Azure AD B2C:常見問題集 (FAQ)

此頁面會回答關於 Azure Active Directory B2C (Azure AD B2C) 的常見問題。 請隨時回來查看最新消息。

為什麼無法存取 Azure 入口網站中的 Azure AD B2C 擴充功能?

Azure AD 擴充功能無法運作有兩個常見原因。 Azure AD B2C 要求您在目錄中的使用者角色是全域管理員。 如果您認為自己具有存取權,請連絡您的管理員。 如果您有全域管理員權限,請確定您是在 Azure AD B2C 目錄中,而非 Azure Active Directory 目錄。 可至此查看建立 Azure AD B2C 租用戶的指示。

我可以在以員工為主的現有 Azure AD 租用戶中使用 Azure AD B2C 功能嗎?

Azure AD 和 Azure AD B2C 為個別的產品供應項目,無法共存於同一個租用戶。 一個 Azure AD 租用戶代表一個組織。 一個 Azure AD B2C 租用戶代表一組要用於信賴憑證者應用程式的身分識別。 藉由在 [Azure AD B2C] > [識別提供者] 下或透過自訂原則新增 [新的 OpenID Connect 提供者],Azure AD B2C 可以同盟至 Azure AD,以驗證組織中的員工。

我是否可使用 Azure AD B2C 來提供 Microsoft 365 的社交登入 (Facebook 和 Google+)?

Azure AD B2C 無法用來驗證 Microsoft 365 的使用者。 Azure AD 是 Microsoft 為了管理員工存取 SaaS 應用程式而提出的解決方案,具有專為此用途而設計的功能,例如授權和條件式存取。 Azure AD B2C 提供身分識別和存取管理平台來建置 web 和行動應用程式。 當 Azure AD B2C 設定為與 Azure AD 租用戶結成同盟時,Azure AD 租用戶會管理員工如何存取依賴 Azure AD B2C 的應用程式。

Azure AD B2C 中的本機帳戶是什麼? 與 Azure AD 中的工作或學校帳戶有何不同?

在 Azure AD 租用戶中,屬於租用戶的使用者是以 <xyz>@<tenant domain> 格式的電子郵件地址登入。 <tenant domain> 是租用戶中已驗證的其中一個網域,或初始的 <...>.onmicrosoft.com 網域。 這種類型的帳戶就是工作或學校帳戶。

在 Azure AD B2C 租用戶中,大部分應用程式都希望使用者以任意的電子郵件地址登入 (例如 joe@comcast.net、bob@gmail.com、sarah@contoso.com 或 jim@live.com)。 這種類型的帳戶就是本機帳戶。 我們也支援使用任意的使用者名稱作為本機帳戶 (例如,joe、bob、sarah 或 jim)。 在 Azure 入口網站中設定 Azure AD B2C 的識別提供者時,您可以從這兩個本機帳戶類型中選擇一個。 在 Azure AD B2C 租用戶中選取 [識別提供者]、選取 [本機帳戶],然後選取 [使用者名稱]。

應用程式的使用者帳戶可透過註冊使用者流程、註冊或登入使用者流程、Microsoft Graph API 或 Azure 入口網站來建立。

你們現在支援哪些社交身分識別提供者? 你們打算在未來支援哪些?

我們目前支援數個社交識別提供者,包括 Amazon、Facebook、GitHub (預覽)、Google、LinkedIn、Microsoft Account (MSA)、QQ (預覽)、Twitter、WeChat (預覽) 和 Weibo (預覽)。 我們會根據客戶需求,評估對其他熱門的社交識別提供者增加支援。

Azure AD B2C 也支援自訂原則。 自訂原則可讓您為支援 OpenID Connect 或 SAML 的任何識別提供者建立您自己的原則。 查看我們的自訂原則入門套件,開始使用自訂原則。

我可以設定範圍,以便從各種社交身分識別提供者收集取用者的詳細資訊嗎?

不可以。 我們支援的一組社交身分識別提供者所使用的預設範圍如下:

  • Facebook: email
  • Google+: email
  • Microsoft 帳戶︰openid 電子郵件設定檔
  • Amazon: profile
  • LinkedIn: r_emailaddress, r_basicprofile

我的應用程式必須在 Azure 上執行,才能使用 Azure AD B2C 嗎?

否,您可以將應用程式裝載於任何地方 (雲端或內部部署)。 只要能夠在公開存取的端點上傳送和接收 HTTP 要求,就可以與 Azure AD B2C 互動。

我有多個 Azure AD B2C 租用戶。 如何在 Azure 入口網站上管理它們?

在 Azure 入口網站的左側功能表中開啟 'Azure AD B2C' 之前,您必須切換到需要管理的目錄。 在 Azure 入口網站右上角按一下您的身分識別來切換目錄,然後選擇出現在下拉式清單中的目錄。

我如何自訂 Azure AD B2C 傳送的驗證電子郵件 (內容和 [寄件者:] 欄位)?

您可以使用 公司商標功能 自訂驗證電子郵件的內容。 明確地說,您可以自訂電子郵件的下列兩個元素:

  • 橫幅標誌:顯示在右下方。

  • 背景色彩:顯示在頂端。

    Screenshot of a customized verification email

電子郵件簽章包含您第一次建立 Azure AD B2C 租用戶時提供的 Azure AD B2C 租用戶名稱。 您可以使用這些指示變更名稱:

  1. 以全域管理員身分登入 Azure 入口網站
  2. 開啟 [Azure Active Directory] 刀鋒視窗。
  3. 按一下 [屬性] 索引標籤。
  4. 變更 [名稱] 欄位。
  5. 按一下頁面頂端的 [儲存] 。

您目前無法變更電子郵件上的 [寄件者:] 欄位。

提示

使用 Azure AD B2C 自訂原則,您可以自訂 Azure AD B2C 傳送給使用者的電子郵件,包括電子郵件的 [寄件者:] 欄位。 自訂電子郵件驗證需要使用第三方電子郵件提供者,例如 MailjetSendGridSparkPost

我如何將現有的使用者名稱、密碼和設定檔從資料庫移轉至 Azure AD B2C?

您可以使用 Microsoft Graph API 來撰寫您的移轉工具。 如需詳細資訊,請參閱使用者移轉指南

Azure AD B2C 中用於本機帳戶的密碼使用者流程為何?

Azure AD B2C 的本機帳戶密碼使用者流程是以 Azure AD 的原則為基礎。 Azure AD B2C 的註冊、註冊或登入和密碼重設使用者流程會使用「強式」密碼強度,而且不會讓任何密碼到期。 如需詳細資訊,請參閱 Azure Active Directory 中的密碼原則和限制

如需帳戶鎖定和密碼的相關資訊,請參閱降低 Azure AD B2C 中的認證攻擊

我可以使用 Azure AD Connect,將儲存於內部部署 Active Directory 的取用者身分識別移轉至 Azure AD B2C 嗎?

否,Azure AD Connect 不是設計來搭配 Azure AD B2C 一起使用。 請考慮使用 Microsoft Graph API 來遷移使用者。 如需詳細資訊,請參閱使用者移轉指南

我的應用程式是否能在 iFrame 內開啟 Azure AD B2C 頁面?

這項功能處於公開預覽狀態。 如需詳細資訊,請參閱內嵌登入體驗

Azure AD B2C 可以搭配 Microsoft Dynamics 之類的 CRM 系統一起使用嗎?

與 Microsoft Dynamics 365 入口網站的整合已可供使用。 請參閱設定 Dynamics 365 入口網站,以使用 Azure AD B2C 進行驗證

Azure AD B2C 可以搭配 SharePoint 內部部署的 2016 或更舊版本一起使用嗎?

Azure AD B2C 不適用於 SharePoint 外部夥伴共用的情節。請改以參閱 Azure AD B2B

我應該使用 Azure AD B2C 或 B2B 來管理外部身分識別?

請閱讀比較外部身分識別的解決方案,以深入了解將適當的功能套用至外部身分識別的案例。

Azure AD B2C 提供哪些報告和稽核功能? 它們與 Azure AD Premium 的功能相同嗎?

否,Azure AD B2C 不支援與 Azure AD Premium 相同的一組報告。 不過有許多共同點:

  • 登入報告會提供每次登入的記錄,並縮減詳細資料。
  • 稽核報告包含管理活動以及應用程式活動。
  • 使用報告包含使用者數目、登入數目,以及 MFA 的磁碟區。

終端使用者是否可以使用限時單次密碼 (TOTP) 與驗證器應用程式,向我的 Azure AD B2C 應用程式進行驗證?

是的。 終端使用者必須下載任何支援 TOTP 驗證的驗證器應用程式,例如 Microsoft Authenticator 應用程式 (建議)。 如需詳細資料,請參閱驗證方法

這項功能處於公開預覽狀態。

為什麼我的 TOTP 驗證器應用程式程式碼無法運作?

如果 TOTP 驗證器應用程式程式碼無法在您的 Android 或 iPhone 行動電話或裝置使用,則裝置時鐘的時間可能不正確。 在裝置的設定中,選取使用網路提供時間的選項,或自動設定時間。 這項功能處於公開預覽狀態。

我可以將 Azure AD B2C 所提供的頁面 UI 當地語系化嗎? 支援哪些語言?

是,請參閱語言自訂。 我們提供 36 種語言的翻譯,您可以覆寫任何字串以符合您的需求。

我可以在 Azure AD B2C 提供的註冊與登入頁面上使用自己的 URL 嗎? 例如,我可以將 URL 從 contoso.b2clogin.com 變更為 login.contoso.com 嗎?

是的,您可以使用自己的網域。 如需詳細資訊,請參閱 Azure AD B2C 自訂網域

如何刪除 Azure AD B2C 租用戶?

請依照下列步驟刪除您的 Azure AD B2C 租用戶。

您可以使用我們全新整合的 [應用程式註冊] 體驗,或使用舊版 [應用程式 (舊版)] 體驗。 深入了解新的體驗

  1. 訂用帳戶管理員身分登入 Azure 入口網站。 使用您註冊 Azure 時所使用的相同公司或學校帳戶,或相同的 Microsoft 帳戶。
  2. 確定您使用的目錄包含您的 Azure AD B2C 租用戶。 選取入口網站工具列中的 [目錄 + 訂用帳戶] 圖示。
  3. 在 [入口網站設定] | [目錄 + 訂用帳戶] 頁面上,在 [目錄名稱] 清單中找出 Azure AD B2C 目錄,然後選取 [切換]。
  4. 在左側功能表中,選取 [Azure AD B2C]。 或者,選取 [所有服務],然後搜尋並選取 [Azure AD B2C]。
  5. 刪除您 Azure AD B2C 租用戶中的所有使用者流程 (原則)
  6. 刪除您 Azure AD B2C 租用戶中的所有識別提供者
  7. 選取 [應用程式註冊],然後選取 [所有應用程式] 索引標籤。
  8. 刪除您註冊的所有應用程式。
  9. 刪除 b2c-extensions-app
  10. 在 [管理] 底下選取 [使用者] 。
  11. 逐一選取每個使用者 (不包括您目前登入的訂用帳戶管理員使用者身分)。 選取頁面底部的 [刪除],然後在出現提示時選取 [是]。
  12. 在左側功能表中,選取 [Azure Active Directory]。
  13. 在 [管理] 底下,選取 [屬性]
  14. 在[Azure 資源的存取管理] 底下,選取 [是],然後選取 [儲存]。
  15. 登出 Azure 入口網站,並再次登入,以重新整理您的存取權。
  16. 在左側功能表中,選取 [Azure Active Directory]。
  17. 在 [概觀] 頁面上,選取 [刪除租用戶]。 請依照畫面上的指示完成程序。

我可以從 Enterprise Mobility Suite 中取得 Azure AD B2C 嗎?

否,Azure AD B2C 是隨用隨付的 Azure 服務,並不是 Enterprise Mobility Suite 的一部分。

我可以為 Azure AD B2C 租用戶購買 Azure AD Premium P1 和 Azure AD Premium P2 授權嗎?

否,Azure AD B2C 租用戶不使用 Azure AD Premium P1 或 Azure AD Premium P2 授權。 Azure AD B2C 使用 Azure AD B2C Premium P1 或 P2 授權 (不同於標準 Azure AD 租用戶的 Azure AD Premium P1 或 P2 授權)。 Azure AD B2C 租用戶原生支援與 Azure AD Premium 功能類似的一些功能,如支援的 Azure AD 功能中所述。

我可以在 Azure AD B2C 租用戶中使用 Azure AD 企業應用程式群組型指派嗎?

否,Azure AD B2C 租用戶不支援 Azure AD 企業應用程式群組型指派

Microsoft Azure Government 中無法使用哪些 Azure AD B2C 功能?

下列 AD B2C 功能目前無法在 Microsoft Azure Government 中使用:

  • API 連接器
  • 條件式存取

我已使用 Microsoft Graph invalidateAllRefreshTokens 或 Azure AD PowerShell、Revoke-AzureADUserAllRefreshToken 撤銷重新整理權杖。 為什麼 Azure AD B2C 仍接受舊的重新整理權杖?

在 Azure AD B2C 中,如果 refreshTokensValidFromDateTimerefreshTokenIssuedTime 之間的時差小於或等於 5 分鐘,則重新整理權杖仍會被視為有效。 但是,如果 refreshTokenIssuedTime 大於 refreshTokensValidFromDateTime,則會撤銷重新整理權杖。 請遵循下列步驟來檢查重新整理權杖是否有效或已撤銷:

  1. 兌換 authorization_code 來擷取 RefreshTokenAccessToken

  2. 等候 7 分鐘。

  3. 使用 PowerShell Cmdlet Revoke-AzureADUserAllRefreshToken 或 Microsoft Graph API invalidateAllRefreshTokens 來執行 RevokeAllRefreshToken 命令。

  4. 等候 10 分鐘。

  5. 再次擷取 RefreshToken

如何報告有關 Azure AD B2C 的問題?