Panoramica degli account utente in Azure Active Directory B2C

In Azure Active Directory B2C (Azure AD B2C) sono disponibili diversi tipi di account che è possibile creare. Microsoft Entra ID, Microsoft Entra B2B e Azure Active Directory B2C (Azure AD B2C) condividono i tipi di account utente che possono essere usati.

Sono disponibili i tipi di account seguenti:

• Account aziendale: un account aziendale può accedere alle risorse in un tenant; se dispone di un ruolo di amministratore, può gestire i tenant.
• Account guest: un account guest può essere solo un account Microsoft o un utente Microsoft Entra che può essere usato per condividere le responsabilità di amministrazione, ad esempio la gestione di un tenant.
• Account consumer : un account consumer viene usato da un utente delle applicazioni registrate con Azure AD B2C. Gli account consumer possono essere creati da:
  • L'utente che esegue un flusso utente di iscrizione in un'applicazione Azure AD B2C
  • Uso di Microsoft API Graph
  • Uso del portale di Azure

Account aziendale

Un account aziendale viene creato allo stesso modo per tutti i tenant in base Microsoft Entra ID. Per creare un account aziendale, è possibile usare le informazioni in Avvio rapido: Aggiungere nuovi utenti a Microsoft Entra ID. Per creare un account aziendale usare l'opzione Nuovo utente nel portale di Azure.

Quando si aggiunge un nuovo account aziendale, è necessario prendere in considerazione le impostazioni di configurazione seguenti:

• Nome e Nome utente - La proprietà Nome contiene il nome e il cognome dell'utente. Il Nome utente è l'identificatore che l'utente immette per accedere e include il dominio completo. La parte del nome di dominio del nome utente deve essere il nome di dominio predefinito iniziale dominio.onmicrosoft.com o un nome di dominio verificato, non federato, personalizzato, ad esempio contoso.com.

• Email: il nuovo utente può accedere anche usando un indirizzo di posta elettronica. Non sono supportati caratteri speciali o caratteri multibyte nel messaggio di posta elettronica, ad esempio caratteri giapponesi.

• Profilo - L'account è configurato con un profilo di dati utente. È possibile immettere nome, cognome, posizione e nome del reparto. Dopo aver creato l'account, è possibile modificare il profilo.

• Gruppi : usare i gruppi per eseguire attività di gestione, ad esempio l'assegnazione di licenze o autorizzazioni a molti utenti o dispositivi contemporaneamente. È possibile inserire il nuovo account in un gruppo esistente del tenant.

• Ruolo della directory - È necessario specificare il livello di accesso dell'account utente alle risorse del tenant. Sono disponibili i seguenti livelli di autorizzazione:

  • Utente - Gli utenti possono accedere alle risorse assegnate, ma non possono gestire la maggior parte delle risorse del tenant.
  • Amministratore globale- Gli amministratori globali hanno il controllo completo su tutte le risorse del tenant.
  • Amministratore con limitazioni - Selezionare il ruolo o i ruoli amministrativi per l'utente. Per altre informazioni sui ruoli che è possibile selezionare, vedere Assegnazione dei ruoli di amministratore in Microsoft Entra ID.

Creare un account aziendale

Per creare un nuovo account aziendale è possibile usare le informazioni seguenti:

• Azure portal
• Microsoft Graph

Aggiornare un profilo utente

Per aggiornare un profilo utente è possibile usare le informazioni seguenti:

• Azure portal
• Microsoft Graph

Reimpostare la password di un utente

Per reimpostare la password di un utente è possibile usare le informazioni seguenti:

• Azure portal
• Microsoft Graph

Utente guest

È possibile invitare utenti esterni al tenant assegnando loro il ruolo di utente guest. Uno scenario tipico per questo tipo di invito al tenant di Azure AD B2C è quello in cui è necessario condividere le responsabilità di amministrazione. Per un esempio di utilizzo di un account guest, vedere Proprietà di un utente di collaborazione B2B Microsoft Entra.

Quando si invita un utente guest al tenant, viene fornito l'indirizzo di posta elettronica del destinatario e un messaggio che descrive l'invito. Il collegamento di invito porta l'utente alla pagina di consenso. Se all'indirizzo di posta elettronica non è collegata una casella di posta in arrivo, l'utente può aprire la pagina di consenso da una pagina Microsoft, usando le credenziali fornite nell'invito. L'utente deve quindi riscattare l'invito con la stessa procedura che avrebbe eseguito usando il collegamento presente nel messaggio di posta elettronica. Ad esempio: https://myapps.microsoft.com/B2CTENANTNAME.

Per invitare un utente guest è anche possibile usare l'API Graph di Microsoft.

Utente consumer

L'utente consumer può accedere ad applicazioni protette da Azure AD B2C, ma non alle risorse di Azure, ad esempio il portale di Azure. Può usare un account locale o account federati come ad esempio Facebook o Twitter. Un account consumer viene creato usando un flusso utente di iscrizione o accesso, usando microsoft API Graph o usando il portale di Azure.

È possibile specificare i dati raccolti quando viene creato un account utente consumer. Per altre informazioni, vedere Aggiungere attributi utente e personalizzare l'input dell'utente.

Per altre informazioni sulla gestione degli account consumer, vedere Gestire gli account utente di Azure AD B2C con Microsoft Graph.

Migrare gli account utente consumer

Può essere necessario eseguire la migrazione degli account utente consumer esistenti da qualsiasi provider di identità ad Azure AD B2C. Per altre informazioni, vedere Eseguire la migrazione degli utenti ad Azure AD B2C.