Características admitidas en inquilinos externos y de personal
Artículo
Hay dos maneras de configurar un inquilino de Microsoft Entra, en función de cómo la organización pretende usar el inquilino y los recursos que quiere administrar:
Una configuración de inquilino de personal es para los empleados, las aplicaciones empresariales internas y otros recursos de la organización. La colaboración B2B se usa en un inquilino de personal para colaborar con asociados empresariales externos e invitados.
Una configuración de inquilino externa se usa exclusivamente para escenarios de Id. externa en los que quiere publicar aplicaciones para consumidores o clientes empresariales.
En este artículo se proporciona una comparación detallada de las características y funcionalidades disponibles en los inquilinos de personal y externos.
Nota
Durante la versión preliminar, las características o funcionalidades que requieren una licencia Premium no están disponibles en los inquilinos externos.
Comparación de las características generales
En la tabla siguiente se comparan las características y funcionalidades generales disponibles en los inquilinos externos y de personal.
Característica
Inquilino de personal
Inquilino externo
Escenarios de identidades externas
Permitir que los asociados comerciales y otros usuarios externos colaboren con su personal. Los invitados pueden acceder de forma segura a sus aplicaciones empresariales a través de invitaciones o del registro de autoservicio.
Use Id. externa para proteger las aplicaciones. Los consumidores y los clientes empresariales pueden acceder de manera segura a las aplicaciones de consumidor a través del registro de autoservicio. También se admiten invitaciones.
Cuentas locales
Las cuentas locales solo se admiten para los miembros internos de su organización.
Las cuentas locales son compatibles con: - Usuarios externos (consumidores, clientes empresariales) que usan el registro de autoservicio. - Cuentas creadas por administradores.
Grupos
Se pueden usar Grupos para administrar cuentas administrativas y de usuario.
Los grupos se pueden usar para administrar cuentas administrativas. La compatibilidad con grupos y roles de aplicación de Microsoft Entra se implementa por fases en los inquilinos de los clientes. Para obtener las últimas actualizaciones, consulte Compatibilidad con grupos y roles de aplicación.
Roles y administradores
Los roles y administradores se admiten totalmente para cuentas administrativas y de usuario.
Los roles no se admiten para cuentas de cliente. Las cuentas de cliente no tienen acceso a los recursos del inquilino.
Protección de Id.
Proporciona detección constante de riesgos a su inquilino de Microsoft Entra. Permite a las organizaciones detectar, investigar y corregir los riesgos basados en la identidad.
Un subconjunto de las detecciones de riesgo de Protección de Microsoft Entra ID. Más información.
Gobierno de ID
Permite a las organizaciones controlar los ciclos de vida de identidad y acceso y proteger el acceso con privilegios. Más información.
No disponible
Restablecimiento de la contraseña de autoservicio
Permita que los usuarios restablezcan su contraseña usando hasta dos métodos de autenticación (consulte la siguiente fila para conocer los métodos disponibles).
Permita que los usuarios restablezcan su contraseña a través del correo electrónico con un código de acceso de un solo uso. Más información.
Personalización de lenguaje
Personalice la experiencia de inicio de sesión en función del lenguaje del explorador cuando los usuarios se autentiquen en la intranet corporativa o en las aplicaciones basadas en web.
Use idiomas para modificar las cadenas que se muestran a los clientes como parte del proceso de inicio de sesión y registro. Más información.
Personalización de atributos
Use atributos de extensión de directorio para almacenar más datos en el directorio de Microsoft Entra para objetos de usuario, grupos, detalles del inquilino y entidades de servicio.
Use atributos de extensión de directorio para almacenar más datos en el directorio del cliente para objetos de usuario. Cree atributos de usuario personalizados y agréguelos al flujo de usuario de registro. Más información.
En la tabla siguiente, se comparan las características disponibles para la personalización de aspecto y comportamiento en los inquilinos externos y del personal.
Característica
Inquilino de personal
Inquilino externo
Personalización de marca de empresa
Puede agregar personalización de marca de empresa que se aplique a todas estas experiencias para crear una experiencia de inicio de sesión coherente para los usuarios.
La característica de dominio de dirección URL personalizada para inquilinos externos le permite personalizar los puntos de conexión de inicio de sesión de la aplicación con su propio nombre de dominio.
Autenticación nativa para aplicaciones móviles
No disponible
La autenticación nativa de Microsoft Entra le permite tener un control total sobre el diseño de las experiencias de inicio de sesión de la aplicación móvil.
Incorporación de su propia lógica de negocios
Las extensiones de autenticación personalizadas le permiten personalizar la experiencia de autenticación de Microsoft Entra mediante la integración con sistemas externos. Una extensión de autenticación personalizada es básicamente un cliente de escucha de eventos que, cuando se activa, realiza una llamada HTTP a un punto de conexión de la API de REST donde se define su propia lógica de negocios. En la tabla siguiente se comparan los eventos de extensiones de autenticación personalizados disponibles en los inquilinos externos y de personal.
Se produce al principio del paso de colección de atributos del registro, antes de que se represente la página de colección de atributos. Puede agregar acciones como rellenar previamente valores y mostrar un error de bloqueo. Más información
OnAttributeCollectionSubmit
No disponible
Se produce durante el flujo de registro, después de que el usuario escriba y envíe atributos. Puede agregar acciones como validar o modificar las entradas del usuario. Más información
OnOtpSend
No disponible
Configure un proveedor de correo electrónico personalizado para eventos de envío de código de acceso de una sola vez. Más información
Proveedores de identidades y métodos de autenticación
En la tabla siguiente se comparan los proveedores de identidades y los métodos disponibles para la autenticación principal y la autenticación multifactor (MFA) en los inquilinos externos y de personal.
Característica
Inquilino de personal
Inquilino externo
Proveedores de identidad para usuarios externos (autenticación principal)
Para invitados al registro de autoservicio - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de Facebook
Para usuarios invitados - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de SAML/WS-Fed
Cuentas solo de este directorio organizativo (inquilino único)
Cuentas en cualquier directorio organizativo (cualquier inquilino de Microsoft Entra: Multiinquilino)
Cuentas en cualquier directorio organizativo (cualquier inquilino de Microsoft Entra: multiinquilino) y cuentas Microsoft personales (como Skype, Xbox)
Solo cuentas personales de Microsoft
Use siempre Cuentas solo de este directorio organizativo (inquilino único).
Se trata de los URI que Microsoft Entra ID acepta como destinos al devolver respuestas de autenticación (tokens) después de autenticar correctamente o cerrar la sesión de los usuarios.
Igual que los empleados.
Autenticación>URL de cierre de sesión de canal frontal
Esta es la dirección URL a la que Microsoft Entra ID envía una solicitud para que la aplicación borre los datos de sesión del usuario. La dirección URL de cierre de sesión de canal frontal es necesaria para que el cierre de sesión único funcione correctamente.
Igual que los empleados.
Autenticación>Concesión implícita y flujos híbridos
Solicitar un token directamente desde el punto de conexión de autorización.
Estos son los permisos permitidos: Microsoft Graph offline_access, openid y User.Read, y sus permisos delegados de Mis API. Solo un administrador puede conceder consentimiento en nombre de la organización.
Exponer una API
Definir ámbitos personalizados permite restringir el acceso a los datos y la funcionalidad protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que un usuario o administrador dé su consentimiento a uno o varios de estos ámbitos.
Definir ámbitos personalizados permite restringir el acceso a los datos y funcionalidades protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que el administrador dé su consentimiento a uno o varios de estos ámbitos.
Roles de aplicación
Los roles de aplicación son roles personalizados que se usan para asignar permisos a usuarios o aplicaciones. La aplicación define y publica los roles de aplicación y los interpreta como permisos durante la autorización.
Los propietarios de las aplicaciones pueden ver y editar el registro de la aplicación. Además, cualquier usuario (que podría no figurar en la lista) con privilegios de administrador para administrar cualquier aplicación (por ejemplo, Administrador de aplicaciones en la nube) puede ver y editar el registro de la aplicación.
Igual que el personal.
Roles y administradores
Los roles administrativos se usan para conceder acceso a acciones con privilegios en Microsoft Entra ID.
Solo se puede usar el rol de Administrador de aplicaciones en la nube para aplicaciones de inquilinos externos. Este rol concede la capacidad de crear y administrar todos los aspectos de los registros de aplicaciones y las aplicaciones empresariales.
Asignación de usuarios y grupos a una aplicación
Cuando se requiere la asignación de usuarios, solo podrán iniciar sesión los usuarios que se asignen a la aplicación (ya sea a través de una asignación directa de usuarios o según la pertenencia a grupos). Para obtener más información, consulte Administración de la asignación de usuarios y grupos a una aplicación
No disponible
Flujos de OpenID Connect y OAuth2
En la tabla siguiente se comparan las características disponibles para los flujos de autorización de OAuth 2.0 y OpenID Connect en cada tipo de inquilino.
URL de autoridad en flujos de OpenID Connect y OAuth2
La URL de autoridad es una dirección URL que indica un directorio desde el que MSAL puede solicitar tokens. Para las aplicaciones de inquilinos externos, use siempre el siguiente formato: <nombre-inquilino>.ciamlogin.com
El siguiente JSON muestra un ejemplo de un archivo appsettings.json de aplicación de .NET con una URL de autoridad:
En la siguiente tabla se comparan las características disponibles para la administración de usuarios en cada tipo de inquilino. Como se indica en la tabla, determinados tipos de cuenta se crean mediante invitación o registro de autoservicio. Un administrador de usuarios del inquilino también puede crear cuentas a través del Centro de administración.
Característica
Inquilino de personal
Inquilino externo
Tipos de cuentas
Miembros internos, por ejemplo, empleados y administradores.
Usuarios externos invitados o que usan el registro de autoservicio.
Usuarios internos del inquilino. Por ejemplo: administradores.
Consumidores externos y clientes empresariales que usan el registro de autoservicio o que los administradores crean.
Los administradores pueden restablecer la contraseña de un usuario si se olvida la contraseña, si el usuario bloquea su dispositivo o si nunca ha recibido una contraseña.
Igual que el personal.
Restauración o eliminación de un usuario recientemente eliminado
Después de eliminar a un usuario, la cuenta permanece en estado de suspensión durante 30 días. Durante ese período de 30 días, la cuenta de usuario se puede restaurar, junto con todas sus propiedades.
Igual que el personal.
Deshabilitar cuentas
Impedir que el nuevo usuario pueda iniciar sesión.
Igual que el personal.
Protección con contraseña
En la siguiente tabla, se comparan las características disponibles para la protección de contraseñas en cada tipo de inquilino.
Característica
Inquilino de personal
Inquilino externo
Bloqueo inteligente
El Bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para acceder.
Igual que el personal.
Contraseñas prohibidas personalizadas
La lista de contraseñas prohibidas personalizadas de Microsoft Entra permite agregar cadenas específicas para evaluar y bloquear.
No disponible.
Personalización de tokens
En la siguiente tabla, se comparan las características disponibles para la personalización de tokens en cada tipo de inquilino.
Todas las características que se admiten en inquilinos externos también se admiten para la automatización a través de las API de Microsoft Graph. Algunas características que están en versión preliminar en inquilinos externos pueden estar disponibles con carácter general a través de Microsoft Graph. Para obtener más información, consulte Administrar la identidad y el acceso a la red de Microsoft Entra mediante Microsoft Graph.
Descubra cómo Id. externa de Microsoft Entra puede proporcionar experiencias de inicio de sesión seguras y sin problemas para los consumidores y clientes empresariales. Explore la creación de inquilinos, el registro de aplicaciones, la personalización de flujo y la seguridad de la cuenta.
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.