Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es gibt zwei Möglichkeiten zum Konfigurieren eines Microsoft Entra-Mandanten, je nachdem, wie die Organisation den Mandanten und die Ressourcen zu nutzen gedenkt, die sie verwalten möchte:
- Eine Workforce-Mandantenkonfiguration ist für Ihre Belegschaft, internen Geschäftsanwendungen und andere organisatorische Ressourcen gedacht. Die B2B-Zusammenarbeit wird in einem Mitarbeitermandanten verwendet, um mit externen Geschäftspartnern und Gästen zusammenzuarbeiten.
- Eine externe Mandantenkonfiguration wird ausschließlich für External ID-Szenarien verwendet, in denen Sie Apps für Verbraucher oder Geschäftskunden veröffentlichen möchten.
Dieser Artikel bietet einen detaillierten Vergleich der Features und Funktionalitäten, die in Mitarbeitenden- und externen Mandanten verfügbar sind.
Hinweis
Während der Vorschau sind Features oder Funktionen, die eine Premium-Lizenz erfordern, in externen Mandanten nicht verfügbar.
Allgemeiner Funktionsvergleich
In der folgenden Tabelle werden die allgemeinen Features und Funktionen verglichen, die in Mitarbeitermandanten und externen Mandanten verfügbar sind.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Szenario für Externe Identitäten | Ermöglichen sie Geschäftspartnern und anderen externen Benutzerinnen und Benutzern die Zusammenarbeit mit Ihren Mitarbeitenden. Gäste können über Einladungen oder Self-Service-Registrierung sicher auf Ihre Geschäftsanwendungen zugreifen. | Verwenden Sie External ID, um Ihre Anwendungen zu schützen. Verbraucher sowie Geschäftskunden können über die Self-Service-Registrierung sicher auf Ihre Consumer-Apps zugreifen. Einladungen werden ebenfalls unterstützt. |
| Lokale Konten | Lokale Konten werden nur für internen Mitglieder Ihrer Organisation unterstützt. | Lokale Konten werden unterstützt für:
|
| Gruppen | Mit Gruppen können Sie Administrator- und Benutzerkonten verwalten. | Gruppen können zum Verwalten von Administratorkonten verwendet werden. Die Unterstützung für Microsoft Entra-Gruppen und Anwendungsrollen in Kundenmandanten wird schrittweise eingeführt. Informationen zu den letzten Updates finden Sie unter Unterstützung von Gruppen- und Anwendungsrollen. |
| Rollen und Administratoren | Rollen und Administratoren werden für Administrator- und Benutzerkonten vollständig unterstützt. | Rollen werden für alle Benutzer unterstützt. Alle Benutzer in einem externen Mandanten verfügen über Standardberechtigungen , es sei denn, ihnen wird eine Administratorrolle zugewiesen. |
| ID Protection | Bietet eine kontinuierliche Risikoerkennung für Ihren Microsoft Entra-Mandanten. Damit können Organisationen identitätsbasierte Risiken entdecken, untersuchen und beheben. | Nicht verfügbar |
| ID Governance | Ermöglicht es Organisationen, Identitäts- und Zugriffszyklen zu steuern und den privilegierten Zugriff zu sichern. Erfahren Sie mehr. | Nicht verfügbar |
| Self-Service-Kennwortzurücksetzung | Erlauben Sie Benutzern das Zurücksetzen ihres Kennworts mit bis zu zwei Authentifizierungsmethoden (verfügbare Methoden finden Sie in der nächsten Zeile). | Ermöglichen Sie Benutzern per E-Mail das Zurücksetzen ihres Kennworts per Einmal-Passcode. Erfahren Sie mehr. |
| Sprachanpassung | Passen Sie die Anmeldeoberfläche je nach Browsersprache der Benutzer an, die sich für Ihr Unternehmensintranet oder für webbasierte Anwendungen authentifizieren. | Verwenden Sie verschiedene Sprachen, um die Zeichenfolgen zu ändern, die Ihren Kunden im Rahmen des Anmelde- und Registrierungsprozesses angezeigt werden. Erfahren Sie mehr. |
| Benutzerdefinierte Attribute | Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Microsoft Entra-Verzeichnis für Benutzerobjekte, Gruppen, Mandantendetails und Dienstprinzipale zu speichern. | Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Kundenverzeichnis für Benutzerobjekte zu speichern. Erstellen Sie benutzerdefinierte Benutzerattribute, und fügen Sie sie Ihrem Benutzerflow für die Registrierung hinzu. Erfahren Sie mehr. |
| Preise | Preise für aktive Benutzer pro Monat (MAU) für externe Gäste für B2B Collaboration (UserType=Guest). | Preise für monatlich aktive Benutzer (MAU) für alle Benutzer im externen Mandanten, unabhängig von der Rolle oder UserType. |
Anpassung von Look and Feel
In der folgenden Tabelle werden die Features verglichen, die für die Anpassung von Look and Feel in Mitarbeitenden- und externen Mandanten verfügbar sind.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Unternehmensbranding | Sie können Unternehmensbranding hinzufügen, das für alle diese Erfahrungen gilt, um eine konsistente Anmeldungserfahrung für Ihre Benutzer zu schaffen. | Identisch mit Mitarbeitermandant. Weitere Informationen |
| Sprachanpassung | Anpassen der Anmeldeoberfläche nach Browsersprache. | Identisch mit Mitarbeitermandant. Weitere Informationen |
| Benutzerdefinierte Domänennamen | Sie können benutzerdefinierte Domänen nur für Administratorkonten verwenden. | Mit der Funktion benutzerdefinierte URL-Domäne für externe Mandanten können Sie App-Anmeldeendpunkte mit Ihrem eigenen Domänennamen versehen. |
| Native Authentifizierung für mobile Apps | Nicht verfügbar | Mit der nativen Authentifizierung von Microsoft Entra haben Sie vollständige Kontrolle über das Design der Anmeldeumgebung für Ihre mobilen Anwendungen. |
Hinzufügen Ihrer eigenen Geschäftslogik
Mit benutzerdefinierten Authentifizierungserweiterungen können Sie die Microsoft Entra-Authentifizierungserfahrung durch eine Integration mit externen Systemen anpassen. Eine benutzerdefinierte Authentifizierungserweiterung ist im Wesentlichen ein Ereignis-Listener, der beim Aktivieren einen HTTP-Aufruf an einen REST-API-Endpunkt ausführt, in dem Sie Ihre eigene Geschäftslogik definieren. In der folgenden Tabelle werden die benutzerdefinierten Authentifizierungserweiterungs-Ereignisse verglichen, die in Mitarbeitermandanten und externen Mandanten verfügbar sind.
| Ereignis | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| TokenIssuanceStart | Hinzufügen von Ansprüchen aus externen Systemen. | Hinzufügen von Ansprüchen aus externen Systemen. |
| OnAttributeCollectionStart | Nicht verfügbar | Tritt am Anfang des Attributsammlungsschritts der Anmeldung auf, bevor die Attributsammlungsseite gerendert wird. Sie können Aktionen wie das Vorfüllen von Werten und das Anzeigen eines Blockierungsfehlers hinzufügen. Weitere Informationen |
| OnAttributeCollectionSubmit | Nicht verfügbar | Tritt während des Registrierungsablaufs auf, nachdem der Benutzer Attribute eingegeben und übermittelt hat. Sie können Aktionen wie das Überprüfen oder Ändern der Benutzereinträge hinzufügen. Weitere Informationen |
| OnOtpSend | Nicht verfügbar | Konfigurieren Sie einen benutzerdefinierten E-Mail-Anbieter für einmalige Kennungs-Sendeereignisse. Weitere Informationen |
Identitätsanbieter und Authentifizierungsmethoden
In der folgenden Tabelle finden Sie einen Vergleich der Identitätsanbieter und Methoden, die für die primäre Authentifizierung und die Multi-Faktor-Authentifizierung (MFA) bei Mitarbeitenden- und externen Mandanten zur Verfügung stehen.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Identitätsanbieter für externe Benutzerinnen und Benutzer (primäre Authentifizierung) | Für Self-Service-Anmeldegäste – Microsoft Entra-Konten – Microsoft-Konten – E-Mail-Einmal-Passcode – Google-Partnerverbund – Facebook-Partnerverbund Für eingeladene Gäste – Microsoft Entra-Konten – Microsoft-Konten – E-Mail-Einmal-Passcode – Google-Partnerverbund – SAML/WS-Fed-Partnerverbund |
Für Self-Service-Registrierungsbenutzer (Verbraucher, Geschäftskunden) - In der externen Microsoft Entra-ID verfügbare Authentifizierungsmethoden Für eingeladene Gäste (Vorschau) Gäste, die mit einer Verzeichnisrolle eingeladen wurden (z. B. Administratoren): – Microsoft Entra-Konten – Microsoft-Konten - E-Mail-Einmal-Passcode - SAML-/WS-Fed-Verbund |
| Authentifizierungsmethoden für MFA | Für interne Benutzer (Mitarbeiter und Administratoren) - Authentifizierungs- und Überprüfungsmethoden Für Gäste (eingeladene oder Self-Service-Registrierung) - Authentifizierungsmethoden für Gast-MFA |
Für Self-Service-Registrierungsbenutzer (Verbraucher, Geschäftskunden) - In der externen Microsoft Entra-ID verfügbare AuthentifizierungsmethodenFür eingeladene Benutzer (Vorschau) - Einmalkennung - SMS-basierte Authentifizierung |
In der externen Microsoft Entra-ID verfügbare Authentifizierungsmethoden
Einige Authentifizierungsmethoden können als primärer Faktor verwendet werden, wenn sich Benutzer bei einer Anwendung anmelden, z. B. Benutzername und Kennwort. Andere Authentifizierungsmethoden sind nur als sekundärer Faktor verfügbar. In der folgenden Tabelle wird beschrieben, wann eine Authentifizierungsmethode während der Anmeldung, Self-Service-Registrierung, Self-Service-Kennwortzurücksetzung und mehrstufigeR Authentifizierung (Multifactor Authentication, MFA) in der externen Microsoft Entra-ID verwendet werden kann.
| Methode | Anmelden | Anmeldung | Zurücksetzen von Kennwörtern | MFA |
|---|---|---|---|---|
| E-Mail mit Kennwort | 
|
|
||
| Authentifizierung mit Einmal-Passcode per E-Mail |
|
|
|
|
| SMS-basierte Authentifizierung |
|
|||
| Apple-Partnerverbund |
|
|
||
| Facebook-Föderation |
|
|
||
| Google-Föderation |
|
|
||
| Persönliches Microsoft-Konto (OpenID Connect) |
|
|
||
| OpenID Connect-Partnerverbund |
|
|
||
| SAML-/WS-Fed-Föderation |
|
|
Anwendungsregistrierung
In der folgenden Tabelle werden die für die Anwendungsregistrierung verfügbaren Features den einzelnen Mandantentypen gegenübergestellt.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Protokoll | Parteien, die sich auf SAML verlassen, OpenID Connect und OAuth2 | SAML-abhängige Parteien, OpenID Connectund OAuth2 |
| Unterstützte Kontotypen | Die folgenden Kontotypen:
|
Verwenden Sie immer Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant). |
| Plattform | Die folgenden Plattformen:
|
Die folgenden Plattformen:
|
| Authentifizierung>Umleitungs-URIs | Die URIs, die Microsoft Entra ID als Ziele akzeptiert, wenn Authentifizierungsantworten (Token) nach der erfolgreichen Authentifizierung oder Abmeldung von Benutzer*innen zurückgegeben werden. | Identisch mit Mitarbeitermandant. |
| Authentifizierung>URL für Front-Channel-Abmeldung | An diese URL sendet Microsoft Entra ID eine Anforderung, um die Sitzungsdaten von Benutzer*innen von der Anwendung löschen zu lassen. Diese URL für Front-Channel-Abmeldung ist erforderlich, damit das einmalige Abmelden ordnungsgemäß funktioniert. | Identisch mit Mitarbeitermandant. |
| Authentifizierung>Implizite Genehmigung und Hybridflows | Fordern Sie ein Token direkt vom Autorisierungsendpunkt an. | Identisch mit Mitarbeitermandant. |
| Zertifikate und Geheimnisse | Mehrere Anmeldedaten: | Identisch mit Mitarbeitermandant. |
