Podporované funkce pracovních sil a externích tenantů
Existují dva způsoby konfigurace tenanta Microsoft Entra v závislosti na tom, jak organizace hodlá tenanta používat, a prostředky, které chtějí spravovat:
- Konfigurace tenanta pracovních sil je určená pro zaměstnance, interní obchodní aplikace a další organizační prostředky. Spolupráce B2B se používá v tenantovi pracovních sil ke spolupráci s externími obchodními partnery a hosty.
- Konfigurace externího tenanta se používá výhradně pro scénáře externího ID, ve kterých chcete publikovat aplikace pro spotřebitele nebo firemní zákazníky.
Tento článek poskytuje podrobné porovnání funkcí a možností dostupných v pracovních silách a externích tenantech.
Poznámka:
Ve verzi Preview nejsou funkce nebo možnosti, které vyžadují licenci Premium, dostupné v externích tenantech.
Obecné porovnání funkcí
Následující tabulka porovnává obecné funkce a možnosti dostupné pracovníkům a externím tenantům.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Scénář externích identit | Umožňuje obchodním partnerům a dalším externím uživatelům spolupracovat s vašimi pracovníky. Hosté můžou bezpečně přistupovat k firemním aplikacím prostřednictvím pozvánek nebo samoobslužné registrace. | K zabezpečení aplikací použijte externí ID. Spotřebitelé a firemní zákazníci můžou bezpečně přistupovat k vašim uživatelským aplikacím prostřednictvím samoobslužné registrace. Podporují se také pozvánky . |
| Místní účty | Místní účty jsou podporované jenom pro interní členy vaší organizace. | Místní účty jsou podporované pro: - Externí uživatelé (spotřebitelé, firemní zákazníci), kteří používají samoobslužnou registraci. – Účty vytvořené správci. |
| Skupiny | Skupiny je možné použít ke správě účtů pro správu a uživatele. | Skupiny je možné použít ke správě účtů pro správu. Podpora skupin Microsoft Entra a aplikačních rolí probíhá postupně do tenantů zákazníků. Nejnovější aktualizace najdete v tématu Podpora skupin a rolí aplikací. |
| Role a správci | Role a správci jsou plně podporovány pro účty pro správu a uživatele. | U zákaznických účtů se role nepodporují. Zákaznické účty nemají přístup k prostředkům tenanta. |
| Vlastní názvy domén | Vlastní domény můžete používat jenom pro účty pro správu. | Aktuálně se nepodporuje. Adresy URL viditelné pro zákazníky při registraci a přihlašovací stránky jsou neutrální a neoznačené adresy URL. Další informace |
| Ochrana identit | Poskytuje průběžné zjišťování rizik pro vašeho tenanta Microsoft Entra. Umožňuje organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. | K dispozici je podmnožina detekce rizik microsoft Entra ID Protection. Další informace. |
| Rozšíření vlastního ověřování | Přidání deklarací identity z externích systémů | Přidání deklarací identity z externích systémů |
| Přizpůsobení tokenu | Přidání atributů uživatele, vlastního rozšíření ověřování , transformace deklarací identity a členství ve skupinách zabezpečení k deklaracím tokenů | Přidejte do deklarací identity tokenů atributy uživatele, vlastní rozšíření ověřování a členství ve skupinách zabezpečení.Další informace |
| Samoobslužné resetování hesla | Umožňuje uživatelům resetovat heslo pomocí až dvou metod ověřování (viz další řádek dostupných metod). | Umožňuje uživatelům resetovat heslo pomocí e-mailu s jednorázovým heslem. Další informace. |
| Vlastní nastavení jazyka | Přizpůsobte si přihlašovací prostředí na základě jazyka prohlížeče, když se uživatelé ověřují ve vašich podnikových intranetových nebo webových aplikacích. | Pomocí jazyků můžete upravit řetězce zobrazené zákazníkům v rámci procesu přihlašování a registrace. Další informace. |
| Vlastní atributy | Pomocí atributů rozšíření adresáře můžete do adresáře Microsoft Entra ukládat další data pro uživatelské objekty, skupiny, podrobnosti tenanta a instanční objekty. | Pomocí atributů rozšíření adresáře můžete ukládat více dat v adresáři zákazníka pro objekty uživatele. Vytvořte vlastní atributy uživatele a přidejte je do toku uživatele pro registraci. Další informace. |
Zprostředkovatelé identit a metody ověřování
Následující tabulka porovnává zprostředkovatele identit a metody dostupné pro primární ověřování a vícefaktorové ověřování (MFA) u pracovníků a externích tenantů.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Zprostředkovatelé identit pro externí uživatele | Pro hosty samoobslužné registrace: - Účty Microsoft Entra - Účty Microsoft - E-mail jednorázové heslo - Federace Google - Federace Facebooku Pozvaní hosté: - Účty Microsoft Entra – Účty Microsoft – Jednorázové heslo e-mailu – Federace Google – SAML/WS-Fed federation |
Pro uživatele samoobslužné registrace (uživatelé, firemní zákazníci): - E-mail s heslem- Jednorázový přístupový kód - Google Federation (Preview) - Federace Facebooku (Preview) |
| Metody ověřování | Interní uživatelé (zaměstnanci a správci): - Metody ověřování a ověřování pro hosty (pozvaná nebo samoobslužná registrace): - Metody ověřování pro vícefaktorové ověřování hosta |
Pro uživatele samoobslužné registrace (uživatelé, firemní zákazníci): - Jednorázové heslo pro vícefaktorové ověřování e-mailem |
Registrace aplikace
Následující tabulka porovnává funkce dostupné pro registraci aplikací v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Protokol | Předávající strany SAML, openID Připojení a OAuth2 | OpenID Připojení a OAuth2 |
| Podporované typy účtů | Následující typy účtů:
|
Vždy používejte účty pouze v tomto organizačním adresáři (jeden tenant). |
| Platforma | Následující platformy:
|
Následující platformy:
|
| Identifikátory URI pro přesměrování ověřování> | Identifikátor URI Microsoft Entra ID přijímá jako cíle při vracení odpovědí na ověřování (tokenů) po úspěšném ověření nebo odhlášení uživatelů. | Stejně jako pracovníci. |
| Adresa URL odhlášení z front-kanálu ověřování> | Tato adresa URL je místo, kde Microsoft Entra ID odesílá požadavek, aby aplikace vymaže data relace uživatele. Aby jednotné odhlášení fungovalo správně, je vyžadována adresa URL odhlášení front-channel. | Stejně jako pracovníci. |
| Implicitní udělení ověřování>a hybridní toky | Požádejte o token přímo z autorizačního koncového bodu. | Stejně jako pracovníci. |
| Certifikáty a tajné kódy | Stejně jako pracovníci. | |
| Konfigurace tokenu |
|
|
| Oprávnění rozhraní API | Přidání, odebrání a nahrazení oprávnění k aplikaci Po přidání oprávnění do aplikace musí uživatelé nebo správci udělit souhlas s novými oprávněními. Přečtěte si další informace o aktualizaci požadovaných oprávnění aplikace v ID Microsoft Entra. | Následující oprávnění jsou povolená: Microsoft Graph offline_access, openida User.Read vaše delegovaná oprávnění rozhraní API. Jménem organizace může souhlasit jenom správce. |
| Zveřejnění rozhraní API | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat uživatele nebo správce o souhlas s jedním nebo více z těchto oborů. | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat správce o souhlas s jedním nebo více z těchto oborů. |
| Role aplikací | Role aplikací jsou vlastní role pro přiřazení oprávnění uživatelům nebo aplikacím. Aplikace definuje a publikuje aplikační role a během autorizace je interpretuje jako oprávnění. | Stejně jako pracovníci. Přečtěte si další informace o používání řízení přístupu na základě role pro aplikace v externím tenantovi. |
| Majitelé | Vlastníci aplikací můžou zobrazit a upravit registraci aplikace. Kromě toho může každý uživatel (který nemusí být uveden) s oprávněními správce ke správě jakékoli aplikace (například Cloud Application Správa istrator) zobrazit a upravit registraci aplikace. | Stejně jako pracovníci. |
| Role a správci | Správa istrativní role slouží k udělení přístupu k privilegovaným akcím v MICROSOFT Entra ID. | Pro aplikace v externích tenantech je možné použít pouze roli Správa istratoru cloudových aplikací. Tato role umožňuje vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací. |
| Přiřazení uživatelů a skupin k aplikaci | Pokud se vyžaduje přiřazení uživatelů, mohou se přihlásit jenom ti uživatelé, které k aplikaci přiřadíte (buď přímým přiřazením uživatelů, nebo na základě členství ve skupinách). Další informace najdete v tématu správa přiřazení uživatelů a skupin k aplikaci. | Není k dispozici |
Toky OpenID Připojení a OAuth2
Následující tabulka porovnává funkce dostupné pro OAuth 2.0 a OpenID Připojení toky autorizace v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| OpenID Connect | Ano | Yes |
| Autorizační kód | Ano | Yes |
| Autorizační kód pomocí výměny kódu (PKCE) | Ano | Yes |
| Přihlašovací údaje klienta | Ano | Aplikace v2.0 |
| Autorizace zařízení | Yes | No |
| Tok On-Behalf-Of | Ano | Yes |
| Implicitní udělení | Ano | Yes |
| Přihlašovací údaje pro heslo vlastníka prostředku | Yes | No |
Adresa URL autority v tocích OpenID Připojení a OAuth2
Adresa URL autority je adresa URL, která označuje adresář, ze kterého může msAL požadovat tokeny. Pro aplikace v externích tenantech vždy použijte následující formát: <název>_tenanta.ciamlogin.com
Následující JSON ukazuje příklad nastavení aplikace .NET s adresou URL autority:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Podmíněný přístup
Následující tabulka porovnává funkce dostupné pro podmíněný přístup v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Přiřazení | Uživatelé, skupiny a identity úloh | Zahrnout všechny uživatele a vyloučit uživatele a skupiny. Další informace najdete v tématu Přidání vícefaktorového ověřování (MFA) do aplikace. |
| Cílové prostředky | ||
| Podmínky | ||
| Grant | Udělení nebo blokování přístupu k prostředkům | |
| Relace | Ovládací prvky relace | Není k dispozici |
Správa účtů
Následující tabulka porovnává funkce dostupné pro správu uživatelů v každém typu tenanta. Jak je uvedeno v tabulce, určité typy účtů se vytvářejí prostřednictvím pozvánky nebo samoobslužné registrace. Správce uživatele v tenantovi může také vytvářet účty prostřednictvím Centra pro správu.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Typy účtů |
|
|
| Správa informací o profilu uživatele | Programově a pomocí Centra pro správu Microsoft Entra. | Stejně jako pracovníci. |
| Resetování hesla uživatele | Správa istrátory můžou resetovat heslo uživatele, pokud je heslo zapomenuté, pokud se uživatel zamkne ze zařízení nebo pokud uživatel nikdy nepřijal heslo. | Stejně jako pracovníci. |
| Obnovení nebo odebrání nedávno odstraněných uživatelů | Po odstranění uživatele zůstane jeho účet po dobu 30 dnů v pozastaveném stavu. Během tohoto 30denního období je možné uživatelský účet obnovit i se všemi jeho vlastnostmi. | Stejně jako pracovníci. |
| Zakázání účtů | Zabránit tomu, aby se nový uživatel mohl přihlásit. | Stejně jako pracovníci. |
Ochrana hesel
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Inteligentní uzamčení | Inteligentní uzamčení pomáhá zamknout chybné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostaly do systému. | Stejně jako pracovníci. |
| Vlastní zakázaná hesla | Seznam vlastních zakázaných hesel společnosti Microsoft Entra umožňuje přidat konkrétní řetězce pro vyhodnocení a blokování. | Není k dispozici. |