Características admitidas en inquilinos externos y de personal

Artículo
26/02/2025

Hay dos maneras de configurar un inquilino de Microsoft Entra, en función de cómo la organización pretende usar el inquilino y los recursos que quiere administrar:

Una configuración de inquilino de personal es para los empleados, las aplicaciones empresariales internas y otros recursos de la organización. La colaboración B2B se usa en un inquilino de personal para colaborar con asociados empresariales externos e invitados.
Una configuración de inquilino externa se usa exclusivamente para escenarios de Id. externa en los que quiere publicar aplicaciones para consumidores o clientes empresariales.

En este artículo se proporciona una comparación detallada de las características y funcionalidades disponibles en los inquilinos de personal y externos.

Nota

Durante la versión preliminar, las características o funcionalidades que requieren una licencia Premium no están disponibles en los inquilinos externos.

Comparación de las características generales

En la tabla siguiente se comparan las características y funcionalidades generales disponibles en los inquilinos externos y de personal.

Característica	Inquilino de personal	Inquilino externo
Escenarios de identidades externas	Permitir que los asociados comerciales y otros usuarios externos colaboren con su personal. Los invitados pueden acceder de forma segura a sus aplicaciones empresariales a través de invitaciones o del registro de autoservicio.	Use Id. externa para proteger las aplicaciones. Los consumidores y los clientes empresariales pueden acceder de manera segura a las aplicaciones de consumidor a través del registro de autoservicio. También se admiten invitaciones.
Cuentas locales	Las cuentas locales solo se admiten para los miembros internos de su organización.	Las cuentas locales son compatibles con: - Usuarios externos (consumidores, clientes empresariales) que usan el registro de autoservicio. - Cuentas creadas por administradores.
Grupos	Se pueden usar Grupos para administrar cuentas administrativas y de usuario.	Los grupos se pueden usar para administrar cuentas administrativas. La compatibilidad con grupos y roles de aplicación de Microsoft Entra se implementa por fases en los inquilinos de los clientes. Para obtener las últimas actualizaciones, consulte Compatibilidad con grupos y roles de aplicación.
Roles y administradores	Los roles y administradores se admiten totalmente para cuentas administrativas y de usuario.	Los roles no se admiten para cuentas de cliente. Las cuentas de cliente no tienen acceso a los recursos del inquilino.
Protección de Id.	Proporciona detección constante de riesgos a su inquilino de Microsoft Entra. Permite a las organizaciones detectar, investigar y corregir los riesgos basados en la identidad.	Un subconjunto de las detecciones de riesgo de Protección de Microsoft Entra ID. Más información.
Gobierno de ID	Permite a las organizaciones controlar los ciclos de vida de identidad y acceso y proteger el acceso con privilegios. Más información.	No disponible
Restablecimiento de la contraseña de autoservicio	Permita que los usuarios restablezcan su contraseña usando hasta dos métodos de autenticación (consulte la siguiente fila para conocer los métodos disponibles).	Permita que los usuarios restablezcan su contraseña a través del correo electrónico con un código de acceso de un solo uso. Más información.
Personalización de lenguaje	Personalice la experiencia de inicio de sesión en función del lenguaje del explorador cuando los usuarios se autentiquen en la intranet corporativa o en las aplicaciones basadas en web.	Use idiomas para modificar las cadenas que se muestran a los clientes como parte del proceso de inicio de sesión y registro. Más información.
Personalización de atributos	Use atributos de extensión de directorio para almacenar más datos en el directorio de Microsoft Entra para objetos de usuario, grupos, detalles del inquilino y entidades de servicio.	Use atributos de extensión de directorio para almacenar más datos en el directorio del cliente para objetos de usuario. Cree atributos de usuario personalizados y agréguelos al flujo de usuario de registro. Más información.
Precios	Precio de usuarios activos mensuales (MAU) para invitados externos de colaboración B2B (UserType=Guest).	Precio de usuarios activos mensuales (MAU) para todos los usuarios del inquilino externo, independientemente del rol o UserType.

Personalización del Aspecto y comportamiento

En la tabla siguiente, se comparan las características disponibles para la personalización de aspecto y comportamiento en los inquilinos externos y del personal.

Característica	Inquilino de personal	Inquilino externo
Personalización de marca de empresa	Puede agregar personalización de marca de empresa que se aplique a todas estas experiencias para crear una experiencia de inicio de sesión coherente para los usuarios.	Igual que el personal. Más información
Personalización de lenguaje	Personalización de la experiencia de inicio de sesión por idioma del explorador.	Igual que el personal. Más información
Nombres de dominio personalizados	Puede usar dominios personalizados solo para cuentas administrativas.	La característica de dominio de dirección URL personalizada para inquilinos externos le permite personalizar los puntos de conexión de inicio de sesión de la aplicación con su propio nombre de dominio.
Autenticación nativa para aplicaciones móviles	No disponible	La autenticación nativa de Microsoft Entra le permite tener un control total sobre el diseño de las experiencias de inicio de sesión de la aplicación móvil.

Incorporación de su propia lógica de negocios

Las extensiones de autenticación personalizadas le permiten personalizar la experiencia de autenticación de Microsoft Entra mediante la integración con sistemas externos. Una extensión de autenticación personalizada es básicamente un cliente de escucha de eventos que, cuando se activa, realiza una llamada HTTP a un punto de conexión de la API de REST donde se define su propia lógica de negocios. En la tabla siguiente se comparan los eventos de extensiones de autenticación personalizados disponibles en los inquilinos externos y de personal.

Evento	Inquilino de personal	Inquilino externo
TokenIssuanceStart	Agregue notificaciones de sistemas externos.	Agregue notificaciones de sistemas externos.
OnAttributeCollectionStart	No disponible	Se produce al principio del paso de colección de atributos del registro, antes de que se represente la página de colección de atributos. Puede agregar acciones como rellenar previamente valores y mostrar un error de bloqueo. Más información
OnAttributeCollectionSubmit	No disponible	Se produce durante el flujo de registro, después de que el usuario escriba y envíe atributos. Puede agregar acciones como validar o modificar las entradas del usuario. Más información
OnOtpSend	No disponible	Configure un proveedor de correo electrónico personalizado para eventos de envío de código de acceso de una sola vez. Más información

Proveedores de identidades y métodos de autenticación

En la tabla siguiente se comparan los proveedores de identidades y los métodos disponibles para la autenticación principal y la autenticación multifactor (MFA) en los inquilinos externos y de personal.

Característica	Inquilino de personal	Inquilino externo
Proveedores de identidad para usuarios externos (autenticación principal)	Para invitados al registro de autoservicio - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de Facebook Para usuarios invitados - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de SAML/WS-Fed	Para los usuarios de registro de autoservicio (consumidores, clientes empresariales) - Correo electrónico con contraseña - Código de acceso de un solo uso por correo electrónico - Federación de Google (versión preliminar) - Federación de Facebook (versión preliminar) - Federación de Apple (versión preliminar) - Federación de OIDC (versión preliminar) - Para invitados (versión preliminar) Invitados con un rol de directorio (por ejemplo, administradores): - Cuentas de Microsoft Entra -Cuentas de Microsoft Código de acceso de un solo uso de correo electrónico - Federación de SAML/WS-Fed
Métodos de autenticación para MFA	Para usuarios internos (empleados y administradores) - Métodos de autenticación y verificación Para invitados (registro por invitación o autoservicio) - Métodos de autenticación para invitados MFA	Para usuarios de registro de autoservicio (consumidores y clientes empresariales) o usuarios invitados (versión preliminar) - Código de acceso de un solo uso por correo electrónico - Autenticación por SMS

Registro de aplicación

En la siguiente tabla se comparan las características disponibles para el Registro de aplicaciones en cada tipo de inquilino.

Característica	Inquilino de personal	Inquilino externo
Protocolo	Usuarios de confianza de SAML, OpenID Connect y OAuth2	Usuarios de confianza de SAML, OpenID Connect y OAuth2
Tipos de cuenta admitidos	Los siguientes tipos de cuenta: Cuentas solo de este directorio organizativo (inquilino único) Cuentas en cualquier directorio organizativo (cualquier inquilino de Microsoft Entra: Multiinquilino) Cuentas en cualquier directorio organizativo (cualquier inquilino de Microsoft Entra: multiinquilino) y cuentas Microsoft personales (como Skype, Xbox) Solo cuentas personales de Microsoft	Use siempre Cuentas solo de este directorio organizativo (inquilino único).
Plataforma	Las siguientes plataformas: Cliente público o nativo (móvil y escritorio) Web Aplicación de página única (SPA)	Las siguientes plataformas: Cliente público (móvil y escritorio) Autenticación nativa móvil Web Aplicación de página única (SPA)
Autenticación>URI de redirección	Se trata de los URI que Microsoft Entra ID acepta como destinos al devolver respuestas de autenticación (tokens) después de autenticar correctamente o cerrar la sesión de los usuarios.	Igual que los empleados.
Autenticación>URL de cierre de sesión de canal frontal	Esta es la dirección URL a la que Microsoft Entra ID envía una solicitud para que la aplicación borre los datos de sesión del usuario. La dirección URL de cierre de sesión de canal frontal es necesaria para que el cierre de sesión único funcione correctamente.	Igual que los empleados.
Autenticación>Concesión implícita y flujos híbridos	Solicitar un token directamente desde el punto de conexión de autorización.	Igual que el personal.
Certificados y secretos	Certificado Secretos de cliente Credenciales federadas	Igual que el personal.
Permisos de API	Agregue, quite y reemplace permisos en una aplicación. Una vez agregados los permisos a la aplicación, los usuarios o administradores deben conceder consentimiento a los nuevos permisos. Obtenga más información sobre cómo actualizar los permisos solicitados de una aplicación en Microsoft Entra ID.	Estos son los permisos permitidos: Microsoft Graph `offline_access`, `openid` y `User.Read`, y sus permisos delegados de Mis API. Solo un administrador puede conceder consentimiento en nombre de la organización.
Exponer una API	Definir ámbitos personalizados permite restringir el acceso a los datos y la funcionalidad protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que un usuario o administrador dé su consentimiento a uno o varios de estos ámbitos.	Definir ámbitos personalizados permite restringir el acceso a los datos y funcionalidades protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que el administrador dé su consentimiento a uno o varios de estos ámbitos.
Roles de aplicación	Los roles de aplicación son roles personalizados que se usan para asignar permisos a usuarios o aplicaciones. La aplicación define y publica los roles de aplicación y los interpreta como permisos durante la autorización.	Igual que el personal. Obtenga más información sobre cómo usar el control de acceso basado en roles para aplicaciones en un inquilino externo.
Propietarios	Los propietarios de las aplicaciones pueden ver y editar el registro de la aplicación. Además, cualquier usuario (que podría no figurar en la lista) con privilegios de administrador para administrar cualquier aplicación (por ejemplo, Administrador de aplicaciones en la nube) puede ver y editar el registro de la aplicación.	Igual que el personal.
Roles y administradores	Los roles administrativos se usan para conceder acceso a acciones con privilegios en Microsoft Entra ID.	Solo se puede usar el rol de Administrador de aplicaciones en la nube para aplicaciones de inquilinos externos. Este rol concede la capacidad de crear y administrar todos los aspectos de los registros de aplicaciones y las aplicaciones empresariales.
Asignación de usuarios y grupos a una aplicación	Cuando se requiere la asignación de usuarios, solo podrán iniciar sesión los usuarios que se asignen a la aplicación (ya sea a través de una asignación directa de usuarios o según la pertenencia a grupos). Para obtener más información, consulte Administración de la asignación de usuarios y grupos a una aplicación	No disponible

Flujos de OpenID Connect y OAuth2

En la tabla siguiente se comparan las características disponibles para los flujos de autorización de OAuth 2.0 y OpenID Connect en cada tipo de inquilino.

Característica	Inquilino de personal	Inquilino externo
OpenID Connect	Sí	Sí
Código de autorización	Sí	Sí
Código de autorización con intercambio de código (PKCE)	Sí	Sí
Credenciales de cliente	Sí	Aplicaciones v2.0 (versión preliminar)
Autorización de dispositivos	Sí	Versión preliminar
Flujo con derechos delegados	Sí	Sí
Concesión implícita	Sí	Sí
Credenciales de contraseña del propietario del recurso	Sí	No, para las aplicaciones móviles, use la autenticación nativa.

URL de autoridad en flujos de OpenID Connect y OAuth2

La URL de autoridad es una dirección URL que indica un directorio desde el que MSAL puede solicitar tokens. Para las aplicaciones de inquilinos externos, use siempre el siguiente formato: <nombre-inquilino>.ciamlogin.com

El siguiente JSON muestra un ejemplo de un archivo appsettings.json de aplicación de .NET con una URL de autoridad:

{
    "AzureAd": {
        "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
        "ClientId": "<Enter_the_Application_Id_Here>"
    }
}

Acceso condicional

En la siguiente tabla se comparan las características disponibles para el acceso condicional en cada tipo de inquilino.

