Funciones compatibles con Microsoft Entra External ID (versión preliminar)
Microsoft Entra External ID está diseñado para empresas que desean poner aplicaciones a disposición de sus clientes, utilizando la plataforma Microsoft Entra para identidad y acceso. Con la introducción de esta característica, Microsoft Entra ID ofrece dos tipos de inquilinos que puede crear y administrar:
Un inquilino de personal contiene los empleados, las aplicaciones y los recursos internos de su organización. Si ya ha trabajado con Azure AD, este es el tipo de inquilino que ya conoce. Es posible que ya haya un inquilino de personal en su organización.
Un inquilino externo representa la aplicación orientada al cliente, los recursos y el directorio de las cuentas de cliente. Un inquilino externo es distinto e independiente del inquilino de personal.
Importante
Id. externa de Microsoft Entra para aplicaciones orientadas a externos está actualmente en versión preliminar. Consulte los Términos de licencia universal para servicios en línea para conocer los términos legales que se aplican a las funciones y servicios de Azure que se encuentran en fase beta, de vista previa o que no están disponibles de forma general.
Comparación de las funcionalidades de inquilinos de personal y externos
Aunque los inquilinos de personal y externos se basan en la misma plataforma de Microsoft Entra subyacente, hay algunas diferencias en las características. En la siguiente tabla se comparan las características disponibles en cada tipo de inquilino.
Nota:
Durante la versión preliminar, las características o funcionalidades que requieren una licencia Premium no están disponibles en los inquilinos externos.
| Característica | Inquilino de personal | Inquilino externo |
|---|---|---|
| Escenarios de identidades externas | Permitir que los asociados comerciales y otros usuarios externos colaboren con su personal. Los invitados pueden acceder de forma segura a sus aplicaciones empresariales a través de invitaciones o del registro de autoservicio. | Use Id. externa para proteger las aplicaciones orientadas a usuarios externos. Los consumidores y los clientes empresariales pueden acceder de manera segura a las aplicaciones de consumidor a través del registro de autoservicio. También se admiten invitaciones (versión preliminar). |
| Cuentas locales | Las cuentas locales solo se admiten para los miembros internos de su organización. | Las cuentas locales son compatibles con: - Usuarios externos (consumidores, clientes empresariales) que usan el registro de autoservicio. - Cuentas creadas por administradores. |
| Proveedores de identidades para usuarios externos | Invitados al registro de autoservicio: - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de Facebook Usuarios invitados: - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de SAML/WS-Fed |
Usuarios de registro de autoservicio (consumidores, clientes empresariales): - Correo electrónico con contraseña - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de Facebook |
| Métodos de autenticación | - Usuarios internos (empleados y administradores): Funcionamiento de cada método de autenticación - Invitados (invitado o registro de autoservicio): Métodos de autenticación para usuarios externos |
Usuarios de registro de autoservicio (consumidores, clientes empresariales): - Código de acceso de un solo uso por correo electrónico |
| Grupos | Se pueden usar grupos para administrar cuentas administrativas y de usuario. | Los grupos se pueden usar para administrar cuentas administrativas. La compatibilidad con grupos y roles de aplicación de Microsoft Entra se implementa por fases en los inquilinos de los clientes. Para obtener las últimas actualizaciones, consulte Compatibilidad con grupos y roles de aplicación. |
| Roles y administradores | Los roles y administradores se admiten totalmente para cuentas administrativas y de usuario. | Los roles no se admiten para cuentas de cliente. Las cuentas de cliente no tienen acceso a los recursos del inquilino. |
| Nombres de dominio personalizados | Puede usar dominios personalizados solo para cuentas administrativas. | No se admite actualmente. Sin embargo, las direcciones URL visibles para los clientes en las páginas de registro e inicio de sesión son direcciones URL neutras, sin marca. Más información |
| Identity Protection | Proporciona detección constante de riesgos a su inquilino de Microsoft Entra. Permite a las organizaciones detectar, investigar y corregir los riesgos basados en la identidad. | Un subconjunto de las detecciones de riesgo de Microsoft Entra ID Protection. Más información. |
| Extensión de autenticación personalizada | Agregue notificaciones de sistemas externos. | Agregue notificaciones de sistemas externos. |
| Personalización de tokens | Agregue atributos de usuario, la extensión de autenticación personalizada (en versión preliminar), la transformación de notificaciones y la pertenencia a grupos de seguridad a las notificaciones de token. | Agregue atributos de usuario, la extensión de autenticación personalizada y la pertenencia a grupos de seguridad a las notificaciones de token. Más información. |
| Restablecimiento de la contraseña de autoservicio | Permita que los usuarios restablezcan su contraseña usando hasta dos métodos de autenticación (consulte la siguiente fila para conocer los métodos disponibles). | Permita que los usuarios restablezcan su contraseña a través del correo electrónico con un código de acceso de un solo uso. Más información. |
| Personalización de marca de empresa | El inquilino de Microsoft Entra admite la apariencia y el funcionamiento de Microsoft como estado predeterminado en la experiencia de autenticación. Los administradores pueden personalizar la experiencia de inicio de sesión predeterminada de Microsoft. | Microsoft proporciona una marca neutra como valor predeterminado para el inquilino externo, que se puede personalizar para satisfacer las necesidades específicas de su empresa. La marca predeterminada para el inquilino externo es neutra y no incluye ninguna personalización de marca de Microsoft. Más información. |
| Personalización de lenguaje | Personalice la experiencia de inicio de sesión en función del lenguaje del explorador cuando los usuarios se autentiquen en la intranet corporativa o en las aplicaciones basadas en web. | Use idiomas para modificar las cadenas que se muestran a los clientes como parte del proceso de inicio de sesión y registro. Más información. |
| Atributos personalizados | Use atributos de extensión de directorio para almacenar más datos en el directorio de Microsoft Entra para objetos de usuario, grupos, detalles del inquilino y entidades de servicio. | Use atributos de extensión de directorio para almacenar más datos en el directorio del cliente para objetos de usuario. Cree atributos de usuario personalizados y agréguelos al flujo de usuario de registro. Más información. |
Registro de la aplicación
En la siguiente tabla se comparan las características disponibles para el Registro de aplicaciones en cada tipo de inquilino.
| Característica | Inquilino de personal | Inquilino externo |
|---|---|---|
| Protocolo | Usuarios de confianza de SAML, OpenID Connect y OAuth2 | OpenID Connect y OAuth2 |
| Tipos de cuenta admitidos | Los siguientes tipos de cuenta:
|
En el caso de las aplicaciones orientadas al cliente, use siempre Cuentas solo en este directorio organizativo (inquilino único). |
| Plataforma | Las siguientes plataformas:
|
Igual que los empleados. |
| Autenticación>URI de redirección | Se trata de los URI que Microsoft Entra ID acepta como destinos al devolver respuestas de autenticación (tokens) después de autenticar correctamente o cerrar la sesión de los usuarios. | Igual que los empleados. |
| Autenticación>URL de cierre de sesión de canal frontal | Esta es la dirección URL a la que Microsoft Entra ID envía una solicitud para que la aplicación borre los datos de sesión del usuario. La dirección URL de cierre de sesión de canal frontal es necesaria para que el cierre de sesión único funcione correctamente. | Igual que los empleados. |
| Autenticación>Concesión implícita y flujos híbridos | Solicitar un token directamente desde el punto de conexión de autorización. | Igual que los empleados. |
| Certificados y secretos | Igual que los empleados. | |
| Configuración de tokens |
|
|
| Permisos de API | Agregue, quite y reemplace permisos en una aplicación. Una vez agregados los permisos a la aplicación, los usuarios o administradores deben conceder consentimiento a los nuevos permisos. Obtenga más información sobre cómo actualizar los permisos solicitados de una aplicación en Microsoft Entra ID. | Para las aplicaciones orientadas al cliente, a continuación se muestran los permisos permitidos: Microsoft Graph offline_access, openid y User.Read y sus permisos delegados de Mis API. Solo un administrador puede conceder consentimiento en nombre de la organización. |
| Exponer una API | Definir ámbitos personalizados permite restringir el acceso a los datos y la funcionalidad protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que un usuario o administrador dé su consentimiento a uno o varios de estos ámbitos. | Defina ámbitos personalizados para restringir el acceso a los datos y las funciones protegidas por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que el administrador dé su consentimiento a uno o varios de estos ámbitos. |
| Roles de aplicación | Los roles de aplicación son roles personalizados que se usan para asignar permisos a usuarios o aplicaciones. La aplicación define y publica los roles de aplicación y los interpreta como permisos durante la autorización. | Igual que los empleados. Obtenga más información sobre cómo usar el control de acceso basado en roles para aplicaciones en un inquilino externo. |
| Propietarios | Los propietarios de las aplicaciones pueden ver y editar el registro de la aplicación. Además, cualquier usuario (que quizás no aparezca aquí) con privilegios administrativos para administrar cualquier aplicación (por ejemplo, administrador global, administrador de aplicaciones en la nube, etc.) puede ver y editar los registros de aplicaciones. | Igual que los empleados. |
| Roles y administradores | Los roles administrativos se usan para conceder acceso a acciones con privilegios en Microsoft Entra ID. | Solo se puede usar el rol de Administrador de aplicaciones en la nube para aplicaciones orientadas al cliente. Este rol concede la capacidad de crear y administrar todos los aspectos de los registros de aplicaciones y las aplicaciones empresariales. |
| Asignación de usuarios y grupos a una aplicación | Cuando se requiere la asignación de usuarios, solo podrán iniciar sesión los usuarios que se asignen a la aplicación (ya sea a través de una asignación directa de usuarios o según la pertenencia a grupos). Para obtener más información, consulte Administración de la asignación de usuarios y grupos a una aplicación | No disponible |
Flujos de OpenID Connect y OAuth2
En la tabla siguiente se comparan las características disponibles para los flujos de autorización de OAuth 2.0 y OpenID Connect en cada tipo de inquilino.
