咱们先直接给出结论：是的，你可以用Azure Application Gateway为Azure AD B2C配置自定义域名，但两者的核心差异（以及一些细节功能）会直接影响你的场景适配性，不能只看全局/区域这一点。

下面拆解几个关键差异，帮你判断哪种方案更适合：

1. 全局vs区域覆盖（你提到的核心差异） #

• Azure Front Door是全球分布式边缘服务：用户访问会被路由到最近的Azure边缘节点，能大幅降低全球用户的访问延迟，同时自带全球冗余，单区域故障不影响服务。
• Azure Application Gateway是区域级服务：只能覆盖单个Azure区域内的流量，用户如果在其他区域访问，延迟会明显更高；如果所在区域出现故障，服务会中断（除非你额外搭配Traffic Manager做跨区域冗余，但复杂度会大幅提升）。

如果你的用户群体是全球性的，Front Door的全局属性就非常重要；如果用户集中在单一区域，这个差异影响不大。

2. Azure AD B2C集成的细节差异 #

两者都支持绑定自定义域名，但配置逻辑有区别：

• Front Door和Azure AD B2C有官方集成流程，配置时可以直接关联B2C租户，自动处理部分路由和证书验证逻辑。
• Application Gateway需要手动完成以下步骤：
  • 将后端池指向你的Azure AD B2C官方域名（比如yourtenant.b2clogin.com）
  • 绑定自定义域名的SSL证书（必须是覆盖该自定义域名的有效证书）
  • 配置路由规则，确保所有HTTP流量重定向到HTTPS，并且正确传递请求头和Cookie（B2C的认证流程依赖Cookie，不能丢失）
  • 提前在Azure AD B2C租户中注册该自定义域名（这一步和Front Door是一致的）

3. 附加功能差异 #

• WAF防护：Front Door的WAF是全局部署的，能拦截全球范围内的恶意流量；Application Gateway的WAF是区域级的，防护范围仅限所在区域。
• 缓存与加速：Front Door可以缓存B2C的静态资源（比如登录页面的样式、脚本），进一步提升全球用户的访问速度；Application Gateway的缓存功能有限，主要针对后端服务的响应缓存，对B2C场景的优化不如Front Door。
• 路由灵活性：Front Door支持基于地理区域、路径、请求头的复杂路由规则；Application Gateway更偏向于区域内的负载均衡，路由规则相对基础。

总结建议 #

• 如果你需要全球用户低延迟访问、高SLA、全局WAF防护，建议保留Azure Front Door，它的全局属性在这个场景下价值很高。
• 如果你的用户集中在单一Azure区域，且更看重区域内的精细流量控制（比如和同区域的其他Azure服务深度集成），那么Application Gateway是可行的替代方案，但要注意手动配置时的细节（证书、路由、Cookie传递）。

内容的提问来源于stack exchange，提问作者Ben