Partager via

Azure AD B2C : Forum aux questions (FAQ)

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Cette page répond aux questions fréquemment posées sur Azure Active Directory B2C (Azure AD B2C). Continuez à vérifier les mises à jour.

Fin de vente d’Azure AD B2C

À compter du 1er mai 2025 , Azure AD B2C ne sera plus disponible pour les nouveaux clients, mais les clients Azure AD B2C actuels peuvent continuer à utiliser le produit. L’expérience produit, y compris la création de nouveaux locataires ou de flux d’utilisateurs, reste inchangée ; Toutefois, les nouveaux locataires ne peuvent être créés qu’avec Azure AD B2C P1. Azure AD B2C P2 sera supprimé le 15 mars 2026 pour tous les clients. Les engagements opérationnels, y compris les contrats de niveau de service (SLA), les mises à jour de sécurité et la conformité, resteront également inchangés. Nous continuerons à prendre en charge Azure AD B2C jusqu’à au moins mai 2030. D’autres informations seront mis à disposition, y compris des plans de migration. Pour plus d’informations et en savoir plus sur ID externe Microsoft Entra, contactez le responsable de votre compte.

Qu’est-ce que l’ID externe Microsoft Entra ?

Nous avons publié notre produit Microsoft Entra External ID de nouvelle génération qui combine des solutions puissantes pour travailler avec des personnes extérieures à votre organisation. Avec les fonctionnalités d’ID externe, vous pouvez autoriser les identités externes à accéder en toute sécurité à vos applications et ressources. Que vous travailliez avec des partenaires externes, des consommateurs ou des clients professionnels, les utilisateurs peuvent apporter leurs propres identités. Ces identités peuvent aller de comptes d’entreprise ou gouvernementaux à des fournisseurs d’identité sociale tels que Google ou Facebook. Pour plus d’informations, consultez Présentation de l’ID externe Microsoft Entra

Pourquoi ne puis-je pas accéder à l’extension Azure AD B2C dans le portail Azure ?

Il existe deux raisons courantes pour lesquelles l’extension Microsoft Entra ne fonctionne pas pour vous. Azure AD B2C nécessite que votre rôle d’utilisateur dans l’annuaire soit administrateur général. Contactez votre administrateur si vous pensez que vous devez avoir accès. Si vous disposez de privilèges d’administrateur général, vérifiez que vous êtes dans un répertoire Azure AD B2C et non dans un répertoire Microsoft Entra. Vous pouvez voir des instructions pour créer un locataire Azure AD B2C.

Puis-je utiliser des fonctionnalités Azure AD B2C dans mon locataire Microsoft Entra existant basé sur les employés ?

Microsoft Entra ID et Azure AD B2C sont des offres de produits distinctes. Pour utiliser les fonctionnalités Azure AD B2C, créez un locataire Azure AD B2C distinct de votre locataire Microsoft Entra existant basé sur les employés. Un locataire Microsoft Entra représente une organisation. Un locataire Azure AD B2C représente une collection d’identités à utiliser avec des applications de partie de confiance. En ajoutant un nouveau fournisseur OpenID Connect sous des fournisseurs d’identité Azure AD B2C > ou avec des stratégies personnalisées , Azure AD B2C peut fédérer à Microsoft Entra ID permettant l’authentification des employés d’une organisation.

Puis-je utiliser Azure AD B2C pour fournir une connexion sociale (Facebook et Google+) dans Microsoft 365 ?

Azure AD B2C ne peut pas être utilisé pour authentifier les utilisateurs pour Microsoft 365. Microsoft Entra ID est la solution de Microsoft pour la gestion de l’accès des employés aux applications SaaS et elle a des fonctionnalités conçues à cet effet, telles que les licences et l’accès conditionnel. Azure AD B2C fournit une plateforme de gestion des identités et des accès pour la création d’applications web et mobiles. Quand Azure AD B2C est configuré pour fédérer à un locataire Microsoft Entra, le locataire Microsoft Entra gère l’accès des employés aux applications qui s’appuient sur Azure AD B2C.

Qu’est-ce que les comptes locaux dans Azure AD B2C ? Comment sont-ils différents des comptes professionnels ou scolaires dans Microsoft Entra ID ?

Dans un locataire Microsoft Entra, les utilisateurs qui appartiennent au locataire se connectent avec une adresse e-mail du formulaire <xyz>@<tenant domain>. Il <tenant domain> s’agit de l’un des domaines vérifiés dans le locataire ou le domaine initial <...>.onmicrosoft.com . Ce type de compte est un compte professionnel ou scolaire.

Dans un locataire Azure AD B2C, la plupart des applications souhaitent que l’utilisateur se connecte avec n’importe quelle adresse e-mail arbitraire (par exemple, joe@comcast.net, , bob@gmail.comsarah@contoso.comou jim@live.com). Ce type de compte est un compte local. Nous prenons également en charge les noms d’utilisateurs arbitraires en tant que comptes locaux (par exemple, joe, bob, sarah ou jim). Vous pouvez choisir l’un de ces deux types de comptes locaux lors de la configuration des fournisseurs d’identité pour Azure AD B2C dans le portail Azure. Dans votre locataire Azure AD B2C, sélectionnez Fournisseurs d’identité, compte local, puis nom d’utilisateur.

Les comptes d’utilisateur pour les applications peuvent être créés par le biais d’un flux d’utilisateur d’inscription, d’inscription ou de flux d’utilisateur de connexion, de l’API Microsoft Graph ou du portail Azure.

Combien d’utilisateurs un locataire Azure AD B2C peut-il prendre en charge ?

Par défaut, chaque locataire peut prendre en charge un total de 1,25 million d’objets (comptes d’utilisateur et applications), mais vous pouvez augmenter cette limite à 5,25 millions d’objets lorsque vous ajoutez et vérifiez un domaine personnalisé. Si vous souhaitez augmenter cette limite, contactez le support Microsoft. Toutefois, si vous avez créé votre locataire avant septembre 2022, cette limite n’affecte pas vous et votre locataire conserve la taille allouée lors de sa création, c’est-à-dire 50 millions d’objets.

Quels fournisseurs d’identité sociale prenez-vous en charge maintenant ? Quelles sont celles que vous prévoyez de soutenir à l’avenir ?

Nous prenons actuellement en charge plusieurs fournisseurs d’identité sociale, notamment Amazon, Facebook, GitHub (préversion), Google, LinkedIn, Compte Microsoft (MSA), QQ (préversion), X, WeChat (préversion) et Weibo (préversion). Nous évaluons l’ajout de la prise en charge d’autres fournisseurs d’identité sociale populaires en fonction de la demande des clients.

Azure AD B2C prend également en charge les stratégies personnalisées. Les stratégies personnalisées vous permettent de créer votre propre stratégie pour n’importe quel fournisseur d’identité qui prend en charge OpenID Connect ou SAML. Prise en main des stratégies personnalisées en consultant notre pack de démarrage de stratégie personnalisé.

Puis-je configurer des étendues pour collecter plus d’informations sur les consommateurs de différents fournisseurs d’identité sociale ?

Non. Les étendues par défaut utilisées pour notre ensemble pris en charge de fournisseurs d’identité sociale sont les suivantes :

  • Facebook : e-mail
  • Google+ : e-mail
  • Compte Microsoft : profil de messagerie openid
  • Amazon : profil
  • LinkedIn : r_emailaddress, r_basicprofile

J’utilise ADFS comme fournisseur d’identité dans Azure AD B2C. Lorsque j’essaie de lancer une demande de déconnexion à partir d’Azure AD B2C, ADFS affiche l’erreur *MSIS7084 : demande de déconnexion SAML et messages de réponse de déconnexion doivent être signés lors de l’utilisation de la redirection HTTP SAML ou de la liaison HTTP POST*. Comment faire pour résoudre ce problème ?

Sur le serveur ADFS, exécutez : Set-AdfsProperties -SignedSamlRequestsRequired $true. Cela force Azure AD B2C à signer toutes les demandes à ADFS.

Mon application doit-elle être exécutée sur Azure pour qu’elle fonctionne avec Azure AD B2C ?

