Condividi tramite

Gestire Azure AD B2C con Microsoft Graph

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Microsoft Graph consente di gestire le risorse nella directory di Azure AD B2C. Le operazioni seguenti dell'API Microsoft Graph sono supportate per la gestione delle risorse di Azure AD B2C, inclusi utenti, provider di identità, flussi utente, criteri personalizzati e chiavi dei criteri. Ogni collegamento nelle sezioni seguenti punta alla pagina corrispondente all'interno della documentazione di riferimento dell'API Microsoft Graph per tale operazione.

Annotazioni

È anche possibile creare una directory di Azure AD B2C a livello di codice, insieme alla risorsa di Azure corrispondente collegata a una sottoscrizione di Azure. Questa funzionalità non viene esposta tramite l'API Microsoft Graph, ma tramite l'API REST di Azure. Per altre informazioni, vedere Creare tenant B2C.

Prerequisiti

  • Per usare l'API Microsoft Graph e interagire con le risorse nel tenant di Azure AD B2C, è necessaria una registrazione dell'applicazione che concede le autorizzazioni a tale scopo. Seguire la procedura descritta nell'articolo Registrare un'applicazione Microsoft Graph per creare una registrazione dell'applicazione che può essere usata dall'applicazione di gestione.

Gestione degli utenti

Annotazioni

Azure AD B2C attualmente non supporta funzionalità di query avanzate sugli oggetti directory. Ciò significa che non è disponibile alcun supporto per i parametri di query $count e $search e per gli operatori Not (not), Not equals (ne) ed Ends with (endsWith) nel parametro di query $filter. Per altre informazioni, vedere Parametri di query in Microsoft Graph e funzionalità di query avanzate in Microsoft Graph.

Migrazione utente

Guardare questo video per informazioni su come gestire la migrazione degli utenti ad Azure AD B2C usando l'API Microsoft Graph.

Gestione dei numeri di telefono utente

Numero di telefono che può essere usato da un utente per accedere tramite SMS o chiamate vocali o l'autenticazione a più fattori. Per altre informazioni, vedere API dei metodi di autenticazione di Microsoft Entra.

Nota, l'operazione di elenco restituisce solo numeri di telefono abilitati. Il numero di telefono seguente deve essere abilitato per l'uso con le operazioni di elenco.

Annotazioni

Un numero di telefono rappresentato correttamente viene archiviato con uno spazio tra il codice paese e il numero di telefono. Il servizio Azure AD B2C attualmente non aggiunge questo spazio per impostazione predefinita.

Screenshot della pagina Metodi di autenticazione per un utente di esempio dal portale di Azure. La casella di testo per il numero di telefono è evidenziata.

Indirizzo e-mail per la reimpostazione della password self-service

Indirizzo di posta elettronica che può essere usato da un account di accesso con nome utente per reimpostare la password. Per altre informazioni, vedere API dei metodi di autenticazione di Microsoft Entra.

Metodo di autenticazione con token OATH software

Un token OATH software è un generatore di numeri basato su software che usa lo standard OATH basato su password monouso (TOTP) per l'autenticazione a più fattori tramite un'app di autenticazione. Usare l'API Microsoft Graph per gestire un token OATH software registrato a un utente:

Fornitori di identità

Gestire i provider di identità disponibili per i flussi utente nel tenant di Azure AD B2C.

Flusso utente (beta)

Configurare i criteri predefiniti per l'iscrizione, l'accesso, l'iscrizione combinata e l'accesso, la reimpostazione della password e l'aggiornamento del profilo.

Metodi di autenticazione del flusso utente (beta)

Scegliere un meccanismo per consentire agli utenti di registrarsi tramite account locali. Un account locale è un account in cui Azure AD B2C completa l'asserzione di identità. Per altre informazioni, vedere b2cAuthenticationMethodsPolicy resource type (Tipo di risorsa b2cAuthenticationMethodsPolicy).

Criteri personalizzati (beta)

Le operazioni seguenti consentono di gestire i criteri di Azure AD B2C Trust Framework, noti come criteri personalizzati.

Chiavi dei criteri (beta)

Il framework dell'esperienza di gestione delle identità archivia i segreti a cui si fa riferimento in un criterio personalizzato per stabilire un trust tra i componenti. Questi segreti possono essere chiavi/valori simmetrici o asimmetrici. Nel portale di Azure queste entità vengono visualizzate come chiavi dei criteri.

La risorsa di primo livello per le chiavi dei criteri nell’API Microsoft Graph è il keyset del framework attendibilità. Ogni keyset contiene almeno una chiave. Per creare una chiave, creare prima un keyset vuoto e quindi generare una chiave nel keyset. È possibile creare un segreto manuale, caricare un certificato o una chiave PKCS12. La chiave può essere un segreto generato, una stringa (ad esempio il segreto dell'applicazione Facebook) o un certificato caricato. Se un keyset ha più chiavi, solo una delle chiavi è attiva.

Set di chiavi delle policy del Trust Framework

Chiave politica del Trust Framework

Applicazioni

Proprietà dell’estensione dell’applicazione (estensione della directory)

Le proprietà dell’estensione dell’applicazione sono note anche come directory o estensioni di Microsoft Entra. Per gestirli in Azure AD B2C, usare il tipo di risorsa identityUserFlowAttribute e i relativi metodi associati.

È possibile archiviare fino a 100 valori di estensione della directory per utente. Per gestire le proprietà dell'estensione della directory per un utente, usare le API utente seguenti in Microsoft Graph.

  • Aggiornare l’utente: per scrivere o rimuovere il valore della proprietà dell’estensione della directory dall’oggetto utente.
  • Ottenere un utente: per recuperare il valore dell’estensione della directory per l’utente. Per impostazione predefinita, la proprietà verrà restituita tramite l’endpoint beta, ma solo in $select tramite l’endpoint v1.0.

Per i flussi utente, queste proprietà di estensione vengono gestite tramite il portale di Azure. Per i criteri personalizzati, Azure AD B2C crea automaticamente la proprietà la prima volta che il criterio scrive un valore nella proprietà dell’estensione.

Annotazioni

In Microsoft Entra ID le estensioni della directory vengono gestite tramite il tipo di risorsa extensionProperty e i relativi metodi associati. Tuttavia, poiché vengono usati in B2C tramite l'app b2c-extensions-app che non deve essere aggiornata, vengono gestiti in Azure AD B2C usando il tipo di risorsa identityUserFlowAttribute e i relativi metodi associati.

Utilizzare il tenant

Utilizzare l’API Ottenere i dettagli dell’organizzazione per ottenere la quota delle dimensioni della directory. È necessario aggiungere il $select parametro di query come illustrato nella richiesta HTTP seguente:

GET https://graph.microsoft.com/v1.0/organization/organization-id?$select=directorySizeQuota

Sostituire organization-id con l'ID dell'organizzazione o del tenant.

La risposta alla richiesta precedente è simile al frammento JSON seguente:

{
    "directorySizeQuota": {
        "used": 156,
        "total": 1250000
    }
}

Registri di audit

Per altre informazioni sull'accesso ai log di controllo di Azure AD B2C, vedere Accesso ai log di controllo di Azure AD B2C.

Accesso condizionale

Recuperare o ripristinare utenti e applicazioni eliminati

Gli utenti e le app eliminati possono essere ripristinati solo se sono stati eliminati negli ultimi 30 giorni.

Come gestire Microsoft Graph a livello di codice

È possibile gestire Microsoft Graph in due modi:

  • Autorizzazioni delegate a cui l'utente o un amministratore acconsentono quando l'app richiede le autorizzazioni. L'app viene delegata con l'autorizzazione ad agire come utente connesso quando effettua chiamate alla risorsa di destinazione.
  • Le autorizzazioni dell'applicazione vengono usate dalle app che non richiedono un utente connesso presente. Per questo motivo, solo gli amministratori possono fornire il consenso alle autorizzazioni dell'applicazione.

Annotazioni

Le autorizzazioni delegate per gli utenti che accedono tramite flussi utente o criteri personalizzati non possono essere usate per le autorizzazioni delegate per l'API Microsoft Graph.

Contenuti correlati