Característica	Inquilino de personal	Inquilino externo
Asignaciones	Usuarios, grupos e identidades de carga de trabajo	Inclusión de todos los usuarios y exclusión de usuarios y grupos. Para obtener más información, consulte Adición de autenticación multifactor (MFA) a una aplicación.
Recursos de destino	Aplicaciones en la nube Acciones del usuario Global Secure Access Contexto de autenticación	Todos los recursos, aplicaciones seleccionadas o aplicaciones de filtro. Contexto de autenticación
Condiciones	Riesgo de inicio de sesión Riesgo de usuario Plataformas de dispositivo Ubicaciones Aplicaciones cliente Filtro para dispositivos	Riesgo de inicio de sesión Riesgo de usuario Plataformas de dispositivo Ubicaciones
Concesión	Conceder o bloquear el acceso a los recursos	Bloquear acceso Requerir autenticación multifactor Requerir el restablecimiento de contraseña
Sesión	Controles de sesión	No disponible

Administración de cuentas

En la siguiente tabla se comparan las características disponibles para la administración de usuarios en cada tipo de inquilino. Como se indica en la tabla, determinados tipos de cuenta se crean mediante invitación o registro de autoservicio. Un administrador de usuarios del inquilino también puede crear cuentas a través del Centro de administración.

Característica	Inquilino de personal	Inquilino externo
Tipos de cuentas	Miembros internos, por ejemplo, empleados y administradores. Usuarios externos invitados o que usan el registro de autoservicio.	Usuarios internos del inquilino. Por ejemplo: administradores. Consumidores externos y clientes empresariales que usan el registro de autoservicio o que los administradores crean. Usuarios externos invitados (versión preliminar).
Administrar la información del perfil de usuario	Mediante programación y mediante el Centro de administración de Microsoft Entra.	Igual que el personal.
Restablecer la contraseña de usuario	Los administradores pueden restablecer la contraseña de un usuario si se olvida la contraseña, si el usuario bloquea su dispositivo o si nunca ha recibido una contraseña.	Igual que el personal.
Restauración o eliminación de un usuario recientemente eliminado	Después de eliminar a un usuario, la cuenta permanece en estado de suspensión durante 30 días. Durante ese período de 30 días, la cuenta de usuario se puede restaurar, junto con todas sus propiedades.	Igual que el personal.
Deshabilitar cuentas	Impedir que el nuevo usuario pueda iniciar sesión.	Igual que el personal.

Protección con contraseña

En la siguiente tabla, se comparan las características disponibles para la protección de contraseñas en cada tipo de inquilino.

Característica	Inquilino de personal	Inquilino externo
Bloqueo inteligente	El Bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para acceder.	Igual que el personal.
Contraseñas prohibidas personalizadas	La lista de contraseñas prohibidas personalizadas de Microsoft Entra permite agregar cadenas específicas para evaluar y bloquear.	No disponible.

Personalización de tokens

En la siguiente tabla, se comparan las características disponibles para la personalización de tokens en cada tipo de inquilino.

Característica	Inquilino de personal	Inquilino externo
Asignación de notificaciones	Personalización de notificaciones emitidas en JSON Web Token (JWT) para aplicaciones empresariales	Igual que el personal. Las notificaciones opcionales deben configurarse a través de Atributos y Notificaciones.
Transformación de notificaciones	Aplique una transformación a un atributo de usuario emitido en JSON Web Token (JWT) para aplicaciones empresariales.	Igual que el personal.
Proveedor de notificaciones personalizado	Extensión de autenticación personalizada que llama a una API de REST externa para capturar notificaciones de sistemas externos.	Igual que el personal. Más información
Grupos de seguridad	Configuración de notificaciones opcionales de grupos.	Configuración de notificaciones opcionales de grupos: limitado al identificador de objeto de grupo.
Vigencia de los tokens	Puede especificar la duración de los tokens de seguridad emitidos por Microsoft Entra ID.	Igual que el personal.

API de Microsoft Graph

Todas las características que se admiten en inquilinos externos también se admiten para la automatización a través de las API de Microsoft Graph. Algunas características que están en versión preliminar en inquilinos externos pueden estar disponibles con carácter general a través de Microsoft Graph. Para obtener más información, consulte Administrar la identidad y el acceso a la red de Microsoft Entra mediante Microsoft Graph.

Pasos siguientes

Planeamiento de CIAM

Compartir a través de