Delen via

Azure AD B2C beheren met Microsoft Graph

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

Met Microsoft Graph kunt u resources beheren in uw Azure AD B2C-directory. De volgende Microsoft Graph API-bewerkingen worden ondersteund voor het beheer van Azure AD B2C-resources, waaronder gebruikers, id-providers, gebruikersstromen, aangepaste beleidsregels en beleidssleutels. Elke koppeling in de volgende secties is gericht op de bijbehorende pagina in de Microsoft Graph API-verwijzing voor die bewerking.

Notitie

U kunt ook programmatisch een Azure AD B2C-directory zelf maken, samen met de bijbehorende Azure-resource die is gekoppeld aan een Azure-abonnement. Deze functionaliteit wordt niet weergegeven via de Microsoft Graph API, maar via de Azure REST API. Zie B2C-huurders - Maken voor meer informatie.

Vereiste voorwaarden

  • Als u MS Graph API wilt gebruiken en wilt communiceren met resources in uw Azure AD B2C-tenant, hebt u een toepassingsregistratie nodig waarmee de machtigingen hiervoor worden verleend. Volg de stappen in het artikel Een Microsoft Graph-toepassing registreren om een toepassingsregistratie te maken die door uw beheertoepassing kan worden gebruikt.

Gebruikersbeheer

Notitie

Azure AD B2C biedt momenteel geen ondersteuning voor geavanceerde querymogelijkheden voor mapobjecten. Dit betekent dat er geen ondersteuning is voor $count, $search queryparameters en Not (not), Niet gelijk aan (ne) en Eindigt met (endsWith) operators in $filter queryparameter. Zie queryparameters in Microsoft Graph en geavanceerde querymogelijkheden in Microsoft Graph voor meer informatie.

Gebruikersmigratie

Bekijk deze video om te leren hoe gebruikersmigratie naar Azure AD B2C kan worden beheerd met behulp van Microsoft Graph API.

Beheer van telefoonnummers van gebruikers

Een telefoonnummer dat door een gebruiker kan worden gebruikt om zich aan te melden met sms- of spraakoproepen of meervoudige verificatie. Zie de API voor Microsoft Entra-verificatiemethoden voor meer informatie.

Opmerking: de lijstbewerking retourneert alleen ingeschakelde telefoonnummers. Het volgende telefoonnummer moet zijn ingeschakeld voor gebruik met de lijstbewerkingen.

Notitie

Een correct vertegenwoordigd telefoonnummer wordt opgeslagen met een spatie tussen de landcode en het telefoonnummer. De Azure AD B2C-service voegt deze ruimte momenteel niet standaard toe.

Schermopname van de pagina Verificatiemethoden voor een voorbeeldgebruiker vanuit Azure Portal. Het tekstvak voor telefoonnummer is gemarkeerd.

E-mailadres voor zelfbediening voor het opnieuw instellen van je wachtwoord

Een e-mailadres dat kan worden gebruikt door een aanmeldingsaccount voor de gebruikersnaam om het wachtwoord opnieuw in te stellen. Zie de API voor Microsoft Entra-verificatiemethoden voor meer informatie.

Verificatiemethode voor software-OATH-token

Een software-OATH-token is een op software gebaseerde nummergenerator die gebruikmaakt van de op OATH tijd gebaseerde eenmalige wachtwoordstandaard (TOTP) voor meervoudige verificatie via een verificator-app. Gebruik de Microsoft Graph API om een software OATH-token te beheren dat is geregistreerd bij een gebruiker:

Identiteitsproviders

Beheer de id-providers die beschikbaar zijn voor uw gebruikersstromen in uw Azure AD B2C-tenant.

Gebruikersstroom (bèta)

Configureer vooraf samengesteld beleid voor registratie, aanmelding, gecombineerde registratie en aanmelding, wachtwoordherstel en profielupdate.

Verificatiemethoden voor gebruikersstromen (bèta)

Kies een mechanisme om gebruikers te laten registreren via lokale accounts. Een lokaal account is een account waarbij Azure AD B2C de identiteitsverklaring voltooit. Zie b2cAuthenticationMethodsPolicy-resourcetype voor meer informatie.

Aangepast beleid (bèta)

Met de volgende bewerkingen kunt u uw Azure AD B2C Trust Framework-beleid beheren, ook wel aangepaste beleidsregels genoemd.

Beleidssleutels (bèta)

In het Identity Experience Framework worden de geheimen opgeslagen waarnaar wordt verwezen in een aangepast beleid om vertrouwen tussen onderdelen tot stand te brengen. Deze geheimen kunnen symmetrische of asymmetrische sleutels/waarden zijn. In Azure Portal worden deze entiteiten weergegeven als beleidssleutels.

De resource op het hoogste niveau voor beleidssleutels in de Microsoft Graph API is de Trusted Framework Keyset. Elke sleutelset bevat ten minste één sleutel. Als u een sleutel wilt maken, maakt u eerst een lege sleutelset en genereert u vervolgens een sleutel in de sleutelset. U kunt een handmatig geheim maken, een certificaat of een PKCS12-sleutel uploaden. De sleutel kan een gegenereerd geheim zijn, een tekenreeks (zoals het Facebook-toepassingsgeheim) of een certificaat dat u uploadt. Als een sleutelset meerdere sleutels heeft, is slechts één van de sleutels actief.

Trust Framework-beleidssleutelset

Trust Framework-beleidssleutel

Toepassingen

Eigenschappen van toepassingsextensie (directory-extensie)

Eigenschappen van de toepassingsextensie worden ook wel map- of Microsoft Entra-extensies genoemd. Als u deze wilt beheren in Azure AD B2C, gebruikt u het resourcetype identityUserFlowAttribute en de bijbehorende methoden.

U kunt maximaal 100 mapextensiewaarden per gebruiker opslaan. Als u de eigenschappen van de mapextensie voor een gebruiker wilt beheren, gebruikt u de volgende gebruikers-API's in Microsoft Graph.

  • Gebruiker bijwerken: de waarde van de directory-extensie-eigenschap toevoegen of verwijderen van het gebruikersobject.
  • Een gebruiker ophalen: de waarde van de mapextensie voor de gebruiker ophalen. De eigenschap wordt standaard geretourneerd via het beta eindpunt, maar alleen via het $select eindpunt op v1.0.

Voor gebruikersstromen worden deze extensie-eigenschappen beheerd met behulp van Azure Portal. Voor aangepaste beleidsregels maakt Azure AD B2C de eigenschap voor u aan wanneer het beleid voor de eerste keer een waarde naar de uitbreidingseigenschap schrijft.

Notitie

In Microsoft Entra ID worden directory-extensies beheerd via het resourcetype extensionProperty en de bijbehorende methoden. Omdat ze echter in B2C worden gebruikt via de b2c-extensions-app app die niet moet worden bijgewerkt, worden ze beheerd in Azure AD B2C met behulp van het resourcetype identityUserFlowAttribute en de bijbehorende methoden.

Tenantgebruik

Gebruik de API voor organisatiegegevens ophalen om het quotum voor de adreslijstgrootte op te halen. U moet de $select queryparameter toevoegen, zoals wordt weergegeven in de volgende HTTP-aanvraag:

GET https://graph.microsoft.com/v1.0/organization/organization-id?$select=directorySizeQuota

Vervang door organization-id uw organisatie- of tenant-id.

Het antwoord op de bovenstaande aanvraag lijkt op het volgende JSON-fragment:

{
    "directorySizeQuota": {
        "used": 156,
        "total": 1250000
    }
}

Auditlogboeken

Zie Toegang tot Azure AD B2C-auditlogboeken voor meer informatie over het openen van Auditlogboeken van Azure AD B2C.

Voorwaardelijke toegang

Verwijderde gebruikers en toepassingen ophalen of herstellen

Verwijderde gebruikers en apps kunnen alleen worden hersteld als ze in de afgelopen 30 dagen zijn verwijderd.

Microsoft Graph programmatisch beheren

U kunt Microsoft Graph op twee manieren beheren:

  • Gedelegeerde machtigingen : de gebruiker of een beheerder stemt in met de machtigingen die de app aanvraagt. De app wordt gedelegeerd met de machtiging om te fungeren als een aangemelde gebruiker wanneer deze aanroept naar de doelresource.
  • Toepassingsmachtigingen worden gebruikt door apps waarvoor geen aangemelde gebruiker aanwezig is. Daarom kunnen alleen beheerders toestemming geven voor toepassingsmachtigingen.

Notitie

Gedelegeerde machtigingen voor gebruikers die zich aanmelden via gebruikersstromen of aangepaste beleidsregels kunnen niet worden gebruikt voor gedelegeerde machtigingen voor Microsoft Graph API.

Verwante inhoud

  • Last updated on