Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: 
Inquilinos externos (más información)
Decida qué enfoque de migración es adecuado para el inquilino de AD B2C de Azure antes de comenzar la implementación. Este artículo le ayuda a elegir entre la migración estándar y el modo de compatibilidad a gran escala (HSC), comprender los puntos de decisión clave y encontrar el siguiente paso correcto. Este artículo es para los clientes existentes de Azure AD B2C que planean migrar. Los nuevos clientes que evalúan Id. externa de Microsoft Entra deben consultar Planificación de su solución.
Importante
Antes de elegir un enfoque, revise las limitaciones de características y servicios que se aplican a Id. externa de Microsoft Entra y las limitaciones adicionales que se aplican en el modo HSC. Algunas funcionalidades de Azure AD B2C (por ejemplo, proveedores de identidades sociales, contraseñas de paso, restricción por edad y ciertos escenarios de acceso condicional) no están disponibles en el modo HSC actualmente. Consulte Limitaciones del modo HSC y Compatibilidad de funcionalidades mediante el modo de escala e implementación.
En este artículo, aprenderá a:
- Comparación de los enfoques de migración disponibles (compatibilidad estándar y de alta escala)
- Comprender los puntos de decisión clave y los criterios de idoneidad
- Revisión de las limitaciones del modo HSC y la disponibilidad de características
- Revisar una vista de fase a fase de cómo funciona la coexistencia
- Búsqueda de vínculos a instrucciones de configuración para el enfoque elegido
Elección de un enfoque de migración
La primera decisión es el enfoque de migración que se va a usar. La mayoría de los clientes deben usar el enfoque estándar. El modo de compatibilidad a gran escala (HSC) solo es relevante si el inquilino supera umbrales de escala específicos y puede aceptar sus limitaciones funcionales.
- Migración estándar. Recomendado para la mayoría de los clientes. Migras a los usuarios y las credenciales a un nuevo entorno de ID externo y transfieres las aplicaciones.
- Modo de compatibilidad a gran escala (HSC). Para instancias muy grandes de Azure AD B2C con más de 5 millones de objetos de directorio. Los usuarios y las credenciales existentes se mantienen en su lugar y se migran las aplicaciones en fases.
Determinar si se aplica la migración del modo de compatibilidad a gran escala (HSC)
Use el siguiente árbol de decisión para comprobar si el inquilino es apto para el modo HSC.
La migración del modo HSC puede ser una buena opción si se cumplen todas las siguientes opciones:
- Es un cliente de Azure AD B2C existente.
- El inquilino contiene aproximadamente 5 millones o más objetos de directorio (usuarios, grupos y aplicaciones).
- Ha revisado y aceptado las limitaciones funcionales del modo HSC.
Resumen de la decisión
| Migración estándar | Migración en modo de compatibilidad a gran escala (HSC) |
|---|---|
|
Mejor para: La mayoría de los inquilinos Desencadenador típico: por debajo de umbrales a gran escala Enfoque de identidad: planee la migración de usuarios (y, cuando sea necesario, las credenciales) como parte del traslado al identificador externo. Coexistencia: no diseñada para operaciones en paralelo de larga duración a gran escala Cobertura de características: compatibilidad más amplia |
Mejor para: Inquilinos B2C muy grandes de Azure AD Desencadenador típico: ~5 millones de objetos de directorio y restricciones controladas por escala Enfoque de identidad: mantenga implementados los usuarios y las credenciales existentes durante la migración de aplicaciones en fases Coexistence: Azure AD B2C y Identidad Externa se ejecutan en paralelo en el mismo tenant y puede requerir actualizaciones de esquema Cobertura de características: Brechas significativas de características en la actualidad: ningún proveedor de identidad social, sin claves de paso, sin control de acceso por edad, sin interfaz del portal de administración y acceso condicional limitado. Consulte Limitaciones del modo HSC. |
Si el inquilino cumple los criterios de idoneidad del modo HSC, revise ambos enfoques a continuación antes de decidir. Es posible que el enfoque estándar siga siendo el mejor ajuste en función de los requisitos de tus funciones.
Si el inquilino no cumple los criterios de idoneidad del modo HSC, use el enfoque de migración estándar. El modo HSC no proporciona ninguna ventaja adicional por debajo de los umbrales a gran escala.
Enfoque de migración estándar
Se recomienda el enfoque de migración estándar para la mayoría de Azure clientes de AD B2C. Está pensado para inquilinos que pueden migrar usuarios (y, cuando sea necesario, credenciales) y mover aplicaciones a Id. externa de Microsoft Entra sin necesidad de un comportamiento de coexistencia a gran escala.
Lo que migra en el enfoque estándar
En el enfoque estándar, migrará las identidades y aplicaciones a un nuevo tenant de Id. externa de Microsoft Entra. Esto suele incluir:
- Creación del inquilino de destino y configuración de seguridad, cumplimiento y supervisión
- Registro de aplicaciones y configuración de flujos de usuario
- Migración de datos de usuario desde la entidad existente
- Conservación de contraseñas (si es necesario)
- Cortar aplicaciones a ID externo
Patrones comunes de migración
- Migración masiva de usuarios y después migración masiva de aplicaciones: los usuarios se migran con antelación al identificador externo y las aplicaciones se actualizan para autenticarse en el identificador externo.
- Migración masiva de usuarios con migración de contraseña Just-In-Time (JIT): los usuarios se migran primero a la ID externa y, a continuación, la validación o migración de contraseñas se produce durante el inicio de sesión o el restablecimiento de contraseña durante un período de coexistencia con límite de tiempo.
- Migración iniciada por Azure AD B2C: Las aplicaciones inicialmente continúan autenticándose a través de tu antiguo tenant B2C mientras las contraseñas se migran progresivamente en segundo plano, y luego las aplicaciones pasan a ID externo.
Considerations
Antes de iniciar la implementación, revise las siguientes áreas de alto nivel:
- Lógica de negocios personalizada: identifique la lógica de directiva personalizada, el modelado de tokens o notificaciones y las dependencias de nivel inferior que debe volver a crear.
- Experiencia del usuario: revise las personalizaciones actuales de la experiencia de usuario de inicio de sesión y decida qué experiencia de identificador externo se va a usar.
- Proveedores de identidades: enumera los proveedores de identidades sociales y empresariales y los requisitos de federación.
- Controles de acceso: tenga en cuenta las directivas y condiciones de acceso condicional que deben ser equivalentes después de la migración.
- Cambios en el nivel de aplicación: la migración requiere cambios en el nivel de aplicación, no solo en el nivel de inquilino. Cada aplicación debe actualizarse para usar puntos de conexión de identificador externo y validar los tokens en consecuencia. Si el inquilino contiene aplicaciones propiedad de terceros (por ejemplo, inquilinos de ISV en los que los clientes registran sus propias aplicaciones), coordínense con esos propietarios de aplicaciones lo antes posible. No se puede completar la migración hasta que se actualice cada aplicación.
- Automatización y Operaciones: Planear operaciones del ciclo de vida basadas en Microsoft Graph, supervisión y guías operativas.
Limitaciones conocidas
Algunas funciones de Azure AD B2C no están disponibles (o aún no están totalmente disponibles) en Id. externa de Microsoft Entra. Revise estos antes de comprometerse con un plan de migración.
- Age gating: Los inquilinos de Azure AD B2C que utilizan directivas personalizadas para derivar o almacenar atributos basados en la edad (como la clasificación de menor o mayor de edad) necesitan planificar enfoques alternativos. Las restricciones de acceso por edad no son compatibles actualmente con Id. externa de Microsoft Entra.
- Directivas personalizadas (IEF): la lógica de directivas personalizadas debe volver a crearse mediante extensiones de autenticación personalizadas. No se garantiza la paridad uno a uno.
Para obtener la lista completa de los límites de servicio y las diferencias de funcionalidad, consulte Límites y restricciones del servicio.
Cuándo elegir la migración estándar
- No se requiere la operación simultánea de larga duración de Azure AD B2C y External ID.
- Quieres la mayor compatibilidad de funciones al mover identidades y aplicaciones a ID externo.
Instrucciones de configuración
Si ha decidido usar el enfoque de migración estándar, continúe Migrate de Azure AD B2C a Id. externa de Microsoft Entra para obtener instrucciones sobre cómo configurar un nuevo inquilino y migrar los usuarios y las credenciales de Azure AD B2C al nuevo entorno.
Enfoque de migración del modo de compatibilidad a gran escala (HSC)
El modo de compatibilidad a gran escala (HSC) es un enfoque especializado para entidades muy grandes de Azure AD B2C. Permite adoptar los endpoints y características de Id. externa de Microsoft Entra al mismo tiempo que mantiene sus usuarios y credenciales existentes, por lo que puede migrar aplicaciones en fases.
Funcionamiento del modo HSC
En el modo HSC, Azure AD B2C y Id. externa de Microsoft Entra se ejecutan en paralelo en el mismo inquilino. Las aplicaciones existentes pueden seguir usando endpoints B2C de Azure AD mientras trasladas nuevas aplicaciones o las que has migrado a endpoints de ID externo.
Por qué elegir el modo HSC
El modo HSC está pensado para los inquilinos en los que una migración completa de usuarios y credenciales sería de alto riesgo o difícil de completar en una sola operación. Esto le permitirá realizar lo siguiente:
- Conserve las credenciales y usuarios de B2C existentes sin interrupciones.
- Siga admitiendo aplicaciones B2C heredadas junto con aplicaciones nuevas o migradas mediante el identificador externo.
- Controlar el ritmo y el ámbito de la migración, lo que permite una transición por fases en todas las aplicaciones según las necesidades empresariales.
Antes de habilitar el modo HSC, confirme la idoneidad, revise las limitaciones y valide los escenarios de emisión de tokens y de inicio de sesión clave con un pequeño conjunto de aplicaciones. En las secciones siguientes se resume cada requisito previo.
Confirmación de la idoneidad del inquilino
Su inquilino es elegible para el modo HSC si supera la cuota de objetos requerida (aproximadamente 5 millones de objetos de directorio). Puede comprobar el uso actual a través del tipo de recurso Graph API directoryObject. Para obtener más información, consulte tipo de recurso directoryObject.
Si el inquilino no supera esta cuota de objetos, el modo HSC no proporciona ninguna ventaja adicional y se recomienda el enfoque de migración estándar.
Revisión de las limitaciones y la alineación de la hoja de ruta
Importante
El modo HSC solo es adecuado si puede aceptar limitaciones que se aplican a gran escala. Revise la sección limitaciones del modo HSC siguiente antes de habilitar el modo HSC o migrar aplicaciones adicionales.
Algunas limitaciones son fundamentales para operar a gran escala y existen actualmente en Azure AD B2C. Estas mismas restricciones se aplican al ejecutar el identificador externo en modo HSC. Para obtener una lista completa, consulte Soporte de capacidades por escala y modo de implementación.
Requisitos de la aplicación para el modo HSC
Al migrar aplicaciones a un identificador externo en modo HSC, se aplican los siguientes requisitos:
- Cree nuevos registros de aplicaciones. No reutilice los registros de aplicaciones de Azure AD B2C existentes. El identificador externo requiere nuevos registros debido a las diferencias en las propiedades de la aplicación y la compatibilidad con la autenticación nativa.
- Utilice la configuración de inquilino único. Registre cada aplicación como inquilino único (solo cuentas en este directorio organizativo). No se admiten registros de aplicaciones multitenant para endpoints de ID externo.
Comprender cómo funciona la coexistencia
En el modo HSC, Azure AD B2C y Id. externa de Microsoft Entra se ejecutan en paralelo en el mismo inquilino. Las aplicaciones existentes siguen utilizando los puntos de conexión de Azure AD B2C, mientras que las aplicaciones nuevas o migradas utilizan puntos de conexión de ID Externo. Los usuarios y las credenciales se comparten entre ambas experiencias.
Fase 1: Todas las aplicaciones se ejecutan en los servicios B2C tal como están ahora.
Etapa 2: Tu inquilino está habilitado para el modo HSC en tu tenant B2C de Azure AD existente. Esto se realiza sin afectar a ninguna aplicación. Ahora puede migrar aplicaciones para que se ejecuten en servicios de ID externo, mientras que otras permanecen en B2C.
Etapa 3: Todas las aplicaciones se han trasladado completamente a External ID y tu inquilino está listo para la jubilación B2C de Azure AD.
Importante
La migración de aplicaciones siempre la realiza usted. El modo HSC no mueve automáticamente las aplicaciones.
Instrucciones de configuración
Si has decidido usar el modo de Compatibilidad de Alta Escala (HSC), sigue activando el modo Habilitar ID Externo Compatibilidad de Alta Escala (HSC) para instrucciones paso a paso sobre cómo habilitar el modo HSC para tu inquilino y orientación sobre cómo configurar tu entorno para la convivencia.
Si después de revisar las limitaciones del modo HSC prefiere el enfoque estándar, consulte Migrate de Azure AD B2C a Id. externa de Microsoft Entra.
Limitaciones del modo HSC
Revise detenidamente estas limitaciones antes de habilitar el modo HSC. Estos se aplican además de los límites generales del servicio ID externo. Algunas características pueden estar parcialmente disponibles, pero no se han validado completamente en modo HSC y las escalas de tiempo de disponibilidad de características pueden diferir entre el modo HSC y la implementación estándar. Consulte la hoja de ruta oficial para obtener el estado más reciente.
Autenticación y control de acceso
- Escenarios avanzados de acceso condicional, incluidos el contexto de autenticación, la autenticación paso a paso y los controles basados en sesión.
- Asignación de aplicaciones a través de grupos.
- Las claves de paso (FIDO2) no están disponibles actualmente en modo HSC. Están disponibles en implementaciones de Id. externa de Microsoft Entra estándar. Para la instalación, consulte Inicio de sesión con claves de acceso.
Integraciones de federación y ecosistema
- Proveedores de identidades sociales (Google, Facebook, Apple y cualquier otro proveedor de identidades sociales configurado en Azure AD B2C).
- Proveedores de identidades de terceros configurados a través de políticas personalizadas de Azure AD B2C.
- Federación personalizada de OIDC tal como se configura en las directivas personalizadas de Azure AD B2C (se admiten proveedores de identidades de OIDC empresariales).
Prevención de fraudes y seguridad
- La integración de protección contra fraudes de terceros para flujos de inicio de sesión y registro hospedados en web (basados en explorador) no se admite en modo HSC. Los flujos de API de autenticación nativa se pueden integrar con la protección contra fraudes de terceros mediante un firewall de aplicaciones web (WAF) delante de los puntos de conexión de autenticación nativos. Para obtener instrucciones de implementación, consulte Integración de la protección de bots de terceros con autenticación nativa e Integración de la protección de adquisición de cuentas de terceros con autenticación nativa.
Experiencia del usuario y cumplimiento
- Límites de edad. Los inquilinos B2C de Azure AD que utilizan políticas personalizadas para derivar o almacenar atributos basados en la edad (como clasificación menor o mayor) deben planificar enfoques alternativos.
Experiencia del portal de administración
- La configuración y gestión administrativas se realizan actualmente de forma programática utilizando Microsoft Graph y automatización.
Para consultar la comparación oficial de capacidades, véase Compatibilidad con capacidades por escala y modo de implementación.
Obtener ayuda de un asociado de migración
Microsoft trabaja con servicios y asociados de integración que se especializan en migraciones de Azure AD B2C a Id. externo de Microsoft Entra. Los asociados pueden ayudar con el asesoramiento, la implementación y la entrega dirigida por ingeniería en los enfoques de modo estándar y HSC. Para obtener una lista de asociados y cómo interactuar con ellos, consulte Servicios y asociados de integración para el identificador externo.