Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.
O perfil de usuário do diretório Azure AD B2C (Azure Active Directory B2C) vem com um conjunto de atributos internos, como nome, sobrenome, cidade, CEP e número de telefone. Você pode estender o perfil do usuário com seus próprios dados de aplicativo sem exigir um armazenamento de dados externo.
A API do Microsoft Graph dá suporte à maioria dos atributos que você pode usar com o Azure Este artigo descreve atributos de perfil de usuário compatíveis com o Azure AD B2C. Ele também observa os atributos aos quais o Microsoft Graph não dá suporte e os atributos da API do Microsoft Graph que o Azure AD B2C não deve usar.
Importante
Você não deve usar atributos internos ou de extensão para armazenar dados pessoais confidenciais, como credenciais de conta, números de identificação do governo, dados do titular do cartão, dados de conta financeira, informações de saúde ou informações confidenciais em segundo plano.
Você também pode integrar com sistemas externos. Por exemplo, você pode usar o Azure AD B2C para autenticação, mas delegar a um CRM (gerenciamento de relacionamento com o cliente) externo ou banco de dados de fidelidade do cliente como a fonte autoritativa dos dados do cliente. Para obter mais informações, consulte a solução de perfil remoto .
Tipo de recurso de usuário do Microsoft Entra
O perfil de usuário do diretório B2C do Azure AD dá suporte aos atributos de tipo de recurso de usuário listados na tabela abaixo. Ele fornece as seguintes informações sobre cada atributo:
- Nome do atributo usado pelo Azure AD B2C (seguido pelo nome do Microsoft Graph entre parênteses, se diferente)
- Tipo de dados do atributo
- Descrição do atributo
- Se o atributo está disponível no portal do Azure
- Se o atributo pode ser usado em um fluxo de usuário
- Se o atributo pode ser usado em um perfil técnico do Microsoft Entra ID de política personalizada, e em qual seção (<InputClaims>, <OutputClaims>ou <PersistedClaims>)
| Nome | Tipo de dados | Descrição | Disponível no portal do Azure | Usado em fluxos de usuário | Usado na política personalizada |
|---|---|---|---|---|---|
| accountEnabled | Booliano | Se a conta de usuário está habilitada ou desabilitada: true se a conta estiver habilitada, caso contrário, false. | Sim | Não | Persistente, Saída |
| faixa etária | fio | A faixa etária do usuário. Valores possíveis: nulo, Indefinido, Menor, Adulto, NotAdult. | Sim | Não | Persistente, Saída |
| alternativeSecurityId (Identidades) | fio | Uma única identidade de usuário do provedor de identidade externo. | Não | Não | Entrada, Persistente, Saída |
| alternativeSecurityIds (Identidades) | coleção securityId alternativa | Uma coleção de identidades de usuário de provedores de identidade externos. | Não | Não | Persistente, Saída |
| cidade | fio | A cidade de residência do usuário.. Comprimento máximo de 128. | Sim | Sim | Persistente, Saída |
| consentimentoFornecidoParaMenor | fio | Se o consentimento foi fornecido para um menor. Valores permitidos: nulo, concedido, negado ou não requerido. | Sim | Não | Persistente, Saída |
| país | fio | O país/região de residência do usuário.. Por exemplo: EUA ou Reino Unido. Comprimento máximo de 128. | Sim | Sim | Persistente, Saída |
| createdDateTime | Data e Hora | A data em que o objeto de usuário foi criado. Somente leitura. | Não | Não | Persistente, Saída |
| tipo de criação | fio | Se a conta de usuário foi criada como uma conta local para um locatário do Azure Active Directory B2C, o valor será LocalAccount ou nameCoexistence. Somente leitura. | Não | Não | Persistente, Saída |
| dataDeNascimento | Data | Data de nascimento. | Não | Não | Persistente, Saída |
| departamento | fio | O nome do departamento no qual o usuário trabalha. Comprimento máximo de 64. | Sim | Não | Persistente, Saída |
| nome de exibição | fio | O nome de exibição do usuário. Comprimento máximo de 256. | Sim | Sim | Persistente, Saída |
| fac-símileTelefoneNúmero1 | fio | O número de telefone do computador de fax comercial do usuário. | Sim | Não | Persistente, Saída |
| nome dado | fio | O nome (primeiro nome) do usuário. Comprimento máximo de 64. | Sim | Sim | Persistente, Saída |
| título do cargo | fio | O cargo do usuário. Comprimento máximo de 128. | Sim | Sim | Persistente, Saída |
| ID imutável (immutableId) | fio | Um identificador que normalmente é usado para usuários migrados do Active Directory local. | Não | Não | Persistente, Saída |
| legalAgeGroupClassificação | fio | Classificação da faixa etária legal. Somente leitura e calculado com base nas propriedades ageGroup e consentProvidedForMinor. Valores permitidos: null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult e adult. | Sim | Não | Persistente, Saída |
| legalPaís1 | fio | País/Região para fins legais. | Não | Não | Persistente, Saída |
| mailApelido | fio | O alias de email para o usuário. Comprimento máximo de 64. | Não | Não | Persistente, Saída |
| celular (telefone celular) | fio | O número de telefone celular primário para o usuário. Comprimento máximo de 64. | Sim | Não | Persistente, Saída |
| netId | fio | ID do Net. | Não | Não | Persistente, Saída |
| ID do objeto | fio | Um GUID (identificador global exclusivo) que é o identificador exclusivo para o usuário. Exemplo: 12345678-9abc-def0-1234-56789abcde. Somente leitura, Imutável. | Somente leitura | Sim | Entrada, Persistente, Saída |
| outrosCorreios | Coleção de Cadeias de Caracteres | Uma lista de outros endereços de email para o usuário. Exemplo: ["bob@contoso.com", "Robert@fabrikam.com"]. OBSERVAÇÃO: caracteres de ênfase não são permitidos. | Sim (E-mail alternativo) | Não | Persistente, Saída |
| senha | fio | A senha da conta local durante a criação do usuário. | Não | Não | Persistente |
| políticas de senha | fio | Política da senha. É uma cadeia de caracteres que consiste em um nome de política diferente separado por vírgula. Por exemplo, "DisablePasswordExpiration, DisableStrongPassword". | Não | Não | Persistente, Saída |
| nomeDoEscritórioDeEntregaFísica (localizaçãoDoEscritório) | fio | A localização do escritório no local de negócios do usuário. Comprimento máximo de 128. | Sim | Não | Persistente, Saída |
| código postal | fio | O código postal do endereço postal do usuário. O código postal é específico para o país/região do usuário. Nos Estados Unidos da América, esse atributo contém o CEP. Comprimento máximo de 40. | Sim | Não | Persistente, Saída |
| idiomaPreferido | fio | O idioma preferencial para o usuário. O formato de idioma preferencial baseia-se no RFC 4646. O nome é uma combinação de um código de cultura minúscula ISO 639 de duas letras associado à linguagem e um código de subcultura maiúscula ISO 3166 de duas letras associado ao país ou região. Por exemplo: en-USou es-ES. | Não | Não | Persistente, Saída |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | Data e Hora | Todos os tokens de atualização emitidos antes dessa hora são inválidos e os aplicativos recebem um erro ao usar um token de atualização inválido para adquirir um novo token de acesso. Nesse caso, o aplicativo precisa adquirir um novo token de atualização fazendo uma solicitação para o ponto de extremidade autorizado. Somente leitura. | Não | Não | Saída |
| signInNames (Identidades) | fio | O nome de entrada exclusivo do usuário da conta local de qualquer tipo no diretório. Utilize este atributo para obter um usuário com valor de autenticação sem especificar o tipo de conta local. | Não | Não | Entrada |
| signInNames.userName (Identidades) | fio | O nome de usuário exclusivo do usuário da conta local no diretório. Use esse atributo para criar ou obter um usuário com um nome de usuário de entrada específico. Especificar esse atributo somente em PersistedClaims durante a operação do Patch remove outros tipos de signInNames. Se quiser adicionar um novo tipo de signInNames, também precisará manter o signInNames existente. OBSERVAÇÃO: caracteres de ênfase não são permitidos no nome de usuário. | Não | Não | Entrada, Persistente, Saída |
| signInNames.phoneNumber (Identidades) | fio | O número de telefone exclusivo do usuário da conta local no diretório. Use esse atributo para criar ou obter um usuário com um número de telefone de entrada específico. Especificar esse atributo somente em PersistedClaims durante a operação do Patch remove outros tipos de signInNames. Se quiser adicionar um novo tipo de signInNames, também precisará manter o signInNames existente. | Não | Não | Entrada, Persistente, Saída |
| signInNames.emailAddress (Identidades) | fio | O endereço de email exclusivo do usuário da conta local no diretório. Use esse atributo para criar ou obter um usuário com um endereço de email de entrada específico. Especificar esse atributo somente em PersistedClaims durante a operação do Patch remove outros tipos de signInNames. Se quiser adicionar um novo tipo de signInNames, também precisará manter o signInNames existente. | Não | Não | Entrada, Persistente, Saída |
| estado | fio | O estado ou a província no endereço do usuário. Comprimento máximo de 128. | Sim | Sim | Persistente, Saída |
| endereço de rua | fio | O endereço de rua do local de negócios do usuário. Comprimento máximo de 1024. | Sim | Sim | Persistente, Saída |
| strongAuthentication AlternativePhoneNumber1 | fio | O número de telefone secundário do usuário, usado para autenticação multifator. | Sim | Não | Persistente, Saída |
| strongAuthenticationEmailAddress1 | fio | O endereço SMTP do utilizador. Exemplo: "bob@contoso.com" Esse atributo é usado para entrar com a política de nome de usuário para armazenar o endereço de email do usuário. O endereço de email é então usado em um fluxo de redefinição de senha. Caracteres de ênfase não são permitidos neste atributo. | Sim | Não | Persistente, Saída |
| strongAuthenticationPhoneNumber2 | fio | O número de telefone primário do usuário, usado para autenticação multifator. | Sim | Não | Persistente, Saída |
| sobrenome | fio | O sobrenome do usuário (nome da família ou sobrenome). Comprimento máximo de 64. | Sim | Sim | Persistente, Saída |
| telephoneNumber (primeira entrada de businessPhones) | fio | O número de telefone primário do local de negócios do usuário. | Sim | Não | Persistente, Saída |
| Nome Principal do Usuário | fio | O nome principal de usuário (UPN) do usuário. O UPN é um nome de entrada de um usuário, no estilo da Internet, para o usuário com base no padrão RFC 822 da Internet. O domínio deve estar presente na coleção de domínios verificados do locatário. Essa propriedade é necessária quando uma conta é criada. Imutável. | Não | Não | Entrada, Persistente, Saída |
| usageLocation | fio | Necessário para usuários que recebem licenças devido a requisitos legais para verificar a disponibilidade de serviços em países/regiões. Não é anulável. Um código de país/região de duas letras (ISO padrão 3166). Para exemplos, EUA, JP e GB. | Sim | Não | Persistente, Saída |
| tipoDeUsuário | fio | Um valor de cadeia que pode ser utilizado para classificar tipos de utilizador no seu diretório. O valor deve ser Member. Somente leitura. | Somente leitura | Não | Persistente, Saída |
| estadoDoUsuário (estadoExternoDoUsuário)3 | fio | Exclusivamente para a conta do Microsoft Entra B2B, indica se o convite é PendingAcceptance ou Accepted. | Não | Não | Persistente, Saída |
| userStateChangedOn (externalUserStateChangeDateTime)3 | Data e Hora | Mostra o timestamp da última alteração na propriedade UserState. | Não | Não | Persistente, Saída |
1 Não há suporte para o Microsoft Graph
2 Para obter mais informações, consulte o atributo de número de telefone MFA
3 Não deve ser usado com o Azure AD B2C
Atributos necessários
Para criar uma conta de usuário no diretório do Azure AD B2C, forneça os seguintes atributos necessários:
Identidades: com, pelo menos, uma entidade (uma conta local ou federada).
Perfil de senha– Se você criar uma conta local, forneça o perfil de senha.
Atributo de nome de exibição
O displayName é o nome a ser exibido no gerenciamento de usuários no portal do Azure para o usuário, e no token de acesso que o Azure AD B2C retorna ao aplicativo. Essa propriedade é obrigatória.
Atributo de identidades
Uma conta de cliente, que pode ser consumidor, parceiro ou cidadão, pode ser associada a esses tipos de identidade:
- Identidade local – O nome de usuário e a senha são armazenados localmente no diretório do Azure AD B2C. Muitas vezes nos referimos a essas identidades como "contas locais".
- Identidade federada - Também conhecida como contas sociais ou empresariais , a identidade do usuário é gerenciada por um provedor de identidade federado como Facebook, Microsoft, ADFS ou Salesforce.
Um usuário com uma conta de cliente pode entrar com várias identidades. Por exemplo, nome de usuário, email, ID do funcionário, ID do governo e outros. Uma única conta pode ter várias identidades, locais e sociais, com a mesma senha.
Na API do Microsoft Graph, as identidades locais e federadas são armazenadas no atributo de usuário identities , que é do tipo objectIdentity. A identities coleção representa um conjunto de identidades usadas para entrar em uma conta de usuário. Essa coleção permite que o usuário entre na conta de usuário com qualquer uma de suas identidades associadas. O atributo de identidades pode conter até 10 objetos objectIdentity . Cada objeto contém as seguintes propriedades:
| Nome | Tipo | Descrição |
|---|---|---|
| tipo de sinal | corda | Especifica os tipos de login do usuário no seu diretório. Para a conta local: emailAddress, , emailAddress1, emailAddress2, emailAddress3, userNameou qualquer outro tipo que você quiser. A conta social deve ser definida como federated. |
| emissor | corda | Especifica o emissor da identidade. Para contas locais (onde signInType não seja federated), esta propriedade é o nome de domínio padrão do locatário local B2C, por exemplo contoso.onmicrosoft.com. Para identidade social (onde signInType está federated) o valor é o nome do emissor, por exemplo facebook.com |
| issuerAssignedId | corda | Especifica o identificador exclusivo atribuído ao utilizador pelo emissor. A combinação de emissor e issuerAssignedId precisa ser exclusiva no seu locatário. Para conta local, quando signInType é definido como emailAddress ou userName, ele representa o nome de entrada para o usuário.Quando signInType está definido como:
|
O snippet JSON a seguir mostra o atributo Identidades com uma identidade de conta local com um nome de login, um endereço de email como login, além de uma identidade social.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
Para identidades federadas, dependendo do provedor de identidade, o issuerAssignedId é um valor exclusivo para um determinado usuário por aplicativo ou conta de desenvolvimento. Configure a política do Azure AD B2C com a mesma ID de aplicativo que o provedor social ou outro aplicativo na mesma conta de desenvolvimento atribui.
Propriedade de perfil de senha
Para uma identidade local, o atributo passwordProfile é necessário e contém a senha do usuário. O forceChangePasswordNextSignIn atributo indica se um usuário deve redefinir a senha na próxima entrada. Para lidar com uma redefinição de senha forçada, use as instruções na configuração do fluxo de redefinição de senha forçada.
Para uma identidade federada (social), o atributo passwordProfile não é necessário.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Atributo de política de senha
A política de senha do Azure AD B2C (para contas locais) baseia-se na política de força de senha forte da ID do Microsoft Entra. As políticas de inscrição ou entrada e redefinição de senha do Azure AD B2C exigem essa forte força de senha e não expiram senhas.
Em cenários de migração de usuário, se as contas que você deseja migrar tiverem uma força de senha mais fraca do que a forte força de senha imposta pelo Azure AD B2C, você poderá desabilitar o forte requisito de senha. Para alterar a política de senha padrão, defina o passwordPolicies atributo como DisableStrongPassword. Por exemplo, você pode modificar a solicitação de usuário criada da seguinte maneira:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
Atributo de número de telefone de MFA
Ao usar um telefone para MFA (autenticação multifator), o telefone celular é usado para verificar a identidade do usuário. Para adicionar um novo número de telefone programaticamente, atualizar, obter ou excluir o número de telefone, use o método de autenticação de telefone da API do MS Graph.
Nas políticas personalizadas do Azure AD B2C, o número de telefone está disponível por meio do strongAuthenticationPhoneNumber tipo de reivindicação.
Atributos de extensão
Cada aplicativo voltado para o cliente tem requisitos exclusivos para que as informações sejam coletadas. Seu locatário do Azure AD B2C é fornecido com um conjunto interno de informações armazenadas em propriedades, como Nome, Sobrenome e CEP. Com o Azure AD B2C, você pode estender o conjunto de propriedades armazenadas em cada conta de cliente. Para obter mais informações, consulte Adicionar atributos de usuário e personalizar a entrada do usuário no Azure Active Directory B2C
Os atributos de extensão estendem o esquema dos objetos de usuário no diretório. Os atributos de extensão só podem ser registrados em um objeto de aplicativo, mesmo que possam conter dados para um usuário. O atributo de extensão é anexado ao aplicativo chamado b2c-extensions-app. Não modifique esse aplicativo, pois ele é usado pelo Azure AD B2C para armazenar dados do usuário. Você pode encontrar esse aplicativo nos registros do Microsoft Entra App.
Saiba mais sobre o Azure AD B2Cb2c-extensions-app.
Observação
- Você pode escrever até 100 atributos de extensão em qualquer conta de usuário.
- Se o aplicativo b2c-extensions-app for excluído, esses atributos de extensão serão removidos de todos os usuários, juntamente com todos os dados que contiverem.
- Se um atributo de extensão for excluído pelo aplicativo, ele será removido de todas as contas de usuário e os valores serão excluídos.
Os atributos de extensão na API do Microsoft Graph são nomeados usando a convenção extension_ApplicationClientID_AttributeName, em que:
-
ApplicationClientIDé o ID do aplicativo (cliente) dob2c-extensions-appaplicativo. Saiba como localizar o aplicativo de extensões. - O
AttributeNameé o nome do atributo de extensão.
A ID do aplicativo (cliente) quando usada para criar o nome do atributo de extensão não inclui hifens. Por exemplo:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
Há suporte para os seguintes tipos de dados ao definir um atributo em uma extensão de esquema:
| Tipo | Observações |
|---|---|
| Booliano | Valores possíveis: true ou false. |
| Data e Hora | Deve ser especificado no formato ISO 8601. O valor é armazenado em UTC. |
| Número Inteiro | Valor de 32 bits. |
| fio | Máximo de 256 caracteres. |
Conteúdo relacionado
Saiba mais sobre atributos de extensão: