Edytuj

Azure AD B2C: często zadawane pytania

  • Często zadawane pytania

Ta strona zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure Active Directory B2C (Azure AD B2C). Zachowaj sprawdzanie dostępności aktualizacji.

Tożsamość zewnętrzna Microsoft Entra wersja zapoznawcza

Co to jest Tożsamość zewnętrzna Microsoft Entra?

Ogłosiliśmy wczesną wersję zapoznawcza naszego rozwiązania Tożsamość zewnętrzna Microsoft Entra nowej generacji. Ta wczesna wersja zapoznawcza stanowi ewolucyjny krok w ujednoliceniu bezpiecznych i angażujących środowisk we wszystkich tożsamościach zewnętrznych, w tym partnerów, klientów, obywateli, pacjentów i innych w ramach jednej zintegrowanej platformy. Aby uzyskać więcej informacji na temat wersji zapoznawczej, zobacz Co to jest Tożsamość zewnętrzna Microsoft Entra dla klientów?.

Jak ta wersja zapoznawcza wpływa na mnie?

W tej chwili nie jest wymagana żadna akcja w twojej części. Platforma nowej generacji jest obecnie dostępna tylko w wczesnej wersji zapoznawczej. Pozostajemy w pełni zaangażowani w obsługę bieżącego rozwiązania usługi Azure AD B2C. Obecnie nie ma żadnych wymagań dotyczących migracji klientów usługi Azure AD B2C i nie ma planów wycofania bieżącej usługi Azure AD B2C. W miarę zbliżania się do ogólnie dostępnej platformy nowej generacji szczegóły zostaną udostępnione wszystkim naszym cenionym klientom B2C w dostępnych opcjach, w tym migracji do nowej platformy.

Jak mogę skorzystać z wersja zapoznawczej?

Ponieważ platforma nowej generacji reprezentuje naszą przyszłość na potrzeby zarządzania tożsamościami i dostępem klientów (CIAM), zapraszamy i zachęcamy do uczestnictwa i opinii w wczesnej wersji zapoznawczej. Jeśli interesuje Cię dołączenie do wczesnej wersji zapoznawczej, skontaktuj się z zespołem sprzedaży, aby uzyskać szczegółowe informacje.

Ogólne

Dlaczego nie mogę uzyskać dostępu do rozszerzenia usługi Azure AD B2C w witrynie Azure Portal?

Istnieją dwa typowe przyczyny, dla których rozszerzenie Microsoft Entra nie działa dla Ciebie. Usługa Azure AD B2C wymaga, aby rola użytkownika w katalogu był administratorem globalnym. Skontaktuj się z administratorem, jeśli uważasz, że masz dostęp. Jeśli masz uprawnienia administratora globalnego, upewnij się, że jesteś w katalogu usługi Azure AD B2C, a nie w katalogu Microsoft Entra. Aby uzyskać instrukcje dotyczące tworzenia dzierżawy usługi Azure AD B2C, zobacz instrukcje.

Czy mogę używać funkcji usługi Azure AD B2C w mojej istniejącej dzierżawie firmy Microsoft Entra opartej na pracownikach?

Microsoft Entra ID i Azure AD B2C to oddzielne oferty produktów. Aby korzystać z funkcji usługi Azure AD B2C, utwórz oddzielną dzierżawę usługi Azure AD B2C z istniejącej dzierżawy firmy Microsoft Entra opartej na pracownikach. Dzierżawa firmy Microsoft Entra reprezentuje organizację. Dzierżawa usługi Azure AD B2C reprezentuje kolekcję tożsamości do użycia z aplikacjami jednostki uzależnionej. Dodając nowego dostawcę Połączenie OpenID w ramach dostawców tożsamości usługi Azure AD B2C > lub z zasadami niestandardowymi, usługa Azure AD B2C może federować do identyfikatora Entra firmy Microsoft, umożliwiając uwierzytelnianie pracowników w organizacji.

Czy mogę użyć usługi Azure AD B2C, aby zapewnić logowanie społecznościowe (Facebook i Google+) na platformie Microsoft 365?

Usługi Azure AD B2C nie można używać do uwierzytelniania użytkowników na platformie Microsoft 365. Microsoft Entra ID to rozwiązanie firmy Microsoft do zarządzania dostępem pracowników do aplikacji SaaS i ma funkcje przeznaczone do tego celu, takie jak licencjonowanie i dostęp warunkowy. Usługa Azure AD B2C udostępnia platformę zarządzania tożsamościami i dostępem do tworzenia aplikacji internetowych i mobilnych. Gdy usługa Azure AD B2C jest skonfigurowana do federacji z dzierżawą firmy Microsoft Entra, dzierżawa firmy Microsoft Entra zarządza dostępem pracowników do aplikacji korzystających z usługi Azure AD B2C.

Co to są konta lokalne w usłudze Azure AD B2C? Jak różnią się one od kont służbowych w identyfikatorze Microsoft Entra?

W dzierżawie firmy Microsoft Entra użytkownicy należący do dzierżawy logujący się przy użyciu adresu e-mail formularza <xyz>@<tenant domain>. Jest <tenant domain> to jedna ze zweryfikowanych domen w dzierżawie lub domenie początkowej <...>.onmicrosoft.com . Tego typu konto jest kontem służbowym.

W dzierżawie usługi Azure AD B2C większość aplikacji chce, aby użytkownik zalogował się przy użyciu dowolnego adresu e-mail (na przykład , joe@comcast.net, bob@gmail.comsarah@contoso.comlub jim@live.com). Ten typ konta to konto lokalne. Obsługujemy również dowolne nazwy użytkowników jako konta lokalne (na przykład joe, bob, sarah lub jim). Podczas konfigurowania dostawców tożsamości dla usługi Azure AD B2C w witrynie Azure Portal można wybrać jeden z tych dwóch lokalnych typów kont. W dzierżawie usługi Azure AD B2C wybierz pozycję Dostawcy tożsamości, wybierz pozycję Konto lokalne, a następnie wybierz pozycję Nazwa użytkownika.

Konta użytkowników dla aplikacji można tworzyć za pomocą przepływu użytkownika rejestracji, rejestracji lub logowania użytkownika, interfejsu API programu Microsoft Graph lub witryny Azure Portal.

Ilu użytkowników może pomieścić dzierżawa usługi Azure AD B2C?

  • Domyślnie każda dzierżawa może pomieścić łącznie 1,25 miliona obiektów (kont użytkowników i aplikacji), ale można zwiększyć ten limit do 5,25 miliona obiektów podczas dodawania i weryfikowania domeny niestandardowej. Jeśli chcesz zwiększyć ten limit, skontaktuj się z pomoc techniczna firmy Microsoft. Jeśli jednak dzierżawa została utworzona przed wrześniem 2022 r., ten limit nie wpłynie na Ciebie, a dzierżawa zachowa przydzielony do niej rozmiar podczas tworzenia, czyli 50 milionów obiektów.

Którzy dostawcy tożsamości społecznościowych obsługują teraz? Które z nich planujesz wspierać w przyszłości?

Obecnie obsługujemy kilku dostawców tożsamości społecznościowych, w tym Amazon, Facebook, GitHub (wersja zapoznawcza), Google, LinkedIn, Microsoft Account (MSA), QQ (wersja zapoznawcza), Twitter, WeChat (wersja zapoznawcza) i Weibo (wersja zapoznawcza). Oceniamy dodawanie obsługi innych popularnych dostawców tożsamości społecznościowych na podstawie zapotrzebowania klientów.

Usługa Azure AD B2C obsługuje również zasady niestandardowe. Zasady niestandardowe umożliwiają tworzenie własnych zasad dla dowolnego dostawcy tożsamości obsługującego Połączenie OpenID lub SAML. Rozpocznij pracę z zasadami niestandardowymi, sprawdzając nasz pakiet startowy zasad niestandardowych.

Czy mogę skonfigurować zakresy, aby zebrać więcej informacji o użytkownikach od różnych dostawców tożsamości społecznościowych?

L.p. Domyślne zakresy używane dla naszego obsługiwanego zestawu dostawców tożsamości społecznościowych to:

  • Facebook: adres e-mail
  • Google+: poczta e-mail
  • Konto Microsoft: openid profil poczty e-mail
  • Amazon: profil
  • LinkedIn: r_emailaddress, r_basicprofile

Używam usług ADFS jako dostawcy tożsamości w usłudze Azure AD B2C. Podczas próby zainicjowania żądania wylogowania z usługi Azure AD B2C usługa ADFS wyświetla błąd *MSIS7084: żądanie wylogowania SAML i wylogowanie komunikatów odpowiedzi muszą być podpisane podczas korzystania z przekierowania HTTP SAML lub powiązania HTTP POST*. Jak mogę rozwiązać ten problem?

Na serwerze usług AD FS uruchom polecenie: Set-AdfsProperties -SignedSamlRequestsRequired $true. Wymusi to na usłudze Azure AD B2C podpisywanie wszystkich żądań do usług ADFS.

Czy moja aplikacja musi być uruchomiona na platformie Azure, aby mogła pracować z usługą Azure AD B2C?

Nie, możesz hostować aplikację w dowolnym miejscu (w chmurze lub lokalnie). Aby mogła ona wchodzić w interakcje z usługą Azure AD B2C, musi ona mieć tylko możliwość wysyłania i odbierania żądań HTTP za pośrednictwem publicznie dostępnych punktów końcowych.

Mam wiele dzierżaw usługi Azure AD B2C. Jak mogę zarządzać nimi w witrynie Azure Portal?

Przed otwarciem usługi Azure AD B2C w witrynie Azure Portal musisz przełączyć się do katalogu, którym chcesz zarządzać. Wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do katalogu, którym chcesz zarządzać, z menu Katalogi i subskrypcje.

Dlaczego nie mogę utworzyć dzierżawy usługi Azure AD B2C?

Być może nie masz uprawnień do tworzenia dzierżawy usługi Azure AD B2C. Tylko użytkownicy z rolami administratora globalnego lub twórcy dzierżawy mogą tworzyć dzierżawę. Musisz skontaktować się z administratorem globalnym.

Jak mogę dostosować wiadomości e-mail weryfikacji (zawartość i pole "Od:" wysłane przez usługę Azure AD B2C?

Możesz użyć funkcji znakowania firmowego, aby dostosować zawartość weryfikacyjnych wiadomości e-mail. W szczególności te dwa elementy wiadomości e-mail można dostosować:

  • Logo baneru: wyświetlane w prawym dolnym rogu.

  • Kolor tła: wyświetlany u góry.

    Screenshot of a customized verification email

Podpis wiadomości e-mail zawiera nazwę dzierżawy usługi Azure AD B2C podaną podczas tworzenia dzierżawy usługi Azure AD B2C. Nazwę można zmienić, korzystając z następujących instrukcji:

  1. Zaloguj się w witrynie Azure Portal jako administrator globalny Administracja istrator.
  2. Otwórz blok Microsoft Entra ID.
  3. Wybierz kartę Właściwości.
  4. Zmień pole Nazwa.
  5. W górnej części strony wybierz pozycję Zapisz.

Obecnie nie można zmienić pola "Od:" w wiadomości e-mail.

Napiwek

Dzięki niestandardowym zasadom usługi Azure AD B2C można dostosować wiadomość e-mail wysyłaną do użytkowników w usłudze Azure AD B2C, w tym pole "From:" w wiadomości e-mail. Niestandardowa weryfikacja poczty e-mail wymaga użycia dostawcy poczty e-mail innej firmy, takiego jak Mailjet, SendGrid lub SparkPost.

Jak mogę przeprowadzić migrację istniejących nazw użytkowników, haseł i profilów z mojej bazy danych do usługi Azure AD B2C?

Aby napisać narzędzie do migracji, możesz użyć interfejsu API programu Microsoft Graph. Aby uzyskać szczegółowe informacje, zobacz Podręcznik migracji użytkowników.

Jaki przepływ użytkownika hasła jest używany dla kont lokalnych w usłudze Azure AD B2C?

Przepływ użytkownika hasła usługi Azure AD B2C dla kont lokalnych jest oparty na zasadach identyfikatora Entra firmy Microsoft. Przepływy użytkownika rejestracji, rejestracji lub logowania i resetowania hasła w usłudze Azure AD B2C używają silnej siły hasła i nie wygasają żadnych haseł. Aby uzyskać więcej informacji, zobacz Zasady haseł i ograniczenia w usłudze Microsoft Entra ID.

Aby uzyskać informacje o blokadach kont i hasłach, zobacz Ograniczanie ataków poświadczeń w usłudze Azure AD B2C.

Czy mogę użyć Połączenie firmy Microsoft do migrowania tożsamości konsumentów przechowywanych w lokalna usługa Active Directory do usługi Azure AD B2C?

Nie, firma Microsoft Entra Połączenie nie jest przeznaczona do pracy z usługą Azure AD B2C. Rozważ użycie interfejsu API programu Microsoft Graph na potrzeby migracji użytkowników. Aby uzyskać szczegółowe informacje, zobacz Podręcznik migracji użytkowników.

Czy moja aplikacja może otwierać strony usługi Azure AD B2C w elemecie iFrame?

Ta funkcja jest dostępna w publicznej wersji zapoznawczej. Aby uzyskać szczegółowe informacje, zobacz Osadzone środowisko logowania.

Czy usługa Azure AD B2C współpracuje z systemami CRM, takimi jak Microsoft Dynamics?

Integracja z portalem usługi Microsoft Dynamics 365 jest dostępna. Zobacz Konfigurowanie portalu usługi Dynamics 365 do korzystania z usługi Azure AD B2C na potrzeby uwierzytelniania.

Czy usługa Azure AD B2C działa z lokalnym programem SharePoint 2016 lub starszym?

Usługa Azure AD B2C nie jest przeznaczona dla scenariusza udostępniania zewnętrznego partnera programu SharePoint; Zobacz zamiast tego microsoft Entra B2B .

Czy do zarządzania tożsamościami zewnętrznymi należy używać usługi Azure AD B2C lub B2B?

Przeczytaj artykuł Porównanie rozwiązań dla tożsamości zewnętrznych, aby dowiedzieć się więcej na temat stosowania odpowiednich funkcji do zewnętrznych scenariuszy tożsamości.

Jakie funkcje raportowania i inspekcji udostępnia usługa Azure AD B2C? Czy są one takie same jak w usłudze Microsoft Entra ID P1 lub P2?

Nie, usługa Azure AD B2C nie obsługuje tego samego zestawu raportów co Microsoft Entra ID P1 lub P2. Istnieje jednak wiele wspólnych cech:

  • Raporty logowania zawierają rekord każdego logowania z ograniczonymi szczegółami.
  • Raporty inspekcji obejmują zarówno działania administratora, jak i działania aplikacji.
  • Raporty użycia obejmują liczbę użytkowników, liczbę logowań i ilość uwierzytelniania wieloskładnikowego.

Czy użytkownicy końcowi mogą używać hasła jednorazowego (TOTP) z aplikacją wystawcy uwierzytelnienia w celu uwierzytelnienia w aplikacji usługi Azure AD B2C?

Tak. Użytkownicy końcowi muszą pobrać dowolną aplikację wystawcy uwierzytelniania, która obsługuje weryfikację TOTP, taką jak aplikacja Microsoft Authenticator (zalecana). Aby uzyskać szczegółowe informacje, zobacz Metody weryfikacji.

Dlaczego moje kody aplikacji wystawcy uwierzytelniania TOTP nie działają?

Jeśli kody aplikacji wystawcy uwierzytelniania TOTP nie działają z systemem Android lub i Telefon telefonem komórkowym lub urządzeniem, czas zegara urządzenia może być niepoprawny. W ustawieniach urządzenia wybierz opcję, aby użyć czasu dostarczonego przez sieć lub ustawić czas automatycznie.

Jak mogę wiedzieć, że dodatek Go-Local jest dostępny w moim kraju/regionie?

Podczas tworzenia dzierżawy usługi Azure AD B2C, jeśli dodatek Go-Local jest dostępny w twoim kraju/regionie, zostanie wyświetlony monit o włączenie go, jeśli jest potrzebny.

