Podporované funkce pracovních sil a externích tenantů
Existují dva způsoby konfigurace tenanta Microsoft Entra v závislosti na tom, jak organizace hodlá tenanta používat, a prostředky, které chtějí spravovat:
- Konfigurace tenanta pracovních sil je určená pro zaměstnance, interní obchodní aplikace a další organizační prostředky. Spolupráce B2B se používá v tenantovi pracovních sil ke spolupráci s externími obchodními partnery a hosty.
- Konfigurace externího tenanta se používá výhradně pro scénáře externího ID, ve kterých chcete publikovat aplikace pro spotřebitele nebo firemní zákazníky.
Tento článek poskytuje podrobné porovnání funkcí a možností dostupných v pracovních silách a externích tenantech.
Poznámka:
Ve verzi Preview nejsou funkce nebo možnosti, které vyžadují licenci Premium, dostupné v externích tenantech.
Obecné porovnání funkcí
Následující tabulka porovnává obecné funkce a možnosti dostupné pracovníkům a externím tenantům.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Scénář externích identit | Umožňuje obchodním partnerům a dalším externím uživatelům spolupracovat s vašimi pracovníky. Hosté můžou bezpečně přistupovat k firemním aplikacím prostřednictvím pozvánek nebo samoobslužné registrace. | K zabezpečení aplikací použijte externí ID. Spotřebitelé a firemní zákazníci můžou bezpečně přistupovat k vašim uživatelským aplikacím prostřednictvím samoobslužné registrace. Podporují se také pozvánky. |
| Místní účty | Místní účty jsou podporované jenom pro interní členy vaší organizace. | Místní účty jsou podporované pro: - Externí uživatelé (spotřebitelé, firemní zákazníci), kteří používají samoobslužnou registraci. – Účty vytvořené správci. |
| Skupiny | Skupiny je možné použít ke správě účtů pro správu a uživatele. | Skupiny je možné použít ke správě účtů pro správu. Podpora skupin Microsoft Entra a aplikačních rolí probíhá postupně do tenantů zákazníků. Nejnovější aktualizace najdete v tématu Podpora skupin a rolí aplikací. |
| Role a správci | Role a správci jsou plně podporovány pro účty pro správu a uživatele. | U zákaznických účtů se role nepodporují. Zákaznické účty nemají přístup k prostředkům tenanta. |
| Ochrana identit | Poskytuje průběžné zjišťování rizik pro vašeho tenanta Microsoft Entra. Umožňuje organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. | K dispozici je podmnožina detekce rizik microsoft Entra ID Protection. Další informace. |
| Samoobslužné resetování hesla | Umožňuje uživatelům resetovat heslo pomocí až dvou metod ověřování (viz další řádek dostupných metod). | Umožňuje uživatelům resetovat heslo pomocí e-mailu s jednorázovým heslem. Další informace. |
| Vlastní nastavení jazyka | Přizpůsobte si přihlašovací prostředí na základě jazyka prohlížeče, když se uživatelé ověřují ve vašich podnikových intranetových nebo webových aplikacích. | Pomocí jazyků můžete upravit řetězce zobrazené zákazníkům v rámci procesu přihlašování a registrace. Další informace. |
| Vlastní atributy | Pomocí atributů rozšíření adresáře můžete do adresáře Microsoft Entra ukládat další data pro uživatelské objekty, skupiny, podrobnosti tenanta a instanční objekty. | Pomocí atributů rozšíření adresáře můžete ukládat více dat v adresáři zákazníka pro objekty uživatele. Vytvořte vlastní atributy uživatele a přidejte je do toku uživatele pro registraci. Další informace. |
Přizpůsobení vzhledu a chování
Následující tabulka porovnává funkce, které jsou k dispozici pro vzhled a chování pracovních sil a externích tenantů.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Branding společnosti | Můžete přidat firemní branding , který se vztahuje na všechna tato prostředí, a vytvořit tak konzistentní přihlašovací prostředí pro vaše uživatele. | Stejně jako pracovníci. Další informace |
| Vlastní nastavení jazyka | Přizpůsobte si přihlašovací prostředí podle jazyka prohlížeče. | Stejně jako pracovníci. Další informace |
| Vlastní názvy domén | Vlastní domény můžete používat jenom pro účty pro správu. | Funkce vlastní domény URL (Preview) pro externí tenanty umožňuje branding koncových bodů přihlašování aplikací s vlastním názvem domény. |
| Nativní ověřování pro mobilní aplikace | Není k dispozici | Nativní ověřování Microsoft Entra umožňuje mít plnou kontrolu nad návrhem přihlašování k mobilní aplikaci. |
Přidání vlastní obchodní logiky
Vlastní rozšíření ověřování umožňují přizpůsobit prostředí ověřování Microsoft Entra integrací s externími systémy. Rozšíření vlastního ověřování je v podstatě naslouchací proces událostí, který při aktivaci volá koncový bod rozhraní REST API, kde definujete vlastní obchodní logiku. Následující tabulka porovnává události vlastních rozšíření ověřování, které jsou k dispozici v pracovních silách a externích tenantech.
| Událost | Tenant pracovních sil | Externí tenant |
|---|---|---|
| TokenIssuanceStart | Přidání deklarací identity z externích systémů | Přidání deklarací identity z externích systémů |
| OnAttributeCollectionStart | Není k dispozici | Nastane na začátku kroku kolekce atributů registrace před vykreslením stránky kolekce atributů. Můžete přidat akce, jako jsou předvyplnění hodnot a zobrazení blokující chyby. Další informace |
| OnAttributeCollectionSubmit | Není k dispozici | Nastane během procesu registrace, jakmile uživatel zadá a odešle atributy. Můžete přidat akce, jako je ověření nebo úprava položek uživatele. Další informace |
Zprostředkovatelé identit a metody ověřování
Následující tabulka porovnává zprostředkovatele identit a metody dostupné pro primární ověřování a vícefaktorové ověřování (MFA) u pracovníků a externích tenantů.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Zprostředkovatelé identit pro externí uživatele | Pro hosty samoobslužné registrace: - Účty Microsoft Entra - Účty Microsoft - E-mail jednorázové heslo - Federace Google - Federace Facebooku Pozvaní hosté: - Účty Microsoft Entra – Účty Microsoft – Jednorázové heslo e-mailu – Federace Google – SAML/WS-Fed federation |
Pro uživatele samoobslužné registrace (uživatelé, firemní zákazníci): - E-mail s heslem- Jednorázový přístupový kód - Google Federation (Preview) - Federace Facebooku (Preview) |
| Metody ověřování | Interní uživatelé (zaměstnanci a správci): - Metody ověřování a ověřování pro hosty (pozvaná nebo samoobslužná registrace): - Metody ověřování pro vícefaktorové ověřování hosta |
Pro uživatele samoobslužné registrace (uživatelé, firemní zákazníci): - Jednorázové heslo pro vícefaktorové ověřování e-mailem |
Registrace aplikace
Následující tabulka porovnává funkce dostupné pro registraci aplikací v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Protokol | Předávající strany SAML, OpenID Connect a OAuth2 | OpenID Connect a OAuth2 |
| Podporované typy účtů | Následující typy účtů:
|
Vždy používejte účty pouze v tomto organizačním adresáři (jeden tenant). |
| Platforma | Následující platformy:
|
Následující platformy:
|
| Identifikátory URI pro přesměrování ověřování> | Identifikátor URI Microsoft Entra ID přijímá jako cíle při vracení odpovědí na ověřování (tokenů) po úspěšném ověření nebo odhlášení uživatelů. | Stejně jako pracovníci. |
| Adresa URL odhlášení z front-kanálu ověřování> | Tato adresa URL je místo, kde Microsoft Entra ID odesílá požadavek, aby aplikace vymaže data relace uživatele. Aby jednotné odhlášení fungovalo správně, je vyžadována adresa URL odhlášení front-channel. | Stejně jako pracovníci. |
| Implicitní udělení ověřování>a hybridní toky | Požádejte o token přímo z autorizačního koncového bodu. | Stejně jako pracovníci. |
| Certifikáty a tajné kódy | Stejně jako pracovníci. | |
| Oprávnění rozhraní API | Přidání, odebrání a nahrazení oprávnění k aplikaci Po přidání oprávnění do aplikace musí uživatelé nebo správci udělit souhlas s novými oprávněními. Přečtěte si další informace o aktualizaci požadovaných oprávnění aplikace v ID Microsoft Entra. | Následující oprávnění jsou povolená: Microsoft Graph offline_access, openida User.Read vaše delegovaná oprávnění rozhraní API. Jménem organizace může souhlasit jenom správce. |
| Zveřejnění rozhraní API | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat uživatele nebo správce o souhlas s jedním nebo více z těchto oborů. | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat správce o souhlas s jedním nebo více z těchto oborů. |
| Role aplikací | Role aplikací jsou vlastní role pro přiřazení oprávnění uživatelům nebo aplikacím. Aplikace definuje a publikuje aplikační role a během autorizace je interpretuje jako oprávnění. | Stejně jako pracovníci. Přečtěte si další informace o používání řízení přístupu na základě role pro aplikace v externím tenantovi. |
| Majitelé | Vlastníci aplikací můžou zobrazit a upravit registraci aplikace. Kromě toho může každý uživatel (který nemusí být uveden) s oprávněními správce ke správě jakékoli aplikace (například Správce cloudových aplikací), může zobrazit a upravit registraci aplikace. | Stejně jako pracovníci. |
| Role a správci | Role pro správu se používají k udělení přístupu k privilegovaným akcím v ID Microsoft Entra. | Pro aplikace v externích tenantech je možné použít jenom roli správce cloudových aplikací. Tato role umožňuje vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací. |
| Přiřazení uživatelů a skupin k aplikaci | Pokud se vyžaduje přiřazení uživatelů, mohou se přihlásit jenom ti uživatelé, které k aplikaci přiřadíte (buď přímým přiřazením uživatelů, nebo na základě členství ve skupinách). Další informace najdete v tématu správa přiřazení uživatelů a skupin k aplikaci. | Není k dispozici |
Toky OpenID Connect a OAuth2
Následující tabulka porovnává funkce dostupné pro toky autorizace OAuth 2.0 a OpenID Connect v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| OpenID Connect | Ano | Yes |
| Autorizační kód | Ano | Yes |
| Autorizační kód pomocí výměny kódu (PKCE) | Ano | Yes |
| Přihlašovací údaje klienta | Ano | Aplikace v2.0 (Preview) |
| Autorizace zařízení | Yes | No |
| Tok On-Behalf-Of | Ano | Yes |
| Implicitní udělení | Ano | Yes |
| Přihlašovací údaje pro heslo vlastníka prostředku | Ano | Ne, pro mobilní aplikace používejte nativní ověřování. |
Adresa URL autority v tocích OpenID Connect a OAuth2
Adresa URL autority je adresa URL, která označuje adresář, ze kterého může msAL požadovat tokeny. Pro aplikace v externích tenantech vždy použijte následující formát: <název>_tenanta.ciamlogin.com
Následující json ukazuje příklad souboru aplikace .NET appsettings.json s adresou URL autority:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Podmíněný přístup
Následující tabulka porovnává funkce dostupné pro podmíněný přístup v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Přiřazení | Uživatelé, skupiny a identity úloh | Zahrnout všechny uživatele a vyloučit uživatele a skupiny. Další informace najdete v tématu Přidání vícefaktorového ověřování (MFA) do aplikace. |
| Cílové prostředky | ||
| Podmínky | ||
| Grant | Udělení nebo blokování přístupu k prostředkům | |
| Relace | Ovládací prvky relace | Není k dispozici |
Správa účtů
Následující tabulka porovnává funkce dostupné pro správu uživatelů v každém typu tenanta. Jak je uvedeno v tabulce, určité typy účtů se vytvářejí prostřednictvím pozvánky nebo samoobslužné registrace. Správce uživatele v tenantovi může také vytvářet účty prostřednictvím Centra pro správu.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Typy účtů |
|
|
| Správa informací o profilu uživatele | Programově a pomocí Centra pro správu Microsoft Entra. | Stejně jako pracovníci. |
| Resetování hesla uživatele | Správci můžou resetovat heslo uživatele, pokud je heslo zapomenuté, pokud se uživatel zamkne ze zařízení nebo pokud uživatel nikdy nepřijal heslo. | Stejně jako pracovníci. |
| Obnovení nebo odebrání nedávno odstraněných uživatelů | Po odstranění uživatele zůstane jeho účet po dobu 30 dnů v pozastaveném stavu. Během tohoto 30denního období je možné uživatelský účet obnovit i se všemi jeho vlastnostmi. | Stejně jako pracovníci. |
| Zakázání účtů | Zabránit tomu, aby se nový uživatel mohl přihlásit. | Stejně jako pracovníci. |
Ochrana hesel
Následující tabulka porovnává funkce dostupné pro ochranu heslem v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Inteligentní uzamčení | Inteligentní uzamčení pomáhá zamknout chybné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostaly do systému. | Stejně jako pracovníci. |
| Vlastní zakázaná hesla | Seznam vlastních zakázaných hesel společnosti Microsoft Entra umožňuje přidat konkrétní řetězce pro vyhodnocení a blokování. | Není k dispozici. |
Přizpůsobení tokenu
Následující tabulka porovnává funkce, které jsou k dispozici pro přizpůsobení tokenu v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Mapování deklarací identity | Přizpůsobte deklarace identity vydané ve webovém tokenu JSON (JWT) pro podnikové aplikace. | Stejně jako pracovníci. Volitelné deklarace identity musí být nakonfigurovány prostřednictvím atributů a deklarací identity. |
| Transformace deklarací identity | Použijte transformaci na atribut uživatele vydaný ve webovém tokenu JSON (JWT) pro podnikové aplikace. | Stejně jako pracovníci. |
| Vlastní zprostředkovatel deklarací identity | Vlastní rozšíření ověřování, které volá externí rozhraní REST API pro načtení deklarací identity z externích systémů | Stejně jako pracovníci. Další informace |
| Skupiny zabezpečení | Konfigurace volitelných deklarací identity skupin | Konfigurace volitelných deklarací identity skupin je omezená na ID objektu skupiny. |
| Životnost tokenů | Můžete zadat životnost tokenů zabezpečení vydaných ID Microsoft Entra. | Stejně jako pracovníci. |
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro