierdo, seleccione Azure AD B2C. O bien, seleccione Todos los servicios y busque y seleccione Azure AD B2C.
5. Elimine todos los flujos de usuario (directivas) del inquilino de Azure AD B2C.
6. Elimine todas las aplicaciones (heredadas) que registró en el inquilino de Azure AD B2C.
7. Seleccione Microsoft Entra ID en el menú de la izquierda.
8. En Administrar, seleccione Usuarios.
9. Seleccione cada usuario a su vez (excluya el usuario administrador de suscripciones que ha iniciado sesión actualmente como). Seleccione Eliminar en la parte inferior de la página y seleccione Sí cuando se le solicite.
10. En Administrar, seleccione Registros de aplicaciones.
11. Seleccione Ver todas las aplicaciones.
12. Seleccione la aplicación denominada b2c-extensions-app, seleccione Eliminar y, a continuación, seleccione Sí cuando se le solicite.
13. En Administrar, seleccione Configuración de usuario.
14. Si está presente, en Conexiones de cuentas de LinkedIn, seleccione No y, a continuación, seleccione Guardar.
15. En Administrar, seleccione Propiedades.
16. En Administración del acceso para los recursos de Azure, seleccione Sí y luego Guardar.
17. Cierre la sesión de Azure Portal y vuelva a iniciar sesión para actualizar el acceso.
18. Seleccione Microsoft Entra ID en el menú de la izquierda.
19. En la página Información general , seleccione Eliminar directorio. Siga las instrucciones que aparecen en pantalla para completar el proceso.

No, Azure AD B2C es un servicio de Azure de pago por uso y no forma parte de Enterprise Mobility Suite.

No, los inquilinos de Azure AD B2C no usan licencias de Microsoft Entra ID P1 ni de Microsoft Entra ID P2. Azure AD B2C usa licencias Premium P1 o P2, que ya no están disponibles para su compra a partir del 1 de mayo de 2025. Son diferentes de las licencias P1 o P2 de Microsoft Entra ID para un inquilino estándar de Microsoft Entra. Los inquilinos de Azure AD B2C admiten de forma nativa algunas características similares a las características P1 o P2 de Id. de Microsoft Entra, como se explica en Características admitidas de Microsoft Entra ID.

No, los inquilinos de Azure AD B2C no admiten la asignación basada en grupos a Aplicaciones empresariales de Microsoft Entra.

No, Azure AD B2C no está disponible en Microsoft Azure Government.

Al determinar la validez de los tokens de actualización gradual, B2C considerará la hora de inicio de sesión inicial del usuario en la aplicación también para calcular la asimetría de validez del token. Si el usuario no ha cerrado la sesión de la aplicación durante mucho tiempo, este valor de asimetría superará el período de validez del token y, por tanto, por motivos de seguridad, los tokens se considerarán no válidos. Por lo tanto, el error. Informe al usuario de que realice un cierre de sesión correcto y vuelva a iniciar sesión en la aplicación y esto debe restablecer la asimetría. Este escenario no es aplicable si la puesta al día del token de actualización se establece como gradual infinita.

En Azure AD B2C, si la diferencia de tiempo entre refreshTokensValidFromDateTime y refreshTokenIssuedTime es menor o igual que 5 minutos, el token de actualización todavía se considera válido. Sin embargo, si refreshTokenIssuedTime es mayor que refreshTokensValidFromDateTime, se revoca el token de actualización. Siga los pasos siguientes para comprobar si el token de actualización es válido o revocado:

1. Recupere y RefreshTokenAccessToken canjee .authorization_code

2. Espere 7 minutos.

3. Use el cmdlet de PowerShell Revoke-MgUserSignInSession o Microsoft Graph API invalidateAllRefreshTokens para ejecutar el RevokeAllRefreshToken comando.

4. Espere 10 minutos.

5. Recupere de RefreshToken nuevo.

Sugerencia

Con la directiva personalizada de Azure AD B2C, puede reducir el tiempo de asimetría mencionado anteriormente de 5 minutos (300000 milisegundos) ajustando el valor de InputParameter "TreatAsEqualIfWithinMillseconds" en el identificador de transformación de notificación "AssertRefreshTokenIssuedLaterThanValidFromDate". Esta transformación de notificación se puede encontrar en el archivo de TrustFrameworkBase.xml en el paquete de estado de la directiva personalizada más reciente.

Actualmente, Azure AD B2C no admite el cierre de sesión único para este escenario específico. Se debe a la contención de cookies, ya que todas las aplicaciones operan en la misma cookie simultáneamente.

Consulte Solicitudes de soporte técnico de archivos para Azure Active Directory B2C.

Actualmente, Azure AD B2C no admite la revocación de sesiones de usuario desde Azure Portal. Sin embargo, puede lograr esta tarea mediante Microsoft Graph PowerShell o Microsoft Graph API.