Czy nadal otrzymuję 50 000 bezpłatnych jednostek MAU miesięcznie w dodatku Go-Local po włączeniu?

Nie. 50 000 bezpłatnych jednostek MAU miesięcznie nie ma zastosowania po włączeniu dodatku Go-Local. Poniesiesz opłatę za dodatek Go-Local z pierwszego programu MAU. Będziesz jednak nadal korzystać z bezpłatnych 50 000 jednostek MAU miesięcznie w innych funkcjach dostępnych w cenniku usługi Azure AD B2C Premium P1 lub P2.

Mam istniejącą dzierżawę usługi Azure AD B2C w Japonii lub Australii, która nie ma włączonego dodatku Go-Local. Jak mogę aktywować ten dodatek?

Postępuj zgodnie z instrukcjami w temacie Aktywowanie lokalnej reklamy języka Go-Local, aby aktywować dodatek Azure AD B2C Go-Local.

Czy mogę zlokalizować interfejs użytkownika stron obsługiwanych przez usługę Azure AD B2C? Jakie języki są obsługiwane?

Tak, zobacz Dostosowywanie języka. Udostępniamy tłumaczenia dla 36 języków i można zastąpić dowolny ciąg zgodnie z potrzebami.

Czy mogę używać własnych adresów URL na stronach rejestracji i logowania obsługiwanych przez usługę Azure AD B2C? Na przykład czy mogę zmienić adres URL z contoso.b2clogin.com na login.contoso.com?

Tak, możesz użyć własnej domeny. Aby uzyskać szczegółowe informacje, zobacz Domeny niestandardowe usługi Azure AD B2C.

Jak mogę usunąć dzierżawę usługi Azure AD B2C?

Wykonaj następujące kroki, aby usunąć dzierżawę usługi Azure AD B2C.

Możesz użyć naszego nowego ujednoliconego środowiska Rejestracje aplikacji lub starszego środowiska aplikacji (starsza wersja). Dowiedz się więcej na temat nowego środowiska.

  1. Zaloguj się do witryny Azure Portal jako Administracja istrator subskrypcji. Użyj tego samego konta służbowego lub tego samego konta Microsoft, które zostało użyte do zarejestrowania się na platformie Azure.
  2. Upewnij się, że używasz katalogu zawierającego dzierżawę usługi Azure AD B2C. Wybierz ikonę Ustawienia na pasku narzędzi portalu.
  3. W ustawieniach portalu | Strona Katalogi i subskrypcje , znajdź katalog usługi Azure AD B2C na liście Nazwa katalogu, a następnie wybierz pozycję Przełącz.
  4. W menu po lewej stronie wybierz pozycję Azure AD B2C. Możesz też wybrać pozycję Wszystkie usługi i wyszukać i wybrać pozycję Azure AD B2C.
  5. Usuń wszystkie przepływy użytkownika (zasady) w dzierżawie usługi Azure AD B2C.
  6. Usuń wszystkich dostawców tożsamości w dzierżawie usługi Azure AD B2C.
  7. Wybierz Rejestracje aplikacji, a następnie wybierz kartę Wszystkie aplikacje.
  8. Usuń wszystkie zarejestrowane aplikacje.
  9. Usuń aplikację b2c-extensions-app.
  10. W obszarze Zarządzanie wybierz pozycję Użytkownicy.
  11. Wybierz każdego użytkownika po kolei (wyklucz użytkownika subskrypcji Administracja istrator, którego obecnie logujesz się jako). Wybierz pozycję Usuń w dolnej części strony i wybierz pozycję Tak po wyświetleniu monitu.
  12. Wybierz pozycję Microsoft Entra ID w menu po lewej stronie.
  13. W obszarze Zarządzanie wybierz pozycję Właściwości
  14. W obszarze Zarządzanie dostępem do zasobów platformy Azure wybierz pozycję Tak, a następnie wybierz przycisk Zapisz.
  15. Wyloguj się z witryny Azure Portal, a następnie zaloguj się ponownie, aby odświeżyć dostęp.
  16. Wybierz pozycję Microsoft Entra ID w menu po lewej stronie.
  17. Na stronie Przegląd wybierz pozycję Usuń dzierżawę. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby ukończyć proces.

Czy mogę uzyskać usługę Azure AD B2C w ramach pakietu Enterprise Mobility Suite?

Nie, usługa Azure AD B2C to usługa platformy Azure z płatnością zgodnie z rzeczywistym użyciem i nie jest częścią pakietu Enterprise Mobility Suite.

Czy mogę kupić licencję Microsoft Entra ID P1 i Microsoft Entra ID P2 dla mojej dzierżawy usługi Azure AD B2C?

Nie, dzierżawy usługi Azure AD B2C nie używają licencji Microsoft Entra ID P1 ani Microsoft Entra ID P2. Usługa Azure AD B2C korzysta z licencji usługi Azure AD B2C Premium P1 lub P2 , które różnią się od licencji Microsoft Entra ID P1 lub P2 dla dzierżawy usługi Microsoft Entra w warstwie Standardowa. Dzierżawy usługi Azure AD B2C natywnie obsługują niektóre funkcje podobne do funkcji Microsoft Entra ID P1 lub P2, jak wyjaśniono w temacie Obsługiwane funkcje identyfikatora Entra firmy Microsoft.

Czy mogę użyć przypisania opartego na grupach dla aplikacji microsoft Entra Enterprise w dzierżawie usługi Azure AD B2C?

Nie, dzierżawy usługi Azure AD B2C nie obsługują przypisywania opartego na grupach do aplikacji firmy Microsoft Entra Dla przedsiębiorstw.

Jakie funkcje usługi Azure AD B2C są niedostępne w usłudze Microsoft Azure Government?

Następujące funkcje usługi AD B2C są obecnie niedostępne w usłudze Microsoft Azure Government:

  • Łączniki interfejsu API
  • Dostęp warunkowy

Odwołano token odświeżania przy użyciu programu Microsoft Graph invalidateAllRefreshTokens lub Microsoft Graph PowerShell, Revoke-MgUserSignInSession. Dlaczego usługa Azure AD B2C nadal akceptuje stary token odświeżania?

W usłudze Azure AD B2C, jeśli różnica czasu między wartościami refreshTokensValidFromDateTime i refreshTokenIssuedTime jest mniejsza lub równa 5 minutom, token odświeżania jest nadal uznawany za prawidłowy. Jeśli refreshTokenIssuedTime jednak wartość jest większa niż refreshTokensValidFromDateTime, token odświeżania zostanie odwołany. Wykonaj następujące kroki, aby sprawdzić, czy token odświeżania jest prawidłowy lub odwołany:

  1. Pobierz element RefreshToken i AccessToken przez zrealizowanie .authorization_code

  2. Poczekaj 7 minut.

  3. Użyj polecenia cmdlet programu PowerShell programu Microsoft Graph Revoke-MgUserSignInSession lub microsoft Graph API invalidateAllRefreshTokens , aby uruchomić RevokeAllRefreshToken polecenie.

  4. Poczekaj 10 minut.

  5. RefreshToken Pobierz ponownie.

Używam wielu kart w przeglądarce internetowej, aby zalogować się do wielu aplikacji zarejestrowanych w tej samej dzierżawie usługi Azure AD B2C. Podczas próby wykonania wylogowania jednokrotnego nie wszystkie aplikacje są wylogowywane. Dlaczego tak się dzieje?

Obecnie usługa Azure AD B2C nie obsługuje wylogowania jednokrotnego w tym konkretnym scenariuszu. Jest to spowodowane rywalizacją o pliki cookie, ponieważ wszystkie aplikacje działają na tym samym pliku cookie jednocześnie.

Jak mogę zgłosić problem z usługą Azure AD B2C?

Zobacz Żądania obsługi plików dla usługi Azure Active Directory B2C.

W usłudze Azure AD B2C odwołuję wszystkie sesje użytkownika przy użyciu przycisku Odwołaj sesje w witrynie Azure Portal, ale nie działa.

Obecnie usługa Azure AD B2C nie obsługuje odwoływania sesji użytkowników z witryny Azure Portal. Można jednak wykonać to zadanie przy użyciu programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph.