Registrieren Sie Benutzer mit Azure AD B2C

Question

Ich möchte eine begrenzte Anzahl von Benutzern vorregistrieren, die meine Anwendung verwenden können. Diese sind die Anforderungen:

• Benutzer sollten in der Lage zu zurückgesetzt ihr Passwort auf ihren eigenen
• keine anderen Benutzer als die vorregistriert Benutzer
• Idealer anmelden können, kann der Benutzer wählen das Login E-Mail-Adresse von sich selbst (keine @ app.onmicrosoft.com Login).

Jetzt habe ich Probleme, alle Anforderungen zusammen erfüllt zu haben.

Ich konnte @ app.onmicrosoft.com-Benutzer im Azure-Portal registrieren. Da der Benutzer jedoch keine E-Mails auf @ app.onmicrosoft.com abrufen kann, ist eine Kennwortrücksetzungsrichtlinie nicht sinnvoll. Ich habe versucht, eine alternative E-Mail und eine Telefonnummer im Benutzerprofil anzugeben, aber die Passwort-Reset-Richtlinie verwendet sie leider nicht zur Überprüfung.

Nehmen wir an, ich erstelle eine Anmelde-Richtlinie: Das ist nett - der Benutzer wählt seine eigene E-Mail. Das Zurücksetzen des Passworts würde ebenfalls funktionieren. Ich kann jedoch nicht kontrollieren, wer sich anmeldet und gültige Zugangs-Tokens erhält. Im Portal unter Enterprise Applications habe ich meine registrierte Anwendung (Alle Anwendungen) gefunden, wo ich die Option "Benutzerzuordnung erforderlich?" um wahr zu sein. Aber das scheint nicht im B2C-Kontext zu funktionieren, oder? Ich habe erwartet, dass der Benutzer bis zur Zuweisung eines Benutzers zu dieser Anwendung kein Token für die Anmeldung erhält. Dies war jedoch nicht der Fall. Here Ich habe eine ähnliche Frage zum Erstellen von Benutzern gefunden. Irgendwelche Ratschläge zum Erstellen von Benutzern einschließlich Passwörtern usw. mit Microsoft Graph (da es empfohlen wird, es über Graph API zu verwenden)?

Ich habe auch versucht, Benutzer als Gäste einzuladen. Sie müssen ein Microsoft-Konto erstellen, das Zurücksetzen von Passwörtern würde durch Microsoft gelöst werden, aber leider erfolgt keine Weiterleitung zum Microsoft-Login nach Eingabe der Microsoft-Konto-E-Mail-Adresse.

Löschen der Anmeldungsrichtlinie nach der ersten Registrierung ist eine schlechte Option, wenn mehr Benutzer onboarded sein müssen.

Idealerweise möchte ich die Registrierung von Benutzern vornehmen, wenn sie sich selbst angemeldet haben - aber ohne Anmeldepolitik.

Irgendwelche Ratschläge? Was vermisse ich?

Answer 1

Derzeit wird das Erstellen von Benutzern in einem B2C-Mandanten mit einem "lokalen Konto" in Microsoft Graph nicht unterstützt. Dafür müssen Sie Azure AD Graph jetzt verwenden (siehe creating a user with a local account). Bitte beachten Sie diese blog post for details und Zeile 12 in der Tabelle.

Wir hoffen, diese Funktion so bald wie möglich zu Microsoft Graph hinzuzufügen.

hoffe, das hilft,

Answer 2

Sie können die Aktivierung/Einladung Szenario implementieren, die here und umgesetzt here beschrieben.

In diesem Szenario wird ein neuer Benutzer aktiviert/eingeladen, indem ein lokales Konto im Azure AD B2C-Verzeichnis über das Azure AD-Diagramm erstellt/vorregistriert und ein unterschriebener Einlöselink an die E-Mail-Adresse dieses lokalen Kontos gesendet wird.

Dieser Einlösungslink weist den neuen Benutzer auf die Richtlinie zum Zurücksetzen des Kennworts hin.