Unterstützte Features in Mitarbeiter- und externen Mandanten
Es gibt zwei Möglichkeiten zum Konfigurieren eines Microsoft Entra-Mandanten, je nachdem, wie die Organisation den Mandanten und die Ressourcen zu nutzen gedenkt, die sie verwalten möchte:
- Eine Mitarbeiter-Mandantenkonfiguration ist für Ihre Mitarbeiter, internen Geschäftsanwendungen und andere Organisationsressourcen gedacht. Die B2B-Zusammenarbeit wird in einem Mitarbeitermandanten verwendet, um mit externen Geschäftspartnern und Gästen zusammenzuarbeiten.
- Eine externe Mandantenkonfiguration wird ausschließlich für External ID-Szenarien verwendet, in denen Sie Apps für Verbraucher oder Geschäftskunden veröffentlichen möchten.
Dieser Artikel bietet einen detaillierten Vergleich der Features und Funktionalitäten, die in Mitarbeiter- und externen Mandanten verfügbar sind.
Hinweis
Während der Vorschau sind Features oder Funktionen, die eine Premium-Lizenz erfordern, in externen Mandanten nicht verfügbar.
Allgemeiner Featurevergleich
In der folgenden Tabelle werden die allgemeinen Features und Funktionalitäten verglichen, die in Mitarbeiter- und externen Mandanten verfügbar sind.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Szenario für Externe Identitäten | Ermöglichen sie Geschäftspartnern und anderen externen Benutzerinnen und Benutzern die Zusammenarbeit mit Ihren Mitarbeitenden. Gäste können über Einladungen oder Self-Service-Registrierung sicher auf Ihre Geschäftsanwendungen zugreifen. | Verwenden Sie External ID, um Ihre Anwendungen zu schützen. Verbraucherinnen und Verbraucher sowie Geschäftskundinnen und -kunden können über die Self-Service-Registrierung sicher auf Ihre Consumer-Apps zugreifen. Einladungen werden ebenfalls unterstützt. |
Lokale Konten | Lokale Konten werden nur für internen Mitglieder Ihrer Organisation unterstützt. | Lokale Konten werden unterstützt für: - Externe Benutzerkonten (Verbraucherinnen und Verbraucher, Geschäftskundinnen und Geschäftskunden), die die Self-Service-Registrierung verwenden. - Konten, die von Admins erstellt wurden. |
Gruppen | Mit Gruppen können Sie Administrator- und Benutzerkonten verwalten. | Gruppen können zum Verwalten von Administratorkonten verwendet werden. Die Unterstützung für Microsoft Entra-Gruppen und Anwendungsrollen in Kundenmandanten wird schrittweise eingeführt. Informationen zu den letzten Updates finden Sie unter Unterstützung von Gruppen- und Anwendungsrollen. |
Rollen und Administratoren | Rollen und Administratoren werden für Administrator- und Benutzerkonten vollständig unterstützt. | Rollen werden bei Kundenkonten nicht unterstützt. Kundenkonten haben keinen Zugriff auf Mandantenressourcen. |
ID Protection | Bietet eine kontinuierliche Risikoerkennung für Ihren Microsoft Entra-Mandanten. Damit können Organisationen identitätsbasierte Risiken entdecken, untersuchen und beheben. | Eine Teilmenge der ID Protection-Risikoerkennungen von Microsoft Entra ID steht zur Verfügung. Weitere Informationen |
Self-Service-Kennwortzurücksetzung | Erlauben Sie Benutzern das Zurücksetzen ihres Kennworts mit bis zu zwei Authentifizierungsmethoden (verfügbare Methoden finden Sie in der nächsten Zeile). | Ermöglichen Sie Benutzern per E-Mail das Zurücksetzen ihres Kennworts per Einmal-Passcode. Weitere Informationen |
Sprachanpassung | Passen Sie die Anmeldeoberfläche je nach Browsersprache der Benutzer an, die sich für Ihr Unternehmensintranet oder für webbasierte Anwendungen authentifizieren. | Verwenden Sie verschiedene Sprachen, um die Zeichenfolgen zu ändern, die Ihren Kunden im Rahmen des Anmelde- und Registrierungsprozesses angezeigt werden. Weitere Informationen |
Benutzerdefinierte Attribute | Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Microsoft Entra-Verzeichnis für Benutzerobjekte, Gruppen, Mandantendetails und Dienstprinzipale zu speichern. | Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Kundenverzeichnis für Benutzerobjekte zu speichern. Erstellen Sie benutzerdefinierte Benutzerattribute, und fügen Sie sie Ihrem Benutzerflow für die Registrierung hinzu. Weitere Informationen |
Anpassung von Aussehen und Verhalten
In der folgenden Tabelle werden die Features verglichen, die für die Anpassung von Aussehen und Verhalten in Workforce und externen Mandanten verfügbar sind.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Unternehmensbranding | Sie können Unternehmensbranding hinzufügen, das für alle diese Umgebungen gilt, um eine konsistente Anmeldeumgebungen für Benutzer zu schaffen. | Identisch mit Mitarbeitermandant. Weitere Informationen |
Sprachanpassung | Anpassen der Anmeldeoberfläche nach Browsersprache. | Identisch mit Mitarbeitermandant. Weitere Informationen |
Benutzerdefinierte Domänennamen | Sie können benutzerdefinierte Domänen nur für Administratorkonten verwenden. | Mit dem benutzerdefinierten URL-Domäne (Vorschau) Feature für externe Mandanten können Sie App-Anmeldeendpunkte mit Ihrem eigenen Domänennamen versehen. |
Native Authentifizierung für mobile Apps | Nicht verfügbar | Mit der nativen Authentifizierung von Microsoft Entra haben Sie vollständige Kontrolle über das Design der Anmeldeumgebung für Ihre mobilen Anwendungen. |
Hinzufügen Ihrer eigenen Geschäftslogik
Mit benutzerdefinierten Authentifizierungserweiterungen können Sie die Microsoft Entra-Authentifizierungserfahrung durch eine Integration mit externen Systemen anpassen. Eine benutzerdefinierte Authentifizierungserweiterung ist im Wesentlichen ein Ereignis-Listener, der beim Aktivieren einen HTTP-Aufruf an einen REST-API-Endpunkt ausführt, in dem Sie Ihre eigene Geschäftslogik definieren. In der folgenden Tabelle werden die benutzerdefinierten Authentifizierungserweiterungs-Ereignisse verglichen, die in Workforce und externen Mandanten verfügbar sind.
Ereignis | Mitarbeitermandant | Externer Mandant |
---|---|---|
TokenIssuanceStart | Hinzufügen von Ansprüchen aus externen Systemen. | Hinzufügen von Ansprüchen aus externen Systemen. |
OnAttributeCollectionStart | Nicht verfügbar | Tritt am Anfang des Attributsammlungsschritts der Anmeldung auf, bevor die Attributsammlungsseite gerendert wird. Sie können Aktionen wie das Vorfüllen von Werten und das Anzeigen eines Blockierungsfehlers hinzufügen. Weitere Informationen |
OnAttributeCollectionSubmit | Nicht verfügbar | Tritt während des Registrierungsablaufs auf, nachdem der Benutzer Attribute eingegeben und übermittelt hat. Sie können Aktionen wie das Überprüfen oder Ändern der Benutzereinträge hinzufügen. Weitere Informationen |
Identitätsanbieter und Authentifizierungsmethoden
In der folgenden Tabelle finden Sie einen Vergleich der Identitätsanbieter und Methoden, die für die primäre Authentifizierung und die Multi-Faktor-Authentifizierung (MFA) bei Mitarbeitenden und externen Mandanten zur Verfügung stehen.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Identitätsanbieter für externe Benutzerinnen und Benutzer (primäre Authentifizierung) | Für die Self-Service-Anmeldung für Gäste - Microsoft Entra-Konten - Microsoft-Konten - Einmal-Passcode per E-Mail - Google-Verbund - Facebook-Verbund Für eingeladene Gäste - Microsoft Entra-Konten - Microsoft-Konten - Einmal-Passcode per E-Mail - Google-Verbund - SAML/WS-Fed-Verbund |
Für Benutzende, die sich selbst anmelden (Verbraucherinnen und Verbraucher, Kundinnen und Kunden) - E-Mail mit Kennwort - E-Mail mit Einmal-Passcode - Google-Verbund (Vorschau) - Facebook-Verbund (Vorschau) Für eingeladene Gäste (Vorschau) Gäste, die mit einer Verzeichnisrolle eingeladen wurden (z. B. Admins): - Microsoft Entra-Konten - Microsoft-Konten - Einmal-Passcode per E-Mail |
Authentifizierungsmethoden für MFA | Für interne Benutzende (Mitarbeitende und Admins) - Authentifizierungs- und Verifizierungsmethoden Für Gäste (eingeladen oder Self-Service-Anmeldung) - Authentifizierungsmethoden für Gast-MFA |
Für Benutzende mit Self-Service-Anmeldung (Verbraucherinnen und Verbraucher, Kundinnen und Kunden) oder eingeladene Benutzende (Vorschau) - Einmal-Passcode per E-Mail - SMS-basierte Authentifizierung |
Anwendungsregistrierung
In der folgenden Tabelle werden die für die Anwendungsregistrierung verfügbaren Features den einzelnen Mandantentypen gegenübergestellt.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Protokoll | Parteien, die sich auf SAML verlassen, OpenID Connect und OAuth2 | OpenID Connect und OAuth2 |
Unterstützte Kontotypen | Die folgenden Kontotypen:
|
Verwenden Sie immer Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant). |
Plattform | Die folgenden Plattformen:
|
Die folgenden Plattformen:
|
Authentifizierung>Umleitungs-URIs | Die URIs, die Microsoft Entra ID nach der erfolgreichen Authentifizierung oder Abmeldung von Benutzer*innen beim Zurückgeben von Authentifizierungsantworten (Token) als Ziele akzeptiert. | Identisch mit Mitarbeitermandant. |
Authentifizierung>URL für Front-Channel-Abmeldung | An diese URL sendet Microsoft Entra ID eine Anforderung, um die Sitzungsdaten von Benutzer*innen von der Anwendung löschen zu lassen. Diese URL für Front-Channel-Abmeldung ist erforderlich, damit das einmalige Abmelden ordnungsgemäß funktioniert. | Identisch mit Mitarbeitermandant. |
Authentifizierung>Implizite Genehmigung und Hybridflows | Fordern Sie ein Token direkt vom Autorisierungsendpunkt an. | Identisch mit Mitarbeitermandant. |
Zertifikate und Geheimnisse | Identisch mit Mitarbeitermandant. | |
API-Berechtigungen | Hinzufügen, Entfernen und Ersetzen von Berechtigungen für eine Anwendung. Nachdem Ihrer Anwendung Berechtigungen hinzugefügt wurden, müssen Benutzer*innen oder Administrator*innen die Einwilligung zu den neuen Berechtigungen erteilen. Weitere Informationen zum Aktualisieren der angeforderten Berechtigungen einer App in Microsoft Entra ID. | Folgendes sind die zulässigen Berechtigungen: offline_access , openid und User.Read für Microsoft Graph und Ihre delegierten Berechtigungen für Meine APIs. Nur Administrator*innen können die Einwilligung im Auftrag der Organisation erteilen. |
Verfügbarmachen einer API | Definieren von benutzerdefinierten Bereichen, um den Zugriff auf Daten und Funktionen einzuschränken, die durch die API geschützt sind. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein*e Benutzer*in oder Administrator*in die Einwilligung für einen oder mehrere dieser Bereiche erteilt. | Definieren Sie benutzerdefinierte Bereiche zum Einschränken des Zugriffs auf Daten und Funktionen, die von der API geschützt werden. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein*e Administrator*in die Einwilligung für einen oder mehrere dieser Bereiche erteilt. |
App-Rollen | App-Rollen sind benutzerdefinierte Rollen, mit denen Benutzer*innen oder Apps Berechtigungen zugewiesen werden. Die Anwendung definiert und veröffentlicht die App-Rollen und interpretiert sie während der Autorisierung als Berechtigungen. | Identisch mit Mitarbeitermandant. Weitere Informationen über die Verwendung der rollenbasierten Zugriffssteuerung für Anwendungen finden Sie in einem externen Mandanten. |
Besitzer | Anwendungsbesitzer*innen können die Anwendungsregistrierung anzeigen und bearbeiten. Darüber hinaus können alle Benutzer und Benutzerinnen (die möglicherweise nicht aufgeführt sind) mit Administratorrechten zum Verwalten von Anwendungen (z. B. Cloudanwendungsadministrator) die Anwendungsregistrierungen anzeigen und bearbeiten. | Identisch mit Mitarbeitermandant. |
Rollen und Administratoren | Administrative Rollen werden für die Gewährung des Zugriffs für privilegierte Aktionen in Microsoft Entra ID verwendet. | Nur die Rolle Cloudanwendungsadministrator kann für Apps in externen Mandanten verwendet werden. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Anwendungsregistrierungen und Unternehmensanwendungen. |
Zuweisen von Benutzer*innen und Gruppen zu einer App | Wenn eine Benutzerzuweisung erforderlich ist, können sich nur die Benutzer anmelden, die Sie der Anwendung zuweisen (durch direkte Benutzerzuweisung oder basierend auf der Gruppenmitgliedschaft). Weitere Informationen finden Sie unter Verwalten von Benutzer- und Gruppenzuweisungen zu einer Anwendung. | Nicht verfügbar |
OpenID Connect- und OAuth2-Flows
In der folgenden Tabelle werden die Features verglichen, die für OAuth 2.0- und OpenID Connect-Autorisierungsflows in jedem Mandantentyp verfügbar sind.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
OpenID Connect | Ja | Ja |
Autorisierungscode | Ja | Ja |
Autorisierungscode mit Codeaustausch (PKCE) | Ja | Ja |
Clientanmeldeinformationen | Ja | v2.0-Anwendungen (Vorschau) |
Geräteautorisierung | Ja | Vorschau |
„Im Auftrag von“-Ablauf | Ja | Ja |
Implizite Gewährung | Ja | Ja |
Kennwortanmeldeinformationen des Ressourcenbesitzers | Ja | Nein, verwenden Sie für mobile Anwendungen native Authentifizierung. |
Autoritäts-URL in OpenID Connect- und OAuth2-Flows
Die Autoritäts-URL ist eine URL, die ein Verzeichnis angibt, aus dem die MSAL Token anfordern kann. Verwenden Sie für Apps in externen Mandanten immer das folgende Format: <tenant-name>.ciamlogin.com
Der folgende JSON-Code zeigt ein Beispiel einer appsettings.json-Datei einer .NET-Anwendung mit einer Autoritäts-URL:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Bedingter Zugriff
In der folgenden Tabelle werden die für bedingten Zugriff verfügbaren Feature in den einzelnen Mandantentypen verglichen.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Zuweisungen | Benutzer*innen, Gruppen und Workloadidentitäten | Alle Benutzer*innen einschließen und Benutzer*innen und Gruppen ausschließen. Weitere Informationen finden Sie unter Hinzufügen der Multi-Faktor-Authentifizierung (MFA) zu einer App. |
Zielressourcen | ||
Conditions (MSBuild-Bedingungen) | ||
Erteilen | Gewähren oder Blockieren des Zugriffs auf Ressourcen | |
Sitzung | Sitzungssteuerungen | Nicht verfügbar |
Kontoverwaltung
In der folgenden Tabelle werden die für Benutzerverwaltung verfügbaren Features in den einzelnen Mandantentypen verglichen. Wie in der Tabelle erwähnt, werden bestimmte Kontotypen über Einladungs- oder Self-Service-Registrierung erstellt. Ein Benutzeradmin im Mandanten kann über das Admin Center auch Konten erstellen.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Kontotypen |
|
|
Verwalten von Informationen zum Benutzerprofil | Programmgesteuert und über das Microsoft Entra Admin Center. | Identisch mit Mitarbeitermandant. |
Zurücksetzen des Kennworts für einen Benutzer | Administratoren können das Kennwort von Benutzern zurücksetzen, wenn diese das Kennwort vergessen oder nie erhalten haben oder auf einem Gerät gesperrt wurden. | Identisch mit Mitarbeitermandant. |
Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers | Nachdem Sie einen Benutzer gelöscht haben, verbleibt das Konto 30 Tage lang im angehaltenen Zustand. Während dieses Zeitfensters von 30 Tagen kann das Benutzerkonto mit allen zugehörigen Eigenschaften wiederhergestellt werden. | Identisch mit Mitarbeitermandant. |
Deaktivieren von Konten | Verhindern Sie, dass sich neue Benutzer anmelden können. | Identisch mit Mitarbeitermandant. |
Kennwortschutz
In der folgenden Tabelle werden die für Kennwortschutz verfügbaren Features in den einzelnen Mandantentypen verglichen.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Smart Lockout | Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder sich mithilfe von Brute-Force-Methoden Zugang zu verschaffen. | Identisch mit Mitarbeitermandant. |
Benutzerdefinierte gesperrte Kennwörter | Über die benutzerdefinierte Microsoft Entra-Liste mit gesperrten Kennwörtern können Sie bestimmte Zeichenfolgen hinzufügen, die dann überprüft und gesperrt werden. | Nicht verfügbar. |
Tokenanpassung
In der folgenden Tabelle werden die für Tokenanpassung verfügbaren Features in den einzelnen Mandantentypen verglichen.
Funktion | Mitarbeitermandant | Externer Mandant |
---|---|---|
Anspruchszuordnung | Anpassen von Ansprüchen, die im JWT-Token (JSON Web Token) für Unternehmensanwendungen ausgestellt wurden. | Identisch mit Mitarbeitermandant. Optionale Ansprüche müssen über Attribute & Ansprüche konfiguriert werden. |
Anspruchstransformation | Wenden Sie eine Transformation auf ein Benutzerattribut an, das im JSON-Webtoken (JWT) für Unternehmensanwendungen ausgestellt wurde. | Identisch mit Mitarbeitermandant. |
Anbieter von benutzerdefinierten Ansprüchen | Benutzerdefinierte Authentifizierungserweiterung, die eine externe REST-API aufruft, um Ansprüche aus externen Systemen abzurufen. | Identisch mit Mitarbeitermandant. Weitere Informationen |
Sicherheitsgruppen | Konfigurieren von Gruppen optionaler Ansprüche. | Konfigurieren von Gruppen optionaler Ansprüche ist auf die Gruppenobjekt-ID beschränkt. |
Tokengültigkeitsdauer | Sie können die Lebensdauer von Sicherheitstoken angeben, die von Microsoft Entra ID ausgestellt wurden. | Identisch mit Mitarbeitermandant. |
Microsoft Graph-APIs
Alle Features, die in externen Mandanten unterstützt werden, werden auch für die Automatisierung über Microsoft Graph-APIs unterstützt. Einige Features, die sich in externen Mandanten in der Vorschau befinden, sind möglicherweise über Microsoft Graph allgemein verfügbar. Weitere Informationen finden Sie unter Verwalten der Microsoft Entra-Identität und des Netzwerkzugriffs mithilfe von Microsoft Graph.