| Característica | Inquilino de personal | Inquilino externo |
|---|---|---|
| OpenID Connect | Sí | Sí |
| Código de autorización | Sí | Sí |
| Código de autorización con intercambio de código (PKCE) | Sí | Sí |
| Credenciales de cliente | Sí | Aplicaciones v2.0 |
| Autorización de dispositivos | Sí | No |
| Flujos en nombre de | Sí | Sí |
| Concesión implícita | Sí | Sí |
| Credenciales de contraseña del propietario del recurso | Sí | No |
URL de autoridad en flujos de OpenID Connect y OAuth2
La URL de autoridad es una dirección URL que indica un directorio desde el que MSAL puede solicitar tokens. Para las aplicaciones orientadas al cliente, use siempre el siguiente formato: <nombre-inquilino>.ciamlogin.com
El siguiente JSON muestra un ejemplo de una configuración de aplicación de .NET con una URL de autoridad:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acceso condicional
En la siguiente tabla se comparan las características disponibles para el acceso condicional en cada tipo de inquilino.
| Característica | Inquilino de personal | Inquilino externo |
|---|---|---|
| Assignments | Usuarios, grupos e identidades de carga de trabajo | Inclusión de todos los usuarios y exclusión de usuarios y grupos. Para obtener más información, consulte Adición de autenticación multifactor (MFA) a una aplicación orientada al cliente. |
| Recursos de destino | ||
| Condiciones | ||
| Conceder | Conceder o bloquear el acceso a los recursos | |
| Sesión | Controles de sesión | No disponible |
Administración de cuentas
En la siguiente tabla se comparan las características disponibles para la administración de usuarios en cada tipo de inquilino. Como se indica en la tabla, determinados tipos de cuenta se crean mediante invitación o registro de autoservicio. Un administrador de usuarios del inquilino también puede crear cuentas a través del Centro de administración.
| Característica | Inquilino de personal | Inquilino externo |
|---|---|---|
| Tipos de cuentas |
|
|
| Administrar la información del perfil de usuario | Mediante programación y mediante el Centro de administración de Microsoft Entra. | Igual que los empleados. |
| Restablecer la contraseña de usuario | Los administradores pueden restablecer la contraseña de un usuario si se olvida la contraseña, si el usuario bloquea su dispositivo o si nunca ha recibido una contraseña. | Igual que los empleados. |
| Restauración o eliminación de un usuario recientemente eliminado | Después de eliminar a un usuario, la cuenta permanece en estado de suspensión durante 30 días. Durante ese período de 30 días, la cuenta de usuario se puede restaurar, junto con todas sus propiedades. | Igual que los empleados. |
| Deshabilitar cuentas | Impedir que el nuevo usuario pueda iniciar sesión. | Igual que los empleados. |
Protección con contraseña
| Característica | Inquilino de personal | Inquilino externo |
|---|---|---|
| Bloqueo inteligente | El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para acceder. | Igual que los empleados. |
| Contraseñas prohibidas personalizadas | La lista de contraseñas prohibidas personalizadas de Microsoft Entra permite agregar cadenas específicas para evaluar y bloquear. | No disponible. |