Modifier

Azure AD B2C : Forum Aux Questions (FAQ)

  • FAQ

Cette page répond aux questions fréquemment posées sur Azure Active Directory B2C (Azure AD B2C). N'hésitez pas à la consulter pour vous tenir au courant des mises à jour.

Préversion Microsoft Entra External ID

Qu’est-ce que Microsoft Entra External ID ?

Nous avons annoncé une version bêta de notre solution nouvelle génération Microsoft Entra External ID. Cette version bêta représente une étape évolutive dans l’unification d’expériences sécurisées et attrayantes entre toutes les identités externes, y compris les partenaires, les clients, les citoyens, les patients et autres au sein d’une plateforme intégrée unique. Pour plus d’informations sur la préversion, consultez Qu’est-ce que ID externe Microsoft Entra pour les clients ?.

Dans quelle mesure cette préversion m’affecte-t-elle ?

Aucune action n’est requise de votre part pour le moment. La plateforme de nouvelle génération est actuellement en version bêta uniquement. Nous restons entièrement engagés à prendre en charge votre solution Azure AD B2C actuelle. Aucune exigence n’est requise pour la migration des clients Azure AD B2C à l’heure actuelle et aucun plan d’interruption du service Azure AD B2C actuel. À mesure que la plateforme de nouvelle génération approche de la disponibilité générale, les détails seront mis à la disposition de tous nos clients B2C sur les options disponibles, y compris la migration vers la nouvelle plateforme.

Comment faire pour participer à la préversion ?

Étant donné que la plateforme de nouvelle génération représente notre avenir pour la gestion des identités et des accès des clients (CIAM), nous vous encourageons à participer et à nous faire part de vos commentaires lors de la version bêta. Si vous souhaitez rejoindre la préversion, contactez votre équipe commerciale pour plus d’informations.

Général

Pourquoi ne puis-je pas accéder à l’extension Azure AD B2C sur le Portail Azure ?

Si l’extension Microsoft Entra ne fonctionne pas pour vous, il peut y avoir deux raisons courantes à cela. Votre rôle utilisateur dans le répertoire doit être administrateur général pour Azure AD B2C. Contactez votre administrateur si vous pensez que vous devriez y avoir accès. Si vous disposez de privilèges Administrateur général, vérifiez que vous vous trouvez dans un annuaire Azure AD B2C et non un répertoire Microsoft Entra. Vous trouverez ici des instructions pour créer un locataire Azure AD B2C.

Puis-je utiliser les fonctionnalités d’Azure AD B2C dans mon client Microsoft Entra existant, basé sur les employés ?

Microsoft Entra ID et Azure AD B2C sont deux offres de produits distinctes. Pour utiliser les fonctionnalités Azure AD B2C, vous devez créer un locataire Azure AD B2C distinct de votre locataire Microsoft Entra existant basé sur les employés. Un locataire Microsoft Entra représente une organisation. Un locataire Azure AD B2C représente une collection d’identités à utiliser avec des applications par partie de confiance. En ajoutant un Nouveau fournisseur OpenID Connect sous Azure AD B2C > Fournisseurs d’identité ou avec des stratégies personnalisées, Azure AD B2C peut fédérer pour Microsoft Entra ID en autorisant l’authentification des employés dans une organisation.

Puis-je utiliser Azure AD B2C pour activer la connexion à des réseaux sociaux (Facebook et Google+) dans Microsoft 365 ?

Vous ne pouvez pas utiliser Azure AD B2C pour authentifier les utilisateurs pour Microsoft 365. Microsoft Entra ID est la solution Microsoft permettant de gérer l’accès des employés aux applications SaaS. Elle présente des fonctionnalités conçues à cet effet, telles que l’accès conditionnel et la gestion des licences. Azure AD B2C fournit une plateforme de gestion des identités et des accès pour la création d’applications web et mobiles. Quand Azure AD B2C est configuré pour établir la fédération avec un locataire Microsoft Entra, le locataire Microsoft Entra gère l’accès des employés aux applications qui s’appuient sur Azure AD B2C.

Que sont les comptes locaux dans Azure AD B2C ? En quoi sont-ils différents des comptes professionnels ou scolaires dans Microsoft Entra ID ?

Dans un locataire Microsoft Entra, les utilisateurs qui appartiennent au locataire se connectent avec une adresse e-mail au format <xyz>@<tenant domain>. Le <tenant domain> est l’un des domaines vérifiés dans le locataire ou le domaine <...>.onmicrosoft.com initial. Ce type de compte est un compte professionnel ou scolaire.

Dans un client Azure AD B2C, la plupart des applications veulent que l’utilisateur se connecte avec n’importe quelle adresse e-mail arbitraire (par exemple, joe@comcast.net, bob@gmail.com, sarah@contoso.com ou jim@live.com). Ce type de compte est un compte local. Nous prenons également en charge les noms d’utilisateur arbitraires en tant que comptes locaux (par exemple joe, bob, sarah ou jim). Vous pourrez choisir entre ces deux types de comptes locaux pendant la configuration des fournisseurs d’identité pour Azure AD B2C sur le Portail Azure. Dans votre client Azure AD B2C, sélectionnez Fournisseurs d’identité, Compte local, puis Nom d’utilisateur.

Les comptes d’utilisateur des applications peuvent être créés par le biais d’un flux d’utilisateur d’inscription ou de connexion, de l’API Microsoft Graph ou sur le portail Azure.

Combien d’utilisateurs un locataire Azure AD B2C peut-il prendre en charge ?

  • Par défaut, chaque locataire peut prendre en charge un total de 1,25 millions d’objets (comptes d’utilisateur et applications), mais vous pouvez augmenter cette limite à 5,25 millions d’objets lorsque vous ajoutez et vérifiez un domaine personnalisé. Si vous souhaitez augmenter cette limite, contactez le support Microsoft. Toutefois, si vous avez créé votre locataire avant septembre 2022, cette limite ne vous affecte pas, et votre locataire conservera la taille qui lui est affectée lors de la création, soit 50 millions d’objets.

Quels fournisseurs d’identité sociaux prenez-vous en charge maintenant ? Lesquels envisagez-vous de prendre en charge à l'avenir ?

Nous prenons actuellement en charge plusieurs fournisseurs d’identité sociale, notamment Amazon, Facebook, GitHub (préversion), Google, LinkedIn, compte Microsoft (MSA), QQ (préversion), Twitter, WeChat (préversion) et Weibo (préversion). Nous envisageons d’ajouter la prise en charge d’autres fournisseurs d’identité sociale populaires en fonction de la demande des clients.

Azure AD B2C prend également en charge les stratégies personnalisées. Les stratégies personnalisées vous permettent de créer votre propre stratégie pour tous les fournisseurs d’identité qui prennent en charge OpenID Connect ou SAML. Bien démarrer avec les stratégies personnalisées en consultant notre pack de démarrage des stratégies personnalisées.

Puis-je configurer des étendues pour collecter plus d’informations sur les clients depuis différents fournisseurs d’identité sociaux ?

Non. Les étendues par défaut utilisées pour notre jeu de fournisseurs d'identité sociaux pris en charge sont :

  • Facebook : e-mail
  • Google+ : e-mail
  • Compte Microsoft : profil de messagerie openid
  • Amazon : profil
  • LinkedIn : r_emailaddress, r_basicprofile

J’utilise ADFS comme fournisseur d’identité dans Azure AD B2C. Lorsque j’essaie de lancer une demande de déconnexion à partir d’Azure AD B2C, ADFS affiche l’erreur *MSIS7084 : Les messages de demande de déconnexion et de réponse à une déconnexion SAML doivent être signés lors de l’utilisation de la redirection HTTP SAML ou de la liaison HTTP POST*. Comment faire pour résoudre ce problème ?

Sur le serveur ADFS, exécutez : Set-AdfsProperties -SignedSamlRequestsRequired $true. Cette opération force Azure AD B2C à signer toutes les demandes adressées à ADFS.

Mon application doit-elle être exécutée sous Azure pour fonctionner avec Azure AD B2C ?

Non, vous pouvez héberger votre application n'importe où (dans le cloud ou sur site). Pour interagir avec Azure AD B2C, il suffit qu’elle puisse envoyer et recevoir des requêtes HTTP sur les points de terminaison accessibles publiquement.

Je dispose de plusieurs locataires Azure AD B2C. Comment puis-je les gérer sur le portail Azure ?

Avant d’ouvrir le service Azure AD B2C sur le portail Azure, vous devez basculer dans le répertoire que vous souhaitez gérer. Sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers le répertoire que vous souhaitez gérer à partir du menu Répertoires + abonnements.

Pourquoi ne puis-je pas créer un locataire Azure AD B2C ?

Il est possible que vous n’ayez pas l’autorisation de créer un locataire Azure AD B2C. Seuls les utilisateurs ayant les rôles Administrateur général ou Créateur de locataire peuvent créer le locataire. Vous devez contacter votre Administrateur général.

