Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Existují dva způsoby konfigurace tenanta Microsoft Entra v závislosti na tom, jak organizace hodlá tenanta používat, a prostředky, které chtějí spravovat:
- Konfigurace tenanta pracovních sil je určená pro zaměstnance, interní obchodní aplikace a další organizační prostředky. Spolupráce B2B se používá v rámci prostředí pracovních sil ke spolupráci s externími obchodními partnery a pozvanými hosty.
- Konfigurace externího tenanta se používá výhradně pro scénáře externího ID, ve kterých chcete publikovat aplikace pro spotřebitele nebo firemní zákazníky.
Tento článek poskytuje podrobné porovnání funkcí a možností dostupných v pracovních silách a externích tenantech.
Note
Ve verzi Preview nejsou funkce nebo možnosti, které vyžadují licenci Premium, dostupné v externích tenantech.
Obecné porovnání funkcí
Následující tabulka porovnává obecné funkce a možnosti dostupné pracovníkům a externím tenantům.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Scénář externích identit | Umožňuje obchodním partnerům a dalším externím uživatelům spolupracovat s vašimi pracovníky. Hosté můžou bezpečně přistupovat k firemním aplikacím prostřednictvím pozvánek nebo samoobslužné registrace. | K zabezpečení aplikací použijte externí ID. Spotřebitelé a firemní zákazníci můžou bezpečně přistupovat k vašim uživatelským aplikacím prostřednictvím samoobslužné registrace. Podporovány jsou také pozvánky. |
| Místní účty | Místní účty jsou podporované jenom pro interní členy vaší organizace. | Místní účty jsou podporované pro:
|
| Groups | Skupiny je možné použít ke správě účtů pro správu a uživatele. | Skupiny lze použít ke správě administrativních účtů. Podpora skupin Microsoft Entra a aplikačních rolí je postupně zaváděna v tenantových instancích zákazníků. Nejnovější aktualizace najdete v tématu Podpora skupin a rolí aplikací. |
| Role a správci | Role a správci jsou plně podporovány pro administrátorské a uživatelské účty. | Role jsou podporovány pro všechny uživatele. Všichni uživatelé v externím tenantovi mají výchozí oprávnění , pokud jim není přiřazena administrátorská role . |
| Ochrana ID | Poskytuje průběžné zjišťování rizik pro vašeho tenanta Microsoft Entra. Umožňuje organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. | Není k dispozici |
| Zásady správného řízení ID | Umožňuje organizacím řídit životní cyklus identit a přístupu a zabezpečit privilegovaný přístup. Další informace. | Není k dispozici |
| Samoobslužné resetování hesla | Umožňuje uživatelům resetovat heslo pomocí až dvou metod ověřování (viz další řádek dostupných metod). | Umožňuje uživatelům resetovat heslo pomocí e-mailu s jednorázovým heslem nebo SMS. Další informace. |
| Přizpůsobení jazyka | Přizpůsobte si přihlašovací prostředí na základě jazyka prohlížeče, když se uživatelé ověřují ve vašich podnikových intranetových nebo webových aplikacích. | Pomocí jazyků můžete upravit řetězce zobrazené zákazníkům v rámci procesu přihlašování a registrace. Další informace. |
| Vlastní atributy | Pomocí atributů rozšíření adresáře můžete do adresáře Microsoft Entra ukládat další data pro uživatelské objekty, skupiny, podrobnosti tenanta a instanční objekty. | Pomocí atributů rozšíření adresáře můžete ukládat více dat v adresáři zákazníka pro objekty uživatele. Vytvořte vlastní atributy uživatele a přidejte je do toku uživatele pro registraci. Další informace. |
| Pricing | Ceny za měsíční aktivní uživatele (MAU) pro externí hosty v B2B spolupráci (typ uživatele=Host). | Ceny pro měsíčně aktivní uživatele (MAU) pro všechny uživatele v externím tenant bez ohledu na roli nebo typ uživatele. |
Přizpůsobení vzhledu a chování
Následující tabulka porovnává funkce, které jsou k dispozici pro úpravu vzhledu a pocitu pro zaměstnance a externí nájemníky.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Branding společnosti | Můžete přidat firemní branding, který se vztahuje na všechna tato prostředí a vytvořit tak konzistentní přihlašovací prostředí pro vaše uživatele. | Stejně jako pracovní síla. Další informace |
| Přizpůsobení jazyka | Přizpůsobte si přihlašovací prostředí podle jazyka prohlížeče. | Stejně jako pracovní síla. Další informace |
| Vlastní názvy domén | Vlastní domény můžete používat jenom pro účty pro správu. | Funkce vlastní domény URL pro externí tenanty umožňuje přizpůsobení koncových bodů přihlašování aplikací pomocí vlastního názvu domény. |
| Nativní ověřování pro mobilní aplikace | Není k dispozici | Nativní ověřování Microsoft Entra umožňuje mít plnou kontrolu nad návrhem přihlašování k mobilní aplikaci. |
Přidání vlastní obchodní logiky
Vlastní rozšíření ověřování umožňují přizpůsobit prostředí ověřování Microsoft Entra integrací s externími systémy. Rozšíření vlastního ověřování je v podstatě posluchač událostí, který při aktivaci provádí HTTP volání na koncový bod REST API, kde definujete vlastní obchodní logiku. Následující tabulka porovnává události vlastních rozšíření ověřování, které jsou k dispozici v pracovních prostředích a externích tenantech.
| Event | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| TokenIssuanceStart | Přidání nároků z externích systémů | Přidání nároků z externích systémů |
| OnAttributeCollectionStart | Není k dispozici | Nastane na začátku kroku sběru atributů při registraci, před vykreslením stránky pro sběr atributů. Můžete přidat akce, jako jsou předvyplnění hodnot a zobrazení blokující chyby. Další informace |
| OnAttributeCollectionSubmit | Není k dispozici | Nastane během procesu registrace, jakmile uživatel zadá a odešle atributy. Můžete přidat akce, jako je ověření nebo úprava položek uživatele. Další informace |
| OnOtpSend | Není k dispozici | Nakonfigurujte vlastního poskytovatele e-mailu pro jednorázové odesílání událostí hesla. Další informace |
Zprostředkovatelé identit a metody ověřování
Následující tabulka porovnává zprostředkovatele identit a metody dostupné pro primární ověřování a vícefaktorové ověřování (MFA) u pracovníků a externích tenantů.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Zprostředkovatelé identit pro externí uživatele (primární ověřování) |
Pro hosty samoobslužné registrace - Účty Microsoft Entra - Účty Microsoft - Jednorázové heslo k e-mailu - Federace Google - Federace Facebooku Pro pozvané hosty - Účty Microsoft Entra - Účty Microsoft - Jednorázové heslo e-mailem - Google federace - Federace SAML/WS-Fed |
Pro uživatele samoobslužné registrace (spotřebitelé, firemní zákazníci) - Metody ověřování dostupné v externím ID Microsoft Entra Pro pozvané hosty (preview) Hosté pozvaní s rolí v adresáři (například správci): - Účty Microsoft Entra - Účty Microsoft - Jednorázové heslo k e-mailu - SAML/WS-Fed federace Poznámka: Externí uživatele můžete pozvat jenom pro účely správy. Tuto funkci nemůžete použít k pozvání zákazníků, aby se přihlásili k vašim aplikacím. Tato funkce není kompatibilní s toky uživatelů CIAM (Identity And Access Management). |
| Metody ověřování pro MFA |
Pro interní uživatele (zaměstnance a správce) - Metody ověřování a verifikace Pro hosty (pozvané nebo samoobslužně registrované) - Metody ověřování pro vícefaktorové ověřování hostů |
Pro uživatele samoobslužné registrace (spotřebitelé, firemní zákazníci) - Metody ověřování dostupné v Microsoft Entra externím ID Pro pozvané uživatele (náhled) - Jednorázový kód v e-mailu - Ověřování na základě SMS |
Metody ověřování dostupné v externím ID Microsoft Entra
Některé metody ověřování se dají použít jako primární faktor, když se uživatelé přihlásí k aplikaci, například uživatelské jméno a heslo. Jiné metody ověřování jsou k dispozici pouze jako sekundární faktor. Následující tabulka popisuje, kdy je možné použít metodu ověřování během přihlašování, samoobslužné registrace, samoobslužného resetování hesla a vícefaktorového ověřování (MFA) v externím ID Microsoft Entra.
| Method | Sign-in | Sign-up | Resetování hesla | MFA |
|---|---|---|---|---|
| e-mail obsahující heslo | 
|
|
||
| Jednorázové heslo e-mailu |
|
|
|
|
| Ověřování na základě SMS |
|
|
||
| Federace Apple |
|
|
||
| Federace Facebooku |
|
|
||
| Federace Googlu |
|
|
||
| Osobní účet Microsoft (OpenID Connect) |
|
|
||
| Federace OpenID Connect |
|
|
||
| Federace SAML/WS-Fed |
|
|
Registrace aplikace
Následující tabulka porovnává funkce dostupné pro registraci aplikací v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Protocol | Závislé strany SAML, OpenID Connect a OAuth2 | strany závislé na SAML, OpenID Connect, a OAuth2 |
| Podporované typy účtů |
Následující typy účtů:
|
Vždy používejte účty pouze v tomto organizačním adresáři (jediný nájemce). |
| Platform |
Následující platformy:
|
Následující platformy:
|
| Ověřování>Přesměrování URI | Identifikátory URI, které Microsoft Entra ID akceptuje jako cílové při vracení ověřovacích odpovědí (tokenů) po úspěšném ověření nebo odhlášení uživatelů. | Stejně jako pracovní síla. |
| Ověření>Front-channel URL pro odhlášení | Tato adresa URL je místo, kam Microsoft Entra ID odesílá požadavek, aby aplikace vymazala data relace uživatele. Aby správně fungovalo jednotné odhlášení, je vyžadována URL adresa odhlášení pro front-channel. | Stejně jako pracovní síla. |
| Autentizace>Implicitní udělení oprávnění a hybridní toky | Požádejte o token přímo z autorizačního koncového bodu. | Stejně jako pracovní síla. |
| Certifikáty a tajné kódy | Více přihlašovacích údajů: | Stejně jako pracovní síla. |
| Certifikáty a tajné kódy>Rotace | Aktualizujte přihlašovací údaje klienta, aby zůstaly platné a zabezpečené, zatímco uživatelé se můžou dál přihlašovat. Certifikáty, tajné kódy a federované přihlašovací údaje se dají otočit přidáním nové a následným odebráním starých přihlašovacích údajů. | Stejně jako pracovní síla. |
| Certifikáty a tajné kódy>Politika | Nakonfigurujte zásady správy aplikací tak, aby vynucovali omezení tajných kódů a certifikátů. | Není k dispozici |
| Oprávnění rozhraní API | Přidání, odebrání a nahrazení oprávnění k aplikaci Po přidání oprávnění do aplikace musí uživatelé nebo správci udělit souhlas s novými oprávněními. Přečtěte si další informace o aktualizaci požadovaných oprávnění aplikace v ID Microsoft Entra. | Následující oprávnění jsou povolená: Microsoft Graph offline_access, openid, User.Read a vaše delegovaná oprávnění My APIs. Jménem organizace může souhlasit jenom správce. |
| Zveřejnění rozhraní API | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat uživatele nebo správce o souhlas s jedním nebo více z těchto oborů. | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat správce o souhlas s jedním nebo více z těchto oborů. |
| Owners | Vlastníci aplikací můžou zobrazit a upravit registraci aplikace. Kromě toho může každý uživatel (který nemusí být uveden) s oprávněními správce ke správě jakékoli aplikace (například Správce cloudových aplikací), může zobrazit a upravit registraci aplikace. | Stejně jako pracovní síla. |
| Role a správci | Role pro správu se používají k udělení přístupu k privilegovaným akcím v ID Microsoft Entra. | Pro aplikace v externích tenantech je možné použít jenom roli správce cloudových aplikací. Tato role umožňuje vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací. |
Řízení přístupu pro aplikace
Následující tabulka porovnává funkce dostupné pro autorizaci aplikací v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Řízení přístupu na základě role (RBAC) | Pro aplikaci můžete definovat role aplikací a přiřadit tyto role uživatelům a skupinám. ID Microsoft Entra zahrnuje role uživatele v tokenu zabezpečení. Vaše aplikace pak může rozhodovat o autorizaci na základě hodnot v tokenu zabezpečení. | Stejně jako pracovní síla. Přečtěte si další informace o používání řízení přístupu na základě role pro aplikace v externím tenantovi. Dostupné funkce najdete v tématu Podpora skupin a rolí aplikací. |
| Bezpečnostní skupiny | Skupiny zabezpečení můžete použít k implementaci RBAC ve vašich aplikacích, kde se členství uživatele v konkrétních skupinách interpretuje jako jejich členství v rolích. ID Microsoft Entra zahrnuje členství ve skupině uživatelů v tokenu zabezpečení. Vaše aplikace pak může rozhodovat o autorizaci na základě hodnot v tokenu zabezpečení. | Stejně jako pracovní síla. Volitelné deklarace identity skupin jsou omezené na ID objektu skupiny. |
| Řízení přístupu na základě atributů (ABAC) | Aplikaci můžete nakonfigurovat tak, aby do přístupového tokenu zahrnovala atributy uživatele. Vaše aplikace pak může rozhodovat o autorizaci na základě hodnot v tokenu zabezpečení. Další informace najdete v tématu Přizpůsobení tokenu. | Stejně jako pracovní síla. |
| Vyžadování přiřazení uživatele | Pokud se vyžaduje přiřazení uživatelů, mohou se přihlásit jenom ti uživatelé, které k aplikaci přiřadíte (buď přímým přiřazením uživatelů, nebo na základě členství ve skupinách). Další informace najdete v tématu správa přiřazení uživatelů a skupin k aplikaci. | Stejně jako pracovní síla. Podrobnosti najdete v tématu Podpora skupin a rolí aplikací. |
Podnikové aplikace
Následující tabulka porovnává jedinečné funkce dostupné pro registraci podnikových aplikací v pracovních silách a externích tenantech.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Galerie aplikací | Galerie aplikací obsahuje tisíce aplikací, které jsou předem integrovány do Microsoft Entra ID. | Vyberte si z celé řady předem integrovaných aplikací. Pokud chcete najít aplikaci třetí strany, použijte panel hledání. Katalog galerie aplikací ještě není k dispozici. |
| Registrace vlastní podnikové aplikace | Přidejte podnikovou aplikaci. | Zaregistrujte aplikaci SAML ve svém externím tenantovi. |
| Samoobslužné přiřazení aplikace | Umožnit uživatelům samoobslužné zjišťování aplikací | Samoobslužné přiřazení aplikace na portálu Moje aplikace není k dispozici. |
| Proxy aplikací | Proxy aplikace Microsoft Entra poskytuje zabezpečený vzdálený přístup k místním webovým aplikacím. | Není k dispozici. |
Funkce souhlasu a oprávnění pro podnikové aplikace
Následující tabulka ukazuje, které funkce souhlasu a oprávnění jsou dostupné pro podnikové aplikace v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Souhlas správce pro podnikové aplikace | Můžete udělit oprávnění správce pro celého tenanta a můžete je také zkontrolovat a odvolat . | Stejně jako pracovní síla. |
| Souhlas uživatele s podnikovými aplikacemi | Můžete nakonfigurovat, jak uživatelé souhlasí s aplikacemi , a tato oprávnění můžete aktualizovat. | Omezeno na oprávnění, která nevyžadují souhlas správce. |
| Kontrola nebo odvolání souhlasu správce | Zkontrolujte a odvolejte oprávnění. | K odvolání souhlasu správce použijte Centrum pro správu Microsoft Entra . |
| Kontrola nebo odvolání souhlasu uživatele | Zkontrolujte a odvolejte oprávnění. | K odvolání souhlasu uživatele použijte rozhraní Microsoft Graph API nebo PowerShell . |
| Přiřazení uživatelů nebo skupin k aplikacím | Přístup k aplikacím můžete spravovat buď na individuální, nebo skupinové bázi přiřazení. Vnořené členství ve skupinách se nepodporuje. | Stejně jako pracovní síla. |
| Řízení přístupu na základě role (RBAC) pro role aplikací | Můžete definovat a přiřazovat role pro jemně odstupňované řízení přístupu. | Stejně jako pracovní síla. |
Procesy OpenID Connect a OAuth2
