Editar

Azure AD B2C: Perguntas frequentes (FAQ)

  • Perguntas frequentes

Esta página responde a perguntas frequentes sobre o Azure Active Directory B2C (Azure AD B2C). Continue verificando as atualizações.

Visualização da ID externa do Microsoft Entra

O que é a ID externa do Microsoft Entra?

Anunciamos a versão prévia antecipada de nossa solução de ID externa do Microsoft Entra de próxima geração. Esta versão prévia antecipada representa uma etapa evolutiva na unificação de experiências seguras e envolventes em todas as identidades externas, incluindo parceiros, clientes, cidadãos, pacientes e outros dentro de uma única plataforma integrada. Para obter mais informações sobre a versão prévia, consulte O que é a ID externa do Microsoft Entra para clientes?.

Como essa versão prévia me afeta?

Nenhuma ação é necessária de sua parte no momento. A plataforma de próxima geração está atualmente apenas na versão prévia antecipada. Continuamos totalmente comprometidos com o suporte à solução Azure AD B2C atual. Não há requisitos para que os clientes do Azure AD B2C migrem no momento e nenhum plano para descontinuar o serviço Azure AD B2C atual. À medida que a plataforma de próxima geração se aproximar da GA, os detalhes serão disponibilizados para todos os nossos valiosos clientes B2C sobre opções disponíveis, incluindo a migração para a nova plataforma.

Como posso participar da versão prévia?

Como a plataforma de próxima geração representa nosso futuro para o gerenciamento de identidade e acesso ao cliente (CIAM), damos as boas-vindas e incentivamos sua participação e comentários durante a versão prévia antecipada. Se você estiver interessado em ingressar na versão prévia antecipada, entre em contato com sua equipe de vendas para obter detalhes.

Geral

Por que não consigo acessar a extensão do Azure AD B2C no portal do Azure?

Há duas razões comuns pelas quais a extensão do Microsoft Entra não está funcionando para você. O Azure AD B2C requer que sua função de usuário no diretório seja de administrador global. Entre em contato com o administrador se você achar que deve ter acesso. Se você tiver privilégios de administrador global, verifique se está em um diretório do Azure AD B2C, não em um diretório do Microsoft Entra. Você pode ver as instruções para criar um locatário do Azure AD B2C.

Posso usar recursos do Azure AD B2C no locatário existente do Microsoft Entra, com base em funcionário?

O Microsoft Entra ID e o Azure AD B2C são ofertas de produto separadas. Para usar os recursos do Azure AD B2C, crie um locatário do Azure AD B2C separado do locatário do Microsoft Entra existente baseado em funcionários. Um locatário do Microsoft Entra representa uma organização. Um locatário do Azure AD B2C representa uma coleção de identidades a serem usadas com aplicativos de terceira parte confiável. Ao adicionar Novo provedor OpenID Connect em Azure AD B2C > Provedores de identidade ou com políticas personalizadas, o Azure AD B2C pode federar ao Microsoft Entra permitindo a autenticação de funcionários em uma organização.

Posso usar o Azure AD B2C para fornecer logon social (Facebook e Google+) no Microsoft 365?

O Azure AD B2C não pode ser usado para autenticar usuários para o Microsoft 365. O Microsoft Entra ID é a solução da Microsoft para gerenciar o acesso de funcionários a aplicativos SaaS e tem recursos projetados para essa finalidade, como Acesso Condicional e licenciamento. O Azure AD B2C fornece uma plataforma de gerenciamento de identidade e acesso para a criação de aplicativos Web e móveis. Quando o Azure AD B2C é configurado para federar-se a um locatário do Microsoft Entra, o locatário do Microsoft Entra gerencia o acesso de funcionários a aplicativos que dependem do Azure AD B2C.

O que são contas locais no AD B2C do Azure? Como elas são diferentes de contas corporativas ou de estudante no Microsoft Entra?

Em um locatário do Microsoft Entra, os usuários que pertencem ao locatário entram com um endereço de email no formato <xyz>@<tenant domain>. O <tenant domain> é um dos domínios verificados no locatário ou no domínio inicial <...>.onmicrosoft.com. Esse tipo de conta é uma conta corporativa ou de estudante.

Em uma organização Azure AD B2C, a maioria dos aplicativos quer que o usuário entre com qualquer endereço de email arbitrário (por exemplo, joe@comcast.net, bob@gmail.com, sarah@contoso.com ou jim@live.com). Esse tipo de conta é uma conta local. Também há suporte para nomes de usuário arbitrários como contas locais (por exemplo, joe, bob, sarah ou jim). Você pode escolher um dos dois tipos de conta local ao configurar provedores de identidade para Azure AD B2C no Portal do Azure. Em seu locatário do Azure AD B2C, clique em Provedores de identidade, selecione Conta local e Nome de usuário.

Contas de usuário para aplicativos devem ser criadas por meio de um fluxo de usuário de inscrição, fluxo de usuário de inscrição ou de matrícula ou API do Microsoft Graph ou portal do Azure.

Quantos usuários um locatário Azure AD B2C pode acomodar?

  • Por padrão, cada locatário pode acomodar um total de 1,25 milhão de objetos (contas de usuário e aplicativos), mas é possível aumentar esse limite para 5,25 milhões de objetos ao adicionar e verificar um domínio personalizado. Caso queira aumentar esse limite, entre em contato com o Suporte da Microsoft. No entanto, se você criou seu locatário antes de setembro de 2022, esse limite não afetará você e seu locatário manterá o tamanho alocado a ele na criação, ou seja, 50 milhões de objetos.

A quais provedores de identidade social você oferece suporte? A quais você planeja oferecer suporte no futuro?

Atualmente, damos suporte a vários provedores de identidade social, incluindo Amazon, Facebook, GitHub (versão prévia), Google, LinkedIn, MSA (Conta Microsoft), QQ (versão prévia), Twitter, WeChat (versão prévia) e Weibo (versão prévia). Avaliamos o suporte adicional para outros provedores populares de identidade social com base na demanda do cliente.

O Azure AD B2C também é compatível com políticas personalizadas. As políticas personalizadas permitem que você crie sua própria política para qualquer provedor de identidade compatível com OpenID Connect ou SAML. Comece a usar políticas personalizadas verificando nosso pacote de políticas personalizadas para iniciantes.

Posso configurar escopos para saber mais sobre os consumidores de vários provedores de identidade sociais?

Não. Os escopos de padrão usados para nosso conjunto com suporte de provedores de identidade social são:

  • Facebook: email
  • Google +: email
  • Conta da Microsoft: perfil de email openid
  • Amazon: perfil
  • LinkedIn: r_emailaddress, r_basicprofile

Estou usando o ADFS como um provedor de identidade no Azure AD B2C. Quando tento iniciar uma solicitação de saída do Azure AD B2C, o ADFS mostrar o erro *MSIS7084: as mensagens de solicitação de logoff e resposta de logoff do SAML devem ser assinadas ao usar o Redirecionamento HTTP SAML ou a associação HTTP POST*. Como resolver isso?

No servidor do ADFS, execute: Set-AdfsProperties -SignedSamlRequestsRequired $true. Isso forçará o Azure AD B2C a assinar todas as solicitações ao ADFS.

Meu aplicativo precisa ser executado no Azure para funcionar com o Azure AD B2C?

Não, você pode hospedar seu aplicativo em qualquer lugar (na nuvem ou localmente). Tudo o que ele precisa para interagir com o Azure AD B2C é a capacidade de enviar e de receber solicitações HTTP em pontos de extremidade acessíveis publicamente.

Tenho vários locatários do Azure AD B2C. Como posso gerenciá-los no portal do Azure?

Antes de abrir o serviço do Azure AD B2C no portal do Azure, você deve alternar para o diretório que deseja gerenciar. Selecione o ícone Configurações no menu superior para alternar para o diretório que você deseja gerenciar no menu Diretórios + assinaturas.

Por que não consigo criar um locatário do Azure AD B2C?

Talvez você não tenha permissão para criar um locatário do Azure AD B2C. Somente usuários com a função de Administrador global ou Criador de locatários podem criar o locatário. Você precisa entrar em contato com o seu Administrador global.

Como personalizar os emails de verificação (o conteúdo e o campo "De:") enviados pelo AD B2C do Azure?

Você pode usar o recurso de identidade visual da empresa para personalizar o conteúdo dos emails de verificação. Especificamente, esses dois elementos do email podem ser personalizados:

  • Logotipo do banner: mostrado no canto inferior direito.

  • Cor da tela de fundo: mostrada na parte superior.

    Screenshot of a customized verification email

A assinatura de email contém o nome do locatário do Azure AD B2C que você forneceu ao criar esse locatário do Azure AD B2C pela primeira vez. Você pode alterar o nome usando estas instruções:

  1. Entre no Portal do Azure como o administrador global.
  2. Abra a folha Microsoft Entra ID.
  3. Clique na guia Propriedades.
  4. Altere o campo Nome.
  5. No início da página, selecione Salvar.

No momento, não é possível alterar o campo "De:" no email.

Dica

Com a política personalizada do Azure AD B2C, você pode personalizar o email que o Azure AD B2C envia para os usuários, incluindo o campo "De:" no email. A verificação de email personalizado requer o uso de um provedor de email de terceiros, como Mailjet, SendGridou SparkPost.

Como posso migrar meus de nomes de usuário, senhas e perfis existentes no meu banco de dados para o AD B2C do Azure?

Você pode usar a API do Microsoft Graph para gravar sua ferramenta de migração. Consulte o Guia de migração do usuário para obter detalhes.

Qual é a política de senha usada para contas locais no Azure Active Directory B2C?

A política de senha do Azure Active Directory B2C para contas locais se baseia na política do Microsoft Entra ID. Os fluxos de usuário de inscrição, entrada ou redefinição de senha do Azure AD B2C usam a força de senha "forte" e não expiram as senhas. Para obter mais detalhes, consulte Políticas e restrições de senha no Microsoft Entra ID.

Para obter informações sobre bloqueios de conta e senhas, consulte Mitigar ataques de credenciais no Azure AD B2C.

Posso usar o Microsoft Entra Connect para migrar identidades de consumidor armazenadas no Active Directory local para o Azure AD B2C?

Não, o Microsoft Entra Connect não foi projetado para funcionar com o Azure AD B2C. Considere o uso da API do Microsoft Graph para migração do usuário. Consulte o Guia de migração do usuário para obter detalhes.

Meu aplicativo pode abrir as páginas do Azure AD B2C em um iFrame?

Esse recurso está em uma versão prévia. Para obter detalhes, consulte Experiência de entrada incorporada.

O AD B2C do Azure funciona com sistemas CRM, como o Microsoft Dynamics?

A integração com o Portal do Microsoft Dynamics 365 está disponível. Consulte Configurando o Portal do Dynamics 365 para usar o Azure AD B2C para autenticação.

O AD B2C do Azure funciona com o SharePoint local 2016 ou anterior?

O Azure AD B2C não se destina ao cenário de compartilhamento com parceiros externos do SharePoint. Para esse uso, em vez disso, consulte Microsoft Entra B2B.

Devo usar o B2C ou o B2B do AD do Azure para gerenciar identidades externas?

Leia Comparar soluções de identidades externas para saber mais sobre como aplicar os recursos adequados aos seus cenários de identidade externa.

Quais recursos de relatórios e de auditoria são oferecidos pelo AD B2C do Azure? Eles são iguais aos do Microsoft Entra ID P1 ou P2?

Não, o Azure AD B2C não dá suporte ao mesmo conjunto de relatórios que Microsoft Entra ID P1 ou P2. No entanto, há muitos aspectos em comum:

  • Os relatórios de entrada fornecem um registro de cada entrada com poucos detalhes.
  • Os Relatórios de auditoria incluem a atividade do administrador e a atividade do aplicativo.
  • Relatórios de uso incluem o número de usuários, o número de logons e o volume de MFA.

Os usuários finais podem usar uma TOTP (senha de uso único baseada em tempo) com um aplicativo autenticador para se autenticar no meu aplicativo Azure AD B2C?

Sim. Os usuários precisam baixar qualquer aplicativo autenticador com suporte para a verificação de TOTP, como o aplicativo Microsoft Authenticator (recomendado). Para obter detalhes, consulte métodos de verificação.

Por que meus códigos de aplicativo autenticador TOTP não estão funcionando?

Se os códigos do aplicativo autenticador TOTP não estiverem funcionando com o dispositivo ou telefone celular Android ou iPhone, pode ser que a hora do relógio do dispositivo esteja incorreta. Nas configurações do seu dispositivo, selecione a opção para usar a hora fornecida pela rede ou para definir a hora automaticamente.

Como posso saber se o complemento Go-Local está disponível no meu país/região?

Ao criar seu locatário do Azure AD B2C , se o complemento Go-Local estiver disponível em seu país/região, você deverá habilitá-lo se precisar.

Continuo recebendo 50.000 MAUs gratuitos por mês no complemento Go-Local quando o habilito?

Não. As 50.000 MAUs gratuitas por mês não se aplicam quando você habilita o complemento Go-Local. Você incorrerá em uma cobrança no complemento Go-Local do primeiro MAU. No entanto, você continuará a desfrutar de 50.000 MAUs gratuitas por mês nos outros recursos disponíveis nos preços do Azure AD B2C Premium P1 ou P2.

Tenho um locatário Azure AD B2C existente no Japão ou na Austrália que não tem complemento Go-Local habilitado. Como ativo esse complemento?

Siga as etapas em Ativar complemento Go-Local para ativar o complemento Go-Local do Azure AD B2C.

Posso localizar a interface de usuário das páginas atendidas pelo AD B2C do Azure? Quais são os idiomas com suporte?

Sim, consulte personalização do idioma. Podemos fornecer traduções para 36 idiomas e você pode substituir qualquer cadeia de caracteres para atender às suas necessidades.

Posso usar minhas próprias URLs em minhas páginas de inscrição e de entrada atendidas pelo AD B2C do Azure? Por exemplo, posso alterar a URL de contoso.b2clogin.com para login.contoso.com?

Sim, você pode usar um domínio próprio. Para obter detalhes, consulte Domínios personalizados do Azure AD B2C.

Como excluir o meu locatário do Azure AD B2C?

Siga estas etapas para excluir seu locatário do Azure AD B2C.

Você pode usar a nossa nova experiência unificada de Registros de aplicativo ou a nossa experiência herdada Aplicativos (Herdado). Saiba mais sobre a nova experiência.

  1. Entre no portal do Azure como o Administrador da Assinatura. Use a mesma conta corporativa, de estudante ou da Microsoft que você usou para se inscrever no Azure.
  2. Verifique se você está usando o diretório que contém seu locatário do Azure AD B2C. Selecione o ícone Configurações na barra de ferramentas do portal.
  3. Na página Configurações do portal | Diretórios + assinaturas, encontre o diretório Azure Active Directory B2C na lista Nome do diretório e, em seguida, selecione Alternar.
  4. No menu à esquerda, selecione Azure AD B2C. Ou selecione Todos os serviços e pesquise e selecione Azure AD B2C.
  5. Exclua todos os Fluxos de usuário (políticas) no locatário do Azure AD B2C.
  6. Exclua todos os Provedores de Identidade em seu locatário Azure AD B2C.
  7. Selecione Registros de aplicativo e a guia Todos os aplicativos.
  8. Exclua todos os aplicativos que você registrou.
  9. Exclua b2c-extensions-app.
  10. Em Gerenciar, selecione Usuários.
  11. Selecione um usuário de cada vez (exclua o usuário Administrador de Assinatura com o qual você entrou). Selecione Excluir na parte inferior da página e em SIM quando solicitado.
  12. Selecione Microsoft Entra ID no menu à esquerda.
  13. Em Gerenciar, selecione Propriedades.
  14. Em Gerenciamento de acesso para recursos do Azure, selecione Sim e, em seguida, selecione Salvar.
  15. Saia do portal do Azure e entre novamente para atualizar seu acesso.
  16. Selecione Microsoft Entra ID no menu à esquerda.
  17. Na página Visão geral, selecione Excluir locatário. Siga as instruções na tela para concluir o processo.

Posso obter o AD B2C do Azure como parte do Enterprise Mobility Suite?

Não, o Azure AD B2C é um serviço pré-pago do Azure e não faz parte do Enterprise Mobility Suite.

Posso comprar o licenciamento do Microsoft Entra ID P1 e Microsoft Entra ID P2 para meu locatário do Azure AD B2C?

Não, os locatários do Azure AD B2C não usam o licenciamento do Microsoft Entra ID P1 ou de Microsoft Entra ID P2. O Azure AD B2C usa as licenças do Azure AD B2C Premium P1 ou P2, que são diferentes das licenças do Microsoft Entra ID P1 ou P2 para um locatário Standard do Microsoft Entra. Os locatários do Azure AD B2C dão suporte nativo a alguns recursos semelhantes a recursos do Microsoft Entra ID P1 ou P2, conforme explicado em Recursos do Microsoft Entra ID com suporte.

Posso usar a atribuição baseada em grupo para aplicativos empresariais do Microsoft Entra em meu locatário do Azure AD B2C?

Não, os locatários do Azure AD B2C não dão suporte à atribuição baseada em grupo para Aplicativos Empresariais do Microsoft Entra.

Quais recursos do Azure AD B2C não estão disponíveis no Microsoft Azure Governamental?

Os seguintes recursos do AD B2C não estão disponíveis no Microsoft Azure Governamental:

  • Conectores de API
  • Acesso condicional

Revoguei o token de atualização usando invalidateAllRefreshTokens, do o Microsoft Graph, ou Revoke-MgUserSignInSession, do PowerShell do Microsoft Graph. Por que o Azure AD B2C ainda está aceitando o token de atualização antigo?

No Azure AD B2C, se a diferença de tempo entre refreshTokensValidFromDateTime e refreshTokenIssuedTime for menor ou igual a cinco minutos, o token de atualização ainda será considerado válido. No entanto, se refreshTokenIssuedTime for maior que refreshTokensValidFromDateTime, o token de atualização será revogado. Siga estas etapas para verificar se o token de atualização é válido ou revogado:

  1. Recupere RefreshToken e AccessToken resgatando authorization_code.

  2. Aguarde sete minutos.

  3. Use o cmdlet Revoke-MgUserSignInSession do Microsoft Graph PowerShell ou a API invalidateAllRefreshTokens do Microsoft Graph para executar o comandoRevokeAllRefreshToken.

  4. Aguarde dez minutos.

  5. Recupere o RefreshToken novamente.

Uso várias guias em um navegador da Web para entrar em vários aplicativos que registrei no mesmo locatário do Azure AD B2C. Quando tento executar um único logon, nem todos os aplicativos são desconectados. Por que isso acontece?

Atualmente, o Azure AD B2C não dá suporte à saída única para esse cenário específico. Isso é causado pela contenção de cookie, pois todos os aplicativos operam no mesmo cookie simultaneamente.

Como faço para relatar um problema com o Azure AD B2C?

Veja Solicitações de suporte a arquivos para o Azure Active Directory B2C.

No Azure AD B2C, eu revogo todas as sessões de um usuário usando o botão Revogar sessões dos portais do Azure, mas isso não funciona.

No momento, o Azure AD B2C não tem suporte para a revogação da sessão do usuário no portal do Azure. No entanto, você pode realizar essa tarefa usando PowerShell do Microsoft Graph ou a API do Microsoft Graph.