Изменить

Azure AD B2C: часто задаваемые вопросы

  • Вопросы и ответы

На этой странице вы найдете ответы на часто задаваемые вопросы об Azure Active Directory B2C (Azure AD B2C). Следите за обновлениями.

предварительная версия Внешняя идентификация Microsoft Entra

Что такое Внешняя идентификация Microsoft Entra?

Мы объявили о начале предварительной версии нашего решения Внешняя идентификация Microsoft Entra следующего поколения. Эта ранняя предварительная версия представляет собой эволюционный этап объединения безопасных и привлекательных интерфейсов во всех внешних удостоверениях, включая партнеров, клиентов, граждан, пациентов и других в рамках единой интегрированной платформы. Дополнительные сведения о предварительной версии см. в статье "Что такое Внешняя идентификация Microsoft Entra для клиентов?".

Как эта предварительная версия влияет на меня?

В настоящее время никаких действий не требуется. Платформа следующего поколения в настоящее время доступна только в ранней предварительной версии. Мы полностью привержены поддержке текущего решения Azure AD B2C. В настоящее время нет требований для клиентов Azure AD B2C для миграции, и нет планов прекратить текущую службу Azure AD B2C. Поскольку платформа следующего поколения подходит к общедоступной версии, сведения будут доступны всем нашим ценным клиентам B2C по доступным параметрам, включая миграцию на новую платформу.

Как получить предварительную версию?

Поскольку платформа следующего поколения представляет наше будущее для управления удостоверениями клиентов и доступом (CIAM), мы приветствуем и поощряем ваше участие и отзывы во время ранней предварительной версии. Если вы хотите присоединиться к ранней предварительной версии, обратитесь к вашей группе продаж за подробными сведениями.

Общие

Почему я не могу получить доступ к расширению Azure AD B2C на портале Azure?

Существует две распространенные причины, по которым расширение Microsoft Entra не работает для вас. Azure AD B2C требует, чтобы роль пользователя в каталоге была глобальным администратором. Обратитесь к администратору, если вы считаете, что у вас должен быть доступ. Если у вас есть права глобального администратора, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra. См. инструкции по созданию клиента Azure AD B2C.

Можно ли использовать функции Azure AD B2C в существующем клиенте Microsoft Entra на основе сотрудников?

Идентификатор Microsoft Entra и Azure AD B2C — это отдельные предложения продуктов. Чтобы использовать функции Azure AD B2C, создайте отдельный клиент Azure AD B2C из существующего клиента Microsoft Entra на основе сотрудников. Клиент Microsoft Entra представляет организацию. Клиент Azure AD B2C представляет коллекцию удостоверений для использования с приложениями проверяющей стороны. Добавив новый поставщик openID Подключение в рамках поставщиков удостоверений Azure AD B2C > или с настраиваемыми политиками, Azure AD B2C может федеративный идентификатор Microsoft Entra, разрешающий проверку подлинности сотрудников в организации.

Можно ли использовать Azure AD B2C для предоставления социального входа (Facebook и Google+) в Microsoft 365?

Azure AD B2C нельзя использовать для проверки подлинности пользователей Microsoft 365. Идентификатор Microsoft Entra — это решение Майкрософт для управления доступом сотрудников к приложениям SaaS, и он имеет функции, предназначенные для этой цели, такие как лицензирование и условный доступ. Azure AD B2C предоставляет платформу управления удостоверениями и доступом для создания веб-и мобильных приложений. Когда Azure AD B2C настроена на федеративную федерацию с клиентом Microsoft Entra, клиент Microsoft Entra управляет доступом сотрудников к приложениям, которые используют Azure AD B2C.

Что такое локальные учетные записи в Azure AD B2C? Как они отличаются от рабочих или учебных учетных записей в идентификаторе Microsoft Entra?

В клиенте Microsoft Entra пользователи, принадлежащие клиенту, входят в систему с адресом электронной почты формы <xyz>@<tenant domain>. <tenant domain> — один из проверенных доменов в клиенте или начальный домен <...>.onmicrosoft.com. Тип этой учетной записи — рабочая или учебная учетная запись.

В клиенте Azure AD B2C большинство приложений поддерживают вход с использованием любого электронного адреса (например, joe@comcast.net, bob@gmail.com, sarah@contoso.com или jim@live.com). Учетная запись такого типа называется локальной учетной записью. В качестве локальных учетных записей мы также поддерживаем произвольные имена пользователей (например, vitaly, victor, marya или dmitry). Вы можете выбрать один из этих двух типов локальных учетных записей при настройке поставщиков удостоверений для Azure AD B2C на портале Azure. В клиенте Azure AD B2C щелкните Поставщики удостоверений и выберите Локальная учетная запись, а затем — Имя пользователя.

Учетные записи пользователей для приложений можно создавать с помощью потока пользователя регистрации, регистрации или входа в систему, API Microsoft Graph или портал Azure.

Сколько пользователей может разместить клиент Azure AD B2C?

  • По умолчанию каждый клиент может разместить в общей сложности 1,25 миллиона объектов (учетные записи пользователей и приложения), но это ограничение можно увеличить до 5,25 миллионов объектов при добавлении и проверке личного домена. Если вы хотите увеличить это ограничение, обратитесь к служба поддержки Майкрософт. Однако если вы создали клиент до сентября 2022 года, это ограничение не повлияет на вас, и ваш клиент сохранит размер, выделенный для него при создании, это 50 миллионов объектов.

Какие поставщики удостоверений социальных сетей поддерживаются в настоящее время? Каких из них вы планируете поддерживать в будущем?

Сейчас мы поддерживаем несколько поставщиков удостоверений социальных сетей, включая Amazon, Facebook, GitHub (предварительная версия), Google, LinkedIn, учетную запись Майкрософт (MSA), QQ (предварительная версия), Twitter, WeChat (предварительная версия) и Weibo (предварительная версия). Мы анализируем добавление поддержки других популярных поставщиков удостоверений социальных сетей с учетом запросов клиентов.

Azure AD B2C также поддерживает пользовательские политики. Пользовательские политики позволяют создавать собственные политики для любого поставщика удостоверений, поддерживающего OpenID Connect или SAML. Начните работу с пользовательскими политиками, ознакомившись с начальным пакетом пользовательской политики.

Можно ли настроить в разделе "Области" сбор дополнительной информации о клиентах от различных поставщиков удостоверений социальных сетей?

Нет. Области по умолчанию, используемые для поддерживаемых поставщиков удостоверений социальных сетей:

  • Facebook: адрес электронной почты;
  • Google+: адрес электронной почты;
  • Учетная запись Майкрософт: профиль электронной почты OpenID
  • Amazon: профиль;
  • LinkedIn: r_emailaddress, r_basicprofile

Я использую ADFS в качестве поставщика удостоверений в Azure AD B2C. Когда я пытаюсь инициировать запрос на выход из Azure AD B2C, ADFS отображает ошибку *MSIS7084: при использовании перенаправления HTTP SAML или привязки HTTP POST*. Как решить эту проблему?

На сервере ADFS выполните следующую команду: Set-AdfsProperties -SignedSamlRequestsRequired $true Это приведет к принудительному подписи всех запросов к ADFS в Azure AD B2C.

Нужно ли запускать приложение в Azure, чтобы оно работало с Azure AD B2C?

Нет, приложение можно разместить где угодно (в облаке или локально). Для взаимодействия с Azure AD B2C необходима только возможность отправки и получения HTTP-запросов в общедоступных конечных точках.

У меня есть несколько клиентов Azure AD B2C. Как управлять ими на портале Azure?

Перед открытием службы Azure AD B2C в портал Azure необходимо переключиться в каталог, который требуется управлять. Щелкните значок Параметры в верхнем меню, чтобы переключиться в каталог, которым вы хотите управлять из меню каталогов и подписок.

Почему не удается создать клиент Azure AD B2C?

Возможно, у вас нет разрешения на создание клиента Azure AD B2C. Только пользователи с ролями глобального администратора или создателя клиентов могут создавать клиент. Вам нужно обратиться к глобальному администратору.

Как настроить проверочные сообщения электронной почты (содержание сообщения и поле "От:"), которые отправляет служба Azure AD B2C?

Вы можете использовать функцию фирменной символики , чтобы настроить содержимое проверочных электронных сообщений. В частности, можно настроить следующие два элемента электронного сообщения:

  • Баннер с логотипом: отображается в правом нижнем углу;

  • цвет фона: отображается вверху.

    Screenshot of a customized verification email

Подпись электронного сообщения содержит имя клиента Azure AD B2C, которое было указано при создании клиента Azure AD B2C. Это имя можно изменить, выполнив приведенные ниже инструкции.

  1. Войдите на портал Azure как глобальный администратор.
  2. Откройте колонку Идентификатора Microsoft Entra.
  3. Выберите вкладку Свойства.
  4. Измените поле Имя.
  5. Выберите Сохранить в верхней части страницы.

В настоящее время вы не можете изменить поле "From:" в сообщении электронной почты.

Совет

С пользовательской политикой Azure AD B2C можно настроить отправки электронных сообщений Azure AD B2C пользователям, включая поле "От:". Для настройки проверки электронной почты требуется использование стороннего поставщика электронной почты, например Mailjet, SendGrid или SparkPost.

Как перенести в Azure AD B2C существующие имена пользователей, пароли и профили из своей базы данных?

Средство миграции можно создать с помощью API Microsoft Graph. Дополнительные сведения см. в руководстве по переносу пользователей.

Какой поток пользователя с использованием паролей применяется для локальных учетных записей в Azure AD B2C?

Поток пользователя паролей Azure AD B2C для локальных учетных записей основан на политике идентификатора Microsoft Entra. В потоках пользователей для регистрации, входа и сброса пароля в Azure AD B2C предусмотрено использование надежного пароля, срок действия которого не истекает. Дополнительные сведения см. в разделе "Политики паролей и ограничения" в идентификаторе Microsoft Entra.

Сведения о блокировках учетных записей и паролях см. в разделе Устранение рисков, связанных с атаками на учетные данные, в Azure AD B2C.

Можно ли использовать Microsoft Entra Подключение для переноса удостоверений потребителей, хранящихся на моем локальная служба Active Directory в Azure AD B2C?

Нет, Microsoft Entra Подключение не предназначен для работы с Azure AD B2C. Вы можете использовать API Microsoft Graph для перемещения пользователя. Дополнительные сведения см. в руководстве по переносу пользователей.

Может ли приложение открыть страницы Azure AD B2C в iFrame?

Эта функция предоставляется в общедоступной предварительной версии. Дополнительные сведения см. в статье Встроенный интерфейс входа.

Работает ли служба Azure AD B2C с системами CRM, например Microsoft Dynamics?

Сейчас реализована интеграция с порталом Microsoft Dynamics 365. Дополнительные сведения см. в статье Параметры поставщика Azure AD B2C для порталов.

Работает ли Azure AD B2C с программой SharePoint On-Premises 2016 или более ранних версий?

Azure AD B2C не предназначен для сценария совместного использования внешних партнеров SharePoint; Вместо этого см . раздел Microsoft Entra B2B .

Использовать службу Azure AD B2C или B2B для управления внешними удостоверениями?

Прочтите статью Сравнение решений для внешних удостоверений, чтобы узнать, как применять соответствующие функции в сценариях с использованием внешних удостоверений.

Какие функции отчетности и аудита есть в Azure AD B2C? Совпадают ли они с идентификатором Microsoft Entra ID P1 или P2?

Нет, Azure AD B2C не поддерживает тот же набор отчетов, что и Microsoft Entra ID P1 или P2. Однако существует множество общих особенностей:

  • В отчетах о входе в систему представлены записи и краткие сведения о каждом входе.
  • Отчеты аудита включают как действия администратора, так и действия приложения.
  • Отчеты об использовании содержат сведения о количестве пользователей, числе входов в систему и количестве событий MFA.

Могут ли конечные пользователи использовать одноразовые пароли с ограниченным сроком действия (TOTP) с приложением структуры проверки подлинности в моем приложении Azure AD B2C?

Да. Конечным пользователям необходимо скачать любое приложение структуры проверки подлинности, которое поддерживает проверку TOTP, например приложение Microsoft Authenticator (рекомендуется). Дополнительные сведения см. в описании методов проверки.

Почему коды приложения структуры проверки подлинности TOTP не работают?

Если коды приложения структуры проверки подлинности TOTP не работают с мобильным телефоном или устройством Android или iPhone, возможно, на устройстве неправильно задано время. В параметрах устройства выберите параметр, при котором используется заданное сетью время или же время задается автоматически.

Разделы справки знать, что надстройка Go-Local доступна в моей стране или регионе?

При создании клиента Azure AD B2C, если надстройка Go-Local доступна в вашей стране или регионе, вам будет предложено включить ее, если это необходимо.

Я по-прежнему получаю 50 000 бесплатных MAUs в месяц в надстройке Go-Local при включении?

Нет. 50 000 бесплатных maus в месяц не применяется при включении надстройки Go-Local. Вы будете взимать плату за надстройку Go-Local из первого MAU. Однако вы будете продолжать наслаждаться бесплатными 50 000 MAUs в месяц на другие функции, доступные в ценах на Azure AD B2C Premium P1 или P2.

У меня есть существующий клиент Azure AD B2C в Японии или Австралии, у которых нет встроенной надстройки Go-Local. Разделы справки активировать эту надстройку?

Выполните действия, описанные в разделе "Активировать локальную рекламу Go-Local" , чтобы активировать надстройку Azure AD B2C Go-Local.

Можно ли локализовать пользовательский интерфейс страниц Azure AD B2C? Какие языки поддерживаются?

Да, см. настройку языка. Мы предоставляем переводы для 36 языков, и вы можете переопределить любую строку в соответствии со своими потребностями.

Могу ли я использовать свои URL-адреса на страницах регистрации и входа в Azure AD B2C? Например, можно ли изменить URL-адрес с contoso.b2clogin.com на login.contoso.com?

Да, можно использовать свой домен. Дополнительные сведения см. в статье о личных доменах в Azure AD B2C.

Как удалить клиент Azure AD B2C?

Для удаления клиента Azure AD B2C выполните следующие действия.

Можно использовать новый унифицированный интерфейс Регистрация приложений или устаревший интерфейс Приложения (прежняя версия). См. дополнительные сведения о новом интерфейсе.

  1. Войдите на портал Azure под именем администратора подписки. Используйте ту же рабочую или учебную учетную запись либо учетную запись Майкрософт, которая использовалась для регистрации в Azure.
  2. Убедитесь, что вы используете каталог, содержащий клиент Azure AD B2C. Щелкните значок Параметры на панели инструментов портала.
  3. В настройках портала на странице Каталоги и подписки найдите свой каталог Azure AD B2C в списке Имя каталога и выберите Переключить.
  4. В меню слева выберите Azure AD B2C. Либо щелкните Все службы, а затем найдите и выберите Azure AD B2C
  5. Удалите все Потоки пользователей (политики) в клиенте Azure AD B2C.
  6. Удалите все Поставщики удостоверений в клиенте Azure AD B2C.
  7. Выберите Регистрация приложений, а затем перейдите на вкладку Все приложения.
  8. Удалите все зарегистрированные приложения.
  9. Удалите приложение b2c-extensions-app.
  10. В разделе Управление выберите Пользователи.
  11. Выберите каждого пользователя в свою очередь (исключите пользователя подписки Администратор istrator, вошедшего в систему. В нижней части страницы выберите Удалить, а затем при появлении запроса нажмите кнопку Да.
  12. Выберите идентификатор Microsoft Entra в меню слева.
  13. В разделе Управление выберите Свойства.
  14. В разделе Управление доступом для ресурсов Azure выберите Да, а затем нажмите Сохранить.
  15. Выйдите с портала Azure, а затем снова войдите, чтобы обновить доступ.
  16. Выберите идентификатор Microsoft Entra в меню слева.
  17. На странице Обзор выберите Удалить клиент. Для завершения процесса следуйте инструкциям на экране.

Можно ли получить Azure AD B2C в составе Enterprise Mobility Suite?

Нет, Azure AD B2C — это служба Azure с оплатой по мере использования и не является частью Enterprise Mobility Suite.

Можно ли приобрести лицензирование Microsoft Entra ID P1 и Microsoft Entra ID P2 для моего клиента Azure AD B2C?

Нет, клиенты Azure AD B2C не используют лицензирование Microsoft Entra ID P1 или Microsoft Entra ID P2. Azure AD B2C использует лицензии Azure AD B2C Premium P1 или P2 , отличные от лицензий Microsoft Entra ID P1 или P2 для клиента Microsoft Entra Standard. Клиенты Azure AD B2C изначально поддерживают некоторые функции, аналогичные функциям Microsoft Entra ID P1 или P2, как описано в поддерживаемых функциях идентификатора Microsoft Entra.

Можно ли использовать назначение на основе групп для корпоративных приложений Майкрософт в клиенте Azure AD B2C?

Нет, клиенты Azure AD B2C не поддерживают назначение на основе групп для корпоративных приложений Microsoft Entra Enterprise.

Какие функции Azure AD B2C недоступны в Microsoft Azure для государственных организаций?

В настоящее время в Microsoft Azure для государственных организаций недоступны следующие функции AD B2C:

  • Соединители API
  • Условный доступ

Я отменил маркер обновления с помощью Microsoft Graph invalidateAllRefreshTokens или Microsoft Graph PowerShell, Revoke-MgUserSignInSession. Почему Azure AD B2C по-прежнему принимает старый маркер обновления?

В Azure AD B2C, если разница между временем между refreshTokensValidFromDateTime и refreshTokenIssuedTime менее чем или равно 5 минутам, маркер обновления по-прежнему считается допустимым. Однако если значение refreshTokenIssuedTime больше refreshTokensValidFromDateTime, маркер обновления отзывается. Чтобы проверить, является ли маркер обновления допустимым или он отозван, выполните следующие действия:

  1. Получите RefreshToken и AccessToken, активировав authorization_code.

  2. Подождите 7 минут.

  3. Чтобы выполнить команду, используйте командлет Microsoft Graph PowerShell Revoke-MgUserSignInSession или API Microsoft Graph invalidateAllRefreshTokens.RevokeAllRefreshToken

  4. Подождите 10 минут.

  5. Получите RefreshToken еще раз.

Я использую несколько вкладок в веб-браузере для входа в несколько приложений, зарегистрированных в одном клиенте Azure AD B2C. Когда я пытаюсь выполнить единый выход, не все приложения выходят из системы. Почему это происходит?

В настоящее время Azure AD B2C не поддерживает единый выход для этого конкретного сценария. Это вызвано спором файлов cookie, так как все приложения работают одновременно с тем же файлом cookie.

Разделы справки сообщить о проблеме с Azure AD B2C?

Ознакомьтесь со статьей Azure Active Directory B2C: регистрация запросов в службу поддержки.

В Azure AD B2C я отменяю все сеансы пользователя с помощью кнопки "Отмена сеансов" портал Azure, но она не работает.

В настоящее время Azure AD B2C не поддерживает отзыв сеанса пользователя из портал Azure. Однако эту задачу можно достичь с помощью Microsoft Graph PowerShell или API Microsoft Graph.