Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Från och med den 1 maj 2025 är Azure AD B2C inte längre tillgängligt att köpa för nya kunder. Läs mer i våra vanliga frågor och svar.
Ditt Azure Active Directory B2C-användarprofil har en serie inbyggda attribut, till exempel förnamn, efternamn, ort, postnummer och telefonnummer. Du kan utöka användarprofilen med dina egna programdata utan att kräva ett externt datalager.
Microsoft Graph API stöder de flesta attribut som du kan använda med Azure Den här artikeln beskriver användarprofilattribut som Azure AD B2C stöder. Den noterar även de attribut som Microsoft Graph inte stöder och Microsoft Graph API-attribut som Azure AD B2C inte bör använda.
Viktigt!
Du bör inte använda inbyggda attribut eller tilläggsattribut för att lagra känsliga personuppgifter, till exempel kontoautentiseringsuppgifter, myndighetsidentifieringsnummer, korthållardata, finansiella kontodata, hälso- och sjukvårdsinformation eller känslig bakgrundsinformation.
Du kan också integrera med externa system. Du kan till exempel använda Azure AD B2C för autentisering, men delegera till en extern kundrelationshantering (CRM) eller kundlojalitetsdatabas som auktoritativ källa för kunddata. Mer information finns i fjärrprofillösningen .
Microsoft Entra-användarresurstyp
Azure AD B2C-kataloganvändarprofilen stöder attributen för användarresurstypen som anges i tabellen nedan. Den ger följande information om varje attribut:
- Attributnamn som används av Azure AD B2C (följt av Microsoft Graph-namnet inom parenteser, om det är annorlunda)
- Attributdatatyp
- Attributbeskrivning
- Om attributet är tillgängligt i Azure-portalen
- Om attributet kan användas i ett användarflöde
- Om attributet kan användas i en anpassad policy Microsoft Entra ID teknisk profil och i vilket avsnitt (<InputClaims>, <OutputClaims> eller <PersistedClaims>)
| Namn | Datatyp | Beskrivning | Tillgänglig i Azure-portalen | Används i användarflöden | Används i anpassad policy |
|---|---|---|---|---|---|
| konto aktiverat | Boolesk | Om användarkontot är aktiverat eller inaktiverat: sant om kontot är aktiverat, annars falskt. | Ja | Nej | Sparad, utdata |
| åldersgrupp | Sträng | Användarens åldersgrupp. Möjliga värden: null, Odefinierad, Mindre, Vuxen, NotAdult. | Ja | Nej | Sparad, utdata |
| alternativeSecurityId (identiteter) | Sträng | En enskild användaridentitet från den externa identitetsprovidern. | Nej | Nej | Indata, sparat, utdata |
| alternativeSecurityIds (identiteter) | alternativ securityId-samling | En samling användaridentiteter från externa identitetsprovidrar. | Nej | Nej | Sparad, utdata |
| stad | Sträng | Användarens ort.. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| samtyckeGivetFörMinderårig | Sträng | Om medgivandet har lämnats för en minderårig. Tillåtna värden: null, beviljad, nekad eller inte krävs. | Ja | Nej | Sparad, utdata |
| land | Sträng | Användarens land/region. Till exempel : USA eller Storbritannien. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| skapatDatumTid | Datum och tid | Det datum då användarobjektet skapades. Skrivskyddad. | Nej | Nej | Sparad, utdata |
| skapelsetyp | Sträng | Om användarkontot skapades som ett lokalt konto för en Azure Active Directory B2C-klientorganisation är värdet LocalAccount eller nameCoexistence. Skrivskyddad. | Nej | Nej | Sparad, utdata |
| födelsedatum | Datum | Födelsedatum. | Nej | Nej | Sparad, utdata |
| Avdelning | Sträng | Namnet på den avdelning där användaren arbetar. Max längd 64. | Ja | Nej | Sparad, utdata |
| visningsnamn | Sträng | Visningsnamnet för användaren. Maxlängd 256. | Ja | Ja | Sparad, utdata |
| faxTelefonnummer1 | Sträng | Telefonnumret till användarens företagsfaxmaskin. | Ja | Nej | Sparad, utdata |
| givenName | Sträng | Användarens förnamn. Max längd 64. | Ja | Ja | Sparad, utdata |
| Jobbtitel | Sträng | Användarens befattning. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| oföränderligtId | Sträng | En identifierare som vanligtvis används för användare som migreras från lokala Active Directory. | Nej | Nej | Sparad, utdata |
| laglig åldersgruppsklassificering | Sträng | Klassificering av juridiska åldersgrupper. Skrivskyddad och beräknad baserat på egenskaperna ageGroup och consentProvidedForMinor. Tillåtna värden: null, minderårigUtanVårdnadshavaresSamtycke, minderårigMedVårdnadshavaresSamtycke, minderårigIngenVårdnadshavaresSamtyckeKrävs, ejVuxen och vuxen. | Ja | Nej | Sparad, utdata |
| legalLand1 | Sträng | Land/region för juridiska ändamål. | Nej | Nej | Sparad, utdata |
| e-postsmeknamn | Sträng | E-postaliaset för användaren. Max längd 64. | Nej | Nej | Sparad, utdata |
| mobil (mobiltelefon) | Sträng | Användarens primära mobiltelefonnummer. Max längd 64. | Ja | Nej | Sparad, utdata |
| netId (på engelska) | Sträng | Nät-ID. | Nej | Nej | Sparad, utdata |
| objectId (objekt-ID) | Sträng | En globalt unik identifierare (GUID) som är den unika identifieraren för användaren. Exempel: 12345678-9abc-def0-1234-56789abcde. Skrivskyddad, oföränderlig. | Skrivskyddad | Ja | Indata, sparat, utdata |
| andra mejl | Strängsamling | En lista över andra e-postadresser för användaren. Exempel: ["bob@contoso.com", "Robert@fabrikam.com"]. Obs! Accenttecken är inte tillåtna. | Ja (alternativ e-post) | Nej | Sparad, utdata |
| lösenord | Sträng | Lösenordet för det lokala kontot när användaren skapas. | Nej | Nej | Framhärdade |
| lösenordspolicyer | Sträng | Princip för lösenordet. Det är en sträng som består av ett annat principnamn avgränsat med kommatecken. Till exempel "DisablePasswordExpiration, DisableStrongPassword". | Nej | Nej | Sparad, utdata |
| FysiskLeveransKontorsnamn (kontorsplats) | Sträng | Kontorsplatsen i användarens verksamhetsplats. Maxlängd 128. | Ja | Nej | Sparad, utdata |
| postnummer | Sträng | Postnumret för användarens postadress. Postnumret är specifikt för användarens land/region. I USA innehåller det här attributet postnummer. Max längd 40. | Ja | Nej | Sparad, utdata |
| föredraget språk | Sträng | Det föredragna språket för användaren. Det föredragna språkformatet baseras på RFC 4646. Namnet är en kombination av en ISO 639-kod med två bokstäver som är associerad med språket och en ISO 3166-kod med två bokstäver med versaler som är associerad med landet eller regionen. Till exempel: en-USeller es-ES. | Nej | Nej | Sparad, utdata |
| uppdateringstokenGiltigaFrånDatumTid (inloggningssessionerGiltigaFrånDatumTid) | Datum och tid | Alla uppdateringstoken som utfärdas före den här tiden är ogiltiga och program får ett fel när en ogiltig uppdateringstoken används för att hämta en ny åtkomsttoken. I det här fallet måste programmet skaffa en ny uppdateringstoken genom att göra en begäran till den auktoriserade slutpunkten. Skrivskyddat. | Nej | Nej | Utdata |
| signInNames (identiteter) | Sträng | Det unika inloggningsnamnet för den lokala kontoanvändaren av vilken typ som helst i katalogen. Använd det här attributet för att hämta en användare med inloggningsvärde utan att ange den lokala kontotypen. | Nej | Nej | Indata |
| signInNames.userName (Identiteter) | Sträng | Det unika användarnamnet för den lokala kontoanvändaren i katalogen. Använd det här attributet för att skapa eller hämta en användare med ett specifikt användarnamn för inloggning. Om du anger det här attributet enbart i PersistedClaims under korrigeringsåtgärden tas andra typer av signInNames bort. Om du vill lägga till en ny typ av signInNames måste du också spara befintliga signInNames. Notera: Accenttecken tillåts inte i användarnamnet. | Nej | Nej | Indata, sparat, utdata |
| signInNames.phoneNumber (Identiteter) | Sträng | Det unika telefonnumret för den lokala kontoanvändaren i katalogen. Använd det här attributet för att skapa eller hämta en användare med ett specifikt inloggningstelefonnummer. Om du anger det här attributet enbart i PersistedClaims under korrigeringsåtgärden tas andra typer av signInNames bort. Om du vill lägga till en ny typ av signInNames måste du också spara befintliga signInNames. | Nej | Nej | Indata, sparat, utdata |
| signInNames.emailAddress (Identiteter) | Sträng | Den unika e-postadressen för den lokala kontoanvändaren i katalogen. Använd det här attributet för att skapa eller hämta en användare med en specifik e-postadress för inloggning. Om du anger det här attributet enbart i PersistedClaims under korrigeringsåtgärden tas andra typer av signInNames bort. Om du vill lägga till en ny typ av signInNames måste du också spara befintliga signInNames. | Nej | Nej | Indata, sparat, utdata |
| tillstånd | Sträng | Delstaten eller provinsen i användarens adress. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| gatuadress | Sträng | Gatuadressen för användarens verksamhet. Maxlängd 1024. | Ja | Ja | Sparad, utdata |
| starkautentisering Alternativtjetelefonnummer1 | Sträng | Användarens sekundära telefonnummer, som används för multifaktorautentisering. | Ja | Nej | Sparad, utdata |
| starkAutentiseringE-postadress1 | Sträng | SMTP-adressen för användaren. Exempel: "bob@contoso.com" Det här attributet används för inloggning med användarnamnsprincip för att lagra användarens e-postadress. E-postadressen som sedan används i ett flöde för lösenordsåterställning. Accenttecken tillåts inte i det här attributet. | Ja | Nej | Sparad, utdata |
| starkAutentiseringTelefonnummer2 | Sträng | Användarens primära telefonnummer, som används för multifaktorautentisering. | Ja | Nej | Sparad, utdata |
| efternamn | Sträng | Användarens efternamn (efternamn eller efternamn). Max längd 64. | Ja | Ja | Sparad, utdata |
| telefonnummer (första posten i businessPhones) | Sträng | Det primära telefonnumret för användarens verksamhet. | Ja | Nej | Sparad, utdata |
| användarens huvudnamn | Sträng | Användarens huvudnamn (UPN). UPN är ett inloggningsnamn i Internetstil för användaren baserat på Internetstandarden RFC 822. Domänen måste finnas i klientorganisationens samling av verifierade domäner. Den här egenskapen krävs när ett konto skapas. Oföränderliga. | Nej | Nej | Indata, sparat, utdata |
| användningsplats | Sträng | Krävs för användare som har tilldelats licenser på grund av juridiska krav för att söka efter tillgänglighet för tjänster i länder/regioner. Inte nullbar. En lands-/regionkod med två bokstäver (ISO-standard 3166). Till exempel USA, JP och GB. | Ja | Nej | Sparad, utdata |
| användartyp | Sträng | Ett strängvärde som kan användas för att klassificera användartyper i din katalog. Värdet måste vara medlem. Skrivskyddat. | Skrivskyddad | Nej | Sparad, utdata |
| användarstatus (externAnvändarstatus)3 | Sträng | Endast för Microsoft Entra B2B-konto och anger om inbjudan är PendingAcceptance eller Godkänd. | Nej | Nej | Sparad, utdata |
| användarstatusÄndradPå (externanvändarstatusÄndringsDatumTid)3 | Datum och tid | Visar tidsstämpeln för den senaste ändringen av egenskapen UserState. | Nej | Nej | Sparad, utdata |
1 Stöds inte av Microsoft Graph
2 Mer information finns i MFA-telefonnummerattribut
3 Bör inte användas med Azure AD B2C
Obligatoriska attribut
Om du vill skapa ett användarkonto i Azure AD B2C-katalogen anger du följande obligatoriska attribut:
Identiteter – med minst en entitet (ett lokalt eller ett federerat konto).
Lösenordsprofil – Om du skapar ett lokalt konto anger du lösenordsprofilen.
Visningsnamnsattribut
displayName är namnet som ska visas i Azure-portalens användarhantering för användaren och i åtkomsttoken som Azure AD B2C returnerar till programmet. Denna egenskap är obligatorisk.
Identitetsattribut
Ett kundkonto, som kan vara en konsument, partner eller medborgare, kan associeras med dessa identitetstyper:
- Lokal identitet – Användarnamnet och lösenordet lagras lokalt i Azure AD B2C-katalogen. Vi kallar ofta dessa identiteter för "lokala konton".
- Federerad identitet – Även kallat sociala konton eller företagskonton hanteras användarens identitet av en federerad identitetsprovider som Facebook, Microsoft, ADFS eller Salesforce.
En användare med ett kundkonto kan logga in med flera identiteter. Till exempel användarnamn, e-post, medarbetar-ID, myndighets-ID och andra. Ett enda konto kan ha flera identiteter, både lokala och sociala, med samma lösenord.
I Microsoft Graph API lagras både lokala och federerade identiteter i användarattributet identities , som är av typen objectIdentity. Samlingen identities representerar en uppsättning identiteter som används för att logga in på ett användarkonto. Med den här samlingen kan användaren logga in på användarkontot med någon av sina associerade identiteter. Identitetsattributet kan innehålla upp till 10 objektIdentitetsobjekt . Varje objekt innehåller följande egenskaper:
| Namn | Typ | Beskrivning |
|---|---|---|
| inloggningstyp | sträng | Anger användarinloggningstyperna i din katalog. För lokalt konto: emailAddress, emailAddress1, emailAddress2, emailAddress3, userNameeller någon annan typ som du vill. Socialt konto måste vara inställt på federated. |
| utfärdare | sträng | Anger utfärdaren av identiteten. För lokala konton (där signInType inte är federated) är den här egenskapen det lokala standarddomännamnet för B2C-klientorganisationen, till exempel contoso.onmicrosoft.com. För social identitet (där signInType är federated) är värdet namnet på utfärdaren, till exempel facebook.com |
| utfärdarens tilldelade ID | sträng | Anger den unika identifierare som tilldelats användaren av utfärdaren. Kombinationen av utfärdare och issuerAssignedId måste vara unik inom din hyresgäst. För lokalt konto, när signInType är inställt på emailAddress eller userName, representerar det inloggningsnamnet för användaren.När signInType är inställt på:
|
Följande JSON-kodfragment visar attributet Identiteter , med en lokal kontoidentitet med ett inloggningsnamn, en e-postadress som inloggning och med en social identitet.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
För federerade identiteter, beroende på identitetsprovidern, är issuerAssignedId ett unikt värde för en viss användare per program eller utvecklingskonto. Konfigurera Azure AD B2C-principen med samma program-ID som den sociala providern eller ett annat program inom samma utvecklingskonto tilldelar.
Lösenordsprofilinställning
För en lokal identitet krävs attributet passwordProfile och innehåller användarens lösenord. Attributet forceChangePasswordNextSignIn anger om en användare måste återställa lösenordet vid nästa inloggning. Om du vill hantera en tvingad lösenordsåterställning använder du anvisningarna i konfigurerat flöde för tvingad lösenordsåterställning.
För en federerad (social) identitet krävs inte attributet passwordProfile .
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Lösenordsprincipattribut
Azure AD B2C-lösenordsprincipen (för lokala konton) baseras på principen för stark lösenordsstyrka i Microsoft Entra-ID. Policyerna för registrering eller inloggning och återställning av lösenord i Azure AD B2C kräver den här starka lösenordsstyrkan och gör inte lösenord inaktuella.
Om de konton som du vill migrera i användarmigreringsscenarier har svagare lösenordsstyrka än den starka lösenordsstyrka som tillämpas av Azure AD B2C kan du inaktivera det starka lösenordskravet. Om du vill ändra standardprincipen för lösenord anger du attributet passwordPolicies till DisableStrongPassword. Du kan till exempel ändra den skapade användarbegäran på följande sätt:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
MFA-telefonnummerattribut
När du använder en telefon för multifaktorautentisering (MFA) används mobiltelefonen för att verifiera användaridentiteten. Om du vill lägga till ett nytt telefonnummer programmatiskt, uppdatera, hämta eller ta bort telefonnumret använder du ms Graph API-autentiseringsmetoden för telefon.
I Azure AD B2C anpassade principer är telefonnumret tillgängligt via strongAuthenticationPhoneNumber anspråkstyp.
Tilläggsattribut
Alla kundinriktade program har unika krav för att informationen ska samlas in. Din Azure AD B2C-klientorganisation har en inbyggd uppsättning information som lagras i egenskaper, till exempel förnamn, efternamn och postnummer. Med Azure AD B2C kan du utöka uppsättningen egenskaper som lagras i varje kundkonto. Mer information finns i Lägga till användarattribut och anpassa användarindata i Azure Active Directory B2C
Tilläggsattribut utökar schemat för användarobjekten i katalogen. Tilläggsattributen kan bara registreras på ett programobjekt, även om de kan innehålla data för en användare. Tilläggsattributet är kopplat till programmet med namnet b2c-extensions-app. Ändra inte det här programmet eftersom det används av Azure AD B2C för lagring av användardata. Du hittar det här programmet under Microsoft Entra-appregistreringar.
Läs mer om Azure AD B2Cb2c-extensions-app.
Anmärkning
- Du kan skriva upp till 100 tilläggsattribut till valfritt användarkonto.
- Om programmet b2c-extensions-app tas bort tas dessa tilläggsattribut bort från alla användare tillsammans med alla data som de innehåller.
- Om ett tilläggsattribut tas bort av programmet tas det bort från alla användarkonton och värdena tas bort.
Tilläggsattribut i Microsoft Graph-API:et namnges med hjälp av konventionen extension_ApplicationClientID_AttributeName, där:
-
ApplicationClientIDär applikationens (klienten) IDb2c-extensions-app. Lär dig hur du hittar tilläggsappen. -
AttributeNameär namnet på tilläggsattributet.
Program-ID(klient)-ID:t när det används för att skapa namnet på tilläggsattributet innehåller inte bindestreck. Till exempel:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
Följande datatyper stöds när du definierar ett attribut i ett schematillägg:
| Typ | Anmärkningar |
|---|---|
| Boolesk | Möjliga värden: sant eller falskt. |
| Datum och tid | Måste anges i ISO 8601-format. Värdet lagras i UTC. |
| Heltal | 32-bitarsvärde. |
| Sträng | Maximalt 256 tecken. |
Relaterat innehåll
Läs mer om tilläggsattribut: