Freigeben über


Unterstützte Features in Mitarbeiter- und externen Mandanten

Es gibt zwei Möglichkeiten zum Konfigurieren eines Microsoft Entra-Mandanten, je nachdem, wie die Organisation den Mandanten und die Ressourcen zu nutzen gedenkt, die sie verwalten möchte:

  • Eine Mitarbeiter-Mandantenkonfiguration ist für Ihre Mitarbeiter, internen Geschäftsanwendungen und andere Organisationsressourcen gedacht. Die B2B-Zusammenarbeit wird in einem Mitarbeitermandanten verwendet, um mit externen Geschäftspartnern und Gästen zusammenzuarbeiten.
  • Eine externe Mandantenkonfiguration wird ausschließlich für External ID-Szenarien verwendet, in denen Sie Apps für Verbraucher oder Geschäftskunden veröffentlichen möchten.

Dieser Artikel bietet einen detaillierten Vergleich der Features und Funktionalitäten, die in Mitarbeiter- und externen Mandanten verfügbar sind.

Hinweis

Während der Vorschau sind Features oder Funktionen, die eine Premium-Lizenz erfordern, in externen Mandanten nicht verfügbar.

Allgemeiner Featurevergleich

In der folgenden Tabelle werden die allgemeinen Features und Funktionalitäten verglichen, die in Mitarbeiter- und externen Mandanten verfügbar sind.

Funktion Mitarbeitermandant Externer Mandant
Szenario für Externe Identitäten Ermöglichen sie Geschäftspartnern und anderen externen Benutzerinnen und Benutzern die Zusammenarbeit mit Ihren Mitarbeitenden. Gäste können über Einladungen oder Self-Service-Registrierung sicher auf Ihre Geschäftsanwendungen zugreifen. Verwenden Sie External ID, um Ihre Anwendungen zu schützen. Verbraucherinnen und Verbraucher sowie Geschäftskundinnen und -kunden können über die Self-Service-Registrierung sicher auf Ihre Consumer-Apps zugreifen. Einladungen werden ebenfalls unterstützt.
Lokale Konten Lokale Konten werden nur für internen Mitglieder Ihrer Organisation unterstützt. Lokale Konten werden unterstützt für:
- Externe Benutzerkonten (Verbraucherinnen und Verbraucher, Geschäftskundinnen und Geschäftskunden), die die Self-Service-Registrierung verwenden.
- Konten, die von Admins erstellt wurden.
Gruppen Mit Gruppen können Sie Administrator- und Benutzerkonten verwalten. Gruppen können zum Verwalten von Administratorkonten verwendet werden. Die Unterstützung für Microsoft Entra-Gruppen und Anwendungsrollen in Kundenmandanten wird schrittweise eingeführt. Informationen zu den letzten Updates finden Sie unter Unterstützung von Gruppen- und Anwendungsrollen.
Rollen und Administratoren Rollen und Administratoren werden für Administrator- und Benutzerkonten vollständig unterstützt. Rollen werden bei Kundenkonten nicht unterstützt. Kundenkonten haben keinen Zugriff auf Mandantenressourcen.
ID Protection Bietet eine kontinuierliche Risikoerkennung für Ihren Microsoft Entra-Mandanten. Damit können Organisationen identitätsbasierte Risiken entdecken, untersuchen und beheben. Eine Teilmenge der ID Protection-Risikoerkennungen von Microsoft Entra ID steht zur Verfügung. Weitere Informationen
Self-Service-Kennwortzurücksetzung Erlauben Sie Benutzern das Zurücksetzen ihres Kennworts mit bis zu zwei Authentifizierungsmethoden (verfügbare Methoden finden Sie in der nächsten Zeile). Ermöglichen Sie Benutzern per E-Mail das Zurücksetzen ihres Kennworts per Einmal-Passcode. Weitere Informationen
Sprachanpassung Passen Sie die Anmeldeoberfläche je nach Browsersprache der Benutzer an, die sich für Ihr Unternehmensintranet oder für webbasierte Anwendungen authentifizieren. Verwenden Sie verschiedene Sprachen, um die Zeichenfolgen zu ändern, die Ihren Kunden im Rahmen des Anmelde- und Registrierungsprozesses angezeigt werden. Weitere Informationen
Benutzerdefinierte Attribute Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Microsoft Entra-Verzeichnis für Benutzerobjekte, Gruppen, Mandantendetails und Dienstprinzipale zu speichern. Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Kundenverzeichnis für Benutzerobjekte zu speichern. Erstellen Sie benutzerdefinierte Benutzerattribute, und fügen Sie sie Ihrem Benutzerflow für die Registrierung hinzu. Weitere Informationen

Anpassung von Aussehen und Verhalten

In der folgenden Tabelle werden die Features verglichen, die für die Anpassung von Aussehen und Verhalten in Workforce und externen Mandanten verfügbar sind.

Funktion Mitarbeitermandant Externer Mandant
Unternehmensbranding Sie können Unternehmensbranding hinzufügen, das für alle diese Umgebungen gilt, um eine konsistente Anmeldeumgebungen für Benutzer zu schaffen. Identisch mit Mitarbeitermandant. Weitere Informationen
Sprachanpassung Anpassen der Anmeldeoberfläche nach Browsersprache. Identisch mit Mitarbeitermandant. Weitere Informationen
Benutzerdefinierte Domänennamen Sie können benutzerdefinierte Domänen nur für Administratorkonten verwenden. Mit dem benutzerdefinierten URL-Domäne (Vorschau) Feature für externe Mandanten können Sie App-Anmeldeendpunkte mit Ihrem eigenen Domänennamen versehen.
Native Authentifizierung für mobile Apps Nicht verfügbar Mit der nativen Authentifizierung von Microsoft Entra haben Sie vollständige Kontrolle über das Design der Anmeldeumgebung für Ihre mobilen Anwendungen.

Hinzufügen Ihrer eigenen Geschäftslogik

Mit benutzerdefinierten Authentifizierungserweiterungen können Sie die Microsoft Entra-Authentifizierungserfahrung durch eine Integration mit externen Systemen anpassen. Eine benutzerdefinierte Authentifizierungserweiterung ist im Wesentlichen ein Ereignis-Listener, der beim Aktivieren einen HTTP-Aufruf an einen REST-API-Endpunkt ausführt, in dem Sie Ihre eigene Geschäftslogik definieren. In der folgenden Tabelle werden die benutzerdefinierten Authentifizierungserweiterungs-Ereignisse verglichen, die in Workforce und externen Mandanten verfügbar sind.

Ereignis Mitarbeitermandant Externer Mandant
TokenIssuanceStart Hinzufügen von Ansprüchen aus externen Systemen. Hinzufügen von Ansprüchen aus externen Systemen.
OnAttributeCollectionStart Nicht verfügbar Tritt am Anfang des Attributsammlungsschritts der Anmeldung auf, bevor die Attributsammlungsseite gerendert wird. Sie können Aktionen wie das Vorfüllen von Werten und das Anzeigen eines Blockierungsfehlers hinzufügen. Weitere Informationen
OnAttributeCollectionSubmit Nicht verfügbar Tritt während des Registrierungsablaufs auf, nachdem der Benutzer Attribute eingegeben und übermittelt hat. Sie können Aktionen wie das Überprüfen oder Ändern der Benutzereinträge hinzufügen. Weitere Informationen

Identitätsanbieter und Authentifizierungsmethoden

In der folgenden Tabelle finden Sie einen Vergleich der Identitätsanbieter und Methoden, die für die primäre Authentifizierung und die Multi-Faktor-Authentifizierung (MFA) bei Mitarbeitenden und externen Mandanten zur Verfügung stehen.

Funktion Mitarbeitermandant Externer Mandant
Identitätsanbieter für externe Benutzerinnen und Benutzer (primäre Authentifizierung) Für die Self-Service-Anmeldung für Gäste
- Microsoft Entra-Konten
- Microsoft-Konten
- Einmal-Passcode per E-Mail
- Google-Verbund
- Facebook-Verbund

Für eingeladene Gäste
- Microsoft Entra-Konten
- Microsoft-Konten
- Einmal-Passcode per E-Mail
- Google-Verbund
- SAML/WS-Fed-Verbund
Für Benutzende, die sich selbst anmelden (Verbraucherinnen und Verbraucher, Kundinnen und Kunden)
- E-Mail mit Kennwort
- E-Mail mit Einmal-Passcode
- Google-Verbund (Vorschau)
- Facebook-Verbund (Vorschau)

Für eingeladene Gäste (Vorschau)
Gäste, die mit einer Verzeichnisrolle eingeladen wurden (z. B. Admins):
- Microsoft Entra-Konten
- Microsoft-Konten
- Einmal-Passcode per E-Mail
Authentifizierungsmethoden für MFA Für interne Benutzende (Mitarbeitende und Admins)
- Authentifizierungs- und Verifizierungsmethoden
Für Gäste (eingeladen oder Self-Service-Anmeldung)
- Authentifizierungsmethoden für Gast-MFA
Für Benutzende mit Self-Service-Anmeldung (Verbraucherinnen und Verbraucher, Kundinnen und Kunden) oder eingeladene Benutzende (Vorschau)
- Einmal-Passcode per E-Mail
- SMS-basierte Authentifizierung

Anwendungsregistrierung

In der folgenden Tabelle werden die für die Anwendungsregistrierung verfügbaren Features den einzelnen Mandantentypen gegenübergestellt.

Funktion Mitarbeitermandant Externer Mandant
Protokoll Parteien, die sich auf SAML verlassen, OpenID Connect und OAuth2 OpenID Connect und OAuth2
Unterstützte Kontotypen Die folgenden Kontotypen:
  • Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant)
  • Konten in einem beliebigen Organisationsverzeichnis (Beliebiger Microsoft Entra-Mandant – Mandantenfähig)
  • Konten in einem beliebigen Organisationsverzeichnis (Beliebiger Microsoft Entra-Mandant – Mandantenfähig) und persönliche Microsoft-Konten (z. B. Skype, Xbox)
  • Nur persönliche Microsoft-Konten
Verwenden Sie immer Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant).
Plattform Die folgenden Plattformen:
  • Öffentlicher Client/nativ (mobil und Desktop)
  • Web
  • Single-Page-Webanwendung (SPA)
    Die folgenden Plattformen:
    Authentifizierung>Umleitungs-URIs Die URIs, die Microsoft Entra ID nach der erfolgreichen Authentifizierung oder Abmeldung von Benutzer*innen beim Zurückgeben von Authentifizierungsantworten (Token) als Ziele akzeptiert. Identisch mit Mitarbeitermandant.
    Authentifizierung>URL für Front-Channel-Abmeldung An diese URL sendet Microsoft Entra ID eine Anforderung, um die Sitzungsdaten von Benutzer*innen von der Anwendung löschen zu lassen. Diese URL für Front-Channel-Abmeldung ist erforderlich, damit das einmalige Abmelden ordnungsgemäß funktioniert. Identisch mit Mitarbeitermandant.
    Authentifizierung>Implizite Genehmigung und Hybridflows Fordern Sie ein Token direkt vom Autorisierungsendpunkt an. Identisch mit Mitarbeitermandant.
    Zertifikate und Geheimnisse Identisch mit Mitarbeitermandant.
    API-Berechtigungen Hinzufügen, Entfernen und Ersetzen von Berechtigungen für eine Anwendung. Nachdem Ihrer Anwendung Berechtigungen hinzugefügt wurden, müssen Benutzer*innen oder Administrator*innen die Einwilligung zu den neuen Berechtigungen erteilen. Weitere Informationen zum Aktualisieren der angeforderten Berechtigungen einer App in Microsoft Entra ID. Folgendes sind die zulässigen Berechtigungen: offline_access, openid und User.Read für Microsoft Graph und Ihre delegierten Berechtigungen für Meine APIs. Nur Administrator*innen können die Einwilligung im Auftrag der Organisation erteilen.
    Verfügbarmachen einer API Definieren von benutzerdefinierten Bereichen, um den Zugriff auf Daten und Funktionen einzuschränken, die durch die API geschützt sind. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein*e Benutzer*in oder Administrator*in die Einwilligung für einen oder mehrere dieser Bereiche erteilt. Definieren Sie benutzerdefinierte Bereiche zum Einschränken des Zugriffs auf Daten und Funktionen, die von der API geschützt werden. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein*e Administrator*in die Einwilligung für einen oder mehrere dieser Bereiche erteilt.
    App-Rollen App-Rollen sind benutzerdefinierte Rollen, mit denen Benutzer*innen oder Apps Berechtigungen zugewiesen werden. Die Anwendung definiert und veröffentlicht die App-Rollen und interpretiert sie während der Autorisierung als Berechtigungen. Identisch mit Mitarbeitermandant. Weitere Informationen über die Verwendung der rollenbasierten Zugriffssteuerung für Anwendungen finden Sie in einem externen Mandanten.
    Besitzer Anwendungsbesitzer*innen können die Anwendungsregistrierung anzeigen und bearbeiten. Darüber hinaus können alle Benutzer und Benutzerinnen (die möglicherweise nicht aufgeführt sind) mit Administratorrechten zum Verwalten von Anwendungen (z. B. Cloudanwendungsadministrator) die Anwendungsregistrierungen anzeigen und bearbeiten. Identisch mit Mitarbeitermandant.
    Rollen und Administratoren Administrative Rollen werden für die Gewährung des Zugriffs für privilegierte Aktionen in Microsoft Entra ID verwendet. Nur die Rolle Cloudanwendungsadministrator kann für Apps in externen Mandanten verwendet werden. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Anwendungsregistrierungen und Unternehmensanwendungen.
    Zuweisen von Benutzer*innen und Gruppen zu einer App Wenn eine Benutzerzuweisung erforderlich ist, können sich nur die Benutzer anmelden, die Sie der Anwendung zuweisen (durch direkte Benutzerzuweisung oder basierend auf der Gruppenmitgliedschaft). Weitere Informationen finden Sie unter Verwalten von Benutzer- und Gruppenzuweisungen zu einer Anwendung. Nicht verfügbar

    OpenID Connect- und OAuth2-Flows

    In der folgenden Tabelle werden die Features verglichen, die für OAuth 2.0- und OpenID Connect-Autorisierungsflows in jedem Mandantentyp verfügbar sind.

    Funktion Mitarbeitermandant Externer Mandant
    OpenID Connect Ja Ja
    Autorisierungscode Ja Ja
    Autorisierungscode mit Codeaustausch (PKCE) Ja Ja
    Clientanmeldeinformationen Ja v2.0-Anwendungen (Vorschau)
    Geräteautorisierung Ja Vorschau
    „Im Auftrag von“-Ablauf Ja Ja
    Implizite Gewährung Ja Ja
    Kennwortanmeldeinformationen des Ressourcenbesitzers Ja Nein, verwenden Sie für mobile Anwendungen native Authentifizierung.

    Autoritäts-URL in OpenID Connect- und OAuth2-Flows

    Die Autoritäts-URL ist eine URL, die ein Verzeichnis angibt, aus dem die MSAL Token anfordern kann. Verwenden Sie für Apps in externen Mandanten immer das folgende Format: <tenant-name>.ciamlogin.com

    Der folgende JSON-Code zeigt ein Beispiel einer appsettings.json-Datei einer .NET-Anwendung mit einer Autoritäts-URL:

    {
        "AzureAd": {
            "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
            "ClientId": "<Enter_the_Application_Id_Here>"
        }
    }
    

    Bedingter Zugriff

    In der folgenden Tabelle werden die für bedingten Zugriff verfügbaren Feature in den einzelnen Mandantentypen verglichen.

    Funktion Mitarbeitermandant Externer Mandant
    Zuweisungen Benutzer*innen, Gruppen und Workloadidentitäten Alle Benutzer*innen einschließen und Benutzer*innen und Gruppen ausschließen. Weitere Informationen finden Sie unter Hinzufügen der Multi-Faktor-Authentifizierung (MFA) zu einer App.
    Zielressourcen
    Conditions (MSBuild-Bedingungen)
    Erteilen Gewähren oder Blockieren des Zugriffs auf Ressourcen
    Sitzung Sitzungssteuerungen Nicht verfügbar

    Kontoverwaltung

    In der folgenden Tabelle werden die für Benutzerverwaltung verfügbaren Features in den einzelnen Mandantentypen verglichen. Wie in der Tabelle erwähnt, werden bestimmte Kontotypen über Einladungs- oder Self-Service-Registrierung erstellt. Ein Benutzeradmin im Mandanten kann über das Admin Center auch Konten erstellen.

    Funktion Mitarbeitermandant Externer Mandant
    Kontotypen
    • Interne Mitglieder, z. B. Mitarbeitende und Admins.
    • Externe Benutzerinnen und Benutzer, die eingeladen sind oder die Self-Service-Registrierung verwenden.
    • Interne Benutzer in Ihrem Mandanten, z. B. Administratoren.
    • Externe Verbraucherinnen und Verbraucher sowie Geschäftskundinnen und -kunden, welche die Self-Service-Registrierung verwenden oder von Admins erstellt werden.
    • Externe Benutzerinnen und Benutzer, die eingeladen sind (Preview).
    Verwalten von Informationen zum Benutzerprofil Programmgesteuert und über das Microsoft Entra Admin Center. Identisch mit Mitarbeitermandant.
    Zurücksetzen des Kennworts für einen Benutzer Administratoren können das Kennwort von Benutzern zurücksetzen, wenn diese das Kennwort vergessen oder nie erhalten haben oder auf einem Gerät gesperrt wurden. Identisch mit Mitarbeitermandant.
    Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers Nachdem Sie einen Benutzer gelöscht haben, verbleibt das Konto 30 Tage lang im angehaltenen Zustand. Während dieses Zeitfensters von 30 Tagen kann das Benutzerkonto mit allen zugehörigen Eigenschaften wiederhergestellt werden. Identisch mit Mitarbeitermandant.
    Deaktivieren von Konten Verhindern Sie, dass sich neue Benutzer anmelden können. Identisch mit Mitarbeitermandant.

    Kennwortschutz

    In der folgenden Tabelle werden die für Kennwortschutz verfügbaren Features in den einzelnen Mandantentypen verglichen.

    Funktion Mitarbeitermandant Externer Mandant
    Smart Lockout Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder sich mithilfe von Brute-Force-Methoden Zugang zu verschaffen. Identisch mit Mitarbeitermandant.
    Benutzerdefinierte gesperrte Kennwörter Über die benutzerdefinierte Microsoft Entra-Liste mit gesperrten Kennwörtern können Sie bestimmte Zeichenfolgen hinzufügen, die dann überprüft und gesperrt werden. Nicht verfügbar.

    Tokenanpassung

    In der folgenden Tabelle werden die für Tokenanpassung verfügbaren Features in den einzelnen Mandantentypen verglichen.

    Funktion Mitarbeitermandant Externer Mandant
    Anspruchszuordnung Anpassen von Ansprüchen, die im JWT-Token (JSON Web Token) für Unternehmensanwendungen ausgestellt wurden. Identisch mit Mitarbeitermandant. Optionale Ansprüche müssen über Attribute & Ansprüche konfiguriert werden.
    Anspruchstransformation Wenden Sie eine Transformation auf ein Benutzerattribut an, das im JSON-Webtoken (JWT) für Unternehmensanwendungen ausgestellt wurde. Identisch mit Mitarbeitermandant.
    Anbieter von benutzerdefinierten Ansprüchen Benutzerdefinierte Authentifizierungserweiterung, die eine externe REST-API aufruft, um Ansprüche aus externen Systemen abzurufen. Identisch mit Mitarbeitermandant. Weitere Informationen
    Sicherheitsgruppen Konfigurieren von Gruppen optionaler Ansprüche. Konfigurieren von Gruppen optionaler Ansprüche ist auf die Gruppenobjekt-ID beschränkt.
    Tokengültigkeitsdauer Sie können die Lebensdauer von Sicherheitstoken angeben, die von Microsoft Entra ID ausgestellt wurden. Identisch mit Mitarbeitermandant.

    Microsoft Graph-APIs

    Alle Features, die in externen Mandanten unterstützt werden, werden auch für die Automatisierung über Microsoft Graph-APIs unterstützt. Einige Features, die sich in externen Mandanten in der Vorschau befinden, sind möglicherweise über Microsoft Graph allgemein verfügbar. Weitere Informationen finden Sie unter Verwalten der Microsoft Entra-Identität und des Netzwerkzugriffs mithilfe von Microsoft Graph.

    Nächste Schritte