| Zertifikate und Geheimnisse>Rotation | Aktualisieren Sie Clientanmeldeinformationen, um sicherzustellen, dass sie gültig und sicher bleiben, während Benutzer sich weiterhin anmelden können. Zertifikate, Geheime und Verbundanmeldeinformationen können gedreht werden, indem sie eine neue hinzufügen und dann die alte entfernen. | Identisch mit Mitarbeitermandant. |
| Zertifikate und Geheime Schlüssel>Politik | Konfigurieren Sie die Anwendungsverwaltungsrichtlinien , um geheime und Zertifikatbeschränkungen zu erzwingen. | Nicht verfügbar |
| API-Berechtigungen | Hinzufügen, Entfernen und Ersetzen von Berechtigungen für eine Anwendung. Nachdem Ihrer Anwendung Berechtigungen hinzugefügt wurden, müssen Benutzer oder Administratoren die Einwilligung zu den neuen Berechtigungen erteilen. Weitere Informationen zum Aktualisieren der angeforderten Berechtigungen einer App in Microsoft Entra ID. | Folgendes sind die zulässigen Berechtigungen: offline_access, openid und User.Read für Microsoft Graph und Ihre delegierten Berechtigungen für Meine APIs. Nur Administratoren können die Einwilligung im Auftrag der Organisation erteilen. |
| Verfügbarmachen einer API | Definieren von benutzerdefinierten Bereichen, um den Zugriff auf Daten und Funktionen einzuschränken, die durch die API geschützt sind. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein Benutzer oder Administrator die Einwilligung für einen oder mehrere dieser Bereiche erteilt. | Definieren von benutzerdefinierten Bereichen, um den Zugriff auf Daten und Funktionen einzuschränken, die durch die API geschützt sind. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein Administrator die Einwilligung für einen oder mehrere dieser Bereiche erteilt. |
| Besitzer | Anwendungsbesitzer können die Anwendungsregistrierung anzeigen und bearbeiten. Darüber hinaus können alle Benutzer (die möglicherweise nicht aufgeführt sind) mit Administratorrechten zum Verwalten von Anwendungen (z. B. Cloudanwendungsadministrator) die Anwendungsregistrierungen anzeigen und bearbeiten. | Identisch mit Mitarbeitermandant. |
| Rollen und Administratoren | Administrative Rollen werden für die Gewährung des Zugriffs für privilegierte Aktionen in Microsoft Entra ID verwendet. | Nur die Rolle Cloudanwendungsadministrator kann für Apps in externen Mandanten verwendet werden. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Anwendungsregistrierungen und Unternehmensanwendungen. |
Zugriffssteuerung für Anwendungen
In der folgenden Tabelle werden die Funktionen verglichen, die für die Anwendungsautorisierung für jeden Mandantentyp verfügbar sind.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) | Sie können Anwendungsrollen für Ihre Anwendung definieren und diesen Rollen Benutzern und Gruppen zuweisen. Die Microsoft Entra-ID enthält die Benutzerrollen im Sicherheitstoken. Ihre Anwendung kann dann Autorisierungsentscheidungen basierend auf den Werten im Sicherheitstoken treffen. | Identisch mit Mitarbeitermandant. Weitere Informationen zur Verwendung der rollenbasierten Zugriffssteuerung für Anwendungen bei einem externen Mandanten finden Sie hier. Informationen zu verfügbaren Features finden Sie unter Unterstützung von Gruppen und Anwendungsrollen. |
| Sicherheitsgruppen | Sie können Sicherheitsgruppen verwenden, um RBAC in Ihren Anwendungen zu implementieren, wobei die Mitgliedschaften des Benutzers in bestimmten Gruppen als ihre Rollenmitgliedschaften interpretiert werden. Die Microsoft Entra-ID enthält die Benutzergruppenmitgliedschaft im Sicherheitstoken. Ihre Anwendung kann dann Autorisierungsentscheidungen basierend auf den Werten im Sicherheitstoken treffen. | Identisch mit Mitarbeitermandant. Die optionalen Gruppenansprüche sind auf die Gruppenobjekt-ID beschränkt. |
| Attributbasierte Zugriffssteuerung (ABAC) | Sie können die App so konfigurieren, dass benutzerattribute in das Zugriffstoken eingeschlossen werden. Ihre Anwendung kann dann Autorisierungsentscheidungen basierend auf den Werten im Sicherheitstoken treffen. Weitere Informationen finden Sie unter Tokenanpassung. | Identisch mit Mitarbeitermandant. |
| Anfordern der Benutzerzuweisung | Wenn eine Benutzerzuweisung erforderlich ist, können sich nur die Benutzer anmelden, die Sie der Anwendung zuweisen (durch direkte Benutzerzuweisung oder basierend auf der Gruppenmitgliedschaft). Weitere Informationen finden Sie unter Verwalten von Benutzer- und Gruppenzuweisungen zu einer Anwendung. | Identisch mit Mitarbeitermandant. Ausführliche Informationen finden Sie unter Unterstützung von Gruppen und Anwendungsrollen. |
OpenID Connect- und OAuth2-Flows
In der folgenden Tabelle werden die Features verglichen, die für OAuth 2.0- und OpenID Connect-Autorisierungsflows in jedem Mandantentyp verfügbar sind.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| OpenID Connect | Ja | Ja |
| Autorisierungscode | Ja | Ja |
| Autorisierungscode mit Codeaustausch (PKCE) | Ja | Ja |
| Clientanmeldeinformationen | Ja | v2.0-Anwendungen (Vorschau) |
| Geräteautorisierung | Ja | Vorschau |
| On-Behalf-Of-Fluss | Ja | Ja |
| Implizite Gewährung | Ja | Ja |
| Kennwortanmeldeinformationen des Ressourcenbesitzers | Ja | Nein, verwenden Sie für mobile Anwendungen native Authentifizierung. |
Autoritäts-URL in OpenID Connect- und OAuth2-Flows
Die Autoritäts-URL ist eine URL, die ein Verzeichnis angibt, aus dem die MSAL Token anfordern kann. Verwenden Sie für Apps in externen Mandanten immer das folgende Format: <tenant-name>.ciamlogin.com
Der folgende JSON-Code zeigt ein Beispiel einer appsettings.json-Datei einer .NET-Anwendung mit einer Autoritäts-URL:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Bedingter Zugriff
In der folgenden Tabelle werden die für bedingten Zugriff verfügbaren Funktionen in den einzelnen Mandantentypen verglichen.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Zuweisungen | Benutzer, Gruppen und Workloadidentitäten | Alle Benutzer einschließen und Benutzer und Gruppen ausschließen. Weitere Informationen finden Sie unter Hinzufügen der Multi-Faktor-Authentifizierung (MFA) zu einer App. |
| Zielressourcen | ||
| Bedingungen | ||
| Erteilen | Gewähren oder Blockieren des Zugriffs auf Ressourcen | |
| Sitzung | Sitzungssteuerung | Nicht verfügbar |
Nutzungsbedingungen
In der folgenden Tabelle werden die Features verglichen, die für Nutzungsbedingungen in jedem Mandantentyp verfügbar sind.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Richtlinien für bedingten Zugriff | Microsoft Entra-Nutzungsbedingungen | Nicht verfügbar |
| Self-Service-Registrierung | Nicht verfügbar | Fügen Sie auf der Registrierungsseite ein erforderliches Attribut hinzu, das mit Ihren Nutzungsbedingungen verknüpft ist. Der Link kann angepasst werden, um verschiedene Sprachen zu unterstützen. |
| Anmeldeseite | Links, die Sie zur unteren rechten Ecke für Datenschutzinformationen mithilfe des Unternehmensbrandings hinzufügen können. | Identisch mit der Belegschaft. |
Kontenverwaltung
In der folgenden Tabelle werden die für Benutzerverwaltung verfügbaren Funktionen in den einzelnen Mandantentypen verglichen. Wie in der Tabelle erwähnt, werden bestimmte Kontotypen über Einladungs- oder Self-Service-Registrierung erstellt. Ein Benutzeradministrator im Mandanten kann über das Admin Center auch Konten erstellen.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Kontotypen |
|
|
| Verwalten von Informationen zum Benutzerprofil | Programmgesteuert und über das Microsoft Entra Admin Center. | Identisch mit Mitarbeitermandant. |
| Zurücksetzen des Kennworts für einen Benutzer | Administratoren können das Kennwort eines Benutzers zurücksetzen, wenn das Kennwort vergessen wurde, wenn der Benutzer von einem Gerät ausgesperrt wird, oder wenn der Benutzer nie ein Kennwort erhalten hat. | Identisch mit Mitarbeitermandant. |
| Wiederherstellen oder Entfernen kürzlich gelöschter Benutzer | Nachdem Sie einen Benutzer gelöscht haben, verbleibt das Konto 30 Tage lang im angehaltenen Zustand. Während dieses Zeitfensters von 30 Tagen kann das Benutzerkonto mit allen zugehörigen Eigenschaften wiederhergestellt werden. | Identisch mit Mitarbeitermandant. |
| Deaktivieren von Konten | Verhindern Sie, dass sich neue Benutzer anmelden können. | Identisch mit Mitarbeitermandant. |
Kennwortschutz
In der folgenden Tabelle werden die für Kennwortschutz verfügbaren Funktionen in den einzelnen Mandantentypen verglichen.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Smart Lockout | Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder sich mithilfe von Brute-Force-Methoden Zugang zu verschaffen. | Identisch mit Mitarbeitermandant. |
| Benutzerdefinierte gesperrte Kennwörter | Über die benutzerdefinierte Microsoft Entra-Liste mit gesperrten Kennwörtern können Sie bestimmte Zeichenfolgen hinzufügen, die dann überprüft und gesperrt werden. | Nicht verfügbar. |
Tokenanpassung
In der folgenden Tabelle werden die für Tokenanpassung verfügbaren Funktionen in den einzelnen Mandantentypen verglichen.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Anspruchszuordnung | Anpassen von Ansprüchen, die im JWT-Token (JSON Web Token) für Unternehmensanwendungen ausgestellt wurden. | Identisch mit Mitarbeitermandant. Optionale Ansprüche müssen über Attribute und Ansprüche konfiguriert werden. |
| Transformation von Ansprüchen | Wenden Sie eine Transformation auf ein Benutzerattribut an, das im JSON-Webtoken (JWT) für Unternehmensanwendungen ausgestellt wurde. | Identisch mit Mitarbeitermandant. |
| Anbieter von benutzerdefinierten Ansprüchen | Benutzerdefinierte Authentifizierungserweiterung, die eine externe REST-API aufruft, um Ansprüche aus externen Systemen abzurufen. | Identisch mit Mitarbeitermandant. Weitere Informationen |
| Sicherheitsgruppen | Konfigurieren von Gruppen optionaler Ansprüche. | Konfigurieren Sie optionale Ansprüche von Gruppen, die auf die Gruppenobjekt-ID beschränkt sind. |
| Tokengültigkeitsdauer | Sie können die Lebensdauer von Sicherheitstoken angeben, die von Microsoft Entra ID ausgestellt wurden. | Identisch mit Mitarbeitermandant. |
| Sitzungs- und Tokenwiderruf | Der Administrator kann alle Aktualisierungstoken und die Sitzung für einen Benutzer ungültig machen. | Identisch mit Mitarbeitermandant. |
Einmaliges Anmelden
Einmaliges Anmelden (Single Sign-On, SSO) bietet eine nahtlosere Benutzererfahrung, indem die Anzahl der Benutzer reduziert wird, die zur Eingabe von Anmeldeinformationen aufgefordert werden. Benutzer geben ihre Anmeldeinformationen einmal ein, und die erstellte Sitzung kann von anderen Anwendungen auf demselben Gerät und webbrowser ohne weitere Aufforderung wiederverwendet werden. In der folgenden Tabelle werden die Funktionen verglichen, die für SSO in jedem Mandantentypen verfügbar sind.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Arten der Anwendungsregistrierung |
|
|
| Domänenname | Wenn sich ein Benutzer authentifiziert, wird ein Sitzungscookie in der Microsoft Entra-Domäne login.microsoftonline.com im Webbrowser gesetzt. |
Wenn sich ein Benutzer authentifiziert, wird ein Sitzungscookie in der externen Microsoft Entra-ID-Domäne <tenant-name>.ciamlogin.com oder einer benutzerdefinierten URL-Domäne im Webbrowser festgelegt. Um sicherzustellen, dass SSO ordnungsgemäß funktioniert, verwenden Sie eine einzelne URL-Domäne. |
| Angemeldet bleiben | Sie können die Option " Angemeldet bleiben " aktivieren oder deaktivieren. | Identisch mit Mitarbeitermandant. |
| Sitzungsinvalidierung | Szenarien, in denen SSO möglicherweise ungültig ist, für die eine erneute Authentifizierung erforderlich ist:
|
Identisch mit Mitarbeitermandant. |
| Bedingter Zugriff | Überprüfen Sie den Abschnitt "Bedingter Zugriff ". | Überprüfen Sie den Abschnitt "Bedingter Zugriff ". |
| Native Authentifizierung von Microsoft Entra | Nicht verfügbar | Die systemeigene Authentifizierung unterstützt SSO nicht. |
| Abmelden | Wenn eine SAML- oder OpenID Connect-Anwendung den Benutzer an den Logout-Endpunkt weiterleitet, entfernt und ungültig macht Microsoft Entra ID die Sitzung des Benutzers aus dem Browser. | Identisch mit Mitarbeitermandant. |
| Einmaliges Abmelden | Nach erfolgreicher Abmeldung sendet Die Microsoft Entra-ID eine Abmeldebenachrichtigung an alle anderen SAML - und OpenID Connect-Anwendungen , bei denen der Benutzer angemeldet ist. | Identisch mit Mitarbeitermandant. |
Aktivitätsprotokolle und Berichte
Die nachstehende Tabelle vergleicht die verfügbaren Funktionen für Aktivitätsprotokolle und Berichte für verschiedene Arten von Mandanten.
| Merkmal | Mitarbeitermandant | Externer Mieter |
|---|---|---|
| Überwachungsprotokolle | Detaillierter Bericht aller ereignisse, die in der Microsoft Entra-ID angemeldet sind, einschließlich Änderungen an Anwendungen, Gruppen und Benutzern. | Identisch mit Mitarbeitermandant. |
| Anmeldeprotokolle | Die Anmeldeprotokolle verfolgen alle Anmeldeaktivitäten innerhalb eines Microsoft Entra-Mandanten, einschließlich des Zugriffs auf Ihre Anwendungen und Ressourcen. | Identisch mit Mitarbeitermandant. |
| Anmeldeprotokolle (Vorschau) | Nicht verfügbar | Die externe Microsoft Entra-ID protokolliert alle Self-Service-Registrierungsereignisse, einschließlich erfolgreicher Registrierungen und fehlgeschlagener Versuche. |
| Bereitstellungsprotokolle | Die Bereitstellungsprotokolle stellen detaillierte Aufzeichnungen von Bereitstellungsereignissen innerhalb eines Mandanten bereit, z. B. Benutzerkontenerstellung, Updates und Löschungen. | Nicht verfügbar |
| Aktivitätsprotokolle für Aufbewahrungsrichtlinien | Microsoft Entra-Datenaufbewahrungsrichtlinien bestimmen, wie lange verschiedene Arten von Protokollen (z. B. Überwachungs-, Anmelde- und Bereitstellungsprotokolle) gespeichert werden. | Sieben Tage |
| Exportieren von Aktivitätsprotokollen | Mithilfe von Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor integrieren, Protokolle in einen Event Hub streamen oder in SIEM-Tools (Security Information and Event Management) integrieren. | Azure Monitor für externe Mandanten (Vorschau) |
| Berichte zur Anwendungsbenutzeraktivität | Nicht verfügbar | Anwendungsbenutzeraktivitäten bieten Analysen darüber, wie Benutzer mit registrierten Anwendungen in Ihrem Mandanten interagieren. Es verfolgt Metriken wie aktive Benutzer, neue Benutzer, Anmeldungen und mehrstufige Authentifizierung (MFA) Erfolgsraten nach. |
Microsoft Graph-APIs
Alle in externen Mandanten unterstützten Funktionen werden auch für die Automatisierung über Microsoft Graph-APIs unterstützt. Einige Features, die in einer Vorschauversion bei externen Mandanten verfügbar sind, könnten über Microsoft Graph bereitgestellt werden. Weitere Informationen finden Sie unter Verwalten der Microsoft Entra-Identität und des Netzwerkzugriffs mithilfe von Microsoft Graph.