此頁面會回答有關 Azure Active Directory B2C (Azure AD B2C) 的常見問題。 繼續檢查是否有更新。
Microsoft Entra 外部 ID預覽
什麼是Microsoft Entra 外部 ID?
我們宣佈了新一代Microsoft Entra 外部 ID解決方案的早期預覽。 這個早期預覽是統一安全且吸引人的所有外部身分識別體驗的進化步驟,包括合作夥伴、客戶、公民、患者,以及單一整合平臺內的其他人。 如需預覽的詳細資訊,請參閱 什麼是客戶的Microsoft Entra 外部 ID? 。
此預覽對我有何影響?
您目前不需要採取任何動作。 新一代平臺目前僅處於早期預覽狀態。 我們仍然致力於支援您目前的 Azure AD B2C 解決方案。 Azure AD B2C 客戶目前不需要移轉,也沒有計劃停止目前的 Azure AD B2C 服務。 隨著新一代平臺接近 GA,所有價值 B2C 客戶在可用選項上都會提供詳細資料,包括移轉至新平臺。
如何參與預覽?
由於下一代平臺代表我們未來的客戶身分識別和存取管理(CIAM),我們歡迎並鼓勵您在早期預覽期間參與和意見反應。 如果您有興趣加入早期預覽,請連絡您的銷售小組以取得詳細資料。
一般
為什麼我無法在Azure 入口網站中存取 Azure AD B2C 擴充功能?
Microsoft Entra 延伸模組無法為您運作的原因有兩個常見原因。 Azure AD B2C 需要目錄中的使用者角色成為全域管理員。 如果您認為您應該擁有存取權,請連絡您的系統管理員。 如果您有全域管理員許可權,請確定您位於 Azure AD B2C 目錄中,而不是 Microsoft Entra 目錄。 您可以看到建立 Azure AD B2C 租使用者的 指示 。
我可以在現有員工型 Microsoft Entra 租使用者中使用 Azure AD B2C 功能嗎?
Microsoft Entra ID 和 Azure AD B2C 是個別的產品供應專案。 若要使用 Azure AD B2C 功能,請建立與現有員工型 Microsoft Entra 租使用者不同的 Azure AD B2C 租使用者。 Microsoft Entra 租用戶代表組織。 Azure AD B2C 租使用者代表要與信賴憑證者應用程式搭配使用的身分識別集合。 藉由在 Azure AD B2C > 識別提供者或自訂原則下 新增 新的 OpenID 連線提供者 ,Azure AD B2C 可以同盟至 Microsoft Entra ID,以允許驗證組織中的員工。
我可以使用 Azure AD B2C 將社交登入 (Facebook 和 Google+) 提供給 Microsoft 365 嗎?
Azure AD B2C 無法用來驗證 Microsoft 365 的使用者。 Microsoft Entra ID 是 Microsoft 管理員工對 SaaS 應用程式存取的解決方案,其具有專為此用途而設計的功能,例如授權和條件式存取。 Azure AD B2C 提供用來建置 Web 和行動應用程式的身分識別和存取管理平臺。 當 Azure AD B2C 設定為同盟至 Microsoft Entra 租使用者時,Microsoft Entra 租使用者會管理員工對依賴 Azure AD B2C 的應用程式存取權。
什麼是 Azure AD B2C 中的本機帳戶? 它們與 Microsoft Entra ID 中的公司或學校帳戶有什麼不同?
在 Microsoft Entra 租使用者中,屬於租使用者的使用者使用表單 <xyz>@<tenant domain> 的電子郵件地址登入。 <tenant domain>是租使用者或初始 <...>.onmicrosoft.com 網域中的其中一個已驗證網域。 這種類型的帳戶是公司或學校帳戶。
在 Azure AD B2C 租使用者中,大部分的應用程式都希望使用者使用任何任意電子郵件地址登入(例如 、 joe@comcast.net 、 bob@gmail.com 、 sarah@contoso.com 或 jim@live.com )。 這種類型的帳戶是本機帳戶。 我們也支援任意使用者名稱作為本機帳戶(例如 joe、bob、sarah 或 jim)。 您可以在Azure 入口網站中設定 Azure AD B2C 的識別提供者時,選擇這兩種本機帳戶類型的其中一種。 在您的 Azure AD B2C 租使用者中,選取 [識別提供者 ],選取 [本機帳戶 ],然後選取 [ 使用者名稱 ]。
應用程式的使用者帳戶可以透過註冊使用者流程、註冊或登入使用者流程、Microsoft Graph API 或Azure 入口網站來建立。
Azure AD B2C 租使用者可以容納多少使用者?
