Compartilhar via

Azure AD B2C: Perguntas frequentes (perguntas frequentes)

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

Esta página responde a perguntas frequentes sobre o Azure AD B2C (Azure Active Directory B2C). Continue verificando se há atualizações.

Fim da venda do Azure AD B2C

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes, mas os clientes atuais do Azure AD B2C podem continuar usando o produto. A experiência do produto, incluindo a criação de novos locatários ou fluxos de usuário, permanecerá inalterada; no entanto, novos locatários só podem ser criados com o Azure AD B2C P1. O Azure AD B2C P2 será descontinuado em 15 de março de 2026, para todos os clientes. Os compromissos operacionais, incluindo os contratos de nível de serviço (SLAs), as atualizações de segurança e a conformidade, também permanecerão inalterados. Continuaremos dando suporte ao Azure AD B2C até pelo menos maio de 2030. Mais informações serão disponibilizadas, incluindo planos de migração. Entre em contato com seu representante de conta para obter mais informações e para saber mais sobre a ID Externa do Microsoft Entra.

O que é a ID externa do Microsoft Entra?

Lançamos nosso produto de ID Externa do Microsoft Entra de última geração que combina soluções avançadas para trabalhar com pessoas de fora da sua organização. Com recursos de ID externa, você pode permitir que identidades externas acessem com segurança seus aplicativos e recursos. Se você estiver trabalhando com parceiros externos, consumidores ou clientes comerciais, os usuários podem trazer suas próprias identidades. Essas identidades podem variar de contas corporativas ou emitidas pelo governo a provedores de identidade social, como Google ou Facebook. Para obter mais informações, consulte Introdução à ID Externa do Microsoft Entra

Por que não consigo acessar a extensão do Azure AD B2C no portal do Azure?

Há dois motivos comuns para que a extensão do Microsoft Entra não esteja funcionando para você. O Azure AD B2C exige que sua função de usuário no diretório seja um administrador global. Entre em contato com o administrador se você achar que deve ter acesso. Se você tiver privilégios de administrador global, verifique se está em um diretório do Azure AD B2C e não em um diretório do Microsoft Entra. Você pode ver instruções para criar um locatário do Azure AD B2C.

Posso usar os recursos do Azure AD B2C no meu locatário existente do Microsoft Entra baseado em funcionários?

A ID do Microsoft Entra e o Azure AD B2C são ofertas de produtos separadas. Para usar os recursos do Azure AD B2C, crie um locatário do Azure AD B2C separado do locatário existente do Microsoft Entra baseado em funcionários. Um locatário do Microsoft Entra representa uma organização. Um locatário do Azure AD B2C representa uma coleção de identidades a serem usadas com aplicativos de terceira parte confiável. Ao adicionar o novo provedor OpenID Connect em provedores de identidade do Azure AD B2C > ou com políticas personalizadas, o Azure AD B2C pode federar à ID do Microsoft Entra permitindo a autenticação de funcionários em uma organização.

Posso usar o Azure AD B2C para fornecer entrada social (Facebook e Google+) no Microsoft 365?

O Azure AD B2C não pode ser usado para autenticar usuários para o Microsoft 365. A ID do Microsoft Entra é a solução da Microsoft para gerenciar o acesso de funcionários a aplicativos SaaS e tem recursos projetados para essa finalidade, como licenciamento e acesso condicional. O Azure AD B2C fornece uma plataforma de gerenciamento de identidade e acesso para a criação de aplicativos Web e móveis. Quando o Azure AD B2C é configurado para federar para um locatário do Microsoft Entra, o locatário do Microsoft Entra gerencia o acesso de funcionários a aplicativos que dependem do Azure AD B2C.

O que são contas locais no Azure AD B2C? Como eles são diferentes das contas corporativas ou de estudante na ID do Microsoft Entra?

Em um locatário do Microsoft Entra, os usuários que pertencem ao locatário entrem com um endereço de email do formulário <xyz>@<tenant ___domain>. É <tenant ___domain> um dos domínios verificados no locatário ou no domínio inicial <...>.onmicrosoft.com . Esse tipo de conta é uma conta corporativa ou de estudante.

Em um locatário do Azure AD B2C, a maioria dos aplicativos deseja que o usuário entre com qualquer endereço de email arbitrário (por exemplo, joe@comcast.net, bob@gmail.com, sarah@contoso.comou jim@live.com). Esse tipo de conta é uma conta local. Também damos suporte a nomes de usuário arbitrários como contas locais (por exemplo, joe, bob, sarah ou jim). Você pode escolher um desses dois tipos de conta local ao configurar provedores de identidade para o Azure AD B2C no portal do Azure. No locatário do Azure AD B2C, selecione Provedores de identidade, selecione Conta local e selecione Nome de usuário.

As contas de usuário para aplicativos podem ser criadas por meio de um fluxo de usuário de inscrição, de inscrição ou de entrada do usuário, da API do Microsoft Graph ou do portal do Azure.

Quantos usuários um locatário do Azure AD B2C pode acomodar?

Por padrão, cada locatário pode acomodar um total de 1,25 milhão de objetos (contas de usuário e aplicativos), mas você pode aumentar esse limite para 5,25 milhões de objetos ao adicionar e verificar um domínio personalizado. Caso queira aumentar esse limite, entre em contato com o Suporte da Microsoft. No entanto, se você criou seu locatário antes de setembro de 2022, esse limite não afetará você e seu locatário manterá o tamanho alocado para ele na criação, ou seja, 50 milhões de objetos.

Quais provedores de identidade social você dá suporte agora? Quais você planeja dar suporte no futuro?

Atualmente, há suporte para vários provedores de identidade social, incluindo Amazon, Facebook, GitHub (versão prévia), Google, LinkedIn, MSA (Conta da Microsoft), QQ (versão prévia), X, WeChat (versão prévia) e Weibo (versão prévia). Avaliamos a adição de suporte para outros provedores populares de identidade social com base na demanda do cliente.

O Azure AD B2C também dá suporte a políticas personalizadas. As políticas personalizadas permitem que você crie sua própria política para qualquer provedor de identidade compatível com OpenID Connect ou SAML. Comece a usar políticas personalizadas verificando nosso pacote de inicialização de política personalizado.

Posso configurar escopos para coletar mais informações sobre consumidores de vários provedores de identidade social?

Não. Os escopos padrão usados para nosso conjunto de provedores de identidade social com suporte são:

  • Facebook: email
  • Google+: email
  • Conta da Microsoft: perfil de email openid
  • Amazon: perfil
  • LinkedIn: r_emailaddress, r_basicprofile

Estou usando o ADFS como um provedor de identidade no Azure AD B2C. Quando tento iniciar uma solicitação de saída do Azure AD B2C, o ADFS mostra o erro *MSIS7084: as mensagens de solicitação de logoff e de logoff do SAML devem ser assinadas ao usar o Redirecionamento HTTP do SAML ou a associação HTTP POST*. Como posso resolver esse problema?

No servidor do ADFS, execute: Set-AdfsProperties -SignedSamlRequestsRequired $true. Isso forçará o Azure AD B2C a assinar todas as solicitações para o ADFS.

Meu aplicativo precisa ser executado no Azure para que ele funcione com o Azure AD B2C?

Não, você pode hospedar seu aplicativo em qualquer lugar (na nuvem ou no local). Tudo o que ele precisa para interagir com o Azure AD B2C é a capacidade de enviar e receber solicitações HTTP em pontos de extremidade acessíveis publicamente.

Tenho vários locatários do Azure AD B2C. Como posso gerenciá-los no portal do Azure?

Antes de abrir o serviço do Azure AD B2C no portal do Azure, você deve alternar para o diretório que deseja gerenciar. Selecione o ícone Configurações no menu superior para alternar para o diretório que você deseja gerenciar no menu Diretórios + assinaturas .

Por que não consigo criar um locatário do Azure AD B2C?

Talvez você não tenha permissão para criar um locatário do Azure AD B2C. Somente usuários com pelo menos funções de Criador de Locatário podem criar o locatário.

Como personalizar emails de verificação (o conteúdo e o campo "De:") enviados pelo Azure AD B2C?

Você pode usar o recurso de identidade visual da empresa para personalizar o conteúdo dos emails de verificação. Especificamente, esses dois elementos do email podem ser personalizados:

  • Logotipo da faixa: mostrado na parte inferior direita.

  • Cor da tela de fundo: mostrada na parte superior.

    Captura de tela de um email de verificação personalizado

A assinatura de email contém o nome do locatário do Azure AD B2C que você forneceu quando criou o locatário do Azure AD B2C pela primeira vez. Você pode alterar o nome usando estas instruções:

  1. Entre no portal do Azure como administrador global.
  2. Abra a folha ID do Microsoft Entra .
  3. Clique na guia Propriedades.
  4. Altere o campo Nome .
  5. No início da página, selecione Salvar.

Atualmente, você não pode alterar o campo "De:" no email.

Dica

Com a política personalizada do Azure AD B2C, você pode personalizar o email que o Azure AD B2C envia aos usuários, incluindo o campo "De:" no email. A verificação de email personalizada requer o uso de um provedor de email de terceiros, como Mailjet ou SendGrid.

Como posso migrar meus nomes de usuário, senhas e perfis existentes do meu banco de dados para o Azure AD B2C?

Você pode usar a API do Microsoft Graph para escrever sua ferramenta de migração. Consulte o guia de migração do usuário para obter detalhes.

Qual fluxo de usuário de senha é usado para contas locais no Azure AD B2C?

O fluxo de usuário de senha do Azure AD B2C para contas locais baseia-se na política da ID do Microsoft Entra. Os fluxos de usuário de inscrição, inscrição ou entrada e redefinição de senha do Azure AD B2C usam a força de senha "forte" e não expiram senhas. Para obter mais informações, consulte políticas e restrições de senha na ID do Microsoft Entra.

Para obter informações sobre bloqueios de conta e senhas, consulte Atenuar ataques de credencial no Azure AD B2C.

Posso usar o Microsoft Entra Connect para migrar identidades de consumidor armazenadas no meu Active Directory local para o Azure AD B2C?

Não, o Microsoft Entra Connect não foi projetado para funcionar com o Azure AD B2C. Considere usar a API do Microsoft Graph para migração de usuário. Consulte o guia de migração do usuário para obter detalhes.

Meu aplicativo pode abrir páginas do Azure AD B2C em um iFrame?

Esse recurso está em versão prévia pública. Para obter detalhes, consulte a experiência de entrada inserida.

O Azure AD B2C funciona com sistemas CRM como o Microsoft Dynamics?

A integração com o Portal do Microsoft Dynamics 365 está disponível. Consulte Configurar o Portal do Dynamics 365 para usar o Azure AD B2C para autenticação.

O Azure AD B2C funciona com o SharePoint local 2016 ou anterior?

O Azure AD B2C não se destina ao cenário externo de compartilhamento de parceiros do SharePoint; em vez disso, consulte o Microsoft Entra B2B .

Devo usar o Azure AD B2C ou B2B para gerenciar identidades externas?

Leia as soluções compare para identidades externas para saber mais sobre como aplicar os recursos apropriados aos cenários de identidade externa.

Quais recursos de relatório e auditoria o Azure AD B2C fornece? Eles são iguais aos do Microsoft Entra ID P1 ou P2?

Não, o Azure AD B2C não dá suporte ao mesmo conjunto de relatórios que o Microsoft Entra ID P1 ou P2. No entanto, há muitas semelhanças:

  • Os relatórios de entrada fornecem um registro de cada entrada com detalhes reduzidos.
  • Os relatórios de auditoria incluem atividade de administrador e atividade de aplicativo.
  • Os relatórios de uso incluem o número de usuários, o número de logons e o volume de MFA.

Por que minha fatura do Azure AD B2C mostra encargos telefônicos chamados "ID externa do Microsoft Entra?"

Seguindo o novo modelo de cobrança para a Autenticação telefônica sms de identidades externas do Azure AD, você poderá notar um novo nome em sua fatura. Anteriormente, a MFA telefônica era cobrada como "Autenticação Multifator do Azure Active Directory B2C – Basic 1". Agora você verá os seguintes nomes com base no tipo de preço de país ou região:

  • ID Externa do Microsoft Entra - Autenticação telefônica de baixo custo - 1 transação
  • Microsoft Entra External ID – Autenticação telefônica de custo médio-baixo 1 transação
  • Microsoft Entra External ID – Transação de autenticação de telefone, custo médio-alto 1
  • Microsoft Entra External ID – Autenticação por telefone de alto custo 1 transação

Embora a nova conta mencione a ID Externa do Microsoft Entra, você ainda será cobrado pelo Azure AD B2C com base na sua contagem principal de MAU.

Os usuários finais podem usar uma TOTP (senha única) baseada em tempo com um aplicativo autenticador para autenticar no meu aplicativo Azure AD B2C?

Sim. Os usuários finais precisam baixar qualquer aplicativo autenticador que dê suporte à verificação TOTP, como o aplicativo Microsoft Authenticator (recomendado). Para obter detalhes, consulte os métodos de verificação.

Por que meus códigos de aplicativo autenticador TOTP não estão funcionando?

Se os códigos do aplicativo autenticador TOTP não estiverem funcionando com seu dispositivo ou telefone celular Android ou iPhone, o horário do relógio do dispositivo pode estar incorreto. Nas configurações do dispositivo, selecione a opção para usar o tempo fornecido pela rede ou definir a hora automaticamente.

Como saber se o complemento Go-Local está disponível em meu país/região?

Ao criar seu locatário do Azure AD B2C, se o complemento Go-Local estiver disponível em seu país/região, você será solicitado a habilitá-lo se precisar.

Ainda recebo 50.000 MAUs gratuitas por mês no complemento Go-Local ao habilitá-lo?

Não, 50.000 MAUs gratuitas por mês não se aplicam quando você habilita o complemento Go-Local. Você incorrerá em uma cobrança no complemento Go-Local do primeiro MAU. No entanto, você continuará a desfrutar de 50.000 MAUs gratuitas por mês nos outros recursos disponíveis nos preços do Azure AD B2C Premium P1 ou P2.

Tenho um locatário existente do Azure AD B2C no Japão ou na Austrália que não tem um complemento Go-Local habilitado. Como fazer para ativar esse complemento?

Siga as etapas em Ativar Go-Local ad-on para ativar o complemento do Azure AD B2C Go-Local.

Posso localizar a interface do usuário das páginas atendidas pelo Azure AD B2C? Quais idiomas têm suporte?

Sim, consulte a personalização do idioma. Fornecemos traduções para 36 idiomas e você pode substituir qualquer cadeia de caracteres para atender às suas necessidades.

Posso usar minhas próprias URLs em minhas páginas de inscrição e entrada que são atendidas pelo Azure AD B2C? Por exemplo, posso alterar a URL de contoso.b2clogin.com para login.contoso.com?

Sim, você pode usar seu próprio domínio. Para obter detalhes, consulte domínios personalizados do Azure AD B2C.

Como excluir meu locatário do Azure AD B2C?

Siga estas etapas para excluir seu locatário do Azure AD B2C.

Você pode usar nossa nova experiência unificada de registros de aplicativo ou nossa experiência de Aplicativos herdados (Herdado ). Saiba mais sobre a nova experiência.

  1. Entre no portal do Azure como administrador de assinatura. Use a mesma conta corporativa ou de estudante ou conta Microsoft que você usou para se inscrever no Azure.
  2. Verifique se você está usando o diretório que contenha seu locatário do Azure AD B2C. Selecione o ícone Configurações na barra de ferramentas do portal.
  3. Na página Configurações do portal | Diretórios + assinaturas, encontre o diretório Azure Active Directory B2C na lista Nome do diretório e selecione Alternar.
  4. No menu à esquerda, selecione Azure AD B2C. Ou selecione Todos os serviços e pesquise e selecione Azure AD B2C.
  5. Exclua todos os fluxos de usuário (políticas) em seu locatário do Azure AD B2C.
  6. Exclua todos os Provedores de Identidade em seu locatário do Azure AD B2C.
  7. Selecione registros de aplicativo e, em seguida, selecione a guia Todos os aplicativos .
  8. Exclua todos os aplicativos que você registrou.
  9. Exclua o b2c-extensions-app.
  10. Em Gerenciar, selecione Usuários.
  11. Selecione cada usuário por sua vez (exclua o usuário administrador de assinatura que você está conectado no momento). Selecione Excluir na parte inferior da página e selecione Sim quando solicitado.
  12. Selecione a ID do Microsoft Entra no menu à esquerda.
  13. Em Gerenciar, selecione Propriedades
  14. Em Gerenciamento de acesso para recursos do Azure, selecione Sim e, em seguida, selecione Salvar.
  15. Saia do portal do Azure e entre novamente para atualizar seu acesso.
  16. Selecione a ID do Microsoft Entra no menu à esquerda.
  17. Na página Visão geral , selecione Excluir locatário. Siga as instruções na tela para concluir o processo.

Posso obter o Azure AD B2C como parte do Enterprise Mobility Suite?

Não, o Azure AD B2C é um serviço do Azure pago conforme o uso e não faz parte do Enterprise Mobility Suite.

Posso comprar o licenciamento do Microsoft Entra ID P1 e do Microsoft Entra ID P2 para meu locatário do Azure AD B2C?

Não, os locatários do Azure AD B2C não usam o licenciamento do Microsoft Entra ID P1 ou do Microsoft Entra ID P2. O Azure AD B2C usa licenças P1 ou P2 Premium, que não estão mais disponíveis para compra a partir de 1º de maio de 2025. Elas são diferentes das licenças P1 ou P2 do Microsoft Entra para um locatário do Microsoft Entra Padrão. Os locatários do Azure AD B2C dão suporte nativo a alguns recursos semelhantes aos recursos do Microsoft Entra ID P1 ou P2, conforme explicado nos recursos de ID do Microsoft Entra com suporte.

Posso usar uma atribuição baseada em grupo para o Microsoft Entra Enterprise Applications em meu locatário do Azure AD B2C?

Não, os locatários do Azure AD B2C não dão suporte à atribuição baseada em grupo para o Microsoft Entra Enterprise Applications.

O Azure AD B2C está disponível no Microsoft Azure Governamental?

Não, o Azure AD B2C não está disponível no Microsoft Azure Governamental.

Estou usando tokens de atualização sem interrupção para meu aplicativo e estou recebendo um erro invalid_grant ao resgatar tokens de atualização recém-adquiridos bem dentro do período de validade definido. Por que isso acontece?

Ao determinar a validade dos tokens de atualização sem interrupção, o B2C considerará o tempo de logon inicial do usuário no aplicativo também para calcular a distorção de validade do token. Se o usuário não fizer logon do aplicativo por muito tempo, esse valor de distorção excederá o período de validade do token e, portanto, por motivos de segurança, os tokens serão considerados inválidos. Daí o erro. Informe o usuário para executar um logoff e logoff adequados de volta no aplicativo e isso deve redefinir a distorção. Esse cenário não será aplicável se a rolagem do token de atualização for definida como rolagem infinita.

Revoguei o token de atualização usando o Microsoft Graph invalidateAllRefreshTokens ou o Microsoft Graph PowerShell, Revoke-MgUserSignInSession. Por que o Azure AD B2C ainda está aceitando o token de atualização antigo?

No Azure AD B2C, se a diferença de tempo entre refreshTokensValidFromDateTime e refreshTokenIssuedTime for menor ou igual a 5 minutos, o token de atualização ainda será considerado válido. No entanto, se for refreshTokenIssuedTime maior que o refreshTokensValidFromDateTimetoken de atualização, o token de atualização será revogado. Siga as seguintes etapas para verificar se o token de atualização é válido ou revogado:

  1. Recuperar o RefreshToken e o AccessToken resgate authorization_code.

  2. Aguarde 7 minutos.

  3. Use o cmdlet do Microsoft Graph PowerShell Revoke-MgUserSignInSession ou a API do Microsoft Graph invalidateAllRefreshTokens para executar o RevokeAllRefreshToken comando.

  4. Aguarde 10 minutos.

  5. Recupere a RefreshToken novamente.

Dica

Com a política personalizada do Azure AD B2C, você pode reduzir o tempo de distorção mencionado acima de 5 minutos (300000 milissegundos) ajustando o valor de InputParameter "TreatAsEqualIfWithinMillseconds" em Id de transformação de declaração "AssertRefreshTokenIssuedLaterThanValidFromDate". Essa transformação de declaração pode ser encontrada no arquivo TrustFrameworkBase.xml no pacote de stater de política personalizado mais recente.

Uso várias guias em um navegador da Web para entrar em vários aplicativos que registrei no mesmo locatário do Azure AD B2C. Quando tento executar uma única saída, nem todos os aplicativos são desconectados. Por que isso acontece?

Atualmente, o Azure AD B2C não dá suporte à saída única para este cenário específico. Isso é causado pela contenção de cookie, pois todos os aplicativos operam no mesmo cookie simultaneamente.

Como relatar um problema com o Azure AD B2C?

Consulte solicitações de suporte de arquivo para o Azure Active Directory B2C.

No Azure AD B2C, revogo todas as sessões de um usuário usando o botão Revogar sessões dos portais do Azure, mas não funciona.

Atualmente, o Azure AD B2C não dá suporte à revogação de sessão do usuário do portal do Azure. No entanto, você pode realizar essa tarefa usando o Microsoft Graph PowerShell ou a API do Microsoft Graph.