Compartilhar via


Gerenciar o Azure AD B2C com o Microsoft Graph

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

O Microsoft Graph permite que você gerencie recursos em seu diretório do Azure AD B2C. As seguintes operações de API do Microsoft Graph têm suporte para o gerenciamento de recursos do Azure AD B2C, incluindo usuários, provedores de identidade, fluxos de usuário, políticas personalizadas e chaves de política. Cada link nas seções a seguir foca na página correspondente na referência de API do Microsoft Graph para esta operação.

Observação

Você também pode criar programaticamente um próprio diretório do Azure AD B2C, juntamente com o recurso do Azure correspondente vinculado a uma assinatura do Azure. Essa funcionalidade não é exposta por meio da API do Microsoft Graph, mas por meio da API REST do Azure. Para obter mais informações, confira Locatários B2C – Criar.

Pré-requisitos

  • Para usar a API do MS Graph e interagir com recursos em seu locatário do Azure AD B2C, você precisa de um registro de aplicativo que conceda as permissões para fazer isso. Siga as etapas no artigo Registrar um aplicativo do Microsoft Graph para criar um registro de aplicativo que seu aplicativo de gerenciamento possa usar.

Gerenciamento de usuários

Observação

Atualmente, o Azure AD B2C não dá suporte a recursos avançados de consulta em objetos de diretório. Isso significa que não há suporte para $count, parâmetros de consulta $search e operadores Not (not), Not equals (ne) e Ends with (endsWith) no parâmetro de consulta $filter. Para obter mais informações, consulte parâmetros de consulta no Microsoft Graph e recursos avançados de consulta no Microsoft Graph.

Migração de usuários

Assista a este vídeo para saber como a migração de usuário para o Azure AD B2C pode ser gerenciada usando a API do Microsoft Graph.

Gerenciamento de números de telefone do usuário

Um número de telefone que pode ser usado por um usuário para entrar usando SMS ou chamadas de voz ou autenticação multifator. Para obter mais informações, consulte a API de métodos de autenticação do Microsoft Entra.

Observe que a operação de lista retorna apenas números de telefone habilitados. O número de telefone a seguir deve ser habilitado para uso com as operações de lista.

Observação

Um número de telefone representado corretamente é armazenado com um espaço entre o código do país e o número de telefone. No momento, o serviço Azure AD B2C não adiciona esse espaço por padrão.

Captura de tela da página Métodos de Autenticação para um usuário de exemplo do portal do Azure. A caixa de texto do número de telefone está realçada.

Endereço de email para redefinição de senha self-service

Um endereço de email que pode ser usado por uma conta de login de nome de usuário para redefinir a senha. Para obter mais informações, consulte a API de métodos de autenticação do Microsoft Entra.

Método de autenticação por token OATH de software

Um token OATH de software é um gerador de números baseado em software que usa o padrão TOTP (senha única baseada em tempo OATH) para autenticação multifator por meio de um aplicativo autenticador. Use a API do Microsoft Graph para gerenciar um token OATH de software registrado para um usuário:

Provedores de identidade

Gerencie os provedores de identidade disponíveis para seus fluxos de usuário em seu locatário do Azure AD B2C.

Fluxo do usuário (beta)

Configure políticas predefinidas para inscrição, entrada, inscrição combinada e entrada, redefinição de senha e atualização de perfil.

Métodos de autenticação de fluxo do usuário (beta)

Escolha um mecanismo para permitir que os usuários se registrem por meio de contas locais. Uma conta local é aquela em que o Azure AD B2C conclui a declaração de identidade. Para obter mais informações, consulte o tipo de recurso b2cAuthenticationMethodsPolicy.

Políticas personalizadas (beta)

As operações a seguir permitem que você gerencie suas políticas do Azure AD B2C Trust Framework, conhecidas como políticas personalizadas.

