重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
使用 Microsoft Entra ID 保护和条件访问增强 Azure Active Directory B2C(Azure AD B2C)的安全性。 标识保护风险检测功能(包括有风险的用户和有风险的登录)会自动检测并显示在 Azure AD B2C 租户中。 可以创建条件访问策略,这些策略使用这些风险检测来确定作并强制实施组织策略。 这些功能共同为 Azure AD B2C 应用程序所有者提供更大的控制风险身份验证和访问策略。
如果已在 Microsoft Entra ID 中熟悉标识保护和条件访问,那么,结合使用这些功能与 Azure AD B2C,将是一种熟悉的体验,只是其中的细微差异会在本文中进行讨论。
注释
创建风险登录策略需要 Azure AD B2C Premium P2。 Premium P1 租户可以创建基于位置、应用程序的策略,也可以创建基于用户或基于组的策略。 有关详细信息,请参阅 更改 Azure AD B2C 定价层。
Azure AD B2C 的标识保护和条件访问的优点
通过将条件访问策略与标识保护风险检测配对,可以使用相应的策略作来响应有风险的身份验证。
- 深入了解应用和客户群的身份验证风险。 通过来自 Microsoft Entra ID 和 Microsoft 帐户的数十亿每月身份验证的信号,风险检测算法会将本地使用者或公民身份验证的身份验证标记为低、中或高风险。
- 通过配置自己的自适应身份验证来自动解决风险。 对于指定的应用程序,可以要求一组特定的用户提供第二个身份验证因素,如多重身份验证(MFA)。 或者,可以根据检测到的风险级别阻止访问。 与其他 Azure AD B2C 体验一样,可以使用组织的语音、风格和品牌自定义生成的最终用户体验。 如果用户无法访问,还可以显示缓解替代方法。
- 基于位置、组和应用控制访问。 条件访问还可用于控制非基于风险的情况。 例如,你可以要求客户在访问特定应用时使用多因素认证(MFA),或阻止来自指定地理位置的访问。
- 与 Azure AD B2C 用户流和标识体验框架自定义策略集成。 使用现有的自定义体验,并添加与条件访问进行交互所需的控件。 您还可以实施用于授予访问权限的高级方案,例如基于知识的访问控制或您自己选择的 MFA 服务提供商。
功能差异和限制
Azure AD B2C 中的标识保护和条件访问通常的工作方式与在 Microsoft Entra ID 中的工作方式相同,但有以下例外:
Microsoft Defender for Cloud 在 Azure AD B2C 中不可用。
Azure AD B2C 租户中的 ROPC 服务器到服务器流不支持标识保护和条件访问。
在 Azure AD B2C 租户中,标识保护风险检测可用于本地和社交标识,例如 Google 或 Facebook。 对于社交标识,必须激活条件访问。 检测受到限制,因为社交帐户凭据由外部标识提供者管理。
在 Azure AD B2C 租户中,可以使用一部分标识保护风险检测功能。 请参阅 使用身份保护调查风险 和 向用户流添加条件访问。
条件访问设备符合性功能在 Azure AD B2C 租户中不可用。
将条件访问与用户流和自定义策略集成
在 Azure AD B2C 中,可以从内置用户流触发条件访问条件。 还可以将条件访问合并到自定义策略中。 与 B2C 用户流的其他方面一样,可以根据组织的语音、品牌和缓解替代方法自定义最终用户体验消息传送。 请参阅 向用户流添加条件访问。
Microsoft图形 API
还可以使用 Microsoft 图形 API 管理 Azure AD B2C 中的条件访问策略。 有关详细信息,请参阅 条件访问文档 和 Microsoft Graph 操作。