- 根據預設,每個租使用者總共可以容納 125 萬個 物件(使用者帳戶和應用程式),但是當您新增和驗證自訂網域 時 ,您可以將此限制 增加到 525 萬 個 物件。 如果您想要增加此限制,請連絡 Microsoft 支援服務 。 不過,如果您在 2022 年 9 月之前 建立租使用者,此限制不會影響您,而且您的租使用者會在建立時保留配置給它的大小,也就是 5000 萬 個物件。
您現在支援哪些社交識別提供者? 您打算在未來支援哪些專案?
我們目前支援數個社交識別提供者,包括亞馬遜、Facebook、GitHub(預覽)、Google、LinkedIn、Microsoft 帳戶(MSA)、QQ(預覽)、Twitter、WeChat(預覽版)和微博(預覽)。 我們評估根據客戶需求新增其他熱門社交識別提供者的支援。
Azure AD B2C 也支援 自訂原則 。 自訂原則可讓您為任何支援 OpenID 連線 或 SAML 的識別提供者建立自己的原則。 查看我們的 自訂原則入門套件 ,以開始使用自訂原則。
我可以設定範圍以收集來自各種社交識別提供者之取用者的詳細資訊嗎?
否。 我們支援的一組社交識別提供者所使用的預設範圍如下:
- Facebook:電子郵件
- Google+: 電子郵件
- Microsoft 帳戶:openid 電子郵件設定檔
- Amazon:設定檔
- LinkedIn:r_emailaddress、r_basicprofile
我在 Azure AD B2C 中使用 ADFS 作為識別提供者。 當我嘗試從 Azure AD B2C 起始登出要求時,ADFS 會顯示錯誤 *MSIS7084:使用 SAML HTTP 重新導向或 HTTP POST 系結時,必須簽署 SAML 登出要求和登出回應訊息*。 如何?解決此問題嗎?
在 ADFS 伺服器上,執行: Set-AdfsProperties -SignedSamlRequestsRequired $true 。 這會強制 Azure AD B2C 將所有要求籤署至 ADFS。
我的應用程式是否必須在 Azure 上執行,才能使用 Azure AD B2C?
否,您可以在任何位置裝載應用程式(在雲端或內部部署中)。 只要能夠在公開存取的端點上傳送和接收 HTTP 要求,就可以與 Azure AD B2C 互動。
我有多個 Azure AD B2C 租使用者。 如何在Azure 入口網站上管理它們?
在Azure 入口網站中開啟 Azure AD B2C 服務之前,您必須切換至您想要管理的目錄。 選取 頂端功能表中的設定 圖示,以從 [目錄 + 訂 用帳戶] 功能表切換至您想要管理的目錄。
為什麼我無法建立 Azure AD B2C 租使用者?
您可能沒有建立 Azure AD B2C 租使用者的許可權。 只有具有 全域管理員 或 租使用者建立者 角色的使用者才能建立租使用者。 您必須連絡全域 管理員 。
如何?自訂 Azure AD B2C 所傳送的驗證電子郵件(內容和「來源:」欄位?
您可以使用 公司商標功能 來自訂驗證電子郵件的內容。 具體來說,您可以自訂這兩個電子郵件元素:
橫幅標誌 :顯示在右下角。
背景色彩 :顯示在頂端。
電子郵件簽章包含您第一次建立 Azure AD B2C 租使用者時所提供的 Azure AD B2C 租使用者名稱。 您可以使用下列指示來變更名稱:
- 以全域管理員istrator 身分登入 Azure 入口網站 。
- 開啟 [ Microsoft Entra ID ] 刀鋒視窗。
- 選取屬性索引標籤。
- 變更 [ 名稱] 欄位。
- 在頁面頂端,選取儲存。
目前,您無法變更電子郵件上的 [From:] 欄位。
如何將現有的使用者名稱、密碼和設定檔從資料庫移轉至 Azure AD B2C?
您可以使用 Microsoft Graph API 來撰寫移轉工具。 如需詳細資訊, 請參閱使用者移轉指南 。
Azure AD B2C 中的本機帳戶會使用哪些密碼使用者流程?
本機帳戶的 Azure AD B2C 密碼使用者流程是以 Microsoft Entra 識別碼的原則為基礎。 Azure AD B2C 的註冊、註冊或登入和密碼重設使用者流程會使用「強式」密碼強度,且不會讓任何密碼過期。 如需詳細資訊,請參閱 Microsoft Entra ID 中的密碼原則和限制。
如需帳戶鎖定和密碼的相關資訊,請參閱 減輕 Azure AD B2C 中的認證攻擊。
我可以使用 Microsoft Entra 連線,將儲存在內部部署的 Active Directory上的取用者身分識別移轉至 Azure AD B2C 嗎?
否,Microsoft Entra 連線並非設計來搭配 Azure AD B2C 使用。 請考慮使用 Microsoft Graph API 進行使用者移轉。 如需詳細資訊, 請參閱使用者移轉指南 。
我的應用程式是否可以在 iFrame 內開啟 Azure AD B2C 頁面?
此功能處於公開預覽狀態。 如需詳細資訊,請參閱 內嵌登入體驗 。
Azure AD B2C 是否可與 Microsoft Dynamics 等 CRM 系統搭配使用?
Microsoft Dynamics 365 入口網站整合可供使用。 請參閱 設定 Dynamics 365 入口網站以使用 Azure AD B2C 進行驗證 。
Azure AD B2C 是否可與 SharePoint 內部部署 2016 或更早版本搭配使用?
Azure AD B2C 不適用於 SharePoint 外部合作夥伴共用案例;請改為參閱 Microsoft Entra B2B 。
我應該使用 Azure AD B2C 或 B2B 來管理外部身分識別嗎?
請參閱 比較外部身分 識別的解決方案,以深入瞭解如何將適當的功能套用至外部身分識別案例。
Azure AD B2C 提供哪些報告和稽核功能? 它們是否與 Microsoft Entra ID P1 或 P2 中的相同?
否,Azure AD B2C 不支援與 Microsoft Entra ID P1 或 P2 相同的報告集。 不過,有許多共同點:
- 登入報告 會提供每個登入的記錄,並縮減詳細資料。
- 稽核報告 包括系統管理員活動和應用程式活動。
- 使用量報告 包括使用者數目、登入數目和 MFA 數量。
終端使用者是否可以搭配驗證器應用程式使用以時間為基礎的一次性密碼 (TOTP),向我的 Azure AD B2C 應用程式進行驗證?
是。 終端使用者需要下載任何支援 TOTP 驗證的驗證器應用程式,例如 Microsoft Authenticator 應用程式 (建議使用)。 如需詳細資訊, 請參閱驗證方法 。
為什麼我的 TOTP 驗證器應用程式代碼無法運作?
如果 TOTP 驗證器應用程式代碼無法使用 Android 或 i電話行動電話或裝置,則裝置的時鐘時間可能不正確。 在裝置的設定中,選取選項以使用網路提供的時間,或自動設定時間。
如何?知道我的國家/地區提供 Go-Local 附加元件嗎?
在建立 Azure AD B2C 租 使用者時 ,如果您的國家/地區提供 Go-Local 附加元件,系統會要求您視需要啟用它。
當我啟用時,我是否仍會在 Go-Local 附加元件上每月取得 50,000 個免費 MA?
No. 當您啟用 Go-Local 附加元件時,每月不會套用 50,000 個免費 MAU 。 第一個 MAU 的 Go-Local 附加元件會產生費用。 不過,您每月會繼續享有 Azure AD B2C 進階版 P1 或 P2 定價 上其他可用的免費 50,000 RU。
我在日本或澳大利亞有現有的 Azure AD B2C 租使用者,但未啟用 Go-Local 附加元件。 如何?啟用此附加元件嗎?
請遵循啟用 Go-Local ad-on 中的 步驟來啟用 Azure AD B2C Go-Local 附加元件。
我可以將 Azure AD B2C 所服務頁面的 UI 當地語系化嗎? 支援哪些語言?
是,請參閱 語言自訂 。 我們提供 36 種語言的翻譯,您可以覆寫任何字串以符合您的需求。
我可以在 Azure AD B2C 提供的註冊和登入頁面上使用自己的 URL 嗎? 例如,我可以將 URL 從 contoso.b2clogin.com 變更為 login.contoso.com 嗎?
是,您可以使用自己的網域。 如需詳細資訊,請參閱 Azure AD B2C 自訂網域 。
如何? 刪除我的 Azure AD B2C 租使用者嗎?
請遵循下列步驟來刪除您的 Azure AD B2C 租使用者。
您可以使用我們新的統一 應用程式註冊 體驗或舊版 應用程式 (舊版) 體驗。 深入瞭解新體驗 。
- 以訂用帳戶管理員istrator 身分 登入 Azure 入口網站 。 使用相同的公司或學校帳戶或您用來註冊 Azure 的相同 Microsoft 帳戶。
- 請確定您使用的是包含 Azure AD B2C 租使用者的目錄。 選取入口 網站工具列中的設定 圖示。
- 在入口 網站設定 |[目錄 + 訂用帳戶 ] 頁面,在 [ 目錄名稱 ] 清單中尋找您的 Azure AD B2C 目錄,然後選取 [ 切換 ]。
- 在左側功能表中,選取 [Azure AD B2C ]。 或者,選取 [所有服務 ],然後搜尋並選取 [Azure AD B2C ]。
- 刪除 Azure AD B2C 租使用者中的所有使用者流程(原則 )。
- 刪除 Azure AD B2C 租使用者中的所有 識別提供者 。
- 選取 [應用程式註冊 ],然後選取 [ 所有應用程式] 索引 標籤。
- 刪除您註冊的所有應用程式。
- 刪除 b2c-extensions-app 。
- 在管理下方,選取使用者。
- 接著選取每個使用者(排除 您目前登入的訂用帳戶管理員istrator 使用者)。 選取頁面底部的 [ 刪除] ,並在出現提示時選取 [ 是 ]。
- 選取 左側功能表上的 [Microsoft Entra 標識符 ]。
- 在 [管理] 底下,選取 [屬性]
- 在[Azure 資源的存取管理] 底下,選取 [是],然後選取 [儲存]。
- 註銷 Azure 入口網站,然後重新登入以重新整理您的存取權。
- 選取 左側功能表上的 [Microsoft Entra 標識符 ]。
- 在 [概 觀] 頁面上,選取 [ 刪除租使用者]。 請遵循畫面上的指示來完成此程式。
我可以取得 Azure AD B2C 作為 Enterprise Mobility Suite 的一部分嗎?
否,Azure AD B2C 是隨用隨付 Azure 服務,不屬於 Enterprise Mobility Suite 的一部分。
我可以為 Azure AD B2C 租使用者購買 Microsoft Entra ID P1 和 Microsoft Entra ID P2 授權嗎?
否,Azure AD B2C 租使用者不會使用 Microsoft Entra ID P1 或 Microsoft Entra ID P2 授權。 Azure AD B2C 使用 Azure AD B2C 進階版 P1 或 P2 授權,這與標準 Microsoft Entra 租使用者的 Microsoft Entra ID P1 或 P2 授權不同。 Azure AD B2C 租使用者原生支援一些類似於 Microsoft Entra ID P1 或 P2 功能的功能,如支援的 Microsoft Entra ID 功能中所述。
我可以在 Azure AD B2C 租使用者中使用 Microsoft Entra Enterprise Applications 的群組型指派嗎?
否,Azure AD B2C 租使用者不支援 以群組為基礎的指派給 Microsoft Entra Enterprise Applications。
Microsoft Azure Government 中無法使用哪些 Azure AD B2C 功能?
Microsoft Azure Government 目前無法使用下列 AD B2C 功能:
- API 連接器
- 條件式存取
我已使用 Microsoft Graph invalidateAllRefreshTokens 或 Microsoft Graph PowerShell Revoke-MgUserSignInSession 撤銷重新整理令牌。 為什麼 Azure AD B2C 仍然接受舊的重新整理令牌?
在 Azure AD B2C 中,如果和 refreshTokenIssuedTime 之間的refreshTokensValidFromDateTime時間差異小於或等於 5 分鐘,重新整理令牌仍視為有效。 不過,如果 refreshTokenIssuedTime 大於 refreshTokensValidFromDateTime,則會撤銷重新整理令牌。
請遵循下列步驟來檢查重新整理權杖是否有效或已撤銷:
藉由兌換
authorization_code來RefreshToken擷取 和AccessToken。等候 7 分鐘。
使用 Microsoft Graph PowerShell Cmdlet Revoke-MgUserSignInSession 或 Microsoft Graph API invalidateAllRefreshTokens 來執行
RevokeAllRefreshToken命令。等候 10 分鐘。
再次擷取
RefreshToken。
我在網頁瀏覽器中使用多個索引標籤來登入我在相同 Azure AD B2C 租用戶中註冊的多個應用程式。 當我嘗試執行單一註銷時,並非所有應用程式都會註銷。為什麼會發生此情況?
目前,Azure AD B2C 不支援此特定案例的單一註銷。 這是由 Cookie 爭用所造成,因為所有應用程式都會同時在同一個 Cookie 上運作。
如何? 回報 Azure AD B2C 的問題嗎?
請參閱 Azure Active Directory B2C 的檔案支援要求。