Chaves de política (beta)

A Estrutura de Experiência de Identidade armazena os segredos referenciados em uma política personalizada para estabelecer a confiança entre os componentes. Esses segredos podem ser chaves/valores simétricos ou assimétricos. No portal do Azure, essas entidades são mostradas como chaves de política.

O recurso de nível superior para chaves de política na API do Microsoft Graph é o conjunto de chaves da Estrutura Confiável. Cada conjunto de chaves contém pelo menos uma chave. Para criar uma chave, primeiro crie um conjunto de chaves vazio e, em seguida, gere uma chave no conjunto de chaves. Você pode criar um segredo manual, carregar um certificado ou uma chave PKCS12. A chave pode ser um segredo gerado, uma cadeia de caracteres (como o segredo do aplicativo facebook) ou um certificado que você carrega. Se um conjunto de chaves tiver várias chaves, apenas uma das chaves estará ativa.

Conjunto de chaves de política do Trust Framework

Chave de política do Trust Framework

Aplicativos

Propriedades de extensão de aplicativo (Extensão do Directory)

As propriedades de extensão de aplicativo também são conhecidas como extensões do diretório ou do Microsoft Entra. Para gerenciá-los no Azure AD B2C, use o tipo de recurso identityUserFlowAttribute e seus métodos associados.

Você pode armazenar até 100 valores de extensão de diretório por usuário. Para gerenciar as propriedades de extensão de diretório para um usuário, use as seguintes APIs de usuário no Microsoft Graph.

  • Atualizar o usuário: para adicionar ou remover o valor da propriedade de extensão do diretório no objeto do usuário.
  • Obter um usuário: para recuperar o valor da Extensão do Directory para o usuário. A propriedade é retornada por padrão por meio do ponto de extremidade beta, mas somente por $select através do ponto de extremidade v1.0.

Para fluxos de usuário, essas propriedades de extensão são gerenciadas usando o portal do Azure. Para políticas personalizadas, o Azure AD B2C cria a propriedade para você, na primeira vez que a política grava um valor na propriedade de extensão.

Observação

Na ID do Microsoft Entra, as extensões de diretório são gerenciadas por meio do tipo de recurso extensionProperty e seus métodos associados. No entanto, como eles são usados em B2C por meio do aplicativo b2c-extensions-app que não deve ser atualizado, eles são gerenciados no Azure AD B2C usando o tipo de recurso identityUserFlowAttribute e seus métodos associados.

Uso do locatário

Use a API obter detalhes da organização para obter sua cota de tamanho de diretório. Você precisa adicionar o $select parâmetro de consulta, conforme mostrado na seguinte solicitação HTTP:

GET https://graph.microsoft.com/v1.0/organization/organization-id?$select=directorySizeQuota

Substitua organization-id por sua organização ou ID de locatário.

A resposta à solicitação acima é semelhante ao seguinte snippet JSON:

{
    "directorySizeQuota": {
        "used": 156,
        "total": 1250000
    }
}

Logs de auditoria

Para obter mais informações sobre como acessar logs de auditoria do Azure AD B2C, consulte Acessar logs de auditoria do Azure AD B2C.

Acesso condicional

Recuperar ou restaurar aplicativos e usuários excluídos

Os usuários e aplicativos excluídos só poderão ser restaurados se forem excluídos nos últimos 30 dias.

Como gerenciar programaticamente o Microsoft Graph

Você pode gerenciar o Microsoft Graph de duas maneiras:

  • As permissões delegadas requerem que o usuário ou um administrador consinta com as permissões solicitadas pelo aplicativo. O aplicativo é delegado com a permissão para atuar como um usuário conectado quando faz chamadas para o recurso de destino.
  • As permissões de aplicativo são usadas por aplicativos que não exigem um usuário conectado presente. Por isso, somente os administradores podem consentir com permissões de aplicativo.

Observação

Permissões delegadas para usuários que fazem logon por meio de fluxos de usuário ou políticas personalizadas não podem ser usadas em relação a permissões delegadas para a API do Microsoft Graph.