Partilhar via

Gerenciar o Azure AD B2C com o Microsoft Graph

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.

O Microsoft Graph permite que você gerencie recursos em seu diretório do Azure AD B2C. As seguintes operações da API do Microsoft Graph têm suporte para o gerenciamento de recursos do Azure AD B2C, incluindo usuários, provedores de identidade, fluxos de usuários, políticas personalizadas e chaves de política. Cada link nas seções a seguir tem como destino a página correspondente dentro da referência da API do Microsoft Graph para essa operação.

Observação

Você também pode criar programaticamente um diretório B2C do Azure AD, juntamente com o recurso do Azure correspondente vinculado a uma assinatura do Azure. Essa funcionalidade não é exposta por meio da API do Microsoft Graph, mas por meio da API REST do Azure. Para obter mais informações, consulte Inquilinos B2C - Criar.

Pré-requisitos

  • Para usar a API do MS Graph e interagir com recursos em seu locatário do Azure AD B2C, você precisa de um registro de aplicativo que conceda as permissões para fazer isso. Siga as etapas no artigo Registrar um aplicativo do Microsoft Graph para criar um registro de aplicativo que seu aplicativo de gerenciamento possa usar.

Gestão de utilizadores

Observação

Atualmente, o Azure AD B2C não oferece suporte a recursos avançados de consulta em objetos de diretório. Isso significa que não há suporte para os parâmetros de consulta $count e $search, e os operadores Não (not), Não é igual a (ne) e Termina com (endsWith) no parâmetro de consulta $filter. Para obter mais informações, consulte parâmetros de consulta no Microsoft Graph e recursos avançados de consulta no Microsoft Graph.

Migração de usuários

Assista a este vídeo para saber como a migração do usuário para o Azure AD B2C pode ser gerenciada usando a API do Microsoft Graph.

Gestão do número de telefone do utilizador

Um número de telefone que pode ser usado por um usuário para entrar usando SMS ou chamadas de voz ou autenticação multifator. Para obter mais informações, consulte API de métodos de autenticação do Microsoft Entra.

Observe que a operação de lista retorna apenas números de telefone habilitados. O seguinte número de telefone deve ser habilitado para uso com as operações de lista.

Observação

Um número de telefone representado corretamente é armazenado com um espaço entre o código do país e o número de telefone. Atualmente, o serviço Azure AD B2C não adiciona esse espaço por padrão.

Captura de ecrã da página Métodos de autenticação para um utilizador de exemplo a partir do portal do Azure. A caixa de texto para o número de telefone está realçada.

Endereço de e-mail de redefinição de senha de autoatendimento

Um endereço de e-mail que pode ser usado por uma conta de login de nome de usuário para redefinir a senha. Para obter mais informações, consulte API de métodos de autenticação do Microsoft Entra.

Método de autenticação de token OATH de software

Um token OATH de software é um gerador de números baseado em software que utiliza o padrão OATH de palavra-passe única com base no tempo (TOTP) para autenticação multifator através de uma app autenticadora. Use a API do Microsoft Graph para gerenciar um token OATH de software registrado para um usuário:

Provedores de identidade

Gerencie os provedores de identidade disponíveis para seus fluxos de usuário em seu locatário do Azure AD B2C.

Fluxo de usuários (beta)

Configure políticas pré-criadas para inscrição, entrada, inscrição e entrada combinadas, redefinição de senha e atualização de perfil.

Métodos de autenticação de fluxo de usuário (beta)

Escolha um mecanismo para permitir que os utilizadores se registem através de contas locais. Uma conta Local é aquela em que o Azure AD B2C conclui a declaração de identidade. Para obter mais informações, consulte tipo de recurso b2cAuthenticationMethodsPolicy.

Políticas personalizadas (beta)

As operações a seguir permitem que você gerencie suas políticas da Estrutura de Confiança do Azure AD B2C, conhecidas como políticas personalizadas.

Chaves de política (beta)

O Identity Experience Framework armazena os segredos referenciados em uma política personalizada para estabelecer confiança entre os componentes. Estes segredos podem ser chaves/valores simétricos ou assimétricos. No portal do Azure, essas entidades são mostradas como chaves de política.

O recurso de nível superior para chaves de política na API do Microsoft Graph é o Conjunto de Chaves do Trusted Framework. Cada conjunto de chaves contém pelo menos uma chave. Para criar uma chave, primeiro crie um conjunto de chaves vazio e, em seguida, gere uma chave no conjunto de chaves. Você pode criar um segredo manual, carregar um certificado ou uma chave PKCS12. A chave pode ser um segredo gerado, uma cadeia de caracteres (como o segredo do aplicativo do Facebook) ou um certificado que você carrega. Se um conjunto de chaves tiver várias chaves, apenas uma delas estará ativa.

Conjunto de chaves de política do Trust Framework

Chave de política do Quadro de Confiança

Aplicações

Propriedades da extensão de aplicativo (extensão de diretório)

As propriedades de extensão de aplicativo também são conhecidas como extensões de diretório ou Microsoft Entra. Para gerenciá-los no Azure AD B2C, use o tipo de recurso identityUserFlowAttribute e seus métodos associados.

Você pode armazenar até 100 valores de extensão de diretório por usuário. Para gerenciar as propriedades de extensão de diretório para um usuário, use as seguintes APIs de usuário no Microsoft Graph.

  • Atualizar usuário: para gravar ou remover o valor da propriedade de extensão de diretório do objeto de usuário.
  • Obter um usuário: para recuperar o valor da extensão de diretório para o usuário. A propriedade é retornada por padrão através do beta ponto de extremidade, mas somente no $select através do v1.0 ponto de extremidade.

Para fluxos de usuário, essas propriedades de extensão são gerenciadas usando o portal do Azure. Para políticas personalizadas, o Azure AD B2C cria a propriedade para você, na primeira vez que a política grava um valor na propriedade de extensão.

Observação

No Microsoft Entra ID, as extensões de diretório são gerenciadas por meio do tipo de recurso extensionProperty e seus métodos associados. No entanto, uma vez que são utilizados em B2C na aplicação b2c-extensions-app, que não deve ser atualizada, são geridos no Azure AD B2C através do tipo de recurso identityUserFlowAttribute e os métodos associados.

Uso do inquilino

Use a API Obter detalhes da organização para obter sua cota de tamanho de diretório. Você precisa adicionar o parâmetro de consulta $select conforme é mostrado na seguinte solicitação HTTP:

GET https://graph.microsoft.com/v1.0/organization/organization-id?$select=directorySizeQuota

Substitua organization-id pelo ID da sua organização ou locatário.

A resposta à solicitação acima é semelhante ao seguinte trecho JSON:

{
    "directorySizeQuota": {
        "used": 156,
        "total": 1250000
    }
}

Registos de auditoria

Para obter mais informações sobre como acessar logs de auditoria do Azure AD B2C, consulte Acessando logs de auditoria do Azure AD B2C.

Acesso condicional

Recuperar ou restaurar usuários e aplicativos excluídos

Os utilizadores e aplicações eliminados só podem ser restaurados se tiverem sido eliminados nos últimos 30 dias.

Como gerenciar programaticamente o Microsoft Graph

Você pode gerenciar o Microsoft Graph de duas maneiras:

  • Permissões delegadas O usuário ou um administrador consente com as permissões solicitadas pelo aplicativo. O aplicativo é delegado com a permissão para agir como um usuário conectado quando faz chamadas para o recurso de destino.
  • As permissões de aplicativo são usadas por aplicativos que não exigem a presença de um usuário conectado. Por isso, apenas os administradores podem consentir com as permissões do aplicativo.

Observação

As permissões delegadas para usuários que entram por meio de fluxos de usuários ou políticas personalizadas não podem ser usadas contra permissões delegadas para a API do Microsoft Graph.

Conteúdo relacionado

  • Last updated on