Azure AD B2C：常見問題 （FAQ）

這很重要

自 2025 年 5 月 1 日起，Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。

此頁面會回答有關 Azure Active Directory B2C （Azure AD B2C） 的常見問題。 繼續檢查是否有更新。

Azure AD B2C 終止銷售

自 2025 年 5 月 1 日起，Azure AD B2C 將不再可供新客戶購買，但目前的 Azure AD B2C 客戶可以繼續使用產品。 產品體驗，包括建立新的租用戶或使用者流程，將保持不變;不過，新租使用者只能使用 Azure AD B2C P1 來建立。 所有客戶的 Azure AD B2C P2 將於 2026 年 3 月 15 日停止。 作業承諾，包括服務等級協定 (SLA)、安全性更新和合規性，也保持不變。 我們會繼續支援 Azure AD B2C，直到至少 2030 年 5 月為止。 日後會提供詳細資訊，包括移轉方案。 如需詳細資訊，以及深入了解 Microsoft Entra 外部 ID，請連絡您的帳戶代表。

什麼是 Microsoft Entra 外部 ID？

我們已發行下一代Microsoft Entra External ID產品，其結合了強大的解決方案，可與組織外部的人員合作。 使用外部 ID 功能，您可以允許外部身分識別安全地存取您的應用程式和資源。 無論您是與外部合作夥伴、取用者或商務客戶合作，使用者都可以攜帶自己的身分識別。 這些身分識別的範圍從公司或政府發行的帳戶到 Google 或 Facebook 等社交識別提供者。 如需詳細資訊，請參閱 Microsoft Entra External ID 簡介

為什麼我無法在 Azure 入口網站中存取 Azure AD B2C 擴充功能？

Microsoft Entra 延伸模組無法為您運作的原因有兩個常見原因。 Azure AD B2C 需要您目錄中的使用者角色成為全域管理員。 如果您認為您應該擁有存取權，請連絡您的系統管理員。 如果您有全域管理員許可權，請確定您位於 Azure AD B2C 目錄中，而不是Microsoft Entra 目錄。 您可以看到 建立 Azure AD B2C 租使用者的指示。

我可以在現有員工型Microsoft Entra 租使用者中使用 Azure AD B2C 功能嗎？

Microsoft Entra ID 和 Azure AD B2C 是個別的產品供應專案。 若要使用 Azure AD B2C 功能，請建立與現有員工型Microsoft Entra 租使用者不同的 Azure AD B2C 租使用者。 Microsoft Entra 租用戶代表組織。 Azure AD B2C 租使用者代表要與信賴憑證者應用程式搭配使用的身分識別集合。 藉由在 或自定義原則下新增>，Azure AD B2C 可以同盟至Microsoft Entra 識別符，以允許驗證組織中的員工。

我可以使用 Azure AD B2C 將社交登入 （Facebook 和 Google+） 提供給 Microsoft 365 嗎？

Azure AD B2C 無法用來驗證Microsoft 365 的使用者。 Microsoft Entra ID 是Microsoft管理員工對 SaaS 應用程式存取的解決方案，且其具有專為授權和條件式存取等用途所設計的功能。 Azure AD B2C 提供用來建置 Web 和行動應用程式的身分識別和存取管理平臺。 當 Azure AD B2C 設定為與 Microsoft Entra 租使用者同盟時，Microsoft Entra 租使用者會管理員工對依賴 Azure AD B2C 的應用程式存取權。

什麼是 Azure AD B2C 中的本機帳戶？ 它們與Microsoft Entra標識符中的公司或學校帳戶有什麼不同？

在Microsoft Entra 租使用者中，屬於租用戶的使用者會以窗體 <xyz>@<tenant domain>的電子郵件位址登入。 <tenant domain>是租使用者或初始<...>.onmicrosoft.com網域中的其中一個已驗證網域。 這種類型的帳戶是公司或學校帳戶。

在 Azure AD B2C 租使用者中，大部分的應用程式都希望使用者使用任何任意電子郵件位址登入（例如 、 joe@comcast.net、 bob@gmail.com、 sarah@contoso.com或 jim@live.com）。 這種類型的帳戶是本機帳戶。 我們也支援任意用戶名稱作為本機帳戶（例如 joe、bob、sarah 或 jim）。 在 Azure 入口網站中設定 Azure AD B2C 的識別提供者時，您可以選擇這兩種本機帳戶類型的其中一種。 在您的 Azure AD B2C 租使用者中，選取 [ 識別提供者]，選取 [ 本機帳戶]，然後選取 [ 用戶名稱]。

應用程式的用戶帳戶可以透過註冊使用者流程、註冊或登入使用者流程、Microsoft Graph API 或 Azure 入口網站來建立。

Azure AD B2C 租使用者可以容納多少使用者？

根據預設，每個租用戶總共可以容納 125 萬個物件（使用者帳戶和應用程式），但是當您新增和驗證自定義網域時，您可以將此限制增加到 525 萬個物件。 如果您想要增加此限制，請連絡 Microsoft 支援服務。 不過，如果您在 2022 年 9 月之前建立租使用者，此限制不會影響您，而且您的租使用者會在建立時保留配置給它的大小，也就是 5000 萬 個物件。

您現在支援哪些社交識別提供者？ 您打算在未來支援哪些專案？

我們目前支持數個社交識別提供者，包括亞馬遜、Facebook、GitHub（預覽）、Google、LinkedIn、Microsoft帳戶（MSA）、QQ（預覽）、X、WeChat（預覽）和微博（預覽）。 我們評估根據客戶需求新增其他熱門社交識別提供者的支援。

Azure AD B2C 也支援 自定義原則。 自定義原則可讓您為任何支援 OpenID Connect 或 SAML 的識別提供者建立自己的原則。 查看我們的 自定義原則入門套件，以開始使用自定義原則。

我可以設定範圍以收集來自各種社交識別提供者之取用者的詳細資訊嗎？

否。 我們支援的一組社交識別提供者所使用的預設範圍如下：

• Facebook：電子郵件
• Google+： 電子郵件
• Microsoft帳戶：openid 電子郵件設置檔
• Amazon：配置檔
• LinkedIn：r_emailaddress、r_basicprofile

我在 Azure AD B2C 中使用 ADFS 作為識別提供者。 當我嘗試從 Azure AD B2C 起始登出要求時，ADFS 會顯示錯誤 *MSIS7084：使用 SAML HTTP 重新導向或 HTTP POST 系結時，必須簽署 SAML 註銷要求和註銷回應消息*。 如何? 解決此問題？

在ADFS伺服器上，執行： Set-AdfsProperties -SignedSamlRequestsRequired $true。 這會強制 Azure AD B2C 將所有要求簽署至 ADFS。

我的應用程式是否必須在 Azure 上執行，才能使用 Azure AD B2C？

否，您可以在任何位置裝載應用程式（在雲端或內部部署中）。 它只需要與 Azure AD B2C 互動，即可在可公開存取的端點上傳送和接收 HTTP 要求。

我有多個 Azure AD B2C 租使用者。 如何在 Azure 入口網站上管理它們？

在 Azure 入口網站中開啟 Azure AD B2C 服務之前，您必須切換至您想要管理的目錄。 選取頂端功能表中的 [ 設定 ] 圖示，以從 [ 目錄 + 訂 用帳戶] 功能表切換至您要管理的目錄。

為什麼我無法建立 Azure AD B2C 租使用者？

您可能沒有建立 Azure AD B2C 租用戶的許可權。 只有至少具有租使用者 建立者 角色的使用者才能建立租使用者。

如何自定義 Azure AD B2C 所傳送的驗證電子郵件（內容和 [來源：] 字段？

您可以使用 公司商標功能 來自定義驗證電子郵件的內容。 具體來說，您可以自定義這兩個電子郵件元素：

• 橫幅標誌：顯示在右下角。

• 背景色彩：顯示在頂端。

  

電子郵件簽章包含您第一次建立 Azure AD B2C 租使用者時所提供的 Azure AD B2C 租用戶名稱。 您可以使用下列指示來變更名稱：

1. 以全域管理員身分登入 Azure 入口網站 。
2. 開啟 [Microsoft [項目標識符 ] 刀鋒視窗。
3. 選取屬性索引標籤。
4. 變更 [ 名稱] 欄位。
5. 在頁面頂端，選取儲存。

目前，您無法變更電子郵件上的 [From：] 欄位。

小提示

使用 Azure AD B2C 自訂原則，您可以自定義 Azure AD B2C 傳送給使用者的電子郵件，包括電子郵件上的 [來源：] 字段。 自定義電子郵件驗證需要使用第三方電子郵件提供者，例如 Mailjet 或 SendGrid。

如何將現有的使用者名稱、密碼和配置檔從資料庫遷移至 Azure AD B2C？

您可以使用 Microsoft Graph API 來撰寫移轉工具。 如需詳細資訊，請參閱 使用者移轉指南 。

Azure AD B2C 中的本機帳戶會使用哪些密碼使用者流程？

本機帳戶的 Azure AD B2C 密碼使用者流程是以 Microsoft Entra 識別碼的原則為基礎。 Azure AD B2C 的註冊、註冊或登入和密碼重設使用者流程會使用「強式」密碼強度，且不會讓任何密碼過期。 如需詳細資訊，請參閱 Microsoft Entra ID 中的密碼原則和限制。

如需帳戶鎖定和密碼的相關信息，請參閱 減輕 Azure AD B2C 中的認證攻擊。

我是否可以使用 Microsoft Entra Connect 將儲存在內部部署 Active Directory 上的取用者身分識別移轉至 Azure AD B2C？

否，Microsoft Entra Connect 並非設計來搭配 Azure AD B2C 使用。 請考慮使用 Microsoft Graph API 進行使用者移轉。 如需詳細資訊，請參閱 使用者移轉指南 。

我的應用程式是否可以在iFrame內開啟 Azure AD B2C 頁面？

這項功能處於公開預覽狀態。 如需詳細資訊，請參閱 內嵌登入體驗。

Azure AD B2C 是否可與 Microsoft Dynamics 等 CRM 系統搭配使用？

Microsoft Dynamics 365 入口網站整合可供使用。 請參閱 設定 Dynamics 365 入口網站以使用 Azure AD B2C 進行驗證。

Azure AD B2C 是否可與 SharePoint 內部部署 2016 或更早版本搭配使用？

Azure AD B2C 不適用於 SharePoint 外部合作夥伴共用案例;請改為參閱 Microsoft Entra B2B 。

我應該使用 Azure AD B2C 或 B2B 來管理外部身分識別嗎？

請參閱 比較外部身分識別的解決方案 ，以深入瞭解如何將適當的功能套用至外部身分識別案例。

Azure AD B2C 提供哪些報告和稽核功能？ 它們與 Microsoft Entra ID P1 或 P2 中的相同嗎？

否，Azure AD B2C 不支援與 Microsoft Entra ID P1 或 P2 相同的報告集。 不過，有許多共同點：

• 登入報告 會提供每個登入的記錄，並縮減詳細數據。
• 稽核報告 包括系統管理員活動和應用程式活動。
• 使用量報告 包括用戶數目、登入數目和 MFA 數量。

為什麼我的 Azure AD B2C 帳單會顯示名為 「Microsoft Entra External ID」 的電話費用？

遵循 Azure AD 外部身分識別 SMS 電話驗證的新 計費模型 之後，您可能會注意到帳單上的新名稱。 先前，電話 MFA 會計費為「Azure Active Directory B2C - 基本 1 多重要素驗證」。現在，您會看到下列名稱，以您的 國家或地區定價層為基礎：

• Microsoft Entra 外部 ID - 電話驗證低成本 1 次交易
• Microsoft Entra 外部 ID - 電話驗證中低成本 1 次交易
• Microsoft Entra 外部 ID - 電話驗證中高成本 1 筆交易
• Microsoft Entra 外部身分識別 - 1次電話驗證的高成本交易

雖然新帳單提及Microsoft Entra External ID， 但您仍會根據核心 MAU 計數支付 Azure AD B2C 費用。

終端使用者是否可以搭配驗證器應用程式使用以時間為基礎的一次性密碼 （TOTP），向我的 Azure AD B2C 應用程式進行驗證？

是的。 用戶必須下載任何支援 TOTP 驗證的驗證器應用程式，例如 Microsoft Authenticator 應用程式 （建議使用）。 如需詳細資訊，請參閱 驗證方法。

為什麼我的 TOTP 驗證器應用程式代碼無法運作？

如果 TOTP 驗證器應用程式代碼無法與 Android 或 iPhone 行動電話或裝置搭配使用，則裝置的時鐘時間可能不正確。 在裝置的設定中，選取選項以使用網路提供的時間，或自動設定時間。

如何知道我的國家/地區提供 Go-Local 附加元件？

在建立 Azure AD B2C 租使用者時，如果您的國家/地區提供 Go-Local 附加元件，系統會要求您視需要啟用它。

當我啟用時，我是否仍會在 Go-Local 附加元件上每月取得 50,000 個免費 MA？

當您啟用 Go-Local 附加元件時，不會套用每月 50,000 個免費 MAU 。 您將從第一個MAU收取 Go-Local 附加元件的費用。 不過，您每月會繼續享有 Azure AD B2C Premium P1 或 P2 定價上其他可用的免費 50,000 RU。

我在日本或澳大利亞有現有的 Azure AD B2C 租使用者，但未啟用 Go-Local 附加元件。 如何啟用此附加元件？

請遵循 啟用 Go-Local ad-on 中的步驟來啟用 Azure AD B2C Go-Local 附加元件。

我可以將 Azure AD B2C 所服務頁面的 UI 當地語系化嗎？ 支援哪些語言？

是，請參閱 語言自定義。 我們提供 36 種語言的翻譯，您可以覆寫任何字串以符合您的需求。

我可以在 Azure AD B2C 提供的註冊和登入頁面上使用自己的 URL 嗎？ 例如，我可以將URL從 contoso.b2clogin.com 變更為 login.contoso.com 嗎？

是，您可以使用自己的網域。 如需詳細資訊，請參閱 Azure AD B2C 自定義網域。

如何刪除我的 Azure AD B2C 租使用者？

請遵循下列步驟來刪除您的 Azure AD B2C 租使用者。

您可以使用我們新的整合 應用程式註冊 體驗或舊 版應用程式 （舊版） 體驗。 深入了解新的體驗。

應用程式註冊

1. 以訂用帳戶管理員身分登入 Azure 入口 網站。 使用與註冊 Azure 時相同的工作或學校帳戶，或相同的 Microsoft 帳戶。
2. 確定您使用的目錄包含您的 Azure AD B2C 租用戶。 在入口網站工具列中選取 [設定] 圖示。
3. 在 [入口網站設定] | [目錄 + 訂用帳戶] 頁面上，在 [目錄名稱] 清單中尋找 Azure AD B2C 目錄，然後選取 [切換]。
4. 在左側功能表中，選取 [Azure AD B2C]。 或者，選取 [所有服務 ]，然後搜尋並選取 [Azure AD B2C]。
5. 刪除 Azure AD B2C 租使用者中的所有 使用者流程（原則 ）。
6. 刪除 Azure AD B2C 租使用者中的所有 識別提供者 。
7. 選取 [應用程式註冊]，然後選取 [ 所有應用程式] 索引 標籤。
8. 刪除您註冊的所有應用程式。
9. 刪除 b2c-extensions-app。
10. 在管理下方，選取使用者。
11. 接著選取每個使用者（排除您目前登入的訂用帳戶 管理員 使用者）。 選取頁面底部的 [刪除] ，並在出現提示時選取 [ 是 ]。
12. 選取左側功能表上 的 [Microsoft項目標識符 ]。
13. 在 [管理] 底下，選取 [屬性]
14. 在[Azure 資源的存取管理] 底下，選取 [是]，然後選取 [儲存]。
15. 登出 Azure 入口網站，並再次登入，以重新整理您的存取。
16. 選取左側功能表上 的 [Microsoft項目標識符 ]。
17. 在 [ 概觀] 頁面上，選取 [ 刪除租使用者]。 按照畫面上的指示完成該程序。

應用程式 (舊版)

1. 以訂用帳戶管理員身分登入 Azure 入口 網站。 使用與註冊 Azure 時相同的工作或學校帳戶，或相同的 Microsoft 帳戶。
2. 確定您使用的目錄包含您的 Azure AD B2C 租用戶。 在入口網站工具列中選取 [設定] 圖示。
3. 在 [入口網站設定] | [目錄 + 訂用帳戶] 頁面上，在 [目錄名稱] 清單中尋找 Azure AD B2C 目錄，然後選取 [切換]。
4. 在左側功能表中，選取 [Azure AD B2C]。 或者，選取 [所有服務 ]，然後搜尋並選取 [Azure AD B2C]。
5. 刪除 Azure AD B2C 租使用者中的所有 使用者流程（原則 ）。
6. 刪除您在 Azure AD B2C 租用戶中註冊的所有 應用程式（舊版 ）。
7. 選取左側功能表上 的 [Microsoft項目標識符 ]。
8. 在管理下方，選取使用者。
9. 接著選取每個使用者（排除您目前登入的訂用帳戶 管理員 使用者）。 選取頁面底部的 [刪除 ]，並在出現提示時選取 [ 是 ]。
10. 選取管理下的應用程式註冊。
11. 選取 [檢視所有應用程式]
12. 選取名為 b2c-extensions-app 的應用程式，選取 [ 刪除]，然後在出現提示時選取 [ 是 ]。
13. 在 [管理] 底下，選取 [用戶設定]。
14. 如果存在，請在 [LinkedIn帳戶連線] 底下，選取 [ 否]，然後選取 [ 儲存]。
15. 在 [管理] 底下，選取 [屬性]
16. 在[Azure 資源的存取管理] 底下，選取 [是]，然後選取 [儲存]。
17. 登出 Azure 入口網站，並再次登入，以重新整理您的存取。
18. 選取左側功能表上 的 [Microsoft項目標識符 ]。
19. 在 [ 概觀] 頁面上，選取 [ 刪除目錄]。 按照畫面上的指示完成該程序。

我可以取得 Azure AD B2C 作為 Enterprise Mobility Suite 的一部分嗎？

否，Azure AD B2C 是隨用隨付 Azure 服務，不屬於 Enterprise Mobility Suite 的一部分。

我可以為 Azure AD B2C 租使用者購買Microsoft Entra ID P1 和 Microsoft Entra ID P2 授權嗎？

否，Azure AD B2C 租使用者不會使用 Microsoft Entra ID P1 或 Microsoft Entra ID P2 授權。 Azure AD B2C 使用進階 P1 或 P2 授權，自 2025 年 5 月 1 日起不再可供購買。 它們與標準Microsoft Entra 租使用者Microsoft Entra ID P1 或 P2 授權不同。 Azure AD B2C 租使用者原生支援一些類似 Microsoft Entra ID P1 或 P2 功能的功能，如 支援的 Microsoft Entra ID 功能中所述。

我可以在 Azure AD B2C 租使用者中使用群組型指派給 Microsoft Entra Enterprise Applications 嗎？

否，Azure AD B2C 租使用者不支援 群組型指派給 Microsoft Entra Enterprise Applications。

Microsoft Azure Government 中是否提供 Azure AD B2C？

否，Microsoft Azure Government 中無法使用 Azure AD B2C。

我針對我的應用程式使用輪流重新整理令牌，而且我在設定有效期間內，在兌換新取得的重新整理令牌時收到invalid_grant錯誤。 為何發生此狀況？

在判斷輪流重新整理令牌的有效性時，B2C 會考慮應用程式中使用者的初始登入時間，也會計算令牌有效性扭曲。 如果用戶長時間未註銷應用程式，此扭曲值將會超過令牌的有效期間，因此基於安全性考慮，令牌會被視為無效。 因此，錯誤。 通知使用者執行適當的註銷並登入應用程式，這應該會重設扭曲。 如果重新整理令牌滾動設定為無限滾動，則不適用此案例。

我已使用 Microsoft Graph invalidateAllRefreshTokens 撤銷重新整理令牌，或Microsoft Graph PowerShell、Revoke-MgUserSignInSession。 為什麼 Azure AD B2C 仍然接受舊的重新整理令牌？

在 Azure AD B2C 中，如果和 refreshTokensValidFromDateTime 之間的refreshTokenIssuedTime時間差異小於或等於 5 分鐘，重新整理令牌仍視為有效。 不過，如果 refreshTokenIssuedTime 大於 refreshTokensValidFromDateTime，則會撤銷重新整理令牌。 請遵循下列步驟來檢查重新整理權杖是否有效或已撤銷：

1. 藉由兌換 RefreshToken來AccessToken擷取 和 authorization_code 。

2. 等候 7 分鐘。

3. 使用 Microsoft Graph PowerShell Cmdlet Revoke-MgUserSignInSession 或 Microsoft Graph API invalidateAllRefreshTokens 來執行 RevokeAllRefreshToken 命令。

4. 等候 10 分鐘。

5. 再次擷取 RefreshToken 。

小提示

使用 Azure AD B2C 自定義原則，您可以藉由在宣告轉換標識碼 “AssertRefreshTokenIssuedLaterThanValidFromDate” 下調整 InputParameter “TreatAsEqualIfWithinMillseconds” 的值，以減少上述扭曲時間 5 分鐘（300000 毫秒）。 您可以在最新自定義原則 stater-pack 下的 TrustFrameworkBase.xml 檔案中找到此宣告轉換。

我在網頁瀏覽器中使用多個索引標籤來登入我在相同 Azure AD B2C 租用戶中註冊的多個應用程式。 當我嘗試執行單一註銷時，並非所有應用程式都會註銷。為什麼會發生此情況？

目前，Azure AD B2C 不支援此特定案例的單一註銷。 這是由 Cookie 爭用所造成，因為所有應用程式都會同時在同一個 Cookie 上運作。

如何回報 Azure AD B2C 的問題？

請參閱 Azure Active Directory B2C 的檔案支援要求。

在 Azure AD B2C 中，我使用 Azure 入口網站 [撤銷工作階段] 按鈕撤銷使用者的所有作業階段，但無法運作。

目前，Azure AD B2C 不支援從 Azure 入口網站進行用戶會話撤銷。 不過，您可以使用 Microsoft Graph PowerShell 或 Microsoft Graph API 來達成這項工作。

這很重要

自 2025 年 5 月 1 日起，Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。

此頁面會回答有關 Azure Active Directory B2C （Azure AD B2C） 的常見問題。 繼續檢查是否有更新。

自 2025 年 5 月 1 日起，Azure AD B2C 將不再可供新客戶購買，但目前的 Azure AD B2C 客戶可以繼續使用產品。 產品體驗，包括建立新的租用戶或使用者流程，將保持不變;不過，新租使用者只能使用 Azure AD B2C P1 來建立。 所有客戶的 Azure AD B2C P2 將於 2026 年 3 月 15 日停止。 作業承諾，包括服務等級協定 (SLA)、安全性更新和合規性，也保持不變。 我們會繼續支援 Azure AD B2C，直到至少 2030 年 5 月為止。 日後會提供詳細資訊，包括移轉方案。 如需詳細資訊，以及深入了解 Microsoft Entra 外部 ID，請連絡您的帳戶代表。

我們已發行下一代Microsoft Entra External ID產品，其結合了強大的解決方案，可與組織外部的人員合作。 使用外部 ID 功能，您可以允許外部身分識別安全地存取您的應用程式和資源。 無論您是與外部合作夥伴、取用者或商務客戶合作，使用者都可以攜帶自己的身分識別。 這些身分識別的範圍從公司或政府發行的帳戶到 Google 或 Facebook 等社交識別提供者。 如需詳細資訊，請參閱 Microsoft Entra External ID 簡介

Microsoft Entra 延伸模組無法為您運作的原因有兩個常見原因。 Azure AD B2C 需要您目錄中的使用者角色成為全域管理員。 如果您認為您應該擁有存取權，請連絡您的系統管理員。 如果您有全域管理員許可權，請確定您位於 Azure AD B2C 目錄中，而不是Microsoft Entra 目錄。 您可以看到 建立 Azure AD B2C 租使用者的指示。

Microsoft Entra ID 和 Azure AD B2C 是個別的產品供應專案。 若要使用 Azure AD B2C 功能，請建立與現有員工型Microsoft Entra 租使用者不同的 Azure AD B2C 租使用者。 Microsoft Entra 租用戶代表組織。 Azure AD B2C 租使用者代表要與信賴憑證者應用程式搭配使用的身分識別集合。 藉由在 或自定義原則下新增>，Azure AD B2C 可以同盟至Microsoft Entra 識別符，以允許驗證組織中的員工。

Azure AD B2C 無法用來驗證Microsoft 365 的使用者。 Microsoft Entra ID 是Microsoft管理員工對 SaaS 應用程式存取的解決方案，且其具有專為授權和條件式存取等用途所設計的功能。 Azure AD B2C 提供用來建置 Web 和行動應用程式的身分識別和存取管理平臺。 當 Azure AD B2C 設定為與 Microsoft Entra 租使用者同盟時，Microsoft Entra 租使用者會管理員工對依賴 Azure AD B2C 的應用程式存取權。

在Microsoft Entra 租使用者中，屬於租用戶的使用者會以窗體 <xyz>@<tenant domain>的電子郵件位址登入。 <tenant domain>是租使用者或初始<...>.onmicrosoft.com網域中的其中一個已驗證網域。 這種類型的帳戶是公司或學校帳戶。

在 Azure AD B2C 租使用者中，大部分的應用程式都希望使用者使用任何任意電子郵件位址登入（例如 、 joe@comcast.net、 bob@gmail.com、 sarah@contoso.com或 jim@live.com）。 這種類型的帳戶是本機帳戶。 我們也支援任意用戶名稱作為本機帳戶（例如 joe、bob、sarah 或 jim）。 在 Azure 入口網站中設定 Azure AD B2C 的識別提供者時，您可以選擇這兩種本機帳戶類型的其中一種。 在您的 Azure AD B2C 租使用者中，選取 [ 識別提供者]，選取 [ 本機帳戶]，然後選取 [ 用戶名稱]。

應用程式的用戶帳戶可以透過註冊使用者流程、註冊或登入使用者流程、Microsoft Graph API 或 Azure 入口網站來建立。

根據預設，每個租用戶總共可以容納 125 萬個物件（使用者帳戶和應用程式），但是當您新增和驗證自定義網域時，您可以將此限制增加到 525 萬個物件。 如果您想要增加此限制，請連絡 Microsoft 支援服務。 不過，如果您在 2022 年 9 月之前建立租使用者，此限制不會影響您，而且您的租使用者會在建立時保留配置給它的大小，也就是 5000 萬 個物件。

我們目前支持數個社交識別提供者，包括亞馬遜、Facebook、GitHub（預覽）、Google、LinkedIn、Microsoft帳戶（MSA）、QQ（預覽）、X、WeChat（預覽）和微博（預覽）。 我們評估根據客戶需求新增其他熱門社交識別提供者的支援。

Azure AD B2C 也支援 自定義原則。 自定義原則可讓您為任何支援 OpenID Connect 或 SAML 的識別提供者建立自己的原則。 查看我們的 自定義原則入門套件，以開始使用自定義原則。

否。 我們支援的一組社交識別提供者所使用的預設範圍如下：

• Facebook：電子郵件
• Google+： 電子郵件
• Microsoft帳戶：openid 電子郵件設置檔
• Amazon：配置檔
• LinkedIn：r_emailaddress、r_basicprofile

在ADFS伺服器上，執行： Set-AdfsProperties -SignedSamlRequestsRequired $true。 這會強制 Azure AD B2C 將所有要求簽署至 ADFS。

否，您可以在任何位置裝載應用程式（在雲端或內部部署中）。 它只需要與 Azure AD B2C 互動，即可在可公開存取的端點上傳送和接收 HTTP 要求。

在 Azure 入口網站中開啟 Azure AD B2C 服務之前，您必須切換至您想要管理的目錄。 選取頂端功能表中的 [ 設定 ] 圖示，以從 [ 目錄 + 訂 用帳戶] 功能表切換至您要管理的目錄。

您可能沒有建立 Azure AD B2C 租用戶的許可權。 只有至少具有租使用者 建立者 角色的使用者才能建立租使用者。

您可以使用 公司商標功能 來自定義驗證電子郵件的內容。 具體來說，您可以自定義這兩個電子郵件元素：

• 橫幅標誌：顯示在右下角。

• 背景色彩：顯示在頂端。

  

電子郵件簽章包含您第一次建立 Azure AD B2C 租使用者時所提供的 Azure AD B2C 租用戶名稱。 您可以使用下列指示來變更名稱：

1. 以全域管理員身分登入 Azure 入口網站 。
2. 開啟 [Microsoft [項目標識符 ] 刀鋒視窗。
3. 選取屬性索引標籤。
4. 變更 [ 名稱] 欄位。
5. 在頁面頂端，選取儲存。

目前，您無法變更電子郵件上的 [From：] 欄位。

小提示

使用 Azure AD B2C 自訂原則，您可以自定義 Azure AD B2C 傳送給使用者的電子郵件，包括電子郵件上的 [來源：] 字段。 自定義電子郵件驗證需要使用第三方電子郵件提供者，例如 Mailjet 或 SendGrid。

您可以使用 Microsoft Graph API 來撰寫移轉工具。 如需詳細資訊，請參閱 使用者移轉指南 。

本機帳戶的 Azure AD B2C 密碼使用者流程是以 Microsoft Entra 識別碼的原則為基礎。 Azure AD B2C 的註冊、註冊或登入和密碼重設使用者流程會使用「強式」密碼強度，且不會讓任何密碼過期。 如需詳細資訊，請參閱 Microsoft Entra ID 中的密碼原則和限制。

如需帳戶鎖定和密碼的相關信息，請參閱 減輕 Azure AD B2C 中的認證攻擊。

否，Microsoft Entra Connect 並非設計來搭配 Azure AD B2C 使用。 請考慮使用 Microsoft Graph API 進行使用者移轉。 如需詳細資訊，請參閱 使用者移轉指南 。

這項功能處於公開預覽狀態。 如需詳細資訊，請參閱 內嵌登入體驗。

Microsoft Dynamics 365 入口網站整合可供使用。 請參閱 設定 Dynamics 365 入口網站以使用 Azure AD B2C 進行驗證。

Azure AD B2C 不適用於 SharePoint 外部合作夥伴共用案例;請改為參閱 Microsoft Entra B2B 。

請參閱 比較外部身分識別的解決方案 ，以深入瞭解如何將適當的功能套用至外部身分識別案例。

否，Azure AD B2C 不支援與 Microsoft Entra ID P1 或 P2 相同的報告集。 不過，有許多共同點：

• 登入報告 會提供每個登入的記錄，並縮減詳細數據。
• 稽核報告 包括系統管理員活動和應用程式活動。
• 使用量報告 包括用戶數目、登入數目和 MFA 數量。

遵循 Azure AD 外部身分識別 SMS 電話驗證的新 計費模型 之後，您可能會注意到帳單上的新名稱。 先前，電話 MFA 會計費為「Azure Active Directory B2C - 基本 1 多重要素驗證」。現在，您會看到下列名稱，以您的 國家或地區定價層為基礎：

• Microsoft Entra 外部 ID - 電話驗證低成本 1 次交易
• Microsoft Entra 外部 ID - 電話驗證中低成本 1 次交易
• Microsoft Entra 外部 ID - 電話驗證中高成本 1 筆交易
• Microsoft Entra 外部身分識別 - 1次電話驗證的高成本交易

雖然新帳單提及Microsoft Entra External ID， 但您仍會根據核心 MAU 計數支付 Azure AD B2C 費用。

是的。 用戶必須下載任何支援 TOTP 驗證的驗證器應用程式，例如 Microsoft Authenticator 應用程式 （建議使用）。 如需詳細資訊，請參閱 驗證方法。

如果 TOTP 驗證器應用程式代碼無法與 Android 或 iPhone 行動電話或裝置搭配使用，則裝置的時鐘時間可能不正確。 在裝置的設定中，選取選項以使用網路提供的時間，或自動設定時間。

在建立 Azure AD B2C 租使用者時，如果您的國家/地區提供 Go-Local 附加元件，系統會要求您視需要啟用它。

當您啟用 Go-Local 附加元件時，不會套用每月 50,000 個免費 MAU 。 您將從第一個MAU收取 Go-Local 附加元件的費用。 不過，您每月會繼續享有 Azure AD B2C Premium P1 或 P2 定價上其他可用的免費 50,000 RU。

請遵循 啟用 Go-Local ad-on 中的步驟來啟用 Azure AD B2C Go-Local 附加元件。

是，請參閱 語言自定義。 我們提供 36 種語言的翻譯，您可以覆寫任何字串以符合您的需求。

是，您可以使用自己的網域。 如需詳細資訊，請參閱 Azure AD B2C 自定義網域。

請遵循下列步驟來刪除您的 Azure AD B2C 租使用者。

您可以使用我們新的整合 應用程式註冊 體驗或舊 版應用程式 （舊版） 體驗。 深入了解新的體驗。

應用程式註冊

1. 以訂用帳戶管理員身分登入 Azure 入口 網站。 使用與註冊 Azure 時相同的工作或學校帳戶，或相同的 Microsoft 帳戶。
2. 確定您使用的目錄包含您的 Azure AD B2C 租用戶。 在入口網站工具列中選取 [設定] 圖示。
3. 在 [入口網站設定] | [目錄 + 訂用帳戶] 頁面上，在 [目錄名稱] 清單中尋找 Azure AD B2C 目錄，然後選取 [切換]。
4. 在左側功能表中，選取 [Azure AD B2C]。 或者，選取 [所有服務 ]，然後搜尋並選取 [Azure AD B2C]。
5. 刪除 Azure AD B2C 租使用者中的所有 使用者流程（原則 ）。
6. 刪除 Azure AD B2C 租使用者中的所有 識別提供者 。
7. 選取 [應用程式註冊]，然後選取 [ 所有應用程式] 索引 標籤。
8. 刪除您註冊的所有應用程式。
9. 刪除 b2c-extensions-app。
10. 在管理下方，選取使用者。
11. 接著選取每個使用者（排除您目前登入的訂用帳戶 管理員 使用者）。 選取頁面底部的 [刪除] ，並在出現提示時選取 [ 是 ]。
12. 選取左側功能表上 的 [Microsoft項目標識符 ]。
13. 在 [管理] 底下，選取 [屬性]
14. 在[Azure 資源的存取管理] 底下，選取 [是]，然後選取 [儲存]。
15. 登出 Azure 入口網站，並再次登入，以重新整理您的存取。
16. 選取左側功能表上 的 [Microsoft項目標識符 ]。
17. 在 [ 概觀] 頁面上，選取 [ 刪除租使用者]。 按照畫面上的指示完成該程序。

應用程式 (舊版)

1. 以訂用帳戶管理員身分登入 Azure 入口 網站。 使用與註冊 Azure 時相同的工作或學校帳戶，或相同的 Microsoft 帳戶。
2. 確定您使用的目錄包含您的 Azure AD B2C 租用戶。 在入口網站工具列中選取 [設定] 圖示。
3. 在 [入口網站設定] | [目錄 + 訂用帳戶] 頁面上，在 [目錄名稱] 清單中尋找 Azure AD B2C 目錄，然後選取 [切換]。
4. 在左側功能表中，選取 [Azure AD B2C]。 或者，選取 [所有服務 ]，然後搜尋並選取 [Azure AD B2C]。
5. 刪除 Azure AD B2C 租使用者中的所有 使用者流程（原則 ）。
6. 刪除您在 Azure AD B2C 租用戶中註冊的所有 應用程式（舊版 ）。
7. 選取左側功能表上 的 [Microsoft項目標識符 ]。
8. 在管理下方，選取使用者。
9. 接著選取每個使用者（排除您目前登入的訂用帳戶 管理員 使用者）。 選取頁面底部的 [刪除 ]，並在出現提示時選取 [ 是 ]。
10. 選取管理下的應用程式註冊。
11. 選取 [檢視所有應用程式]
12. 選取名為 b2c-extensions-app 的應用程式，選取 [ 刪除]，然後在出現提示時選取 [ 是 ]。
13. 在 [管理] 底下，選取 [用戶設定]。
14. 如果存在，請在 [LinkedIn帳戶連線] 底下，選取 [ 否]，然後選取 [ 儲存]。
15. 在 [管理] 底下，選取 [屬性]
16. 在[Azure 資源的存取管理] 底下，選取 [是]，然後選取 [儲存]。
17. 登出 Azure 入口網站，並再次登入，以重新整理您的存取。
18. 選取左側功能表上 的 [Microsoft項目標識符 ]。
19. 在 [ 概觀] 頁面上，選取 [ 刪除目錄]。 按照畫面上的指示完成該程序。

否，Azure AD B2C 是隨用隨付 Azure 服務，不屬於 Enterprise Mobility Suite 的一部分。

否，Azure AD B2C 租使用者不會使用 Microsoft Entra ID P1 或 Microsoft Entra ID P2 授權。 Azure AD B2C 使用進階 P1 或 P2 授權，自 2025 年 5 月 1 日起不再可供購買。 它們與標準Microsoft Entra 租使用者Microsoft Entra ID P1 或 P2 授權不同。 Azure AD B2C 租使用者原生支援一些類似 Microsoft Entra ID P1 或 P2 功能的功能，如 支援的 Microsoft Entra ID 功能中所述。

否，Azure AD B2C 租使用者不支援 群組型指派給 Microsoft Entra Enterprise Applications。

否，Microsoft Azure Government 中無法使用 Azure AD B2C。

在判斷輪流重新整理令牌的有效性時，B2C 會考慮應用程式中使用者的初始登入時間，也會計算令牌有效性扭曲。 如果用戶長時間未註銷應用程式，此扭曲值將會超過令牌的有效期間，因此基於安全性考慮，令牌會被視為無效。 因此，錯誤。 通知使用者執行適當的註銷並登入應用程式，這應該會重設扭曲。 如果重新整理令牌滾動設定為無限滾動，則不適用此案例。

在 Azure AD B2C 中，如果和 refreshTokensValidFromDateTime 之間的refreshTokenIssuedTime時間差異小於或等於 5 分鐘，重新整理令牌仍視為有效。 不過，如果 refreshTokenIssuedTime 大於 refreshTokensValidFromDateTime，則會撤銷重新整理令牌。 請遵循下列步驟來檢查重新整理權杖是否有效或已撤銷：

1. 藉由兌換 RefreshToken來AccessToken擷取 和 authorization_code 。

2. 等候 7 分鐘。

3. 使用 Microsoft Graph PowerShell Cmdlet Revoke-MgUserSignInSession 或 Microsoft Graph API invalidateAllRefreshTokens 來執行 RevokeAllRefreshToken 命令。

4. 等候 10 分鐘。

5. 再次擷取 RefreshToken 。

小提示

使用 Azure AD B2C 自定義原則，您可以藉由在宣告轉換標識碼 “AssertRefreshTokenIssuedLaterThanValidFromDate” 下調整 InputParameter “TreatAsEqualIfWithinMillseconds” 的值，以減少上述扭曲時間 5 分鐘（300000 毫秒）。 您可以在最新自定義原則 stater-pack 下的 TrustFrameworkBase.xml 檔案中找到此宣告轉換。

目前，Azure AD B2C 不支援此特定案例的單一註銷。 這是由 Cookie 爭用所造成，因為所有應用程式都會同時在同一個 Cookie 上運作。

請參閱 Azure Active Directory B2C 的檔案支援要求。

目前，Azure AD B2C 不支援從 Azure 入口網站進行用戶會話撤銷。 不過，您可以使用 Microsoft Graph PowerShell 或 Microsoft Graph API 來達成這項工作。