Comment puis-je personnaliser les e-mails de vérification (le contenu et le champ « De: ») envoyés par Azure AD B2C ?

Vous pouvez utiliser la fonctionnalité de personnalisation de la société pour personnaliser le contenu des e-mails de vérification. Plus précisément, ces deux éléments du message peuvent être personnalisés :

  • Logo de bannière : affiché en bas à droite.

  • Couleur d’arrière-plan : affiché en haut.

    Screenshot of a customized verification email

La signature d’e-mail contient le nom du client Azure AD B2C que vous avez fourni lors de la création du client Azure AD B2C. Vous pouvez modifier le nom à l’aide de ces instructions :

  1. Connectez-vous au portail Azure en tant qu’administrateur général.
  2. Ouvrez le panneau Microsoft Entra ID.
  3. Sélectionnez l’onglet Propriétés.
  4. Changez le champ Nom.
  5. En haut de la page, sélectionnez Enregistrer.

Il n’est pas possible actuellement de modifier le champ « De : » de l’e-mail.

Conseil

Avec la stratégie personnalisée Azure AD B2C, vous pouvez personnaliser le message électronique qu’Azure AD B2C envoie aux utilisateurs, notamment le champ « De : » de l’e-mail. La vérification d’e-mails personnalisée nécessite l’utilisation d’un fournisseur d’e-mails tiers tel que Mailjet, SendGrid ou SparkPost.

Comment puis-je migrer mes noms d’utilisateur, mots de passe et profils existants à partir de ma base de données vers Azure AD B2C ?

Vous pouvez utiliser l’API Microsoft Graph pour écrire l’outil de migration. Consultez le guide de migration des utilisateurs pour plus d’informations.

Quel flux d’utilisateur de mot de passe est utilisé pour les comptes locaux dans Azure AD B2C ?

Le flux d’utilisateur de mot de passe Azure AD B2C pour les comptes locaux est basé sur la stratégie pour Microsoft Entra ID. Les flux d’utilisateur de réinitialisation du mot de passe, d’inscription ou de connexion et d’inscription Azure AD B2C utilisent des mots de passe « forts » et qui n’expirent pas. Pour plus d’informations, consultez l’article Stratégies de mot de passe et restrictions de compte dans Microsoft Entra ID.

Pour plus d’informations sur les verrouillages de comptes et les mots de passe, consultez Atténuation des attaques d’informations d’identification dans Azure AD B2C.

Puis-je utiliser Microsoft Entra Connect pour migrer les identités de clients stockées dans mon répertoire Active Directory local vers Azure AD B2C ?

Non, Microsoft Entra Connect n’est pas conçu pour fonctionner avec Azure AD B2C. Vous pouvez envisager d’utiliser l’API Microsoft Graph pour la migration des utilisateurs. Consultez le guide de migration des utilisateurs pour plus d’informations.

Mon application peut-elle ouvrir des pages Azure Active Directory B2C dans un iFrame ?

Cette fonctionnalité est en version préliminaire publique. Pour plus d’informations, consultez expérience de connexion incorporée.

Azure AD B2C fonctionne-t-il avec les systèmes CRM, tels que Microsoft Dynamics ?

L’intégration avec le portail Microsoft Dynamics 365 est disponible. Consultez Configuration du portail Dynamics 365 pour utiliser Azure AD B2C pour l’authentification .

Azure AD B2C fonctionne-t-il avec SharePoint localement 2016 ou version antérieure ?

Azure AD B2C n’est pas conçu pour le scénario de partage partenaire externe SharePoint ; consultez plutôt cet article sur Microsoft Entra B2B.

Dois-je utiliser Azure AD B2C ou B2B pour gérer les identités externes ?

Lisez Comparer des solutions relatives aux External Identities pour en savoir plus sur l’application des fonctionnalités appropriées à vos scénarios d’identités externes.

Quelles sont les fonctionnalités de création de rapports et d’audit proposées par Azure AD B2C ? Sont-ils les mêmes que dans Microsoft Entra ID P1 ou P2 ?

Non, Azure AD B2C ne prend pas en charge le même ensemble de rapports que Microsoft Entra ID P1 ou P2. Toutefois, de nombreux points communs existent :

  • Les rapports de connexion donnent un enregistrement de chaque connexion avec peu de détails.
  • Les rapports d’audit comportent les activités d’administration et d’application.
  • Les rapports d’utilisation comprennent le nombre d’utilisateurs, le nombre de connexions et le volume de MFA.

Les utilisateurs finaux peuvent-ils utiliser un mot de passe à usage unique (TOTP) basé sur l’heure avec une application d’authentification pour s’authentifier auprès de mon application Azure AD B2C ?

Oui. Les utilisateurs finaux doivent télécharger une application d’authentification qui prend en charge la vérification TOTP, telle que l’application Microsoft Authenticator (recommandé). Pour plus d’informations, consultez les méthodes de vérification.

Pourquoi mes codes d’application de l’authentificateur TOTP ne fonctionnent-ils pas ?

Si les codes d’application de l’authentificateur TOTP ne fonctionnent pas avec votre téléphone mobile ou appareil Android ou iPhone, le temps d’horloge de votre appareil peut être incorrect. Dans les paramètres de votre appareil, sélectionnez l’option permettant d’utiliser l’heure fournie par le réseau ou de définir l’heure automatiquement.

Comment savoir si le module complémentaire Go-Local est disponible dans mon pays/ma région ?

Lors de la création de votre tenant (locataire) Azure AD B2C, si le module complémentaire Go-Local est disponible dans votre pays/région, vous êtes invité à l’activer si vous en avez besoin.

Est-ce que je reçois toujours 50 000 unités de contrôle d’accès gratuites par mois sur le module complémentaire Go-Local lorsque je l’active ?

Non. La limite de 50 000 utilisateurs actifs mensuels gratuits par mois ne s’applique pas lorsque vous activez le module complémentaire Go-Local. Des frais vous sont facturés pour le module complémentaire Go-Local dès le premier utilisateur actif mensuel. Toutefois, vous continuerez à bénéficier de 50 000 utilisateurs actifs mensuels gratuits par mois sur les autres fonctionnalités disponibles sur votre tarification Azure AD B2C Premium P1 ou P2.

J’ai un locataire Azure AD B2C existant au Japon ou en Australie qui n’a pas de module complémentaire Go-Local activé. Comment activer ce module complémentaire ?

Suivez les étapes décrites dans Activer le module complémentaire Go-Local pour activer le module complémentaire Go-Local Azure AD B2C.

Puis-je localiser l'interface utilisateur des pages présentées par Azure AD B2C ? Quelles sont les langues prises en charge ?

Oui, la localisation est possible. Consultez Personnalisation de la langue. Nous fournissons des traductions en 36 langues, et vous pouvez remplacer n’importe quelle chaîne pour l’adapter à vos besoins.

Puis-je utiliser mes propres URL dans les pages d’inscription et de connexion présentées par Azure AD B2C ? Par exemple, puis-je remplacer l’URL contoso.b2clogin.com par login.contoso.com ?

Oui, vous pouvez utiliser votre propre domaine. Pour plus d’informations, consultez Domaines personnalisés Azure AD B2C.

Comment supprimer mon client Azure AD B2C ?

Procédez comme suit pour supprimer votre locataire Azure AD B2C.

Vous pouvez utiliser notre nouvelle expérience unifiée Inscriptions d’applications ou notre expérience héritée Applications (héritées). En savoir plus sur la nouvelle expérience.

  1. Connectez-vous au Portail Azure en tant qu’administrateur d’abonnements. Utilisez le compte professionnel ou scolaire ou le compte Microsoft que vous avez utilisé pour vous inscrire à Azure.
  2. Veillez à bien utiliser l’annuaire qui contient votre locataire Azure AD B2C. Sélectionnez l’icône Paramètres dans la barre d’outils du portail.
  3. Sur la page Paramètres du portail | Répertoires + abonnements, recherchez votre répertoire AD B2C Azure dans la liste Nom de répertoire, puis sélectionnez Basculer.
  4. Dans le menu de gauche, sélectionnez Azure AD B2C. Ou sélectionnez Tous les services, puis recherchez et sélectionnez Azure AD B2C.
  5. Supprimez tous les flux d’utilisateurs (stratégies) dans votre locataire Azure AD B2C.
  6. Supprimez tous les Fournisseurs d’identité dans votre locataire Azure AD B2C.
  7. Sélectionnez Inscriptions d’applications, puis sélectionnez l’onglet Toutes les applications.
  8. Supprimez toutes les applications que vous avez inscrites.
  9. Supprimez l’application b2c-extensions-app.
  10. Sous Gérer, sélectionnez Utilisateurs.
  11. Sélectionnez chaque utilisateur tour à tour (excluez l’utilisateur Administrateur d’abonnement sous lequel vous êtes connecté actuellement). Sélectionnez Supprimer en bas de la page, puis Oui lorsque vous y êtes invité.
  12. Sélectionnez Microsoft Entra ID dans le menu de gauche.
  13. Sous Gérer, sélectionnez Propriétés.
  14. Sous Gestion de l’accès pour les ressources Azure, sélectionnez Oui, puis Enregistrer.
  15. Déconnectez-vous du portail Microsoft Azure, puis reconnectez-vous pour actualiser votre accès.
  16. Sélectionnez Microsoft Entra ID dans le menu de gauche.
  17. Dans la page Vue d’ensemble, sélectionnez Supprimer le locataire. Suivez les instructions à l’écran pour achever le processus.

Puis-je obtenir Azure AD B2C dans le cadre d’Enterprise Mobility Suite ?

Non, Azure AD B2C est un service Azure avec paiement à l’utilisation et ne fait pas partie d’Enterprise Mobility Suite.

Puis-je acheter Microsoft Entra licence P1 et ID Microsoft Entra P2 pour mon locataire Azure AD B2C ?

Non, les locataires Azure AD B2C n’utilisent pas Microsoft Entra licence ID P1 ou Microsoft Entra ID P2. Azure AD B2C utilise des licences Azure AD B2C Premium P1 ou P2, qui sont différentes des licences Microsoft Entra ID P1 ou P2 d’un locataire Microsoft Entra Standard. Les locataires Azure AD B2C prennent en charge en mode natif certaines fonctionnalités similaires aux fonctionnalités Microsoft Entra ID P1 ou P2, comme expliqué dans Fonctionnalités de Microsoft Entra ID prises en charge.

Est-ce que je peux utiliser l’affectation basée sur les groupes pour les applications d’entreprise Microsoft Entra dans mon locataire Azure AD B2C ?

Non, les locataires Azure AD B2C ne prennent pas en charge l’affectation basée sur les groupes dans les applications d’entreprise Microsoft Entra.

Quelles fonctionnalités d’Azure AD B2C ne sont pas disponibles dans Microsoft Azure Government ?

Les fonctionnalités AD B2C suivantes sont actuellement indisponibles dans Microsoft Azure Government :

  • Connecteurs d’API
  • Accès conditionnel

J’ai révoqué le jeton d’actualisation avec le cmdlet Microsoft Graph invalidateAllRefreshTokens, ou le cmdlet PowerShell Microsoft Graph Revoke-mgUserSignInSession. Pourquoi Azure AD B2C accepte-t-il encore l’ancien jeton d’actualisation ?

Dans Azure AD B2C, si la différence d’heure entre refreshTokensValidFromDateTime et refreshTokenIssuedTime est inférieure ou égale à 5 minutes, le jeton d’actualisation est toujours considéré valide. Toutefois, si refreshTokenIssuedTime est supérieur à refreshTokensValidFromDateTime, le jeton d’actualisation est révoqué. Suivez les étapes suivantes pour vérifier si le jeton d’actualisation est valide ou révoqué :

  1. Récupérez RefreshToken et AccessToken en utilisant authorization_code.

  2. Patientez 7 minutes.

  3. Utilisez le cmdlet PowerShell Microsoft Graph Revoke-MgUserSignInSession ou l’API Microsoft Graph invalidateAllRefreshTokens pour exécuter la commande RevokeAllRefreshToken.

  4. Patientez 10 minutes.

  5. Récupérez une nouvelle fois RefreshToken.

J’utilise plusieurs onglets dans un navigateur web pour me connecter à diverses applications que j’ai inscrites dans le même tenant Azure AD B2C. Lorsque j’essaie d’effectuer une déconnexion unique, les applications ne sont pas toutes déconnectées. Pourquoi cela se produit-il ?

Actuellement, Azure AD B2C ne prend pas en charge la déconnexion unique pour ce scénario spécifique. Cela est dû à la contention de cookies, car toutes les applications fonctionnent simultanément sur le même cookie.

Comment signaler des problèmes avec Azure AD B2C ?

Consultez Azure Active Directory B2C : dépôt de demandes de support.

Dans Azure AD B2C, je révoque toutes les sessions d’un utilisateur à l’aide du bouton Révoquer des sessions des portails Azure, mais cela ne fonctionne pas.

Actuellement, Azure AD B2C ne prend pas en charge la révocation de sessions utilisateur à partir du Portail Azure. Cependant, vous pouvez accomplir cette tâche en utilisant Microsoft Graph PowerShell ou l’API Microsoft Graph.