Omówienie kont użytkowników w usłudze Azure Active Directory B2C
W usłudze Azure Active Directory B2C (Azure AD B2C) istnieje kilka typów kont, które można utworzyć. Microsoft Entra identyfikatora, Microsoft Entra B2B i usługi Azure Active Directory B2C (Azure AD B2C) w typach kont użytkowników, których można użyć.
Dostępne są następujące typy kont:
- Konto służbowe — konto służbowe może uzyskiwać dostęp do zasobów w dzierżawie i z rolą administratora, może zarządzać dzierżawami.
- Konto gościa — konto gościa może być tylko kontem Microsoft lub użytkownikiem Microsoft Entra, który może służyć do udostępniania obowiązków administracyjnych, takich jak zarządzanie dzierżawą.
-
Konto konsumenta — konto konsumenta jest używane przez użytkownika aplikacji zarejestrowanych w usłudze Azure AD B2C. Konta konsumentów można utworzyć za pomocą:
- Użytkownik przechodzący przez przepływ rejestracji użytkownika w aplikacji Azure AD B2C
- Korzystanie z usługi Microsoft interfejs Graph API
- Korzystanie z witryny Azure Portal
Konto służbowe
Konto służbowe jest tworzone w taki sam sposób dla wszystkich dzierżaw na podstawie identyfikatora Microsoft Entra. Aby utworzyć konto służbowe, możesz użyć informacji w przewodniku Szybki start: dodawanie nowych użytkowników do identyfikatora Microsoft Entra. Konto służbowe jest tworzone przy użyciu opcji Nowy użytkownik w Azure Portal.
Podczas dodawania nowego konta służbowego należy wziąć pod uwagę następujące ustawienia konfiguracji:
Nazwa i nazwa użytkownika — właściwość Name zawiera podane i nazwisko użytkownika. Nazwa użytkownika to identyfikator wprowadzony przez użytkownika w celu zalogowania się. Nazwa użytkownika zawiera pełną domenę. Część nazwy domeny musi być początkową domyślną nazwą domeny your-domain.onmicrosoft.com lub zweryfikowaną, niesfederacyjną niestandardową nazwą domeny , taką jak contoso.com.
Email — nowy użytkownik może również zalogować się przy użyciu adresu e-mail. Nie obsługujemy znaków specjalnych ani znaków wielobajtowych w wiadomości e-mail, na przykład znaków japońskich.
Profil — konto jest konfigurowane przy użyciu profilu danych użytkownika. Możesz wprowadzić imię, nazwisko, stanowisko i nazwę działu. Profil można edytować po utworzeniu konta.
Grupy — użyj grup do wykonywania zadań zarządzania, takich jak przypisywanie licencji lub uprawnień do wielu użytkowników lub urządzeń jednocześnie. Nowe konto można umieścić w istniejącej grupie w dzierżawie.
Rola katalogu — musisz określić poziom dostępu, który ma konto użytkownika do zasobów w dzierżawie. Dostępne są następujące poziomy uprawnień:
- Użytkownik — użytkownicy mogą uzyskiwać dostęp do przypisanych zasobów, ale nie mogą zarządzać większością zasobów dzierżawy.
- administrator globalny — administratorzy globalni mają pełną kontrolę nad wszystkimi zasobami dzierżawy.
- Ograniczony administrator — wybierz rolę administracyjną lub role użytkownika. Aby uzyskać więcej informacji na temat ról, które można wybrać, zobacz Przypisywanie ról administratora w identyfikatorze Microsoft Entra.
Tworzenie konta służbowego
Aby utworzyć nowe konto służbowe, możesz użyć następujących informacji:
Aktualizowanie profilu użytkownika
Aby zaktualizować profil użytkownika, możesz użyć następujących informacji:
Resetowanie hasła dla użytkownika
Aby zresetować hasło użytkownika, możesz użyć następujących informacji:
Użytkownik-gość
Możesz zaprosić użytkowników zewnętrznych do dzierżawy jako użytkownika-gościa. Typowym scenariuszem zapraszania użytkownika-gościa do dzierżawy usługi Azure AD B2C jest współdzielenie obowiązków administracyjnych. Aby zapoznać się z przykładem korzystania z konta gościa, zobacz Właściwości użytkownika współpracy B2B Microsoft Entra.
Po zaproszeniu użytkownika-gościa do dzierżawy należy podać adres e-mail odbiorcy i wiadomość opisującą zaproszenie. Link zaproszenia umożliwia użytkownikowi przejście na stronę zgody. Jeśli skrzynka odbiorcza nie jest dołączona do adresu e-mail, użytkownik może przejść do strony zgody, przechodząc do strony firmy Microsoft przy użyciu zaproszonych poświadczeń. Następnie użytkownik musi zrealizować zaproszenie w taki sam sposób, jak kliknięcie linku w wiadomości e-mail. Na przykład: https://myapps.microsoft.com/B2CTENANTNAME
.
Możesz również użyć interfejs Graph API firmy Microsoft, aby zaprosić użytkownika-gościa.
Użytkownik odbiorcy
Użytkownik konsumenta może zalogować się do aplikacji zabezpieczonych przez usługę Azure AD B2C, ale nie może uzyskać dostępu do zasobów platformy Azure, takich jak Azure Portal. Użytkownik konsumenta może używać konta lokalnego lub kont federacyjnych, takich jak Facebook lub Twitter. Konto użytkownika jest tworzone przy użyciu przepływu rejestracji lub logowania użytkownika, przy użyciu interfejs Graph API firmy Microsoft lub przy użyciu Azure Portal.
Możesz określić dane zbierane po utworzeniu konta użytkownika użytkownika. Aby uzyskać więcej informacji, zobacz Dodawanie atrybutów użytkownika i dostosowywanie danych wejściowych użytkownika.
Aby uzyskać więcej informacji na temat zarządzania kontami konsumentów, zobacz Zarządzanie kontami użytkowników usługi Azure AD B2C przy użyciu programu Microsoft Graph.
Migrowanie kont użytkowników użytkowników
Może być konieczne przeprowadzenie migracji istniejących kont użytkowników konsumentów z dowolnego dostawcy tożsamości do usługi Azure AD B2C. Aby uzyskać więcej informacji, zobacz Migrowanie użytkowników do usługi Azure AD B2C.