Non, vous pouvez héberger votre application n’importe où (dans le cloud ou en local). Tout ce qu’il faut interagir avec Azure AD B2C est la possibilité d’envoyer et de recevoir des requêtes HTTP sur des points de terminaison accessibles publiquement.

J’ai plusieurs locataires Azure AD B2C. Comment puis-je les gérer sur le portail Azure ?

Avant d’ouvrir le service Azure AD B2C dans le portail Azure, vous devez basculer vers le répertoire que vous souhaitez gérer. Sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers le répertoire que vous souhaitez gérer à partir du menu Répertoires + abonnements .

Pourquoi suis-je incapable de créer un locataire Azure AD B2C ?

Vous n’êtes peut-être pas autorisé à créer un locataire Azure AD B2C. Seuls les utilisateurs disposant d’au moins des rôles Créateur de locataire peuvent créer le locataire.

Comment personnaliser les e-mails de vérification (le contenu et le champ « From : ») envoyés par Azure AD B2C ?

Vous pouvez utiliser la fonctionnalité de personnalisation de l’entreprise pour personnaliser le contenu des e-mails de vérification. Plus précisément, ces deux éléments de l’e-mail peuvent être personnalisés :

  • Logo de bannière : affiché en bas à droite.

  • Couleur d’arrière-plan : affichée en haut.

    Capture d’écran d’un e-mail de vérification personnalisé

La signature e-mail contient le nom du locataire Azure AD B2C que vous avez fourni lors de la création du locataire Azure AD B2C. Vous pouvez modifier le nom à l’aide de ces instructions :

  1. Connectez-vous au portail Azure en tant qu’administrateur général.
  2. Ouvrez le panneau Microsoft Entra ID .
  3. Sélectionnez l’onglet Propriétés.
  4. Modifiez le champ Nom .
  5. Sélectionnez Enregistrer en haut de la page.

Actuellement, vous ne pouvez pas modifier le champ « From : » dans l’e-mail.

Conseil / Astuce

Avec la stratégie personnalisée Azure AD B2C, vous pouvez personnaliser l’e-mail qu’Azure AD B2C envoie aux utilisateurs, y compris le champ « From : » sur l’e-mail. La vérification de messagerie personnalisée nécessite l’utilisation d’un fournisseur de messagerie tiers tel que Mailjet ou SendGrid.

Comment migrer mes noms d’utilisateurs, mots de passe et profils existants de ma base de données vers Azure AD B2C ?

Vous pouvez utiliser l’API Microsoft Graph pour écrire votre outil de migration. Pour plus d’informations, consultez le guide de migration de l’utilisateur .

Quel flux d’utilisateur de mot de passe est utilisé pour les comptes locaux dans Azure AD B2C ?

Le flux d’utilisateur de mot de passe Azure AD B2C pour les comptes locaux est basé sur la stratégie pour l’ID Microsoft Entra. Les flux utilisateur d’inscription, d’inscription ou de réinitialisation de mot de passe d’Azure AD B2C utilisent la force de mot de passe « forte » et n’expirent pas. Pour plus d’informations, consultez Stratégies et restrictions de mot de passe dans Microsoft Entra ID.

Pour plus d’informations sur les verrous de compte et les mots de passe, consultez Atténuer les attaques d’informations d’identification dans Azure AD B2C.

Puis-je utiliser Microsoft Entra Connect pour migrer des identités de consommateur stockées sur mon annuaire Active Directory local vers Azure AD B2C ?

Non, Microsoft Entra Connect n’est pas conçu pour fonctionner avec Azure AD B2C. Envisagez d’utiliser l’API Microsoft Graph pour la migration des utilisateurs. Pour plus d’informations, consultez le guide de migration de l’utilisateur .

Mon application peut-elle ouvrir des pages Azure AD B2C dans un iFrame ?

Cette fonctionnalité est disponible en préversion publique. Pour plus d’informations, consultez l’expérience de connexion incorporée.

Azure AD B2C fonctionne-t-il avec des systèmes CRM tels que Microsoft Dynamics ?

L’intégration à Microsoft Dynamics 365 Portal est disponible. Consultez Configuration du portail Dynamics 365 pour utiliser Azure AD B2C pour l’authentification.

Azure AD B2C fonctionne-t-il avec SharePoint local 2016 ou version antérieure ?

Azure AD B2C n’est pas destiné au scénario de partage de partenaires externes SharePoint ; voir Microsoft Entra B2B à la place.

Dois-je utiliser Azure AD B2C ou B2B pour gérer les identités externes ?

Pour plus d’informations sur l’application des fonctionnalités appropriées à vos scénarios d’identité externe, consultez Comparer les solutions pour les identités externes.

Quelles fonctionnalités de création de rapports et d’audit Azure AD B2C fournissent-elles ? Sont-ils les mêmes que dans Microsoft Entra ID P1 ou P2 ?

Non, Azure AD B2C ne prend pas en charge le même ensemble de rapports que Microsoft Entra ID P1 ou P2. Toutefois, il existe de nombreuses points communs :

  • Les rapports de connexion fournissent un enregistrement de chaque connexion avec des détails réduits.
  • Les rapports d’audit incluent à la fois l’activité d’administration et l’activité d’application.
  • Les rapports d’utilisation incluent le nombre d’utilisateurs, le nombre de connexions et le volume d’authentification multifacteur.

Pourquoi ma facture Azure AD B2C affiche-t-elle des frais de téléphone nommés « ID externe Microsoft Entra ? »

Après le nouveau modèle de facturation pour l’authentification par téléphone SMS des identités externes Azure AD, vous remarquerez peut-être un nouveau nom sur votre facture. Auparavant, l’authentification multifacteur téléphonique était facturée comme « Azure Active Directory B2C - 1 Multi-Factor Authentication de base ». Vous verrez maintenant les noms suivants en fonction du niveau tarifaire de votre pays ou région :

  • ID externe Microsoft Entra - Transaction d’authentification par téléphone à faible coût 1
  • ID externe Microsoft Entra - Transaction d’authentification par téléphone à faible coût 1
  • ID externe Microsoft Entra - Authentification téléphonique coût moyen élevé 1 transaction
  • ID externe Microsoft Entra - Transaction d’authentification par téléphone à coût élevé 1

Bien que la nouvelle facture mentionne l’ID externe Microsoft Entra, vous êtes toujours facturé pour Azure AD B2C en fonction de votre nombre principal de MAU.

Les utilisateurs finaux peuvent-ils utiliser un mot de passe à usage unique (TOTP) basé sur le temps avec une application d’authentificateur pour s’authentifier auprès de mon application Azure AD B2C ?

Oui. Les utilisateurs finaux doivent télécharger toute application d’authentificateur prenant en charge la vérification TOTP, telle que l’application Microsoft Authenticator (recommandé). Pour plus d’informations, consultez les méthodes de vérification.

Pourquoi mes codes d’application d’authentificateur TOTP ne fonctionnent-ils pas ?

Si les codes d’application d’authentificateur TOTP ne fonctionnent pas avec votre téléphone ou appareil mobile Android ou iPhone, l’heure de l’horloge de votre appareil peut être incorrecte. Dans les paramètres de votre appareil, sélectionnez l’option permettant d’utiliser l’heure fournie par le réseau ou de définir l’heure automatiquement.

Comment savoir que le module complémentaire Go-Local est disponible dans mon pays/région ?

Lors de la création de votre locataire Azure AD B2C, si le module complémentaire Go-Local est disponible dans votre pays/région, vous êtes invité à l’activer si vous en avez besoin.

Est-ce que je reçois toujours 50 000 unités d’application gratuites par mois sur le module complémentaire Go-Local quand je l’active ?

Non. 50 000 unités d’application gratuites par mois ne s’appliquent pas lorsque vous activez le module complémentaire Go-Local. Vous serez facturé sur le module complémentaire Go-Local à partir du premier MAU. Toutefois, vous continuerez à bénéficier de 50 000 MAU gratuits par mois sur les autres fonctionnalités disponibles par votre tarification Premium P1 ou P2 Azure AD B2C.

J’ai un locataire Azure AD B2C existant au Japon ou en Australie qui n’a pas de module complémentaire Go-Local activé. Comment activer ce module complémentaire ?

Suivez les étapes décrites dans Activer Go-Local ad-on pour activer le module complémentaire Azure AD B2C Go-Local.

Puis-je localiser l’interface utilisateur des pages servies par Azure AD B2C ? Quelles langues sont prises en charge ?

Oui, consultez la personnalisation de la langue. Nous fournissons des traductions pour 36 langues et vous pouvez remplacer n’importe quelle chaîne en fonction de vos besoins.

Puis-je utiliser mes propres URL sur mes pages d’inscription et de connexion qui sont prises en charge par Azure AD B2C ? Par exemple, puis-je modifier l’URL de contoso.b2clogin.com en login.contoso.com ?

Oui, vous pouvez utiliser votre propre domaine. Pour plus d’informations, consultez les domaines personnalisés Azure AD B2C.

Comment supprimer mon locataire Azure AD B2C ?

Suivez ces étapes pour supprimer votre locataire Azure AD B2C.

Vous pouvez utiliser notre nouvelle expérience d’inscriptions d’applications unifiées ou notre expérience d’applications héritées (héritée). En savoir plus sur la nouvelle expérience.

  1. Connectez-vous au portail Azure en tant qu’administrateur d’abonnement. Utilisez le compte professionnel ou scolaire ou le compte Microsoft que vous avez utilisé pour vous inscrire à Azure.
  2. Veillez à bien utiliser l’annuaire qui contient votre locataire Azure AD B2C. Sélectionnez l’icône Paramètres dans la barre d’outils du portail.
  3. Sur la page Paramètres du portail | Répertoires + abonnements, recherchez votre répertoire AD B2C Azure dans la liste Nom de répertoire, puis sélectionnez Basculer.
  4. Dans le menu de gauche, sélectionnez Azure AD B2C. Vous pouvez également sélectionner Tous les services et rechercher et sélectionner Azure AD B2C.
  5. Supprimez tous les flux utilisateur (stratégies) dans votre locataire Azure AD B2C.
  6. Supprimez tous les fournisseurs d’identité dans votre locataire Azure AD B2C.
  7. Sélectionnez Inscriptions d’applications, puis sélectionnez l’onglet Toutes les applications .
  8. Supprimez toutes les applications que vous avez inscrites.
  9. Supprimez l’application b2c-extensions-.
  10. Sous Gérer, sélectionnez Utilisateurs.
  11. Sélectionnez à son tour chaque utilisateur (excluez l’utilisateur Administrateur d’abonnement que vous êtes actuellement connecté en tant que). Sélectionnez Supprimer en bas de la page, puis sélectionnez Oui lorsque vous y êtes invité.
  12. Sélectionnez Microsoft Entra ID dans le menu de gauche.
  13. Sous Gérer, sélectionnez Propriétés
  14. Sous Gestion de l’accès pour les ressources Azure, sélectionnez Oui, puis Enregistrer.
  15. Déconnectez-vous du portail Microsoft Azure, puis reconnectez-vous pour actualiser votre accès.
  16. Sélectionnez Microsoft Entra ID dans le menu de gauche.
  17. Dans la page Vue d’ensemble , sélectionnez Supprimer le locataire. Suivez les instructions à l’écran pour achever le processus.

Puis-je obtenir Azure AD B2C dans le cadre de Enterprise Mobility Suite ?

Non, Azure AD B2C est un service Azure avec paiement à l’utilisation et ne fait pas partie d’Enterprise Mobility Suite.

Puis-je acheter des licences Microsoft Entra ID P1 et Microsoft Entra ID P2 pour mon locataire Azure AD B2C ?

Non, les locataires Azure AD B2C n’utilisent pas les licences Microsoft Entra ID P1 ou Microsoft Entra ID P2. Azure AD B2C utilise des licences Premium P1 ou P2, qui ne sont plus disponibles pour l’achat depuis le 1er mai 2025. Ils sont différents des licences Microsoft Entra ID P1 ou P2 pour un locataire Microsoft Entra standard. Les locataires Azure AD B2C prennent en charge en mode natif certaines fonctionnalités similaires à celles de Microsoft Entra ID P1 ou P2, comme expliqué dans les fonctionnalités d’ID Microsoft Entra prises en charge.

Puis-je utiliser une affectation basée sur un groupe pour Microsoft Entra Enterprise Applications dans mon locataire Azure AD B2C ?

Non, les locataires Azure AD B2C ne prennent pas en charge l’affectation basée sur un groupe aux applications Microsoft Entra Enterprise.

Azure AD B2C est-il disponible dans Microsoft Azure Government ?

Non, Azure AD B2C n’est pas disponible dans Microsoft Azure Government.

J’utilise des jetons d’actualisation propagés pour mon application et j’obtiens une erreur invalid_grant lors de l’échange de jetons d’actualisation nouvellement acquis dans le cadre de leur période de validité définie. Pourquoi cela se produit-il ?

Lors de la détermination de la validité des jetons d’actualisation propagés, B2C considère également l’heure de connexion initiale de l’utilisateur dans l’application pour calculer l’asymétrie de validité du jeton. Si l’utilisateur n’a pas déconnecté de l’application depuis très longtemps, cette valeur d’asymétrie dépasse la période de validité du jeton et, par conséquent, pour des raisons de sécurité, les jetons sont considérés comme non valides. Par conséquent, l’erreur. Informez l’utilisateur d’effectuer une déconnexion appropriée et de vous reconnecter à l’application. Cela doit réinitialiser l’asymétrie. Ce scénario n’est pas applicable si le déploiement du jeton d’actualisation est défini comme propagé infini.

J’ai révoqué le jeton d’actualisation à l’aide de Microsoft Graph invalidateAllRefreshTokens, ou Microsoft Graph PowerShell, Revoke-MgUserSignInSession. Pourquoi Azure AD B2C accepte-t-il toujours l’ancien jeton d’actualisation ?

Dans Azure AD B2C, si la différence de temps entre refreshTokensValidFromDateTime et refreshTokenIssuedTime est inférieure ou égale à 5 minutes, le jeton d’actualisation est toujours considéré comme valide. Toutefois, si la refreshTokenIssuedTime valeur est supérieure à celle du refreshTokensValidFromDateTimejeton d’actualisation, le jeton d’actualisation est révoqué. Suivez les étapes suivantes pour vérifier si le jeton d’actualisation est valide ou révoqué :

  1. Récupérez le RefreshToken et le AccessToken en échangeant authorization_code.

  2. Attendez 7 minutes.

  3. Utilisez l’applet de commande Microsoft Graph PowerShell Revoke-MgUserSignInSession ou l’API Microsoft Graph invalidateAllRefreshTokens pour exécuter la RevokeAllRefreshToken commande.

  4. Attendez 10 minutes.

  5. Récupérez la RefreshToken nouvelle fois.

Conseil / Astuce

Avec la stratégie personnalisée Azure AD B2C, vous pouvez réduire la durée d’asymétrie mentionnée ci-dessus de 5 minutes (300000 millisecondes) en ajustant la valeur de InputParameter « TreatAsEqualIfWithinMillseconds » sous l’ID de transformation de revendication « AssertRefreshTokenIssuedThanValidFromDate ». Cette transformation de revendication se trouve dans le fichier TrustFrameworkBase.xml sous le dernier stater-pack de stratégie personnalisé.

J’utilise plusieurs onglets dans un navigateur web pour me connecter à plusieurs applications que j’ai inscrites dans le même locataire Azure AD B2C. Lorsque j’essaie d’effectuer une déconnexion unique, toutes les applications ne sont pas déconnectées. Pourquoi cela se produit-il ?

Actuellement, Azure AD B2C ne prend pas en charge l’authentification unique pour ce scénario spécifique. Cela est dû à la contention des cookies, car toutes les applications fonctionnent simultanément sur le même cookie.

Comment signaler un problème avec Azure AD B2C ?

Consultez les demandes de support de fichiers pour Azure Active Directory B2C.

Dans Azure AD B2C, je révoque toutes les sessions d’un utilisateur à l’aide du bouton Révoquer des sessions dans les portails Azure, mais cela ne fonctionne pas.

Actuellement, Azure AD B2C ne prend pas en charge la révocation de session utilisateur à partir du portail Azure. Toutefois, vous pouvez effectuer cette tâche à l’aide de Microsoft Graph PowerShell ou de l’API Microsoft Graph.