共用方式為


Azure Active Directory B2C 的新 應用程式註冊 體驗

Azure Active Directory B2C(Azure AD B2C) 的新 應用程式註冊 體驗現已正式推出。 如果您更熟悉 為 Azure AD B2C 註冊應用程式的應用程式 體驗,請參閱這裡稱為「舊版體驗」,本指南將讓您開始使用新的體驗。

概觀

先前,您必須使用舊版體驗,分別管理 Azure AD B2C 取用者對向應用程式的應用程式。 這意謂著 Azure 中不同位置的不同應用程式建立體驗。

新的體驗會顯示所有 Azure AD B2C 應用程式註冊和 Microsoft Entra 應用程式註冊在一個地方,並提供一致的方式來管理它們。 從建立面向客戶的應用程式到使用 Microsoft Graph 許可權管理資源管理的應用程式,您只需要學習一種方式來執行工作。

您可以從 azure AD B2CAzure 入口網站 中的 Microsoft Entra ID 服務流覽至 Azure AD B2C 租使用者中的 應用程式註冊,以達到新的體驗。

Azure AD B2C 應用程式註冊 體驗是以任何 Microsoft Entra 租使用者的一般應用程式註冊體驗為基礎,但專為 Azure AD B2C 租使用者量身打造。

什麼沒有改變?

  • 您的應用程式和相關組態可在新體驗中找到。 您不需要再次註冊應用程式,而且應用程式的使用者不需要再次登入。

注意

若要檢視您先前建立的所有應用程式,請流覽至 [應用程式註冊] 刀鋒視窗,然後選取 [所有應用程式] 索引卷標。這會顯示在舊版體驗中建立的應用程式、新體驗,以及在 Microsoft Entra 服務中建立的應用程式。

主要新功能

  • 統一 應用程式清單 會顯示所有使用 Azure AD B2C 和 Microsoft Entra ID 進行驗證的應用程式,放在一個方便的地方。 此外,您可以利用 Microsoft Entra 應用程式已經可用的功能,包括日期建立、憑證和秘密狀態、搜尋列等等。

  • 合併的應用程式註冊 可讓您快速註冊應用程式,無論是客戶面向應用程式還是應用程式來存取 Microsoft Graph。

  • [ 端點] 窗格可讓您快速識別案例的相關端點,包括 OpenID 連線設定、SAML 元數據、Microsoft Graph API 和 OAuth 2.0 使用者流程端點

  • API 許可權公開 API 提供更廣泛的範圍、許可權和同意管理。 您現在可以將 MS Graph 許可權指派給應用程式。

  • 擁有者和指令清單現在可供向 Azure AD B2C 進行驗證的應用程式使用。 您可以使用指令清單編輯器來新增註冊的擁有者,並直接編輯應用程式屬性

新的支持帳戶類型

在新的體驗中,您會從下列選項中選取支援帳戶類型:

  • 僅此組織目錄中的帳戶
  • 任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 – 多租使用者)
  • 任何身分識別提供者或組織目錄中的帳戶(用於向使用者流程驗證使用者)

若要瞭解不同的帳戶類型,請在建立體驗中選取 [協助我選擇 ]。

在舊版體驗中,應用程式一律會建立為面向客戶的應用程式。 針對這些應用程式,帳戶類型會設定為任何身分識別提供者或組織目錄中的帳戶(用於向使用者流程驗證使用者)。

注意

必須有此選項,才能執行 Azure AD B2C 使用者流程,以驗證此應用程式的使用者。 瞭解如何 註冊應用程式以與使用者流程搭配使用。

您也可以使用此選項來使用 Azure AD B2C 作為 SAML 服務提供者。 深入了解

DevOps 案例的應用程式

您可以使用其他帳戶類型來建立應用程式來管理DevOps案例,例如使用 Microsoft Graph 上傳身分識別體驗架構原則或布建使用者。 瞭解如何 註冊 Microsoft Graph 應用程式來管理 Azure AD B2C 資源

您可能看不到所有 Microsoft Graph 許可權,因為其中許多許可權不適用於 Azure B2C 取用者使用者。 深入瞭解如何使用 Microsoft Graph 管理使用者。

openid 範圍是必要的,讓 Azure AD B2C 可以將使用者登入應用程式。 需要 offline_access 範圍,才能為用戶發出重新整理令牌。 這些範圍先前已新增,並預設為系統管理員同意。 現在,您可以在建立程式期間輕鬆地新增這些範圍的許可權,方法是確保 已選取 [授與系統管理員同意 openid 並offline_access許可權 ] 選項。 否則,您可以在現有應用程式的 API 許可權設定中 ,使用系統管理員同意來新增 Microsoft Graph 許可權

深入了解 許可權和同意

平臺/驗證:回復 URL/重新導向 URI

在舊版體驗中,各種平台類型是在 [屬性] 下管理,做為 Web 應用程式/API 的回復 URL,以及原生用戶端的重新導向 URI。 「原生用戶端」也稱為「公用用戶端」,並包含適用於iOS、macOS、Android和其他行動裝置和桌面應用程式類型的應用程式。

在新體驗中,回復 URL 和重新導向 URI 都稱為重新導向 URI,而且可在應用程式的 驗證 區段中找到。 應用程式註冊 不限於是 Web 應用程式或原生應用程式。 您可以註冊個別的重新導向 URI,針對所有這些平台類型使用相同的應用程式註冊。

重新導向 URI 必須與 Web 或公用 (行動裝置和桌面) 的應用程式類型相關聯。 深入了解重新導向 URI

iOS/macOSAndroid 平臺是一種公用客戶端類型。 它們提供簡單的方法來設定具有對應重新導向 URI 的 iOS/macOS 或 Android 應用程式,以搭配 MSAL 使用。 深入瞭解 應用程式組態選項

應用程式憑證和秘密

在新體驗中,您可以使用 [憑證與秘密] 刀鋒視窗來管理憑證和秘密,而不是 [密鑰]。 憑證和秘密可讓應用程式在可尋址位置(使用 HTTPS 配置)接收令牌時,向驗證服務識別自己。 針對 Microsoft Entra 識別碼進行驗證時,建議您針對客戶端認證案例使用憑證,而不是客戶端密碼。 憑證無法用來對 Azure AD B2C 進行驗證。

Azure AD B2C 租使用者中不適用的功能

下列 Microsoft Entra 應用程式註冊功能不適用於或可在 Azure AD B2C 租使用者中使用:

  • 角色和系統管理員 - 目前不適用於 Azure AD B2C。
  • 商標 - UI/UX 自定義是在公司商標體驗中設定,或設定為使用者流程的一部分。 瞭解如何 自定義 Azure Active Directory B2C 中的使用者介面。
  • 發行者網域驗證 - 您的應用程式已在 .onmicrosoft.com註冊,這不是已驗證的網域。 此外,發行者網域主要用於授與使用者同意,這不適用於 Azure AD B2C 應用程式以進行用戶驗證。 深入了解發行者網域
  • 令牌設定 - 令牌會設定為使用者流程的一部分,而不是應用程式。
  • 快速入門體驗目前不適用於 Azure AD B2C 租使用者。

限制

新的體驗有下列限制:

  • 目前,Azure AD B2C 無法區分能夠針對隱含流程發出存取或標識元令牌;如果在 [驗證] 刀鋒視窗中選取 [標識符令牌] 選項,這兩種類型的令牌都可用於隱含授與流程。
  • UI 不支援變更所支持帳戶的值。 除非您在 Microsoft Entra 單一租使用者與多租用戶之間切換,否則您必須使用應用程式指令清單。

下一步

若要開始使用新的應用程式註冊體驗: