我正在尝试使用Azure AD B2C对Angular2单页应用程序的用户进行身份验证。我知道我可以使用与每个Azure AD B2C策略关联的UI（默认或自定义）。出于许多原因，我对Azure AD B2C UI（或定制它所需的努力）不满意 因此，我想在我的应用程序中使用我自己的UI，只需调用Azure AD B2C即可。可能吗？如果是，怎么做？我已经查看了Azure AD B2C自定义策略，但我不确定这些策略是否仍然使用默认（或自定义）Azure AD B2C UI。此时，验证Azure A

我有这样的想法： 假的 本技术概要： 使用电子邮件地址重置密码 IP地址 api.localaccountpasswordreset 假的 及 阅读 真的 找不到提供的用户ID的帐户。 假的 基于这个项目： 我需要使用用户名而不是电子邮件地址来重置密码，我找不到执行此操作的代码，你能给我一个示例吗 谢谢将以下添加到TrustFrameworkExtensions.xml： 使用登录名重置密码 IP地址 api.localaccountpasswordreset 假的 及 阅读

我不明白Azure B2C中的“范围”应该如何使用。它们与API关联，但与用户无关。我确信我遗漏了一些东西，但我认为与API相关联的东西没有实际用途。我已经根据用户在数据库中的角色使用并实现了基于声明的身份验证 例如：API的普通用户不应有权删除对象，但管理员应有权删除对象。是否有人有一个实际的例子来说明如何使用这些B2C“范围”来限制用户对API的访问？角色和范围为该用户访问控制提供了两个方面 角色（如管理员、成员和来宾）确定是否允许经过身份验证的用户删除对象 作用域（如读取、写入和删除）确定

我试图在AAD用户登录到我的B2C应用程序时检索他们的组成员资格 我所做的： 遵循中概述的程序 根据以下说明在my Azure AD租户中创建了应用程序： 如本文所述，已将应用程序清单修改为支持组-- 在我的B2C租户中创建了一个属性扩展_groups，用于存储组（我不知道这是否必要？） 将claimtype添加到TrustFrameworkBase.xml以支持组： 组 一串 在TrustFrameworkExtensions.xml中修改了索赔提供程序，以包含组索赔： 在“仅登录”策略的

当用户在adb2c上注册时，我希望他键入自己的登录名/密码，并且尚未连接 我试图编辑signin_注册策略，但在自定义策略中没有结果，您可以使用自断言页面向用户显示他们已成功注册，但不允许他们从此处继续旅程。在我们的示例中，这有时被称为“块页”。由于用户无法继续旅程，因此不会颁发令牌，也不会建立会话 您可以改为使用自定义HTML页面，以允许用户从此处返回主页 然后，用户需要再次登录以获得经过身份验证的会话 块页面显示在此处使用： 区块注册请求页面 api.selfasserted.block

通常，我们会通过电子邮件或电话进行注册/登录，但我需要注册/登录，同时要求验证电子邮件和验证电话号码 我尝试使用默认的“用户流”进行设置，并启用了电话/短信的MFA，但无法通过phoneMethods的graph API调用访问该号码，如果可以，我还可以将该号码复制到配置文件中（这意味着它是一个已验证的电话号码）。此外，启用身份验证方法，甚至在配置文件页面上更新（电话号码用空格字符分隔代码和号码）电话号码会导致电话号码通过phoneMethods graph API调用显示，但在此之前不会显示

我使用以下内容作为注册时的使用条款验收 我让它运行正常，但实际的条款没有显示给用户。这是怎么回事？有人知道我如何插入条款，以便用户cna在提供同意之前先阅读这些条款吗 谢谢使用自定义html将您自己的文本添加到页面上 或者创建一个段落声明，并使用技术配置文件中的输出声明将其显示在页面上

是否可以在自定义策略的屏幕上添加一个按钮，这样，如果用户单击该按钮，他们将被重定向到其他自定义策略的开始位置？这不可能直接通过自定义策略逻辑实现 您需要使用自定义HTML向应用程序添加链接，例如myapp.com/launchPolicy2，并将此链接放在您的登录页面上。当用户单击此链接时，用户将被发送到您的应用程序，应用程序应使用新的授权URL（其中包含新的B2C策略Id）启动新的身份验证流 使用本指南添加自定义HTML：

我正在寻找一种方法，将电子邮件声明（电子邮件收集）添加到Azure AD B2C的自定义策略中。此应用程序声明可直接从Azure门户获得，但我找不到在我需要创建的自定义策略中实现此声明的方法 我想要实现的是为我的WebApp用户提供Azure AD B2C身份验证，并将Azure AD身份验证作为员工的自定义身份验证提供商，因此这意味着我需要添加两次电子邮件索赔-本地帐户和Azure AD 我遵循了这一点，因此我在TrustFrameworkExtensions.xml文件中添加了一个新的Cla

我们正在使用自定义注册（组合注册）策略。我们必须创建一个用户旅程，在这里，用户只能看到注册选项、社交IDP和立即注册链接。我们必须隐藏此用户旅程的本地帐户登录选项 我如何才能只为这次用户之旅做到这一点 谢谢，您可以从现有的“api.signupsignin”内容定义创建新的“api.signup”内容定义： <ContentDefinition Id="api.signup"> <LoadUri>https://contoso.com/templates/si

我已经通过SAML成功地将Azure B2C设置为IDP，并且我正在正确地返回givenName、objectId、姓氏、userPrincipalName的断言 当用户通过注册过程时，比如说使用电子邮件地址jdoe@company.com，在B2C中自动生成upn，格式为guid@b2ctenant.onmicrosoft.com. 在这种情况下，我想获得实际的登录电子邮件地址jdoe@company.com在SAML断言中 我尝试了以下所有选项，但SAML断言没有电子邮件地址 <Out

我的B2C策略由移动应用程序使用，并且具有较长的刷新令牌到期日。我的要求是，我们如何更新隐私政策，用户应接受该政策以继续使用移动应用程序，而不必再次注销和登录。我们可以让用户在用户注册或登录时选中一个框以接受“使用条款”。但是如果用户已经登录，他必须再次登录以触发检查 这是一个令人愉悦的注册和登录提示，提示“使用条款”。我们可以提示用户在注册或登录时选中一个框以接受“使用条款”。但是如果用户已经登录，他必须再次登录以触发检查 这是一个令人愉悦的注册，并在“使用条款”提示下登录

我有一个自定义的注册策略，它有3个验证配置文件 <ValidationTechnicalProfile ReferenceId="UsernameCheck" ContinueOnError = "false"/> <ValidationTechnicalProfile ReferenceId="API-VerifyStep1" ContinueOnError = "false"/> <ValidationTechnicalProfile ReferenceId=

我想跟踪用户谁点击验证电子邮件B2C按钮，但不输入代码，他们应该通过电子邮件接收。在B2C或某种“未验证电子邮件”存储中是否有对该按钮的控制？我正在使用自定义模板。 您可以使用Azure Monitor确定谁至少发起了电子邮件验证，但没有完成验证。通过Azure Monitor启用日志分析 然后在日志分析中使用此查询： AuditLogs | where OperationName == "Verify email address" or OperationName == &

我的函数应用程序中有一个Azure事件网格触发器。该函数通过事件订阅订阅到事件网格主题。该功能工作正常，在功能应用程序的身份验证/授权刀片中未配置身份验证时触发。但是，当我从Blade集成B2C广告应用程序时，主题不会被传递，功能也不会被触发。此外，我可以在事件订阅中看到“未经授权”的错误。功能应用程序内的其他HTTP触发器需要B2C流。如何授予对事件网格的独占访问权，以便在没有B2C流的情况下传递此消息？您可以尝试以下方法： 启用事件网格以使用Azure广告应用程序： 使用下面的PowerSh

我通过以下对XXX\u TrustFrameworkExtensions文件的更改实现了本地化 这种本地化的资源可以外部化吗？非常感谢您的帮助 <BuildingBlocks> <ContentDefinitions> <ContentDefinition Id="api.signuporsignin"> <LocalizedResourcesReferences MergeBehavi

我有一个azure ADB2C租户，我正在使用自定义策略。自定义步骤之一是调用RESTAPI以获取用户的自定义属性。到目前为止一切正常 在对RESTAPI的调用中，除了当前数据（电子邮件等）之外，我还希望接收代表其进行调用的用户时区 这可能吗？您可以使用它，并且用户的时区包含在响应中 GET https://graph.microsoft.com/v1.0/me/mailboxSettings GET https://graph.microsoft.com/users/{id|userP

目前，我尝试在iOS应用程序中实现用户授权。因此，我们使用Active Directory B2C 一切正常，除了刷新我过期的代币。我调用请求url（fabrikamb2c.onmicrosoft.com/oauth2/v2.0/token？p=b2c\u 1\u sign\u in）来获取access\u令牌和刷新令牌。响应似乎是有效的，access\u令牌只要没有过期就可以正常工作 但是，如果我想获得一个新的令牌（如这里所述：；参见第4章），请求只会得到一个400:Bad请求的响应 我不知道

为什么必须完全匹配？域级别的匹配不足以保证适当的安全性吗 如果我有几百条路呢 示例URL： 我必须在我的B2C应用程序配置中输入上述4个重定向URL。所有身份验证请求都包含两个重定向URL是常见的（也是最简单的）： 在“redirect_uri”参数中传递的一个（通常称为回复URL），必须向Azure AD B2C注册，所有身份验证响应都将从Azure AD B2C返回到依赖方应用程序。这方面的一个例子是https://www.myawesomesite.com/oidc-signin

访问Azure B2C SSO时，我想使用B2Clogin.com而不是login.microsoftonline.com作为默认URL 我读过，上面说我们可以将b2clogin.com与RunNow一起使用。我想知道如何以编程方式设置它？在应用程序配置中，您只需更改https://login.microsoftonline.com至https://{tenant}.b2clogin.comHy 这是我的代码，它适用于b2clogin.com： 这一点很重要： 如果您的租户名称：xxxxxxxx

我已创建了登录或注册策略。而且它工作得很好。我开发了一个使用B2C服务的MVC应用程序。当用户登录或注册时，我想区分两者。如果是注册，我想把用户添加到数据库中。是否需要知道用户是否从登录或注册页面重定向？可能为注册过程设置不同的回复url？我尝试制定两种不同的注册/登录策略，但看不到每个策略的任何特定回复url。同样的问题 索赔： 您可以使用User is new声明来检查用户是否刚刚注册 在选择应用程序声明时，选择“用户是新的”声明。感谢您的回复。我刚刚做了一个测试，在主帖子中看到了图片。我

当你回顾维托里奥关于id_代币的文章时 控制Web应用的会话持续时间- 他提到使用隐藏的iFrame更新id_令牌 <script> setInterval( function () { @if (Request.IsAuthenticated) { <text> var renewUrl = "/Accou

我有一份包含3项输出声明的技术资料。其中一个是“RadioSingleSelect”。根据为单选按钮选择的值，需要确定该技术配置文件工作的验证配置文件。下面是我的技术资料和创建的索赔类型 这是可视的吗？ 布尔值 无线电单选 简介1 IP地址 api.localaccountsignup 继续 假的 可见 真的 SkipThisValidationTechnicalProfile 我的预期输出是，如果用户为“IsVisible”选择“Yes”，那么我需要跳过验证技术配置文件“CheckIs

我正在尝试在“CombinedSignandSignup”编排步骤上添加额外的输入控件（这是第一个组合注册/登录页面）。 看起来它正在剥离除用户名和密码字段之外的任何其他控件。即使我设置了任何其他控件，它也会将它们视为“用户名”和“密码”控件 有人试过这个吗？我很感谢你的指导 谢谢 Sanjay您能分享一下如何添加额外的输入控件吗？请添加任何代码。无法在统一登录页面中添加额外控件。但您可以在其他技术配置文件中添加这些控件，并将它们作为单独的编排步骤添加。

我正在使用并且可以完全通过交互式登录流，但是我从未正确地获得令牌。当我在AD B2C门户中的策略上执行运行流时，当我重定向到jwt.ms时，我会将令牌取回 我还启用了详细日志和pii日志。权限url解析正确 我还为azure门户中的隐式流启用了访问令牌和ID令牌。我尝试传入一个空白的作用域数组以及“openid”/等，这告诉我这些是保留的，不能传入 如果我有这个令牌，我计划使用azure函数（不像示例中的图形） 任何帮助都将不胜感激，因为我花了很多时间研究这个问题。我在stackoverflow

我知道如何在登录时发送额外信息 <ContentDefinitionParameters> <Parameter Name="campaignId">{OAUTH-KV:customUi}</Parameter> </ContentDefinitionParameters> {OAUTH-KV:customUi} 我将使用此值的唯一位置是在如下内容定义中 <ContentDefinition Id="

是否有方法返回Azure ADB2C自定义策略中用户旅程的编排步骤 例如： 业务流程步骤n：收集用户信息-地址。 OrchestrationStep n+1：收集用户信息-出生日期和首选语言。 业务流程步骤n+2：发送令牌 在这种情况下，有没有办法从n+1步返回到n步？您不能在用户过程中倒退。您不能在用户过程中倒退。您不能按照另一个答案中的说明进行操作，但您可以根据先决条件使用转移/调用工作流步骤来重新创建最后一步。您可以无法按照另一个答案中的说明执行此操作，但您可以根据先决条件使用转接/呼叫工

我想定制标准的广告B2C登录页面，我已经能够按照说明进行操作，但我唯一需要的是在登录页面顶部添加我的应用程序徽标。否则，默认设置看起来很好 不幸的是，使用定制的版本，你失去了所有的样式，它看起来很糟糕。有人知道我在哪里可以得到微软用于页面默认版本的CSS吗 现在我使用的是免费版本，目前还可以。我想当你转到付费sub时，会有品牌选项，但我现在还不想去。你可以查看你感兴趣的页面的来源，然后搜索相应的.cshtml文件。例如，对于注册/登录页面，这将是cshtml链接： 然后，您可以查看该文件中的CS

我们正在尝试使用声明转换更新自定义Azure B2C策略中的显示名称，但无法使其正常工作。策略执行时没有错误，但显示名称不会更新 我们不希望用户输入显示名称 回答了一个类似的问题，但解决方案中提供的转换在上传到Azure时未通过验证 以下是我们正在使用的更新转换： <ClaimsTransformation Id="CreateDisplayNameFromFirstNameAndLastName" TransformationMethod="FormatStringMultipleC

遵循关于替代方法的教程/指南，使用高级设置手动配置Azure Active Directory，这允许我们使用不同的租户广告进行身份验证。但是无法访问广告B2C。这可能吗？接受广告B2C：从拥有订阅的目录，您必须在页面左上角创建资源，然后搜索Azure Active directory B2C，而不是在搜索栏中搜索资源。您至少需要Azure现收现付订阅 然后点击创建 点击创建后，您可以选择将现有Azure B2C租户链接到我的订阅，并输入您希望B2C AAD存在的目录的租户信息。 然后将b2

我正在尝试为AspNet Core 2.1网站实施Azure广告B2C。我找不到一个好的源代码示例 我确实发现了，这可能是一个起点，但鉴于我目前对各种API的理解有限，这并没有太大帮助。例如，AspNet Core 2.1类azureadb2copions中的属性没有很好地映射到示例的azureadb2copions类中的属性，尽管看起来这两个对象的实例在配置与Azure的AD B2C系统的交互时具有相同的用途 有没有人遇到过一些他们可以传递的好例子？我在上为ASP.NET Core 2.1 w

我正在寻找一种方法，使用邮件发送的链接登录用户。这与我想要实现的目标非常接近 这个示例的主要问题是，它要求web应用程序设置证书并托管OIDC端点。因此，web应用程序成为信任的来源。如果B2C不生成或验证代币，那么B2C还有什么意义？看起来我在应用程序上添加了一个额外的攻击面。我们使用B2C的原因之一是，我们不必处理授权的危险。还是我看错了 我正在考虑的另一个选择是。它确实使用B2C作为信任源，但并不打算创建用户令牌。它用于用父应用程序验证一个应用程序。尝试使用这样的海外建筑运营管理局访问令牌

我使用B2C自定义流。如果用户尝试使用过期密码（超过90天）登录，则会显示消息“密码已过期”。如何自定义此邮件。我在本地化字符串ID列表中找不到此消息。据我所知，本地帐户没有密码过期策略。您是否在未将PasswordPolicys属性设置为的情况下创建了本地帐户DisablePasswordExpiration 1.如果本地帐户是通过内置密码策略创建的，则此策略将PasswordPolicys属性设置为DisablePasswordExpiration 2.如果通过自定义策略或Azure AD

我正在设计一个单页应用程序（SPA）和API，它将支持多个租户，包括在同一个客户端浏览器中。想象一下类似于Azure门户的体验，用户可以在他们登录Azure广告的身份之间切换，但在本例中，我使用的是Azure广告B2C。所有登录都通过单个Azure AD B2C实例进行。重要的是，租户之间不一定要相互了解，因为他们是白标的——用户可能会被重定向到https://multitenant.app/tenantA并通过B2C登录，当被引导到https://multitenant.app/tenantB

我已使用此处描述的策略设置了我们的B2C租户，以尝试使此示例正常工作： 但是，运行PasswordReset流可以 a） 似乎没有按照TrustFrameworkExtensions.xml文件中的指定从blob存储中提取selfAsserted.html b） 允许我重置密码，但从发送重置电子邮件msonlineservicesteam@microsoftonline.com并且不尝试查询自定义API端点 我想我遗漏了一些明显的东西……。我会记下这个样本。 它被这个取代了 这是因为密码重置页

自定义属性已添加到声明中，但未保存到用户配置文件中 我在ADB2C用户属性中添加了自定义属性empid，并试图在用户注册时通过调用REST-API保存该属性，如下所示 API调用成功，声明数据根据API结果更新，但用户配置文件结果未更改 用户旅程 <UserJourney Id="SignUpTDNA"> <OrchestrationSteps> <OrchestrationStep Order="

我补充说 识别类型 一串 落选 解释如下：。我做了那个例子 我需要使用带有两个字段的用户名，因此身份验证将如下图所示： 在用户配置文件中，我组合了两个字段：类型（ddl字段）和用户名： 因此，基本上，我需要实现的是使用两个字段的用户名进行身份验证，在用户名字段中合并这两个值（因此它是唯一的）。有人经历过吗？您能解释一下您是在根据Azure AD还是外部IDP对用户进行身份验证吗？IDP使用什么协议？您是否会将此声明发送给该IDP进行身份验证（以及其他声明，如用户名、密码等）？您好，我使用了

是否可以使用Graph API在Azure AD B2C中创建LinkedIn用户 我可以看到，当我使用托管页面创建LinkedIn用户时，以下用户是在目录中创建的 但当我查询users端点时，我在user对象上看不到任何表示他是LinkedIn用户的属性。它不是LinkedIn用户。该用户使用LinkedIn作为身份提供商，在Azure AD B2C中创建了一个帐户 对于您来说，作为Azure AD B2C管理员，用户在何处进行身份验证并不重要。您不能使用固定身份提供商创建用户帐户。它不是L

我目前正在使用基于手机的MFA，并使用Identity Framework体验创建自定义流。我如何扩展它以使用硬件令牌，或基于应用程序的身份验证程序，如Google或Microsoft Authenticator。您可以使用 当Microsoft预览带有Azure多因素身份验证的硬件誓言令牌时 要求： 以下是完成此任务的先决条件： Azure AD Premium P1或P2许可证 令牌2硬件令牌 令牌设备的CSV文件。您将收到一封电子邮件，其中包含确认交付的CSV* 用于CSV的设备 因为

Javascript在客户端被禁用，尽管我已经根据文档添加了以下内容 <RelyingParty> <DefaultUserJourney ReferenceId="B2CSignUpOrSignInWithPassword" /> <UserJourneyBehaviors> <ScriptExecution>Allow</ScriptExecution> </UserJourneyBehaviors>

MSAL js版本：v0.2.4 Chrome版本：79.0.3945.88（官方版本）（64位） 从各种帖子中可以了解到，由于cookie堆积，我们看到“400个坏请求-请求头太长”，但这并不是在我所有的开发人员环境中都会发生的。 我想知道，为什么不是本地环境（从VS代码运行），而是部署环境（Azure应用程序服务） 我可以将MSAL包更新到最新版本，但同时以前它在已部署的环境中运行良好，但现在不行，为什么 是否存在与范围错误消息（AADB2C90055）的任何连接，该消息具有“错误请求-请求

我已使用OpenIdConnect提供程序（是Azure广告）配置了内置策略： 它工作正常（我可以在第一次创建帐户时连接到我的帐户）。 现在，我已经创建了一个自定义策略，该策略还包含一个具有完全相同参数的OpenIdConnect提供程序（链接到相同的Azure AD）。 但是当我测试自定义策略时，它会创建一个新帐户，而忽略内置策略已经创建的帐户。但这是同一个Azure广告背后 我想要实现的是使用Azure门户上创建的提供程序制定自定义策略。 你认为这可能吗？ 谢谢你的帮助：）好的，谢谢@Chr

在MFA和密码重置期间，是否有办法延长通过电子邮件发送的OTP代码的过期时间？我的用户在8分钟后收到电子邮件，当他们使用该代码时，该代码已过期。实际默认值是多少？有没有一种方法可以利用这里描述的OTP技术概要？我认为默认的过期时间取决于您将它们发送到代码的方法 从文档中可以看出，发送OTP的最可定制的方法是使用您在问题中链接的OTP协议提供商 此协议提供程序有一个特定的元数据项，可以为过期时间（CodeExpirationInSeconds）设置。最小值是60，最大值是1200，默认值是600

当使用MFA的phone factor技术配置文件时，3个错误代码输入后的默认行为是将用户重定向回指定的URI，并出现一个错误，表示已超过MFA的最大重试次数。但是，电子邮件MFA的默认行为是简单地显示一条错误消息，并为用户提供发送新代码或取消的选项 有没有办法指定手机MFA允许的重试次数，或者指定手机MFA应该在模板中显示错误，而不使用错误代码重定向 我的phonefactor技术配置文件： 音素 api.phonefactor 真的 手机MFA中的示例错误：今天刚刚遇到此问题，并且面临相

在“b2clogin.com”新域中，当广告用户单击广告按钮登录（打开ID登录）时，他/她将进入Microsoft Active Directory登录 {租户}/ 在“microsoftonline.com”域中，您可以传递Login\u hint参数以预填充用户名/电子邮件，但如何从一开始就在b2clogin.com中传递它 我能够通过神奇的代码覆盖javascript（在b2clogin.com页面中，当点击广告按钮时）： //重定向时向广告登录添加电子邮件地址 $i2e.\u curre

我有一个Blazor应用程序（可能是任何web应用程序），它使用Microsoft.Graph从AD B2C检索用户数据。但是检索到的用户的所有属性都为null。我已授予User.Read.All权限。这是我的密码： IConfidentialClientApplication confidentialClientApplication = ConfidentialClientApplicationBuilder .Create(_adB2CSetting

我已经将Azure AD B2C设置为允许用户使用此处描述的自定义策略从“常规”AAD目录进行身份验证。在一个场景中，我希望用户进行注册（使用其AAD凭据进行身份验证，在AAD B2C目录中创建相应的对象，并将objectidentifier作为声明传递给我的应用程序），而不提供任何进一步的信息。从这些例子开始，我不知道如何完全跳过自我主张步骤。我尝试过的两种方法是 1） 消除自我主张的社会权利变更，以及 2） 修改（实际上，复制到TrustFrameworkExtensions、重命名和编辑）

我创建了一个资源所有者策略，下载并修改了它。现在，我想将其作为自定义策略上传。这可能吗？我收到的错误消息使我怀疑： 租户中的“B2C_1A_B2C_1_会话清理授权”策略 “ABCABC-CABC-ABCA-ABCA-ABCABC543”被阻止继承 以“b6291105-4814-4453-831c-7aba93c480b2”为基础的政策 策略约束处理程序“B2CBasicPoliciesOnly”无法与 将策略id设置为前缀或已注册的策略id 不幸的是，这是不可能的，您必须实现这一点 可以在中

我使用Microsoft（）的本演练将RESTful API声明交换配置为TrustFrameworkExtensions.xml文件中的技术配置文件。我通过各种InputClaims，如objectId、电子邮件等。它工作正常。问题是，我有多个自定义策略使用TrustFrameworkExtensions.xml作为基本策略，并且我希望传递给RESTful API，该自定义策略通过发送PolicyId作为参数来调用RESTful API 我尝试添加InputClaim如下： <Input

我正在探索Azure AD B2C场景，但XML策略及其技术术语对我来说非常复杂 我正在为基于用户名和密码的现有系统配置Azure AD B2C策略。 在现有系统中生成的唯一用户名和唯一ID 因此，我需要配置Azure AD B2C注册和登录 在注册之前，需要进行RESTAPI调用，以从其他系统获取员工的唯一ID 仅使用用户名 注册时将EmployeeId存储在Azure B2C目录中，需要检查B2C目录中唯一的EmployeeId MFA使用带有用户名的电子邮件或电话。用户可以选择任一选项