此页面解答了有关 Azure Active Directory B2C (Azure AD B2C) 的常见问题。 请随时返回查看更新信息。
Microsoft Entra 外部 ID 预览
什么是 Microsoft Entra 外部 ID?
我们宣布了下一代 Microsoft Entra 外部 ID 解决方案的早期预览版。 此早期预览版代表了在单一集成平台中统一所有外部标识(包括合作伙伴、客户、公民、患者等)的安全且有吸引力的体验的演变步骤。 有关预览版的详细信息,请参阅什么是面向客户的 Microsoft Entra 外部 ID?。
此预览版对我有何影响?
你目前无需执行任何操作。 下一代平台目前仅提供早期预览版。 我们始终致力于支持你当前的 Azure AD B2C 解决方案。 目前不要求 Azure AD B2C 客户迁移,也没有计划停止当前的 Azure AD B2C 服务。 随着下一代平台即将正式发布,我们将向所有宝贵的 B2C 客户提供有关可用选项的详细信息,包括迁移到新平台的选项。
如何参与预览版?
由于下一代平台代表了我们的客户标识和访问管理 (CIAM) 的未来,因此我们欢迎并鼓励你参与早期预览并提出反馈。 如果你有兴趣加入早期预览版,请与销售团队联系以了解详细信息。
常规
为什么我在 Azure 门户中无法访问 Azure AD B2C 扩展?
Microsoft Entra 扩展无法为你工作有两个常见原因。 Azure AD B2C 要求你在目录中具备全局管理员的用户角色。 如果你认为应具有访问权限,请与管理员联系。 如果你拥有全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Microsoft Entra 目录)中。 可以查看有关创建 Azure AD B2C 租户的说明。
我可以在现有的基于员工的 Microsoft Entra 租户中使用 Azure AD B2C 功能吗?
Microsoft Entra ID 和 Azure AD B2C 是单独的产品/服务。 要使用 Azure AD B2C 功能,请创建一个独立于现有的基于员工的 Microsoft Entra 租户的 Azure AD B2C 租户。 一个 Microsoft Entra 租户代表一个组织。 Azure AD B2C 租户表示信赖方应用使用的标识集合。 通过在“Azure AD B2C > 标识提供者”下添加“新的 OpenID Connect 提供程序”,或者通过使用自定义策略,Azure AD B2C 可以与 Microsoft Entra ID 联合,以便对组织中的员工进行身份验证。
我可以使用 Azure AD B2C 提供 Microsoft 365 的社交登录(Facebook 和 Google+)吗?
Azure AD B2C 不用于 Microsoft 365 用户的身份验证。 Microsoft Entra ID 是 Microsoft 针对管理员工对 SaaS 应用程序的访问权限的解决方案,它具有为此目的而设计的许可和条件访问等功能。 Azure AD B2C 提供用于生成 Web 和移动应用程序的标识和访问管理平台。 当 Azure AD B2C 配置为联合 Microsoft Entra 租户时,Microsoft Entra 租户将管理员工对依赖 Azure AD B2C 的应用程序的访问权限。
什么是 Azure AD B2C 中的本地帐户? 它们与 Microsoft Entra ID 中的工作或学校帐户有何不同?
在 Microsoft Entra 租户中,属于该租户的用户使用 <xyz>@<tenant domain> 形式的电子邮件地址登录。 <tenant domain> 是租户中已验证域之一或初始的 <...>.onmicrosoft.com 域。 此类型的帐户是工作或学校帐户。
在 Azure AD B2C 租户中,大多数应用都希望用户使用任意电子邮件地址(例如 joe@comcast.net、bob@gmail.com、sarah@contoso.com 或 jim@live.com)登录。 此类型的帐户是本地帐户。 我们还支持任意用户名作为本地帐户(例如,joe、bob、sarah 或 jim)。 在 Azure 门户中配置 Azure AD B2C 的标识提供者时,可以选择这两种本地帐户类型中的一种。 在 Azure AD B2C 租户中,依次选择“标识提供者”、“本地帐户”和“用户名”。
可以通过注册用户流、注册或登录用户流、Microsoft Graph API 或 Azure 门户来创建应用程序的用户帐户。
一个 Azure AD B2C 租户可以容纳多少用户?
- 默认情况下,每个租户总共可以容纳 125 万个对象(用户帐户和应用程序),但在添加和验证自定义域时,可以将此上限提高到 525 万个对象。 如果想要提高此上限,请联系 Microsoft 支持部门。 但是,如果在 2022 年 9 月之前创建了你的租户,此限制则不会影响你,并且你的租户将保留创建时分配给它的大小,即 5000 万个对象。
现在支持哪些社交标识提供者? 计划在未来支持哪些?
目前,我们支持多个社交标识提供者,包括 Amazon、Facebook、GitHub(预览版)、Google、LinkedIn、Microsoft 帐户 (MSA)、QQ(预览版)、Twitter、微信(预览版)和微博(预览版)。 我们会根据客户需求来评估是否增加对其他常见社交标识提供者的支持。
Azure AD B2C 还支持自定义策略。 自定义策略允许你为支持 OpenID Connect 或 SAML 的任何标识提供者创建自己的策略。 查看我们的自定义策略初学者包,开始使用自定义策略。
我可以配置范围,从各种社交标识提供者收集更多使用者的相关信息吗?
不是。 一组受支持的社交标识提供者使用的默认范围是:
- Facebook:电子邮件
- Google+:电子邮件
- Microsoft 帐户:openid 电子邮件配置文件
- Amazon:配置文件
- LinkedIn:r_emailaddress、r_basicprofile
我在 Azure AD B2C 中使用 ADFS 作为标识提供程序。 在尝试从 Azure AD B2C 发起退出登录请求时,ADFS 显示错误 *MSIS7084:在使用 SAML HTTP 重定向或 HTTP POST 绑定时,必须对 SAML 注销请求和注销响应消息进行签名*。 如何解决此问题?
在 ADFS 服务器上,运行:Set-AdfsProperties -SignedSamlRequestsRequired $true。 这将强制 Azure AD B2C 对所有对 ADFS 的请求进行签名。
必须在 Azure 上运行应用程序才能将其与 Azure AD B2C 一起使用吗?
不,可以在任何位置(在云中或本地)托管应用程序。 只要能在公共可访问的端点上发送和接收 HTTP 请求,它就可以与 Azure AD B2C 进行交互。
我有多个 Azure AD B2C 租户。 如何在 Azure 门户上管理它们?
在 Azure 门户中打开 Azure AD B2C 服务之前,必须切换到要管理的目录。 选择顶部菜单中的“设置”图标,以便从“目录 + 订阅”菜单切换到要管理的目录。
为什么我无法创建 Azure AD B2C 租户?
你可能没有创建 Azure AD B2C 租户的权限。 只有具有全局管理员或租户创建者角色的用户才能创建租户。 你需要联系全局管理员。
如何自定义 Azure AD B2C 发送的验证电子邮件(内容和“发件人:”字段)?
可以使用公司品牌功能来自定义验证电子邮件的内容。 具体来说,可以自定义电子邮件的下列两个元素:
横幅徽标:显示在右下角。
背景色:显示在顶部。
电子邮件签名包含首次创建 Azure AD B2C 租户时提供的 Azure AD B2C 租户名称。 可以使用以下说明更改名称:
- 以全局管理员身份登录到 Azure 门户。
- 打开“Microsoft Entra ID”边栏选项卡。
- 选择“属性”选项卡。
- 更改“名称”字段。
- 在页面顶部选择“保存”。
目前不能更改电子邮件的“发件人:”字段。
如何将我现有的用户名、密码和配置文件从数据库迁移到 Azure AD B2C?
可以使用 Microsoft Graph API 编写迁移工具。 有关详细信息,请参阅用户迁移指南。
Azure AD B2C 中的本地帐户使用什么密码用户流?
本地帐户的 Azure AD B2C 密码用户流以 Microsoft Entra ID 的策略为基础。 Azure AD B2C 的注册、注册或登录和密码重置用户流使用“强”密码强度,并且不会让任何密码过期。 有关详细信息,请参阅 Microsoft Entra ID 中的密码策略和限制。
有关帐户锁定和密码的信息,请参阅缓解 Azure AD B2C 中的凭据攻击。
我可以使用 Microsoft Entra Connect 将存储在本地 Active Directory 中的使用者标识迁移到 Azure AD B2C 吗?
否,Microsoft Entra Connect 并不适用于 Azure AD B2C。 请考虑使用 Microsoft Graph API 进行用户迁移。 有关详细信息,请参阅用户迁移指南。
我的应用是否可在 iFrame 中打开 Azure AD B2C 页?
此功能目前以公共预览版提供。 有关详细信息,请参阅嵌入式登录体验。
Azure AD B2C 是否可以与 Microsoft Dynamics 之类的 CRM 系统一起使用?
与 Microsoft Dynamics 365 门户的集成可用。 请参阅配置 Dynamics 365 门户以使用 Azure AD B2C 进行身份验证。
Azure AD B2C 是否可以与 SharePoint 本地 2016 或更早版本一起使用?
Azure AD B2C 不适用于 SharePoint 外部合作伙伴共享方案,请转而参阅 Microsoft Entra B2B。
我应该使用 Azure AD B2C 还是 B2B 来管理外部标识?
阅读比较外部标识解决方案,详细了解将适当功能应用于外部标识方案的相关信息。
Azure AD B2C 提供哪些报告和审核功能? 它们与 Microsoft Entra ID P1 或 P2 中的相同吗?
否,Azure AD B2C 不与 Microsoft Entra ID P1 或 P2 支持相同的报表集。 但是,有许多共性:
- 登录报告提供每次登录的记录以及简短的详细信息。
- 审核报告包括管理活动和应用程序活动。
- 使用情况报告包括用户数、登录次数和 MFA 次数。
最终用户是否可以通过验证器应用使用基于时间的一次性密码 (TOTP) 来对我的 Azure AD B2C 应用进行身份验证?
是的。 最终用户需要下载任何支持 TOTP 验证的验证器应用,例如 Microsoft Authenticator 应用(建议)。 有关详细信息,请参阅验证方法。
为什么我的 TOTP 验证器应用代码不起作用?
如果 TOTP 验证器应用代码无法用于 Android 或 iPhone 移动电话或设备,则该设备的时钟时间可能不正确。 在设备的设置中,选择使用网络提供的时间或自动设置时间的选项。
如何知道 Go-Local 加载项在我的国家/地区是否可用?
创建 Azure AD B2C 租户时,如果 Go-Local 加载项在你的国家/地区可用,系统会要求你在需要时启用它。
启用 Go-Local 加载项后,我每月是否仍能获得 50,000 个免费 MAU?
否。启用 Go-Local 加载项时,每月 50,000 个免费 MAU 并不适用。 Go-Local 加载项会从第一个 MAU 开始产生费用。 但是,对于 Azure AD B2C Premium P1 或 P2 定价提供的其他功能,你将继续享受每月 50,000 个免费的 MAU。
我在日本或澳大利亚有一个未启用 Go-Local 加载项的现有 Azure AD B2C 租户。 如何激活此加载项?
按照激活 Go-Local 加载项中的步骤激活 Azure AD B2C Go-Local 加载项。
我可以本地化 Azure AD B2C 所提供页面的 UI 吗? 支持哪些语言?
可以,请参阅语言自定义。 我们提供 36 种语言的翻译版本,并且你可以根据需要替代任何字符串。
我可以在 Azure AD B2C 提供的注册和登录页面上使用自己的 URL 吗? 例如,可以将 URL 从 contoso.b2clogin.com 更改为 login.contoso.com 吗?
可以,你可以使用自己的域。 有关详细信息,请参阅 Azure AD B2C 自定义域。
如何删除 Azure AD B2C 租户?
请按照以下步骤删除 Azure AD B2C 租户。
可以使用新的统一“应用注册”体验或遗留下来的“应用程序(旧版)”体验。 详细了解此新体验。
- 以订阅管理员身份登录到 Azure 门户。 使用在注册 Azure 时使用的同一个工作或学校帐户,或同一个 Microsoft 帐户。
- 请确保使用的是包含 Azure AD B2C 租户的目录。 在门户工具栏中选择“设置”图标。
- 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
- 在左侧菜单中,选择“Azure AD B2C”。 或者,选择“所有服务”并搜索并选择“Azure AD B2C”。
- 删除 Azure AD B2C 租户中的所有用户流(策略) 。
- 删除 Azure AD B2C 租户中的所有“标识提供者”。
- 选择“应用注册”,然后选择“所有应用程序”选项卡。
- 删除已注册的所有应用程序。
- 删除 b2c-extensions-app。
- 在“管理”下,选择“用户” 。
- 依次选择每个用户(排除当前以订阅管理员身份登录的用户)。 选择页面底部的“删除”,并在出现提示时选择“是”。
- 在左侧菜单中选择 Microsoft Entra ID。
- 在“管理”下,选择“属性”
- 在“Azure 资源的访问管理”下,选择“是”,然后选择“保存”。
- 从 Azure 门户注销,然后重新登录以刷新你的访问权限。
- 在左侧菜单中选择 Microsoft Entra ID。
- 在“概述”页上,选择“删除租户” 。 按照屏幕上的说明完成该过程。
我可以将 Azure AD B2C 作为企业移动性套件的一部分吗?
不,Azure AD B2C 是即用即付 Azure 服务,不是企业移动套件的一部分。
我是否可以为我的 Azure AD B2C 租户购买 Microsoft Entra ID P1 和 Microsoft Entra ID P2 许可?
否,Azure AD B2C 租户不使用 Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可。 Azure AD B2C 使用 Azure AD B2C Premium P1 或 P2 许可证,它们不同于标准 Microsoft Entra 租户的 Microsoft Entra ID P1 或 P2 许可证。 Azure AD B2C 租户本机支持一些与 Microsoft Entra ID P1 或 P2 功能类似的功能,如支持的 Microsoft Entra ID 功能中所述。
我是否可以在我的 Azure AD B2C 租户中对 Microsoft Entra Enterprise Applications 使用基于组的分配?
否,Azure AD B2C 租户不支持对 Microsoft Entra Enterprise Applications 使用基于组的分配。
Microsoft Azure AD 政府中无法使用哪些 Azure AD B2C 功能?
Microsoft Azure AD 政府中目前无法使用以下 AD B2C 功能:
- API 连接器
- 条件性访问
我已使用 Microsoft Graph invalidateAllRefreshTokens 或 Microsoft Graph PowerShell Revoke-MgUserSignInSession 撤销刷新令牌。 为什么 Azure AD B2C 仍接受旧刷新令牌?
在 Azure AD B2C 中,如果 refreshTokensValidFromDateTime 与 refreshTokenIssuedTime 之间的时间差小于或等于 5 分钟,则刷新令牌仍被视为有效。 但是,如果 refreshTokenIssuedTime 大于 refreshTokensValidFromDateTime,则会撤消刷新令牌。
按照以下步骤检查刷新令牌是否有效或已吊销:
通过兑换
authorization_code检索RefreshToken和AccessToken。等待 7 分钟。
使用 Microsoft Graph PowerShell cmdlet Revoke-MgUserSignInSession 或 Microsoft Graph API invalidateAllRefreshTokens 运行
RevokeAllRefreshToken命令。等待 10 分钟。
再次检索
RefreshToken。
我在 Web 浏览器中使用多个选项卡登录到我在同一 Azure AD B2C 租户中注册的多个应用程序。 在尝试执行单一退出登录时,并未注销全部应用程序。为何发生这种情况?
目前,Azure AD B2C 不支持针对此特定方案进行单一退出登录。 这是由 Cookie 争用引起的,因为所有应用程序同时在同一 Cookie 上运行。
如何报告 Azure AD B2C 存在的问题?
在 Azure AD B2C 中,我使用 Azure 门户的“撤销会话”按钮撤销用户的所有会话,但它却不起作用。
目前,Azure AD B2C 不支持从 Azure 门户撤销用户会话。 但是,可以使用 Microsoft Graph PowerShell 或 Microsoft Graph API 来完成此任务。