Následující tabulka porovnává funkce dostupné pro toky autorizace OAuth 2.0 a OpenID Connect v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| OpenID Connect | Yes | Yes |
| Autorizační kód | Yes | Yes |
| Autorizační kód pomocí výměny kódu (PKCE) | Yes | Yes |
| Přihlašovací údaje klienta | Yes | Aplikace v2.0 |
| Autorizace zařízení | Yes | Yes |
| On-Behalf-Of proces | Yes | Yes |
| Implicitní udělení | Yes | Yes |
| Údaje pro heslo vlastníka zdroje | Yes | Ne, pro mobilní aplikace používejte nativní ověřování. |
Adresa URL autority v tocích OpenID Connect a OAuth2
Adresa URL autority je adresa URL, která označuje adresář, ze kterého může msAL požadovat tokeny. Pro aplikace v externích tenantech vždy použijte následující formát: <název-tenanta>.ciamlogin.com
Následující json ukazuje příklad souboru aplikace .NET appsettings.json s adresou URL autority:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Podmíněný přístup
Následující tabulka porovnává funkce dostupné pro podmíněný přístup v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Assignments | Uživatelé, skupiny a pracovní identity | Zahrnout všechny uživatele a vyloučit uživatele a skupiny. Další informace najdete v tématu Přidání vícefaktorového ověřování (MFA) do aplikace. |
| Cílové zdroje | ||
| Conditions | ||
| Grant | Udělení nebo blokování přístupu k prostředkům | |
| Session | Ovládací prvky relací | K dispozici jsou následující ovládací prvky relace:
|
Podmínky použití
Následující tabulka porovnává funkce dostupné pro podmínky použití v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Zásady podmíněného přístupu | Podmínky použití služby Microsoft Entra | Není k dispozici |
| Samoobslužné přihlášení | Není k dispozici | Na registrační stránce přidejte požadovaný atribut propojený s vašimi podmínkami použití. Hypertextový odkaz lze přizpůsobit tak, aby podporoval různé jazyky. |
| Přihlašovací stránka | Odkazy, které můžete přidat do pravého dolního rohu pro informace o ochraně osobních údajů pomocí brandingu společnosti. | Stejně jako pracovníci. |
Správa účtů
Následující tabulka porovnává funkce dostupné pro správu uživatelů v každém typu tenanta. Jak je uvedeno v tabulce, určité typy účtů se vytvářejí prostřednictvím pozvánky nebo samoobslužné registrace. Správce uživatele v tenantovi může také vytvářet účty prostřednictvím Centra pro správu.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Typy účtů |
|
|
| Správa informací o uživatelském profilu |
|
Stejné jako workforce, s výjimkou, že synchronizace napříč tenanty není dostupná. |
| Resetování hesla uživatele | Správci můžou resetovat heslo uživatele, pokud je heslo zapomenuté, pokud se uživatel zamkne ze zařízení nebo pokud uživatel nikdy nepřijal heslo. | Stejně jako pracovní síla. |
| Obnovení nebo odebrání nedávno odstraněných uživatelů | Po odstranění uživatele zůstane jeho účet po dobu 30 dnů v pozastaveném stavu. Během tohoto 30denního období je možné uživatelský účet obnovit i se všemi jeho vlastnostmi. | Stejně jako pracovní síla. |
| Zakázání účtů | Zabránit tomu, aby se nový uživatel mohl přihlásit. | Stejně jako pracovní síla. |
Ochrana heslem
Následující tabulka porovnává funkce dostupné pro ochranu heslem v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Inteligentní uzamčení | Inteligentní uzamčení pomáhá zamknout chybné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostaly do systému. | Stejně jako pracovní síla. |
| Globální zakázaná hesla | Globální zakázaný seznam hesel automaticky blokuje běžně používaná slabá nebo ohrožená hesla na základě analýzy telemetrických dat zabezpečení Microsoft Entra. | Stejně jako pracovní síla. |
| Vlastní zakázaná hesla | Seznam vlastních zakázaných hesel umožňuje přidat konkrétní řetězce pro vyhodnocení a blokování během vytváření a resetování hesla. | Stejně jako pracovní síla. |
Přizpůsobení tokenu
Následující tabulka porovnává funkce, které jsou k dispozici pro přizpůsobení tokenu v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Mapování identitních tvrzení | Přizpůsobte nároky vydané ve webovém tokenu JSON (JWT) pro podnikové aplikace. | Stejně jako pracovní síla. Volitelné nároky musí být nakonfigurovány prostřednictvím atributů a nároků. |
| Transformace nároků | Použijte transformaci na atribut uživatele vydaný ve webovém tokenu JSON (JWT) pro podnikové aplikace. | Stejně jako pracovní síla. |
| Vlastní zprostředkovatel nároků | Vlastní rozšíření ověřování, které volá externí rozhraní REST API pro získání deklarací identity z externích systémů. | Stejně jako pracovní síla. Další informace |
| Bezpečnostní skupiny | Konfigurace volitelných deklarací skupin | Skupinové volitelné deklarace jsou omezené na ID objektu skupiny. |
| Životnost tokenů | Můžete zadat životnost tokenů zabezpečení vydaných službou Microsoft Entra ID. | Stejně jako pracovní síla. |
| Zrušení relace a tokenu | Správce může zneplatnit všechny obnovovací tokeny a relace uživatele. | Stejně jako pracovní síla. |
Jednotné přihlašování
Jednotné přihlašování (SSO) poskytuje plynulejší prostředí snížením počtu žádostí uživatele o přihlašovací údaje. Uživatelé zadají své přihlašovací údaje jednou a zavedená relace může být znovu použita jinými aplikacemi na stejném zařízení a webovém prohlížeči bez další výzvy. Následující tabulka porovnává funkce dostupné pro SSO v každém typu tenanta.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Typy registrace aplikace |
|
|
| název domény | Při ověření uživatele se v doméně login.microsoftonline.com Microsoft Entra v webovém prohlížeči nastaví soubor cookie relace. |
Když se uživatel ověří, soubor cookie relační se nastaví v doméně <tenant-name>.ciamlogin.com externího ID Microsoft Entra nebo vlastní doméně URL ve webovém prohlížeči. Pokud chcete zajistit správné fungování jednotného přihlašování, použijte jednu doménu adresy URL. |
| Zůstat přihlášeni | Můžete povolit nebo zakázat možnost zůstat přihlášeni . | Stejně jako pracovní síla. |
| Zřizování uživatelů | Pomocí automatického zřizování uživatelů se systémem pro správu identit mezi doménami (SCIM) můžete synchronizovat uživatelské účty mezi externím ID Microsoft Entra a podporovanými aplikacemi. Díky tomu budou uživatelská data automaticky aktuální. Podpora uživatelů umožňuje rozdílové dotazy. Tyto dotazy synchronizují pouze změny od poslední aktualizace. Tím se zlepší výkon a sníží se zatížení systému. | Stejně jako pracovní síla. |
| Zneplatnění relace | Scénáře, kdy může být SSO neplatné, což vyžaduje reautentizaci:
|
Stejně jako pracovní síla. |
| Podmíněný přístup | Zkontrolujte část Podmíněný přístup . | Zkontrolujte část Podmíněný přístup . |
| Nativní ověřování Microsoft Entra | Není k dispozici | Nativní ověřování nepodporuje jednotné přihlašování. |
| Sign-out | Když aplikace SAML nebo OpenID Connect přesměruje uživatele na koncový bod odhlášení, Microsoft Entra ID z prohlížeče odebere relaci uživatele a zneplatní ji. | Stejně jako pracovní síla. |
| Jednotné odhlášení | Po úspěšném odhlášení odešle Microsoft Entra ID oznámení o odhlášení všem ostatním aplikacím SAML a OpenID Connect , ke kterým je uživatel přihlášený. | Stejně jako pracovní síla. |
Integrovaná řešení zabezpečení
Externí ID Microsoft Entra podporuje integrované funkce zabezpečení a partnerské řešení, které pomáhají chránit identity v rámci životního cyklu. Mezi tyto možnosti patří ochrana před útoky DDoS (Distributed Denial-of-Service), ochrana před podvody při registraci a jednotné monitorování. Tato řešení můžete povolit přímo v integraci externího ID a přistupovat k partnerům prostřednictvím Microsoft Security Store. Tento přístup umožňuje organizacím rychle nasadit důvěryhodné nástroje zabezpečení bez složitého nastavení. Všechny tyto funkce jsou k dispozici v průvodci v rámci rozhraní Security Store blade experience.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Ochrana před podvody při registraci | Průvodce úložištěm zabezpečení není k dispozici. | Využijte Arkose Labs a HUMAN Security k ochraně před podvody s registracemi a blokováním automatizovaných útoků robotů. |
| Ochrana před útoky DDoS a WAF | Průvodce úložištěm zabezpečení není k dispozici. | Použití Cloudflare a Akamai k ochraně před útoky DDoS a zabezpečení aplikací pomocí firewallu webových aplikací (WAF). |
| Analýza zabezpečení | Průvodce úložištěm zabezpečení není k dispozici. | Azure Monitor a Microsoft Sentinel umožňují monitorování jedním kliknutím, log analytics a pokročilou detekci hrozeb. |
Akamai a Cloudflare
Akamai a Cloudflare poskytují špičkové funkce ochrany před útoky DDoS, omezení rizik robotů a firewall webových aplikací (WAF), které pomáhají bránit aplikacím před škodlivým provozem, zneužívající automatizací a běžnými webovými ohroženími zabezpečení, jako jsou injektáž SQL, skriptování mezi weby (XSS) a útoky založené na rozhraní API. Integrace kterékoli služby s externím ID Microsoft Entra vám umožní použít tyto bezpečnostní prvky do zákaznických toků identity, což zlepšuje odolnost a snižuje riziko napadení přihlašovacími údaji a dalšími hrozbami cílenými na identitu.
Protokoly aktivit a sestavy
Následující tabulka porovnává funkce dostupné pro záznamy aktivit a sestavy v různých druzích tenantů.
| Feature | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Protokoly auditu | Podrobná sestava všech událostí přihlášených v Microsoft Entra ID, včetně úprav aplikací, skupin a uživatelů. | Stejně jako pracovní síla. |
| Protokoly přihlašování | Protokoly přihlašování sledují všechny aktivity přihlašování v rámci tenanta Microsoft Entra, včetně přístupu k vašim aplikacím a prostředkům. | Stejně jako pracovní síla. |
| Protokoly registrace (Preview) | Není k dispozici | Microsoft Entra External ID zaznamenává všechny události samoobslužné registrace, včetně úspěšných registrací i neúspěšných pokusů. |
| Protokoly zřizování | Protokoly zřizování poskytují podrobné záznamy o událostech zřizování v rámci tenanta, jako jsou vytváření uživatelských účtů, aktualizace a odstranění. | Není k dispozici |
| Protokoly aktivit zásad uchovávání informací | Zásady uchovávání dat Microsoft Entra určují, jak dlouho se ukládají různé typy protokolů (například protokoly auditu, přihlašování a zřizování). | Sedm dní |
| Export protokolů aktivit | Pomocí nastavení diagnostiky v Microsoft Entra ID můžete integrovat protokoly se službou Azure Monitor, streamovat protokoly do centra událostí nebo integrovat s nástroji SIEM (Security Information and Event Management). | Azure Monitor pro externí tenanty (předběžná verze) |
| Sestavy aktivit uživatelů aplikace | Není k dispozici | Aktivita uživatele aplikace poskytuje analýzu toho, jak uživatelé pracují s registrovanými aplikacemi ve vašem tenantovi. Sleduje metriky, jako jsou aktivní uživatelé, noví uživatelé, přihlášení a míra úspěšnosti vícefaktorového ověřování (MFA). |
Rozhraní Microsoft Graph API
Všechny funkce podporované v externích tenantech jsou také podporovány pro automatizaci prostřednictvím rozhraní Microsoft Graph API. Některé funkce, které jsou v náhledu v externích uživatelských účtech, můžou být obecně dostupné prostřednictvím Microsoft Graphu. Další informace najdete v tématu Správa identit Microsoft Entra a síťového přístupu pomocí Microsoft Graphu.