Partilhar via

Azure AD B2C: Perguntas frequentes (FAQ)

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.

Esta página responde a perguntas frequentes sobre o Azure Ative Directory B2C (Azure AD B2C). Continue verificando se há atualizações.

Fim da venda do Azure AD B2C

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes, mas os clientes atuais do Azure AD B2C poderão continuar usando o produto. A experiência do produto, incluindo a criação de novos locatários ou fluxos de usuários, permanecerá inalterada; no entanto, novos locatários só podem ser criados com o Azure AD B2C P1. O Azure AD B2C P2 será descontinuado em 15 de março de 2026 para todos os clientes. Os compromissos operacionais, incluindo acordos de nível de serviço (SLAs), atualizações de segurança e conformidade, também permanecerão inalterados. Continuaremos a oferecer suporte ao Azure AD B2C até pelo menos maio de 2030. Serão disponibilizadas mais informações, incluindo planos de migração. Entre em contato com o representante da sua conta para obter mais informações e saber mais sobre a ID Externa do Microsoft Entra.

O que é o Microsoft Entra External ID?

Lançamos a nossa próxima geração do produto Microsoft Entra External ID que combina soluções poderosas para trabalhar com pessoas fora da sua organização. Com os recursos de ID Externa, você pode permitir que identidades externas acessem com segurança seus aplicativos e recursos. Quer esteja a trabalhar com parceiros externos, consumidores ou clientes empresariais, os utilizadores podem trazer as suas próprias identidades. Essas identidades podem variar de contas corporativas ou emitidas pelo governo a provedores de identidade social como Google ou Facebook. Para obter mais informações, consulte Introdução à ID externa do Microsoft Entra

Por que não consigo acessar a extensão do Azure AD B2C no portal do Azure?

Há duas razões comuns pelas quais a extensão Microsoft Entra não está funcionando para você. O Azure AD B2C exige que sua função de usuário no diretório seja um administrador Global. Entre em contato com o administrador se achar que deve ter acesso. Se você tiver privilégios de administrador Global, verifique se você está em um diretório do Azure AD B2C e não em um diretório do Microsoft Entra. Você pode ver instruções para criar um locatário do Azure AD B2C.

Posso usar os recursos do Azure AD B2C no meu locatário existente do Microsoft Entra baseado em funcionários?

O Microsoft Entra ID e o Azure AD B2C são ofertas de produtos separadas. Para usar os recursos do Azure AD B2C, crie um locatário do Azure AD B2C separado do seu locatário do Microsoft Entra baseado em funcionário existente. Um locatário do Microsoft Entra representa uma organização. Um locatário do Azure AD B2C representa uma coleção de identidades a serem usadas com aplicativos de terceira parte confiável. Ao adicionar o Novo provedor OpenID Connect em provedores de Identidade do Azure AD B2C > ou com políticas personalizadas, o Azure AD B2C pode federar para o Microsoft Entra ID permitindo a autenticação de funcionários em uma organização.

Posso utilizar o Azure AD B2C para fornecer início de sessão social (Facebook e Google+) no Microsoft 365?

O Azure AD B2C não pode ser usado para autenticar usuários para o Microsoft 365. O Microsoft Entra ID é a solução da Microsoft para gerenciar o acesso de funcionários a aplicativos SaaS e possui recursos projetados para essa finalidade, como licenciamento e acesso condicional. O Azure AD B2C fornece uma plataforma de gerenciamento de identidade e acesso para criar aplicativos Web e móveis. Quando o Azure AD B2C é configurado para federar para um locatário do Microsoft Entra, o locatário do Microsoft Entra gerencia o acesso dos funcionários a aplicativos que dependem do Azure AD B2C.

O que são contas locais no Azure AD B2C? Qual é a diferença entre elas e as contas corporativas ou de estudante no Microsoft Entra ID?

Em um locatário do Microsoft Entra, os usuários que pertencem ao locatário entram com um endereço de email do formulário <xyz>@<tenant domain>. O <tenant domain> é um dos domínios verificados no locatário ou no domínio inicial <...>.onmicrosoft.com . Este tipo de conta é uma conta escolar ou profissional.

Em um locatário do Azure AD B2C, a maioria dos aplicativos deseja que o usuário entre com qualquer endereço de email arbitrário (por exemplo, joe@comcast.net, bob@gmail.com, sarah@contoso.comou jim@live.com). Este tipo de conta é uma conta local. Também suportamos nomes de utilizador arbitrários como contas locais (por exemplo, joe, bob, sarah ou jim). Você pode escolher um desses dois tipos de conta local ao configurar provedores de identidade para o Azure AD B2C no portal do Azure. No locatário do Azure AD B2C, selecione Provedores de identidade, selecione Conta local e selecione Nome de usuário.

As contas de usuário para aplicativos podem ser criadas por meio de um fluxo de usuário de inscrição, fluxo de usuário de inscrição ou entrada, a API do Microsoft Graph ou o portal do Azure.

Quantos usuários um locatário do Azure AD B2C pode acomodar?

Por padrão, cada locatário pode acomodar um total de 1,25 milhão de objetos (contas de usuário e aplicativos), mas você pode aumentar esse limite para 5,25 milhões de objetos ao adicionar e verificar um domínio personalizado. Se pretender aumentar este limite, contacte o Suporte da Microsoft. No entanto, se você criou seu locatário antes de setembro de 2022, esse limite não o afeta, e seu locatário manterá o tamanho alocado a ele na criação, ou seja, 50 milhões de objetos.

Que provedores de identidade social você apoia agora? Quais tenciona apoiar no futuro?

Atualmente, suportamos vários provedores de identidade social, incluindo Amazon, Facebook, GitHub (visualização), Google, LinkedIn, Conta da Microsoft (MSA), QQ (visualização), X, WeChat (visualização) e Weibo (visualização). Avaliamos a adição de suporte para outros provedores de identidade social populares com base na demanda do cliente.

O Azure AD B2C também dá suporte a políticas personalizadas. As políticas personalizadas permitem que você crie sua própria política para qualquer provedor de identidade que ofereça suporte ao OpenID Connect ou SAML. Comece a usar políticas personalizadas conferindo nosso pacote inicial de políticas personalizadas.

Posso configurar escopos para coletar mais informações sobre consumidores de vários provedores de identidade social?

Não. Os escopos padrão usados para nosso conjunto suportado de provedores de identidade social são:

  • Facebook: e-mail
  • Google+: e-mail
  • Conta Microsoft: perfil de email openid
  • Amazon: perfil
  • LinkedIn: r_emailaddress, r_basicprofile

Estou usando o ADFS como um provedor de identidade no Azure AD B2C. Quando tento iniciar uma solicitação de saída do Azure AD B2C, o ADFS mostra o erro *MSIS7084: As mensagens de solicitação de logout e resposta de logout do SAML devem ser assinadas ao usar o Redirecionamento HTTP SAML ou a vinculação HTTP POST*. Como resolvo este problema?

No servidor ADFS, execute: Set-AdfsProperties -SignedSamlRequestsRequired $true. Isso forçará o Azure AD B2C a assinar todas as solicitações para o ADFS.

A minha aplicação tem de ser executada no Azure para funcionar com o Azure AD B2C?

Não, você pode hospedar seu aplicativo em qualquer lugar (na nuvem ou no local). Tudo o que ele precisa para interagir com o Azure AD B2C é a capacidade de enviar e receber solicitações HTTP em pontos de extremidade acessíveis publicamente.

Tenho vários locatários do Azure AD B2C. Como posso gerenciá-los no portal do Azure?

Antes de abrir o serviço Azure AD B2C no portal do Azure, você deve alternar para o diretório que deseja gerenciar. Selecione o ícone Configurações no menu superior para alternar para o diretório que você deseja gerenciar no menu Diretórios + assinaturas .

Por que não consigo criar um locatário do Azure AD B2C?

Talvez você não tenha permissão para criar um locatário do Azure AD B2C. Somente usuários com pelo menos funções de Criador de Locatário podem criar o locatário.

Como posso personalizar os e-mails de verificação (o conteúdo e o campo "De:") enviados pelo Azure AD B2C?

Você pode usar o recurso de identidade visual da empresa para personalizar o conteúdo dos e-mails de verificação. Especificamente, estes dois elementos do e-mail podem ser personalizados:

  • Logótipo do banner: Apresentado no canto inferior direito.

  • Cor de fundo: Mostrada na parte superior.

    Captura de ecrã de um e-mail de verificação personalizado

A assinatura de email contém o nome do locatário do Azure AD B2C que você forneceu quando criou o locatário do Azure AD B2C pela primeira vez. Você pode alterar o nome usando estas instruções:

  1. Entre no portal do Azure como Administrador Global.
  2. Abra a folha ID do Microsoft Entra .
  3. Selecione a guia Propriedades .
  4. Altere o campo Nome .
  5. Selecione Guardar no topo da página.

Atualmente, não é possível alterar o campo "De:" no e-mail.

Sugestão

Com a política personalizada do Azure AD B2C, você pode personalizar o email que o Azure AD B2C envia aos usuários, incluindo o campo "De:" no email. A verificação de e-mail personalizada requer o uso de um provedor de e-mail de terceiros como Mailjet ou SendGrid.

Como posso migrar meus nomes de usuário, senhas e perfis existentes do meu banco de dados para o Azure AD B2C?

Você pode usar a API do Microsoft Graph para escrever sua ferramenta de migração. Consulte o Guia de migração do usuário para obter detalhes.

Que fluxo de usuário de senha é usado para contas locais no Azure AD B2C?

O fluxo de usuário de senha do Azure AD B2C para contas locais é baseado na política para o Microsoft Entra ID. Os fluxos de usuário de inscrição, inscrição ou entrada e redefinição de senha do Azure AD B2C usam a força da senha "forte" e não expiram nenhuma senha. Para obter mais informações, consulte Políticas e restrições de senha no Microsoft Entra ID.

Para obter informações sobre bloqueios de conta e senhas, consulte Mitigar ataques de credenciais no Azure AD B2C.

Posso usar o Microsoft Entra Connect para migrar identidades de consumidor armazenadas no meu Ative Directory local para o Azure AD B2C?

Não, o Microsoft Entra Connect não foi projetado para funcionar com o Azure AD B2C. Considere usar a API do Microsoft Graph para migração de usuários. Consulte o Guia de migração do usuário para obter detalhes.

Meu aplicativo pode abrir páginas do Azure AD B2C em um iFrame?

Este recurso está em pré-visualização pública. Para obter detalhes, consulte Experiência de entrada incorporada.

O Azure AD B2C funciona com sistemas de CRM, como o Microsoft Dynamics?

A integração com o Portal do Microsoft Dynamics 365 está disponível. Consulte Configurando o Portal do Dynamics 365 para usar o Azure AD B2C para autenticação.

O Azure AD B2C funciona com o SharePoint local 2016 ou anterior?

O Azure AD B2C não se destina ao cenário de compartilhamento de parceiros externos do SharePoint; consulte Microsoft Entra B2B em vez disso.

Devo usar o Azure AD B2C ou B2B para gerenciar identidades externas?

Leia Comparar soluções para identidades externas para saber mais sobre como aplicar os recursos apropriados aos seus cenários de identidade externa.

Quais recursos de relatório e auditoria o Azure AD B2C oferece? São os mesmos que no Microsoft Entra ID P1 ou P2?

Não, o Azure AD B2C não suporta o mesmo conjunto de relatórios que o Microsoft Entra ID P1 ou P2. No entanto, existem muitos pontos em comum:

  • Os relatórios de início de sessão fornecem um registo de cada início de sessão com detalhes reduzidos.
  • Os relatórios de auditoria incluem a atividade administrativa e a atividade do aplicativo.
  • Os relatórios de uso incluem o número de usuários, o número de logins e o volume de MFA.

Por que minha fatura do Azure AD B2C mostra cobranças por telefone chamadas "ID Externa do Microsoft Entra?"

Seguindo o novo modelo de cobrança para a Autenticação de Telefone SMS de Identidades Externas do Azure AD, você poderá notar um novo nome na sua fatura. Anteriormente, o Phone MFA era cobrado como "Azure Ative Directory B2C - Basic 1 Multi-Factor Authentication". Agora você verá os seguintes nomes com base no nível de preços do seu país ou região:

  • Microsoft Entra External ID - Autenticação Telefónica de Baixo Custo 1 Transação
  • Microsoft Entra External ID - Autenticação por Telefone Custo Médio-Baixo 1 Transação
  • ID Externo Microsoft Entra - Autenticação por Telefone de Custo Médio a Alto 1 Transação
  • Microsoft Entra External ID - Autenticação de Telefone de Alto Custo 1 Transação

Embora a nova fatura mencione a ID Externa do Microsoft Entra, você ainda é cobrado pelo Azure AD B2C com base na sua contagem de MAU principal.

Os usuários finais podem usar uma senha única baseada no tempo (TOTP) com um aplicativo autenticador para autenticar meu aplicativo Azure AD B2C?

Sim. Os usuários finais precisam baixar qualquer aplicativo autenticador que ofereça suporte à verificação TOTP, como o aplicativo Microsoft Authenticator (recomendado). Para mais pormenores, ver métodos de verificação.

Por que meus códigos de aplicativo autenticador TOTP não estão funcionando?

Se os códigos da aplicação autenticadora TOTP não estiverem a funcionar com o seu telemóvel ou dispositivo Android ou iPhone, a hora do relógio do seu dispositivo poderá estar incorreta. Nas configurações do seu dispositivo, selecione a opção para usar o tempo fornecido pela rede ou para definir o tempo automaticamente.

Como sei que o complemento Go-Local está disponível no meu país/região?

Ao criar seu locatário do Azure AD B2C, se o complemento Go-Local estiver disponível em seu país/região, você será solicitado a habilitá-lo se precisar.

Ainda recebo 50.000 MAUs gratuitas por mês no complemento Go-Local quando o ativo?

Nº 50.000 MAUs gratuitas por mês não se aplicam quando você ativa o complemento Go-Local. Você incorrerá em uma cobrança no complemento Go-Local do primeiro MAU. No entanto, você continuará a desfrutar de 50.000 MAUs gratuitas por mês nos outros recursos disponíveis em seus preços do Azure AD B2C Premium P1 ou P2.

Tenho um locatário existente do Azure AD B2C no Japão ou na Austrália que não tem um complemento Go-Local habilitado. Como faço para ativar este complemento?

Siga as etapas em Ativar Go-Local ad-on para ativar o complemento Go-Local do Azure AD B2C.

Posso localizar a interface do usuário das páginas servidas pelo Azure AD B2C? Que idiomas são suportados?

Sim, consulte Personalização de idioma. Nós fornecemos traduções para 36 idiomas, e você pode substituir qualquer string para atender às suas necessidades.

Posso usar minhas próprias URLs em minhas páginas de inscrição e entrada que são servidas pelo Azure AD B2C? Por exemplo, posso alterar o URL de contoso.b2clogin.com para login.contoso.com?

Sim, você pode usar seu próprio domínio. Para obter detalhes, consulte Domínios personalizados do Azure AD B2C.

Como faço para excluir meu locatário do Azure AD B2C?

Siga estas etapas para excluir seu locatário do Azure AD B2C.

Você pode usar nossa nova experiência unificada de registros de aplicativos ou nossa experiência de aplicativos legados (legados). Saiba mais sobre a nova experiência.

  1. Entre no portal do Azure como Administrador de Assinatura. Utilize a mesma conta escolar ou profissional ou a mesma conta Microsoft que utilizou para se inscrever no Azure.
  2. Verifique se você está usando o diretório que contém seu locatário do Azure AD B2C. Selecione o ícone Configurações na barra de ferramentas do portal.
  3. Nas configurações do Portal | Página Diretórios + assinaturas , localize seu diretório do Azure AD B2C na lista Nome do diretório e selecione Alternar.
  4. No menu à esquerda, selecione Azure AD B2C. Ou, selecione Todos os serviços e procure e selecione Azure AD B2C.
  5. Exclua todos os fluxos de usuário (políticas) em seu locatário do Azure AD B2C.
  6. Exclua todos os Provedores de Identidade em seu locatário do Azure AD B2C.
  7. Selecione Registos de aplicações e, em seguida, selecione o separador Todas as aplicações .
  8. Elimine todas as aplicações que registou.
  9. Exclua o b2c-extensions-app.
  10. Em Gerir, selecione Utilizadores.
  11. Selecione cada usuário por vez (exclua o usuário Administrador de Assinatura com o qual você está conectado no momento). Selecione Excluir na parte inferior da página e selecione Sim quando solicitado.
  12. Selecione Microsoft Entra ID no menu à esquerda.
  13. Em Gerenciar, selecione Propriedades
  14. Em Gestão de acesso dos recursos do Azure, selecione Sim e, em seguida, Guardar.
  15. Termine a sessão no portal do Azure e volte a iniciar sessão para atualizar o seu acesso.
  16. Selecione Microsoft Entra ID no menu à esquerda.
  17. Na página Visão geral , selecione Excluir locatário. Siga as instruções no ecrã para concluir o processo.

Posso obter o Azure AD B2C como parte do Enterprise Mobility Suite?

Não, o Azure AD B2C é um serviço do Azure pré-pago e não faz parte do Enterprise Mobility Suite.

Posso comprar o licenciamento do Microsoft Entra ID P1 e do Microsoft Entra ID P2 para meu locatário do Azure AD B2C?

Não, os locatários do Azure AD B2C não usam o licenciamento do Microsoft Entra ID P1 ou do Microsoft Entra ID P2. O Azure AD B2C usa licenças Premium P1 ou P2, que não estão mais disponíveis para compra a partir de 1º de maio de 2025. Eles são diferentes das licenças do Microsoft Entra ID P1 ou P2 para um locatário padrão do Microsoft Entra. Os locatários do Azure AD B2C oferecem suporte nativo a alguns recursos que são semelhantes aos recursos do Microsoft Entra ID P1 ou P2, conforme explicado em Recursos suportados do Microsoft Entra ID.

Posso usar uma atribuição baseada em grupo para Aplicativos Empresariais do Microsoft Entra no meu locatário do Azure AD B2C?

Não, os locatários do Azure AD B2C não oferecem suporte à atribuição baseada em grupo para Aplicativos Empresariais do Microsoft Entra.

O Azure AD B2C está disponível no Microsoft Azure Government?

Não, o Azure AD B2C não está disponível no Microsoft Azure Government.

Estou usando tokens de atualização contínua para meu aplicativo e estou recebendo um erro invalid_grant ao resgatar tokens de atualização recém-adquiridos dentro do período de validade definido. Por que isso acontece?

Ao determinar a validade para tokens de atualização contínua, o B2C considerará o tempo de login inicial do usuário no aplicativo também para calcular a inclinação de validade do token. Se o usuário não tiver saído do aplicativo por muito tempo, esse valor de distorção excederá o período de validade do token e, portanto, por razões de segurança, os tokens serão considerados inválidos. Daí o erro. Informe o usuário para realizar um logout adequado e login de volta no aplicativo e isso deve redefinir a inclinação. Este cenário não é aplicável se a rolagem de token de atualização estiver definida como rolagem infinita.

Revogei o token de atualização usando o Microsoft Graph invalidateAllRefreshTokens, ou o Microsoft Graph PowerShell, Revoke-MgUserSignInSession. Por que o Azure AD B2C ainda está aceitando o token de atualização antigo?

No Azure AD B2C, se a diferença de tempo entre refreshTokensValidFromDateTime e refreshTokenIssuedTime for menor ou igual a 5 minutos, o token de atualização ainda será considerado válido. No entanto, se o refreshTokenIssuedTime for maior que o refreshTokensValidFromDateTime, o token de atualização será revogado. Siga as seguintes etapas para verificar se o token de atualização é válido ou revogado:

  1. Recupere o RefreshToken e o AccessToken resgatando authorization_code.

  2. Aguarde 7 minutos.

  3. Use o cmdlet Revoke-MgUserSignInSession do Microsoft Graph PowerShell ou a API do Microsoft Graph invalidateAllRefreshTokens para executar o RevokeAllRefreshToken comando.

  4. Aguarde 10 minutos.

  5. Recupere o RefreshToken novamente.

Sugestão

Com a política personalizada do Azure AD B2C, você pode reduzir o tempo de distorção mencionado acima de 5 minutos (300000 milissegundos) ajustando o valor de InputParameter "TreatAsEqualIfWithinMillseconds" sob a ID de transformação de declaração "AssertRefreshTokenIssuedLaterThanValidFromDate". Essa transformação de declaração pode ser encontrada no arquivo TrustFrameworkBase.xml em stater-pack de política personalizada mais recente.

Utilizo vários separadores num browser para iniciar sessão em várias aplicações que registei no mesmo inquilino do Azure AD B2C. Quando tento executar uma única saída, nem todos os aplicativos são desconectados. Por que isso acontece?

Atualmente, o Azure AD B2C não oferece suporte à saída única para esse cenário específico. É causada pela contenção de cookies, uma vez que todas as aplicações operam no mesmo cookie em simultâneo.

Como faço para relatar um problema com o Azure AD B2C?

Consulte Solicitações de suporte de arquivo para o Azure Ative Directory B2C.

No Azure AD B2C, revogo todas as sessões de um usuário usando o botão Revogar sessões dos portais do Azure, mas ele não funciona.

Atualmente, o Azure AD B2C não oferece suporte à revogação de sessão de usuário do portal do Azure. No entanto, você pode realizar essa tarefa usando o Microsoft Graph PowerShell ou a API do Microsoft Graph.