Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.
Seu perfil de usuário do diretório do Azure Ative Directory B2C (Azure AD B2C) vem com um conjunto de atributos internos, como nome próprio, sobrenome, cidade, código postal e número de telefone. Você pode estender o perfil de usuário com seus próprios dados de aplicativo sem exigir um armazenamento de dados externo.
A API do Microsoft Graph dá suporte à maioria dos atributos que você pode usar com o Azure Este artigo descreve os atributos de perfil de usuário suportados pelo Azure AD B2C. Ele também observa os atributos que o Microsoft Graph não oferece suporte e os atributos da API do Microsoft Graph que o Azure AD B2C não deve usar.
Importante
Você não deve usar atributos internos ou de extensão para armazenar dados pessoais confidenciais, como credenciais de conta, números de identificação do governo, dados do titular do cartão, dados da conta financeira, informações de saúde ou informações confidenciais.
Você também pode integrar com sistemas externos. Por exemplo, você pode usar o Azure AD B2C para autenticação, mas delegar a um CRM (gerenciamento de relacionamento com o cliente) externo ou banco de dados de fidelidade do cliente como a fonte autorizada de dados do cliente. Para obter mais informações, consulte a solução de perfil remoto .
Tipo de recurso de usuário do Microsoft Entra
O perfil de usuário do diretório do Azure AD B2C dá suporte aos atributos de tipo de recurso do usuário listados na tabela abaixo. Ele fornece as seguintes informações sobre cada atributo:
- Nome do atributo usado pelo Azure AD B2C (seguido pelo nome do Microsoft Graph entre parênteses, se diferente)
- Tipo de dados de atributo
- Descrição do atributo
- Se o atributo está disponível no portal do Azure
- Se o atributo pode ser usado em um fluxo de usuário
- Se o atributo pode ser usado em uma política personalizada Perfil técnico do Microsoft Entra ID e em qual seção (<InputClaims>, <OutputClaims> ou <PersistedClaims>)
| Nome | Tipo de dados | Descrição | Disponível no portal do Azure | Usado em fluxos de usuários | Usado na política personalizada |
|---|---|---|---|---|---|
| contaAtivada | Booleano | Se a conta de usuário está habilitada ou desabilitada: true se a conta estiver habilitada, caso contrário, false. | Sim | Não | Persistente, Saída |
| grupo etário | Cordão | A faixa etária do usuário. Valores possíveis: nulo, Indefinido, Menor, Adulto, Não Adulto. | Sim | Não | Persistente, Saída |
| alternativeSecurityId (Identidades) | Cordão | Uma única identidade de usuário do provedor de identidade externo. | Não | Não | Entrada, Persistência, Saída |
| alternativeSecurityIds (Identidades) | coleção alternativa de securityId | Uma coleção de identidades de usuário de provedores de identidade externos. | Não | Não | Persistente, Saída |
| cidade | Cordão | A cidade de residência do utilizador.. Comprimento máximo de 128 caracteres. | Sim | Sim | Persistente, Saída |
| consentimentoFornecidoParaMenor | Cordão | Se o consentimento foi dado a um menor. Valores permitidos: null, granted, denied ou notRequired. | Sim | Não | Persistente, Saída |
| país | Cordão | O país/região de residência do utilizador.. Por exemplo: EUA ou Reino Unido. Comprimento máximo de 128 caracteres. | Sim | Sim | Persistente, Saída |
| DataHoraDeCriação | Data e Hora | A data em que o objeto de usuário foi criado. Somente leitura. | Não | Não | Persistente, Saída |
| Tipo de Criação | Cordão | Se a conta de usuário foi criada como uma conta local para um locatário B2C do Azure Ative Directory, o valor é LocalAccount ou nameCoexistence. Somente leitura. | Não | Não | Persistente, Saída |
| data de nascimento | Data | Data de nascimento. | Não | Não | Persistente, Saída |
| departamento | Cordão | O nome do departamento no qual o usuário trabalha. Comprimento máximo de 64 caracteres. | Sim | Não | Persistente, Saída |
| nome de exibição | Cordão | O nome de exibição do utilizador. Comprimento máximo de 256 caracteres. | Sim | Sim | Persistente, Saída |
| fac-símileTelefoneNúmero1 | Cordão | O número de telefone do aparelho de fax comercial do usuário. | Sim | Não | Persistente, Saída |
| Nome próprio | Cordão | O nome (primeiro nome) do utilizador. Comprimento máximo de 64 caracteres. | Sim | Sim | Persistente, Saída |
| título do trabalho | Cordão | O cargo do usuário. Comprimento máximo de 128 caracteres. | Sim | Sim | Persistente, Saída |
| Id imutável | Cordão | Um identificador que normalmente é usado para usuários migrados do Ative Directory local. | Não | Não | Persistente, Saída |
| Classificação de Grupo Etário Legal | Cordão | Classificação etária legal. Somente leitura e calculado com base nas propriedades ageGroup e consentProvidedForMinor. Valores permitidos: null, menorSemConsentimentoParental, menorComConsentimentoParental, menorNãoRequerConsentimentoParental, nãoAdulto e adulto. | Sim | Não | Persistente, Saída |
| legalPaís1 | Cordão | País/Região para fins legais. | Não | Não | Persistente, Saída |
| apelidoEmail | Cordão | O alias de email para o usuário. Comprimento máximo de 64 caracteres. | Não | Não | Persistente, Saída |
| telemóvel (telefone móvel) | Cordão | O número de telefone celular principal do usuário. Comprimento máximo de 64 caracteres. | Sim | Não | Persistente, Saída |
| Identificador de rede (netId) | Cordão | Identificador de Rede | Não | Não | Persistente, Saída |
| objectId | Cordão | Um identificador global exclusivo (GUID) que é o identificador exclusivo para o usuário. Exemplo: 12345678-9abc-def0-1234-56789abcde. Somente leitura, Imutável. | Somente leitura | Sim | Entrada, Persistência, Saída |
| outros E-mails | Coleção String | Uma lista de outros endereços de e-mail para o usuário. Exemplo: ["bob@contoso.com", "Robert@fabrikam.com"]. NOTA: Não são permitidos caracteres de destaque. | Sim (Email alternativo) | Não | Persistente, Saída |
| palavra-passe | Cordão | A senha da conta local durante a criação do usuário. | Não | Não | Persistiu |
| políticas de senhas | Cordão | Política da senha. É uma cadeia de caracteres que consiste em diferentes nomes de políticas separados por vírgula. Por exemplo, "DisablePasswordExpiration, DisableStrongPassword" (em inglês, nomes de comandos para funcionalidades de sistema ou aplicação). | Não | Não | Persistente, Saída |
| Nome do escritório de entrega física (localização do escritório) | Cordão | A localização do escritório no local de negócios do usuário. Comprimento máximo de 128 caracteres. | Sim | Não | Persistente, Saída |
| Código postal | Cordão | O código postal do endereço postal do utilizador. O código postal é específico para o país/região do utilizador. Nos Estados Unidos da América, este atributo contém o código postal. Comprimento máximo 40 cm. | Sim | Não | Persistente, Saída |
| língua preferida | Cordão | O idioma preferido para o usuário. O formato de idioma preferido é baseado no RFC 4646. O nome é uma combinação de um código de cultura minúscula de duas letras ISO 639 associado ao idioma e um código de subcultura maiúscula de duas letras ISO 3166 associado ao país ou região. Por exemplo: en-USou es-ES. | Não | Não | Persistente, Saída |
| refreshTokensValidFromDateTime (sessõesDeInícioDeSessãoVálidasAPartirDeDataHora) | Data e Hora | Todos os tokens de atualização emitidos antes desse período são inválidos e os aplicativos recebem um erro ao usar um token de atualização inválido para adquirir um novo token de acesso. Nesse caso, a aplicação precisa adquirir um novo token de atualização efetuando um pedido ao ponto final autorizado. Somente leitura. | Não | Não | Realização |
| NomesDeEntrada (Identidades) | Cordão | O nome de entrada exclusivo do utilizador de qualquer conta local no diretório. Use este atributo para obter um utilizador com valor de login sem especificar o tipo de conta local. | Não | Não | Entrada |
| signInNames.userName (Identidades) | Cordão | O nome de usuário exclusivo do usuário da conta local no diretório. Use esse atributo para criar ou obter um usuário com um nome de usuário de entrada específico. Especificar esse atributo somente em PersistedClaims durante a operação Patch remove outros tipos de signInNames. Se pretender adicionar um novo tipo de signInNames, também precisará manter os signInNames atuais. NOTA: Não são permitidos caracteres de acento no nome de utilizador. | Não | Não | Entrada, Persistência, Saída |
| signInNames.phoneNumber (Identidades) | Cordão | O número de telefone único do utilizador da conta local no diretório. Use esse atributo para criar ou obter um usuário com um número de telefone de entrada específico. Especificar esse atributo somente em PersistedClaims durante a operação Patch remove outros tipos de signInNames. Se pretender adicionar um novo tipo de signInNames, também precisará manter os signInNames atuais. | Não | Não | Entrada, Persistência, Saída |
| "signInNames.emailAddress" (Identidades) | Cordão | O endereço de e-mail exclusivo do usuário da conta local no diretório. Utilize este atributo para criar ou obter um utilizador com um endereço de e-mail de início de sessão específico. Especificar esse atributo somente em PersistedClaims durante a operação Patch remove outros tipos de signInNames. Se pretender adicionar um novo tipo de signInNames, também precisará manter os signInNames atuais. | Não | Não | Entrada, Persistência, Saída |
| Estado | Cordão | O estado ou província no endereço do usuário. Comprimento máximo de 128 caracteres. | Sim | Sim | Persistente, Saída |
| endereço de rua | Cordão | O endereço do estabelecimento comercial do utilizador. Comprimento máximo 1024. | Sim | Sim | Persistente, Saída |
| Autenticação Forte Número de Telefone Alternativo1 | Cordão | O número de telefone secundário do usuário, usado para autenticação multifator. | Sim | Não | Persistente, Saída |
| endereçoEletrónicoDeAutenticaçãoForte1 | Cordão | O endereço SMTP do usuário. Exemplo: "bob@contoso.com" Este atributo é usado para entrar com a política de nome de usuário, para armazenar o endereço de e-mail do usuário. O endereço de e-mail usado num processo de redefinição de senha. Caracteres de destaque não são permitidos neste atributo. | Sim | Não | Persistente, Saída |
| númeroDeTelefoneAutenticaçãoForte2 | Cordão | O número de telefone principal do usuário, usado para autenticação multifator. | Sim | Não | Persistente, Saída |
| Apelido | Cordão | O sobrenome do utilizador (nome de família ou último nome). Comprimento máximo de 64 caracteres. | Sim | Sim | Persistente, Saída |
| número de telefone (primeira entrada de telefones comerciais) | Cordão | O número de telefone principal do local de trabalho do utilizador. | Sim | Não | Persistente, Saída |
| nome do utilizador principal | Cordão | O nome principal UPN do utilizador. O UPN é um nome de login no estilo Internet para o usuário baseado no padrão da Internet RFC 822. O domínio deve estar presente na coleção de domínios verificados do locatário. Esta propriedade é necessária quando uma conta é criada. Imutável. | Não | Não | Entrada, Persistência, Saída |
| usoLocalização | Cordão | Necessário para usuários que recebem licenças devido a requisitos legais para verificar a disponibilidade de serviços em países/regiões. Não anulável. Um código de país/região de duas letras (norma ISO 3166). Por exemplo, US, JP e GB. | Sim | Não | Persistente, Saída |
| Tipo de usuário | Cordão | Um valor de cadeia de caracteres que pode ser usado para classificar tipos de usuário em seu diretório. O valor deve ser Membro. Somente leitura. | Somente leitura | Não | Persistente, Saída |
| estadoDoUtilizador (estadoDoUtilizadorExterno)3 | Cordão | Apenas para a conta Microsoft Entra B2B e indica se o convite é PendingAcceptance ou Accepted. | Não | Não | Persistente, Saída |
| O estado do utilizador mudou em (data e hora da mudança externa do estado do utilizador)3 | Data e Hora | Mostra o carimbo de data/hora da última alteração na propriedade UserState. | Não | Não | Persistente, Saída |
1º Não suportado pelo Microsoft Graph
2º Para obter mais informações, consulte Atributo de número de telefone MFA
3 Não deve ser usado com o Azure AD B2C
Atributos obrigatórios
Para criar uma conta de usuário no diretório do Azure AD B2C, forneça os seguintes atributos necessários:
Identidades - Com pelo menos uma entidade (uma conta local ou federada).
Perfil de senha- Se você criar uma conta local, forneça o perfil de senha.
Atributo de nome de exibição
O displayName é o nome a ser exibido no gerenciamento de usuários do portal do Azure para o usuário e no token de acesso que o Azure AD B2C retorna ao aplicativo. Esta propriedade é obrigatória.
Atributo de Identidades
Uma conta de cliente, que pode ser um consumidor, parceiro ou cidadão, pode ser associada a estes tipos de identidade:
- Identidade local - O nome de usuário e a senha são armazenados localmente no diretório B2C do Azure AD. Muitas vezes nos referimos a essas identidades como "contas locais".
- Identidade federada - Também conhecida como contas sociais ou empresariais , a identidade do usuário é gerenciada por um provedor de identidade federada como Facebook, Microsoft, ADFS ou Salesforce.
Um utilizador com uma conta de cliente pode iniciar sessão com várias identidades. Por exemplo, nome de usuário, e-mail, ID de funcionário, ID do governo e outros. Uma única conta pode ter várias identidades, locais e sociais, com a mesma senha.
Na API do Microsoft Graph, as identidades locais e federadas são armazenadas no atributo user identities , que é do tipo objectIdentity. A identities coleção representa um conjunto de identidades usadas para entrar em uma conta de usuário. Essa coleção permite que o usuário entre na conta de usuário com qualquer uma de suas identidades associadas. O atributo identities pode conter até 10 objetos objectIdentity . Cada objeto contém as seguintes propriedades:
| Nome | Tipo | Descrição |
|---|---|---|
| tipoDeInícioDeSessão | corda | Especifica os tipos de entrada do usuário em seu diretório. Para conta local: emailAddress, emailAddress1, emailAddress2, emailAddress3, userName, ou qualquer outro tipo que você gosta. A conta social deve ser definida como federated. |
| emitente | corda | Especifica o emissor da identidade. Para contas locais (onde signInType não é federated), esta propriedade é o nome de domínio padrão do inquilino B2C local, por exemplo, contoso.onmicrosoft.com. Para identidade social (onde signInType é federated) o valor é o nome do emissor, por exemplo facebook.com |
| Id Atribuído pelo Emissor | corda | Especifica o identificador exclusivo atribuído ao usuário pelo emissor. A combinação de emissor e emissorAssignedId deve ser exclusiva dentro da sua instância. Para conta local, quando signInType é definido como emailAddress ou userName, ele representa o nome de entrada para o usuário.Quando signInType está definido para:
|
O trecho JSON a seguir mostra o atributo Identities , com uma identidade de conta local com um nome de entrada, um endereço de email como entrada e com uma identidade social.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
Para identidades federadas, dependendo do provedor de identidade, o issuerAssignedId é um valor exclusivo para um determinado usuário por aplicativo ou conta de desenvolvimento. Configure a política do Azure AD B2C com a mesma ID de aplicativo que o provedor social ou outro aplicativo dentro da mesma conta de desenvolvimento atribui.
Propriedade do perfil de palavra-passe
Para uma identidade local, o atributo passwordProfile é necessário e contém a senha do usuário. O forceChangePasswordNextSignIn atributo indica se um usuário deve redefinir a senha no próximo login. Para lidar com uma redefinição forçada de senha, use as instruções em configurar o fluxo de redefinição forçada de senha.
Para uma identidade federada (social), o atributo passwordProfile não é necessário.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Atributo de política de senha
A política de senha do Azure AD B2C (para contas locais) é baseada na política de força de senha forte do Microsoft Entra ID. As políticas de inscrição ou de entrada e redefinição de senha do Azure AD B2C exigem essa força de senha forte e não expiram senhas.
Em cenários de migração de usuário, se as contas que você deseja migrar tiverem força de senha mais fraca do que a força de senha forte imposta pelo Azure AD B2C, você poderá desabilitar o requisito de senha forte. Para alterar a política de senha padrão, defina o passwordPolicies atributo como DisableStrongPassword. Por exemplo, você pode modificar a solicitação de usuário criada da seguinte maneira:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
Atributo de número de telefone MFA
Ao usar um telefone para autenticação multifator (MFA), o telefone celular é usado para verificar a identidade do usuário. Para adicionar um novo número de telefone programaticamente, atualizar, obter ou excluir o número de telefone, use o método de autenticação de telefone da API do MS Graph.
Nas políticas personalizadas do Azure AD B2C, o número de telefone está disponível por meio do strongAuthenticationPhoneNumber tipo de reclamação.
Atributos da extensão
Cada aplicativo voltado para o cliente tem requisitos exclusivos para as informações a serem coletadas. O seu inquilino Azure AD B2C vem com um conjunto integrado de informações armazenadas em propriedades, como Nome Próprio, Apelido e Código Postal. Com o Azure AD B2C, você pode estender o conjunto de propriedades armazenadas em cada conta de cliente. Para obter mais informações, consulte Adicionar atributos de usuário e personalizar a entrada do usuário no Azure Ative Directory B2C
Os atributos de extensão estendem o esquema dos objetos de usuário no diretório. Os atributos de extensão só podem ser registrados em um objeto de aplicativo, mesmo que possam conter dados para um usuário. O atributo extensão está anexado à aplicação chamada b2c-extensions-app. Não modifique este aplicativo, pois ele é usado pelo Azure AD B2C para armazenar dados do usuário. Pode encontrar esta aplicação nas "Registros de Aplicativos" do Microsoft Entra.
Saiba mais sobre o Azure AD B2Cb2c-extensions-app.
Observação
- Você pode escrever até 100 atributos de extensão para qualquer conta de usuário.
- Se o aplicativo b2c-extensions-app for excluído, esses atributos de extensão serão removidos de todos os usuários, juntamente com quaisquer dados que eles contenham.
- Se um atributo de extensão for excluído pelo aplicativo, ele será removido de todas as contas de usuário e os valores serão excluídos.
Os atributos de extensão na API do Microsoft Graph são nomeados usando a convenção extension_ApplicationClientID_AttributeName, onde:
- O
ApplicationClientIDé o ID do aplicativo (cliente) dob2c-extensions-appaplicativo. Saiba como encontrar o aplicativo de extensões. - O
AttributeNameé o nome do atributo de extensão.
O ID do aplicativo (cliente) quando usado para criar o nome do atributo de extensão não inclui hífenes. Por exemplo:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
Os seguintes tipos de dados são suportados ao definir um atributo em uma extensão de esquema:
| Tipo | Observações |
|---|---|
| Booleano | Valores possíveis: verdadeiro ou falso. |
| Data e Hora | Deve ser especificado no formato ISO 8601. O valor é armazenado em UTC. |
| Número inteiro | Valor em 32 bits. |
| Cordão | 256 caracteres no máximo. |
Conteúdo relacionado
Saiba mais sobre atributos de extensão: