Azure AD B2C: domande frequenti

Questa pagina include le risposte alle domande frequenti relative ad Azure Active Directory B2C (Azure AD B2C). Controllarla costantemente per eventuali aggiornamenti.

anteprima di Microsoft Entra per ID esterno

Che cos'è Microsoft Entra per ID esterno?

È stata annunciata un'anteprima anticipata della soluzione di Microsoft Entra per ID esterno di nuova generazione. Questa anteprima iniziale rappresenta un passaggio evolutivo nell'unificazione di esperienze sicure e coinvolgenti in tutte le identità esterne, tra cui partner, clienti, cittadini, pazienti e altri all'interno di una singola piattaforma integrata. Per altre informazioni sull'anteprima, vedere Che cos'è Microsoft Entra per ID esterno per i clienti?

Come influisce questa anteprima?

Al momento non è necessaria alcuna azione. La piattaforma di nuova generazione è attualmente disponibile solo in anteprima anticipata. Microsoft si impegna completamente a supportare la soluzione Azure AD B2C corrente. Non sono previsti requisiti per la migrazione dei clienti di Azure AD B2C in questo momento e non prevede di interrompere il servizio Azure AD B2C corrente. Man mano che la piattaforma di nuova generazione si avvicina alla disponibilità generale, i dettagli verranno resi disponibili a tutti i clienti B2C di valore sulle opzioni disponibili, inclusa la migrazione alla nuova piattaforma.

Come si partecipa all'anteprima?

Poiché la piattaforma di nuova generazione rappresenta il nostro futuro per la gestione delle identità e degli accessi dei clienti (CIAM), invitiamo e incoraggiamo la partecipazione e il feedback durante l'anteprima anticipata. Se si è interessati a partecipare all'anteprima anticipata, contattare il team di vendita per informazioni dettagliate.

Generale

Perché non riesco ad accedere all'estensione Azure AD B2C nel portale di Azure?

Esistono due motivi comuni per cui l'estensione Microsoft Entra non funziona per l'utente. Azure AD B2C richiede che il ruolo utente nella directory sia un amministratore globale. Contattare l'amministratore se si ritiene di avere accesso. Se si dispone di privilegi di amministratore globale, assicurarsi di entrare in una directory di Azure AD B2C e non in una directory di Microsoft Entra. È possibile visualizzare le istruzioni per la creazione di un tenant di Azure AD B2C.

È possibile usare le funzionalità di Azure AD B2C nel tenant Microsoft Entra esistente basato sui dipendenti?

Microsoft Entra ID e Azure AD B2C sono offerte di prodotti separati. Per usare le funzionalità di Azure AD B2C, creare un tenant di Azure AD B2C separato dal tenant Microsoft Entra esistente basato sui dipendenti. Un tenant di Microsoft Entra rappresenta un'organizzazione. Un tenant di Azure AD B2C rappresenta una raccolta di identità da usare con le applicazioni relying party. Aggiungendo nuovo provider di Connessione OpenID in Provider di identità di Azure AD B2C > o con criteri personalizzati, Azure AD B2C può eseguire la federazione con Microsoft Entra ID che consente l'autenticazione dei dipendenti in un'organizzazione.

È possibile usare Azure AD B2C per fornire l'accesso social (Facebook e Google+) a Microsoft 365?

Non è possibile usare Azure AD B2C per autenticare gli utenti a Microsoft 365. Microsoft Entra ID è la soluzione Microsoft per la gestione dell'accesso dei dipendenti alle app SaaS e include funzionalità progettate per questo scopo, ad esempio licenze e accesso condizionale. Azure AD B2C offre una piattaforma di gestione di identità e accessi per la compilazione di applicazioni web e per dispositivi mobili. Quando Azure AD B2C è configurato per la federazione a un tenant di Microsoft Entra, il tenant di Microsoft Entra gestisce l'accesso dei dipendenti alle applicazioni che si basano su Azure AD B2C.

Che cosa sono gli account locali in Azure AD B2C? In che modo sono diversi dagli account aziendali o dell'istituto di istruzione in Microsoft Entra ID?

In un tenant di Microsoft Entra gli utenti che appartengono al tenant accedono con un indirizzo di posta elettronica del modulo <xyz>@<tenant domain>. <tenant domain> è uno dei domini verificati nel tenant o nel dominio <...>.onmicrosoft.com iniziale. Questo tipo di account è un account aziendale o dell'istituto di istruzione.

In un tenant di Azure AD B2C, la maggior parte delle app richiede l'accesso dell'utente con un indirizzo di posta elettronica arbitrario, ad esempio joe@comcast.net, bob@gmail.com, sarah@contoso.com o jim@live.com. Questo tipo di account è un account locale. Sono supportati anche nomi utente arbitrari come account locali (ad esempio, joe, bob, sarah o jim). È possibile scegliere uno di questi due tipi di account locale durante la configurazione dei provider di identità per Azure AD B2C nel portale di Azure. Nel tenant di Azure AD B2C selezionare Provider di identità, quindi Account locale e infine Nome utente.

Gli account utente per le applicazioni possono essere creati tramite un flusso utente di iscrizione, iscrizione o accesso utente, API Microsoft Graph o portale di Azure.

Quanti utenti possono ospitare un tenant di Azure AD B2C?

  • Per impostazione predefinita, ogni tenant può contenere un totale di 1,25 milioni di oggetti (account utente e applicazioni), ma è possibile aumentare questo limite a 5,25 milioni di oggetti quando si aggiunge e si verifica un dominio personalizzato. Per aumentare questo limite, contattare supporto tecnico Microsoft. Tuttavia, se il tenant è stato creato prima di settembre 2022, questo limite non influisce sull'utente e il tenant manterrà le dimensioni allocate alla creazione, ovvero 50 milioni di oggetti.

Quali provider di identità di social networking sono attualmente supportati? Per quali provider è previsto il supporto in futuro?

Attualmente sono supportati diversi provider di identità di social network, tra cui Amazon, Facebook, GitHub (anteprima), Google, LinkedIn, account Microsoft (MSA), QQ (anteprima), Twitter, WeChat (anteprima) e Weibo (anteprima). Si sta valutando la possibilità di aggiungere il supporto per altri provider di identità di social network noti, in base alle esigenze dei clienti.

Azure AD B2C supporta anche criteri personalizzati. I criteri personalizzati consentono di creare i propri criteri per qualsiasi provider di identità che supporta OpenID Connect o SAML. Per un'introduzione ai criteri personalizzati, vedere lo starter pack sui criteri personalizzati.

È possibile configurare ambiti per raccogliere altre informazioni sugli utenti da diversi provider di identità di social networking?

Nr. Gli ambiti predefiniti usati per il gruppo di provider di identità di social networking supportato sono:

  • Facebook: email
  • Google+: email
  • Account Microsoft: profilo di posta elettronica openid
  • Amazon: profile
  • LinkedIn: r_emailaddress e r_basicprofile

Si usa ADFS come provider di identità in Azure AD B2C. Quando si tenta di avviare una richiesta di disconnessione da Azure AD B2C, ADFS visualizza l'errore *MSIS7084: richiesta di disconnessione SAML e messaggi di risposta di disconnessione devono essere firmati quando si usa il reindirizzamento HTTP SAML o l'associazione HTTP POST*. Come si risolve questo problema?

Nel server ADFS eseguire: Set-AdfsProperties -SignedSamlRequestsRequired $true. In questo modo Azure AD B2C firmerà tutte le richieste ad ADFS.

L'applicazione deve essere eseguita in Azure perché funzioni con Azure AD B2C?

No, l'applicazione può essere ospitata ovunque (nel cloud o in locale). Per interagire con Azure AD B2C deve avere la possibilità di inviare e ricevere richieste HTTP su endpoint accessibili pubblicamente.

Nel caso di più tenant Azure AD B2C, come è possibile gestirli nel portale di Azure?

Prima di aprire il servizio Azure AD B2C nel portale di Azure, è necessario passare alla directory da gestire. Selezionare l'icona Impostazioni nel menu in alto per passare alla directory da gestire dal menu Directory e sottoscrizioni.

Perché non è possibile creare un tenant di Azure AD B2C?

Potrebbe non essere disponibile l'autorizzazione per creare un tenant di Azure AD B2C. Solo gli utenti con ruoli Amministratore globale o Autore tenant possono creare il tenant. È necessario contattare l'amministratore globale.

Come si personalizzano i messaggi di posta elettronica di verifica (il contenuto e il campo "Da:") inviati da Azure AD B2C?

È possibile usare la funzionalità di personalizzazione della società per personalizzare il contenuto dei messaggi di posta elettronica di verifica. In particolare, è possibile personalizzare i due elementi di posta elettronica seguenti:

  • Logo del banner: in basso a destra.

  • Colore di sfondo: in alto.

    Screenshot of a customized verification email

La firma della posta elettronica contiene il nome del tenant di Azure AD B2C fornito al momento della creazione del tenant di Azure AD B2C. È possibile modificare il nome seguendo queste istruzioni:

  1. Accedere al portale di Azure come amministratore globale.
  2. Aprire il pannello Microsoft Entra ID .Open the Microsoft Entra ID blade.
  3. Seleziona la scheda Proprietà.
  4. Modificare il valore del campo Nome.
  5. Seleziona Salva nella parte superiore della pagina.

Attualmente, non è possibile modificare il campo "Da:" nel messaggio di posta elettronica.

Suggerimento

Con i criteri personalizzati di Azure AD B2C, è possibile personalizzare il messaggio di posta elettronica che Azure AD B2C invia agli utenti, incluso il campo "Da:". La verifica del messaggio di posta elettronica personalizzato richiede l'uso di un provider di posta elettronica di terze parti, come Mailjet, SendGrid o SparkPost.

Come si esegue la migrazione di nomi utente, password e profili esistenti dal database personale in Azure AD B2C?

È possibile usare l'API Microsoft Graph per creare lo strumento di migrazione. Vedere il Guida alla migrazione degli utenti per informazioni dettagliate.

Qual è il flusso di password utente usato per gli account locali in Azure AD B2C?

Il flusso utente della password di Azure AD B2C per gli account locali si basa sui criteri per Microsoft Entra ID. L'iscrizione ad Azure AD B2C, i flussi di iscrizione o di accesso e di reset delle password utenti usano un livello di complessità sicuro e le password non scadono. Per altre informazioni, vedere Criteri password e restrizioni in Microsoft Entra ID.

Per informazioni su blocchi e password degli account, vedere Mitigare gli attacchi alle credenziali in Azure AD B2C.

È possibile usare Microsoft Entra Connessione per eseguire la migrazione delle identità consumer archiviate nel Active Directory locale ad Azure AD B2C?

No, Microsoft Entra Connessione non è progettato per funzionare con Azure AD B2C. Per la migrazione dell'utente, prendere in considerazione la possibilità di usare l'API Microsoft Graph. Vedere il Guida alla migrazione degli utenti per informazioni dettagliate.

L'applicazione può aprire le pagine di Azure AD B2C all'interno di un iFrame?

Questa funzionalità è disponibile in anteprima pubblica. Per conoscere i dettagli, vedere Esperienza di accesso incorporata.

Azure AD B2C è compatibile con i sistemi CRM come Microsoft Dynamics?

È disponibile l'integrazione con il portale di Microsoft Dynamics 365. Vedere l'articolo relativo alla configurazione del portale di Dynamics 365 per usare Azure AD B2C per l'autenticazione.

Azure AD B2C è compatibile con SharePoint 2016 locale o versione precedente?

Azure AD B2C non è destinato allo scenario di condivisione dei partner esterni di SharePoint; vedere invece Microsoft Entra B2B .

È necessario usare Azure AD B2C o B2B per gestire le identità esterne?

Quali funzionalità di reporting e controllo offre Azure AD B2C? Sono uguali a in Microsoft Entra ID P1 o P2?

No, Azure AD B2C non supporta lo stesso set di report di Microsoft Entra ID P1 o P2. Tuttavia, esistono molte comunità:

  • I report degli accessi contengono un record per ogni accesso con dettagli ridotti.
  • I report di controllo includono sia l'attività di amministratore che l'attività dell'applicazione.
  • I report sull'uso includono il numero di utenti, il numero di accessi e il volume di autenticazioni a più fattori.

Gli utenti finali possono usare una password monouso (TOTP) basata sul tempo con un'app di autenticazione per l'autenticazione nell'app Azure AD B2C?

Sì. Gli utenti finali devono scaricare qualsiasi app di autenticazione che supporti la verifica TOTP, ad esempio l'app Microsoft Authenticator (scelta consigliata). Per informazioni dettagliate, vedere Metodi di verifica.

Perché i codici dell'app di autenticazione TOTP non funzionano?

Se i codici dell'app di autenticazione TOTP non funzionano con android o i Telefono telefono cellulare o dispositivo, l'ora dell'orologio del dispositivo potrebbe non essere corretta. Nelle impostazioni del dispositivo selezionare l'opzione per usare l'ora fornita dalla rete o per impostare automaticamente l'ora.

Ricerca per categorie sapere che il componente aggiuntivo Go-Local è disponibile nel mio paese/area geografica?

Durante la creazione del tenant di Azure AD B2C, se il componente aggiuntivo Go-Local è disponibile nel paese o nell'area geografica, viene chiesto di abilitarlo se necessario.

Si ottengono ancora 50.000 UNITÀ di utilizzo gratuite al mese nel componente aggiuntivo Go-Local quando lo si abilita?

No. 50.000 UNITÀ di utilizzo gratuite al mese non si applicano quando si abilita il componente aggiuntivo Go-Local. Verrà addebitato un addebito sul componente aggiuntivo Go-Local dal primo MAU. Tuttavia, si continuerà a usufruire di 50.000 UNITÀ organizzative gratuite al mese sulle altre funzionalità disponibili nei prezzi di Azure AD B2C Premium P1 o P2.

Si dispone di un tenant di Azure AD B2C esistente in Giappone o In Australia che non dispone di un componente aggiuntivo Go-Local abilitato. Ricerca per categorie attivare questo componente aggiuntivo?

Seguire la procedura descritta in Attivare l'annuncio Go-Local per attivare il componente aggiuntivo Go-Local di Azure AD B2C.

È possibile localizzare l'interfaccia utente delle pagine servite da Azure AD B2C? Quali sono le lingue supportate?

Vedere Personalizzazione della lingua. Offriamo traduzioni per 36 lingue ed è possibile eseguire l'override di qualsiasi stringa in base alle esigenze.

È possibile usare l'URL personale nelle pagine di iscrizione e accesso servite da Azure AD B2C? È ad esempio possibile sostituire l'URL contoso.b2clogin.com con login.contoso.com?

Sì, è possibile usare il proprio dominio. Per conoscere i dettagli, vedere Domini personalizzati per Azure AD B2C.

Come si elimina il tenant di Azure AD B2C?

Per eliminare il tenant di Azure AD B2C, attenersi alla procedura seguente.

È possibile usare la nuova esperienza unificata Registrazioni app oppure l'esperienza legacy Applicazioni (legacy). Altre informazioni sulla nuova esperienza.

  1. Accedere al portale di Azure come amministratore della sottoscrizione. Usare lo stesso account aziendale o dell'istituto d'istruzione o lo stesso account Microsoft usato per l'iscrizione ad Azure.
  2. Assicurarsi di usare la directory che contiene il tenant di Azure AD B2C. Selezionare l'icona Impostazioni nella barra degli strumenti del portale.
  3. Nelle impostazioni del portale | Pagina Directory e sottoscrizioni , trovare la directory di Azure AD B2C nell'elenco Nome directory e quindi selezionare Cambia.
  4. Nel menu a sinistra selezionare Azure AD B2C. In alternativa, selezionare Tutti i servizi e quindi cercare e selezionare Azure AD B2C.
  5. Eliminare tutti i flussi utente (criteri) nel tenant di Azure AD B2C.
  6. Eliminare tutti i provider di identità nel tenant di Azure AD B2C.
  7. Selezionare Registrazioni app, quindi la scheda Tutte le applicazioni.
  8. Eliminare tutte le applicazioni registrate.
  9. Eliminare b2c-extensions-app.
  10. In Gestisci, seleziona Utenti.
  11. Selezionare ogni utente a sua volta (escludere l'utente subscription Amministrazione istrator attualmente connesso). Selezionare Elimina nella parte inferiore della pagina, quindi quando richiesto.
  12. Selezionare Microsoft Entra ID nel menu a sinistra.
  13. In Gestisci selezionare Proprietà
  14. In Gestione degli accessi per le risorse di Azure selezionare e quindi selezionare Salva.
  15. Disconnettersi dal portale di Azure, quindi accedere di nuovo per aggiornare l'accesso.
  16. Selezionare Microsoft Entra ID nel menu a sinistra.
  17. Nella pagina Panoramica selezionare Elimina il tenant. Seguire le istruzioni visualizzate sullo schermo per completare il processo.

È possibile ottenere Azure AD B2C come parte di Enterprise Mobility Suite?

No, Azure AD B2C è un servizio di Azure con pagamento in base al consumo e non fa parte di Enterprise Mobility Suite.

È possibile acquistare licenze microsoft Entra ID P1 e Microsoft Entra ID P2 per il tenant di Azure AD B2C?

No, i tenant di Azure AD B2C non usano licenze Microsoft Entra ID P1 o Microsoft Entra ID P2. Azure AD B2C usa le licenze Di Azure AD B2C Premium P1 o P2 , che sono diverse dalle licenze P1 o P2 di Microsoft Entra ID per un tenant Microsoft Entra Standard. I tenant di Azure AD B2C supportano in modo nativo alcune funzionalità simili alle funzionalità P1 o P2 di Microsoft Entra ID, come illustrato in Funzionalità supportate di Microsoft Entra ID.

È possibile usare un'assegnazione basata su gruppo per le applicazioni Microsoft Entra Enterprise nel tenant di Azure AD B2C?

Quali funzionalità di Azure AD B2C non sono disponibili in Microsoft Azure per enti pubblici?

Le funzionalità di AD B2C seguenti non sono attualmente disponibili in Microsoft Azure per enti pubblici:

  • Connettori API
  • Accesso condizionale

Il token di aggiornamento è stato revocato usando Microsoft Graph invalidateAllRefreshTokens o Microsoft Graph PowerShell, Revoke-MgUserSignInSession. Perché Azure AD B2C accetta ancora il token di aggiornamento precedente?

In Azure AD B2C, se la differenza di tempo tra refreshTokensValidFromDateTime e refreshTokenIssuedTime è minore o uguale a 5 minuti, il token di aggiornamento viene comunque considerato valido. Tuttavia, se refreshTokenIssuedTime è maggiore di refreshTokensValidFromDateTime, il token di aggiornamento viene revocato. Seguire questa procedura per verificare se il token di aggiornamento è valido o revocato:

  1. RefreshToken Recuperare e AccessToken riscattando authorization_code.

  2. Attendere 7 minuti.

  3. Usare il cmdlet di PowerShell di Microsoft Graph Revoke-MgUserSignInSession o l'API Microsoft Graph invalidateAllRefreshTokens per eseguire il RevokeAllRefreshToken comando.

  4. Attendere 10 minuti.

  5. Recuperare di nuovo .RefreshToken

Usare più schede in un Web browser per accedere a più applicazioni registrate nello stesso tenant di Azure AD B2C. Quando si tenta di eseguire un single sign-out, non tutte le applicazioni vengono disconnesse. Perché questo avviene?

Attualmente, Azure AD B2C non supporta l'accesso Single Sign-Out per questo scenario specifico. È causato dalla contesa di cookie perché tutte le applicazioni operano contemporaneamente sullo stesso cookie.

Ricerca per categorie segnalare un problema con Azure AD B2C?

In Azure AD B2C si revocano tutte le sessioni di un utente usando il pulsante Revoca sessioni portale di Azure, ma non funziona.

Attualmente, Azure AD B2C non supporta la revoca della sessione utente dal portale di Azure. Tuttavia, è possibile ottenere questa attività usando Microsoft Graph PowerShell o l'API Microsoft Graph.