Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Hay dos maneras de configurar un inquilino de Microsoft Entra, en función de cómo la organización pretende usar el inquilino y los recursos que quiere administrar:
- Una configuración de inquilinos de recursos es para los empleados, las aplicaciones empresariales internas y otros recursos de la organización. La colaboración B2B se usa en un inquilino de personal para colaborar con asociados empresariales externos e invitados.
- Una configuración de inquilinos externos se usa exclusivamente para escenarios de Id. externa en los que quiere publicar aplicaciones para consumidores o clientes empresariales.
En este artículo se proporciona una comparación detallada de las características y funcionalidades disponibles en los inquilinos de personal y externos.
Note
Durante la versión preliminar, las características o funcionalidades que requieren una licencia Premium no están disponibles en los inquilinos externos.
Comparación de las características generales
En la tabla siguiente se comparan las características y funcionalidades generales disponibles en los inquilinos externos y de personal.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Escenario de identidades externas | Permitir que los asociados comerciales y otros usuarios externos colaboren con su personal. Los invitados pueden acceder de forma segura a sus aplicaciones empresariales a través de invitaciones o del registro de autoservicio. | Use Id. externa para proteger las aplicaciones. Los consumidores y los clientes empresariales pueden acceder de manera segura a las aplicaciones de consumidor a través del registro de autoservicio. También se admiten invitaciones. |
| Cuentas locales | Las cuentas locales solo se admiten para los miembros internos de su organización. | Se admiten cuentas locales para:
|
| Groups | Se pueden usar grupos para administrar cuentas administrativas y de usuario. | Los grupos se pueden usar para administrar cuentas administrativas. La compatibilidad con los grupos y roles de aplicación de Microsoft Entra se implementa por fases en los inquilinos de los clientes. Para obtener las últimas actualizaciones, consulte Compatibilidad con grupos y roles de aplicación. |
| Roles y administradores | Los roles y administradores se admiten totalmente para cuentas administrativas y de usuario. | Se admiten roles para todos los usuarios. Todos los usuarios de un inquilino externo tienen permisos predeterminados a menos que se les asigne un rol de administrador. |
| Protección de identificadores | Proporciona detección constante de riesgos a su inquilino de Microsoft Entra. Permite a las organizaciones detectar, investigar y corregir los riesgos basados en la identidad. | No disponible |
| Gobernanza de identificadores | Permite a las organizaciones controlar los ciclos de vida de identidad y acceso y proteger el acceso con privilegios. Más información. | No disponible |
| Autoservicio de restablecimiento de contraseña | Permita que los usuarios restablezcan su contraseña usando hasta dos métodos de autenticación (consulte la siguiente fila para conocer los métodos disponibles). | Permita que los usuarios restablezcan su contraseña a través del correo electrónico con un código de acceso de un solo uso. Más información. |
| Personalización del idioma | Personalice la experiencia de inicio de sesión en función del lenguaje del explorador cuando los usuarios se autentiquen en la intranet corporativa o en las aplicaciones basadas en web. | Use idiomas para modificar las cadenas que se muestran a los clientes como parte del proceso de inicio de sesión y registro. Más información. |
| Atributos personalizados | Use atributos de extensión de directorio para almacenar más datos en el directorio de Microsoft Entra para objetos de usuario, grupos, detalles del inquilino y entidades de servicio. | Use atributos de extensión de directorio para almacenar más datos en el directorio del cliente para objetos de usuario. Cree atributos de usuario personalizados y agréguelos al flujo de usuario de registro. Más información. |
| Pricing | Precio de usuarios activos mensuales (MAU) para invitados externos de colaboración B2B (UserType=Guest). | Precio de usuarios activos mensuales (MAU) para todos los usuarios del inquilino externo, independientemente del rol o UserType. |
Personalización del aspecto y comportamiento
En la tabla siguiente, se comparan las características disponibles para la personalización de aspecto y comportamiento en los inquilinos externos y del personal.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Personalización de marca de empresa | Puede agregar personalización de marca de empresa que se aplique a todas estas experiencias para crear una experiencia de inicio de sesión coherente para los usuarios. | Igual que los recursos. Aprende más |
| Personalización del idioma | Personalización de la experiencia de inicio de sesión por idioma del explorador. | Igual que los recursos. Aprende más |
| Nombres de dominio personalizados | Puede usar dominios personalizados solo para cuentas administrativas. | La característica de dominio de dirección URL personalizada para inquilinos externos le permite personalizar los puntos de conexión de inicio de sesión de la aplicación con su propio nombre de dominio. |
| Autenticación nativa para aplicaciones móviles | No disponible | La autenticación nativa de Microsoft Entra le permite tener un control total sobre el diseño de las experiencias de inicio de sesión de la aplicación móvil. |
Incorporación de su propia lógica de negocios
Las extensiones de autenticación personalizadas le permiten personalizar la experiencia de autenticación de Microsoft Entra mediante la integración con sistemas externos. Una extensión de autenticación personalizada es básicamente un cliente de escucha de eventos que, cuando se activa, realiza una llamada HTTP a un punto de conexión de la API de REST donde se define su propia lógica de negocios. En la tabla siguiente se comparan los eventos de extensiones de autenticación personalizados disponibles en los inquilinos externos y de recursos.
| Event | Inquilino de recursos | Inquilino externo |
|---|---|---|
| TokenIssuanceStart | Adición de notificaciones desde sistemas externos. | Adición de notificaciones desde sistemas externos. |
| OnAttributeCollectionStart | No disponible | Se produce al principio del paso de colección de atributos del registro, antes de que se represente la página de colección de atributos. Puede agregar acciones como rellenar previamente valores y mostrar un error de bloqueo. Aprende más |
| OnAttributeCollectionSubmit | No disponible | Se produce durante el flujo de registro, después de que el usuario escriba y envíe atributos. Puede agregar acciones como validar o modificar las entradas del usuario. Aprende más |
| OnOtpSend | No disponible | Configure un proveedor de correo electrónico personalizado para eventos de envío de código de acceso de una sola vez. Aprende más |
Proveedores de identidades y métodos de autenticación
En la tabla siguiente se comparan los proveedores de identidades y los métodos disponibles para la autenticación principal y la autenticación multifactor (MFA) en los inquilinos externos y de personal.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Proveedores de identidad para usuarios externos (autenticación principal) |
Para invitados al registro de autoservicio - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de Facebook Para usuarios invitados - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de SAML/WS-Fed |
Para usuarios de registro de autoservicio (consumidores, clientes empresariales) - Métodos de autenticación disponibles en el identificador externo de Microsoft Entra Para invitados (versión preliminar) Invitados con un rol de directorio (por ejemplo, administradores): - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso de correo electrónico - Federación de SAML/WS-Fed |
| Métodos de autenticación para MFA |
Para usuarios internos (empleados y administradores) - Métodos de autenticación y verificación Para invitados (registro por invitación o autoservicio) - Métodos de autenticación para invitados MFA |
Para usuarios de registro de autoservicio (consumidores, clientes empresariales) - Métodos de autenticación disponibles en el identificador externo de Microsoft EntraPara usuarios invitados (versión preliminar) - Código de acceso de un solo uso de - correo electrónicoAutenticación basada en SMS |
Métodos de autenticación disponibles en el identificador externo de Microsoft Entra
Algunos métodos de autenticación se pueden usar como factor principal cuando los usuarios inician sesión en una aplicación, como el nombre de usuario y la contraseña. Otros métodos de autenticación solo están disponibles como factor secundario. En la tabla siguiente se describe cuándo se puede usar un método de autenticación durante el inicio de sesión, el registro de autoservicio, el autoservicio de restablecimiento de contraseña y la autenticación multifactor (MFA) en el identificador externo de Microsoft Entra.
| Method | Sign-in | Sign-up | Restablecer contraseña | MFA |
|---|---|---|---|---|
| Correo electrónico con contraseña | 
|
|
||
| Código de acceso de un solo uso de correo electrónico |
|
|
|
|
| Autenticación basada en SMS |
|
|||
| Federación de Apple |
|
|
||
| Federación de Facebook |
|
|
||
| Federación de Google |
|
|
||
| Cuenta personal de Microsoft (OpenID Connect) |
|
|
||
| Federación de OpenID Connect |
|
|
||
| Federación de SAML/WS-Fed |
|
|
Registro de aplicaciones
En la siguiente tabla se comparan las características disponibles para el Registro de aplicaciones en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Protocol | Usuarios de confianza de SAML, OpenID Connect y OAuth2 | Usuarios de confianza de SAML, OpenID Connect y OAuth2 |
| Tipos de cuenta admitidos | Los siguientes tipos de cuenta:
|
Use siempre Cuentas de este directorio organizativo solo (inquilino único). |
| Platform | Las siguientes plataformas:
|
Las siguientes plataformas:
|
| Autenticación>URI de redirección | Se trata de los URI que Microsoft Entra ID acepta como destinos al devolver respuestas de autenticación (tokens) después de autenticar correctamente o cerrar la sesión de los usuarios. | Igual que los recursos. |
| Autenticación>URL de cierre de sesión de canal frontal | Esta es la dirección URL a la que Microsoft Entra ID envía una solicitud para que la aplicación borre los datos de sesión del usuario. La dirección URL de cierre de sesión de canal frontal es necesaria para que el cierre de sesión único funcione correctamente. | Igual que los recursos. |
| Autenticación>Concesión implícita y flujos híbridos | Solicitar un token directamente desde el punto de conexión de autorización. | Igual que los recursos. |
| Certificados y secretos | Varias credenciales: | Igual que los recursos. |
| Certificados y secretos>Rotación | Actualice las credenciales de cliente para asegurarse de que permanecen válidas y seguras, mientras que los usuarios pueden seguir iniciando sesión. Los certificados, los secretos y las credenciales federadas se pueden rotar agregando uno nuevo y, a continuación, quitando el anterior. | Igual que los recursos. |
| Certificados y secretos>Política | Configure las directivas de administración de aplicaciones para aplicar restricciones de secretos y certificados. | No disponible |
| Permisos de API | Agregue, quite y reemplace permisos en una aplicación. Una vez agregados los permisos a la aplicación, los usuarios o administradores deben conceder consentimiento a los nuevos permisos. Obtenga más información sobre cómo actualizar los permisos solicitados de una aplicación en Microsoft Entra ID. | Estos son los permisos permitidos: Microsoft Graph offline_access, openid y User.Read, y sus permisos delegados de Mis API. Solo un administrador puede conceder consentimiento en nombre de la organización. |
| Exponer una API | Definir ámbitos personalizados permite restringir el acceso a los datos y las funcionalidades protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que un usuario o administrador dé su consentimiento a uno o varios de estos ámbitos. | Definir ámbitos personalizados permite restringir el acceso a los datos y las funcionalidades protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que el administrador dé su consentimiento a uno o varios de estos ámbitos. |
| Owners | Los propietarios de las aplicaciones pueden ver y editar el registro de la aplicación. Además, cualquier usuario (que podría no figurar en la lista) con privilegios de administrador para administrar cualquier aplicación (por ejemplo, Administrador de aplicaciones en la nube) puede ver y editar el registro de la aplicación. | Igual que los recursos. |
| Roles y administradores | Los roles administrativos se usan para conceder acceso a acciones con privilegios en Microsoft Entra ID. | Solo se puede usar el rol de Administrador de aplicaciones en la nube para aplicaciones de inquilinos externos. Este rol concede la capacidad de crear y administrar todos los aspectos de los registros de aplicaciones y las aplicaciones empresariales. |
Control de acceso para aplicaciones
En la tabla siguiente se comparan las características disponibles para la autorización de aplicaciones en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Control de acceso basado en rol (RBAC) | Puede definir roles de aplicación para la aplicación y asignar esos roles a usuarios y grupos. Microsoft Entra ID incluye los roles de usuario en el token de seguridad. A continuación, la aplicación puede tomar decisiones de autorización basadas en los valores del token de seguridad. | Igual que los recursos. Obtenga más información sobre cómo usar el control de acceso basado en roles para aplicaciones en un inquilino externo. Para conocer las características disponibles, consulte compatibilidad con grupos y roles de aplicación. |
| Grupos de seguridad | Puede usar grupos de seguridad para implementar RBAC en sus aplicaciones, donde la pertenencia del usuario a grupos específicos se interpreta como membresías de roles. Microsoft Entra ID incluye la pertenencia a grupos de usuarios en el token de seguridad. A continuación, la aplicación puede tomar decisiones de autorización basadas en los valores del token de seguridad. | Igual que los recursos. Las afirmaciones opcionales de los grupos se limitan al identificador de objeto de grupo. |
| Control de acceso basado en atributos (ABAC) | Puede configurar la aplicación para incluir atributos de usuario en el token de acceso. A continuación, la aplicación puede tomar decisiones de autorización basadas en los valores del token de seguridad. Para obtener más información, consulte Personalización de tokens. | Igual que los recursos. |
| Requerir asignación de usuario | Cuando se requiere la asignación de usuarios, solo podrán iniciar sesión los usuarios que se asignen a la aplicación (ya sea a través de una asignación directa de usuarios o según la pertenencia a grupos). Para obtener más información, consulte Administración de la asignación de usuarios y grupos a una aplicación | Igual que los recursos. Para más información, consulte compatibilidad con grupos y roles de aplicación. |
Aplicaciones empresariales
En la tabla siguiente se comparan las características únicas disponibles para el registro de aplicaciones empresariales en los inquilinos externos y los empleados.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Galería de aplicaciones | La galería de aplicaciones contiene miles de aplicaciones que están preintegradas en el identificador de Microsoft Entra. | Elija entre una variedad de aplicaciones preintegradas. Para buscar una aplicación de terceros, use la barra de búsqueda. El catálogo de la galería de aplicaciones aún no está disponible. |
| Registro de una aplicación empresarial personalizada | Agregue una aplicación empresarial. | Registre una aplicación SAML en el tenant externo. |
| Asignación de aplicaciones de autoservicio | Permitir que los usuarios detecten automáticamente las aplicaciones. | La asignación de aplicaciones de autoservicio en el portal Mis aplicaciones no está disponible. |
| Proxy de aplicación | El proxy de aplicación de Microsoft Entra proporciona acceso remoto seguro a las aplicaciones web locales. | No está disponible. |
Características de consentimiento y permisos para aplicaciones empresariales
En la tabla siguiente se muestran qué características de consentimiento y permisos están disponibles para las aplicaciones empresariales en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Consentimiento del administrador para aplicaciones empresariales | Puede conceder permisos de administrador para todo el inquilino y también puede revisarlos y revocarlos . | Igual que los recursos. |
| Consentimiento del usuario para aplicaciones empresariales | Puede configurar cómo los usuarios dan su consentimiento a las aplicaciones y puede actualizar estos permisos. | Limitado a los permisos que no requieren consentimiento del administrador. |
| Revisión o revocación del consentimiento del administrador | Revise y revoque los permisos. | Use el Centro de administración de Microsoft Entra para revocar el consentimiento del administrador. |
| Revisión o revocación del consentimiento del usuario | Revise y revoque los permisos. | Use Microsoft Graph API o PowerShell para revocar el consentimiento del usuario. |
| Asignación de usuarios o grupos a aplicaciones | Puede administrar el acceso a las aplicaciones mediante una asignación individual o basada en grupo. No se admiten las pertenencias a grupos anidados. | Igual que los recursos. |
| Control de acceso basado en rol (RBAC) para roles de aplicación | Puede definir y asignar roles para el control de acceso específico. | Igual que los recursos. |
Flujos de OpenID Connect y OAuth2
En la tabla siguiente se comparan las características disponibles para los flujos de autorización de OAuth 2.0 y OpenID Connect en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| OpenID Connect | Yes | Yes |
| Código de autorización | Yes | Yes |
| Código de autorización con intercambio de código (PKCE) | Yes | Yes |
| Credenciales de cliente | Yes | Aplicaciones v2.0 (versión preliminar) |
| Autorización del dispositivo | Yes | Preview |
| Flujos en nombre de | Yes | Yes |
| Concesión implícita | Yes | Yes |
| Credenciales de contraseña del propietario del recurso | Yes | No, para las aplicaciones móviles, use la autenticación nativa. |
URL de autoridad en flujos de OpenID Connect y OAuth2
La URL de autoridad es una dirección URL que indica un directorio desde el que MSAL puede solicitar tokens. Para las aplicaciones de inquilinos externos, use siempre el siguiente formato: <nombre-inquilino>.ciamlogin.com
El siguiente JSON muestra un ejemplo de un archivo appsettings.json de aplicación de .NET con una URL de autoridad:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acceso condicional
En la siguiente tabla se comparan las características disponibles para el acceso condicional en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Assignments | Usuarios, grupos e identidades de carga de trabajo | Inclusión de todos los usuarios y exclusión de usuarios y grupos. Para obtener más información, consulte Adición de autenticación multifactor (MFA) a una aplicación. |
| Recursos de destino | ||
| Conditions | ||
| Grant | Conceder o bloquear el acceso a los recursos | |
| Session | Controles de sesión | No disponible |
Directivas de términos de uso
En la tabla siguiente se comparan las características disponibles para las directivas de términos de uso en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Directivas de acceso condicional | Términos de uso de Microsoft Entra | No disponible |
| Registro de autoservicio | No disponible | Agregue un atributo necesario vinculado a las directivas de términos de uso en la página de registro. El hipervínculo se puede personalizar para admitir varios idiomas. |
| Página de inicio de sesión | Puede agregar enlaces en la esquina inferior derecha para la información de privacidad utilizando la identidad de marca de la empresa. | Igual que la fuerza laboral. |
Administración de cuentas
En la siguiente tabla se comparan las características disponibles para la administración de usuarios en cada tipo de inquilino. Como se indica en la tabla, determinados tipos de cuenta se crean mediante invitación o registro de autoservicio. Un administrador de usuarios del inquilino también puede crear cuentas a través del Centro de administración.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Tipos de cuentas |
|
|
| Administrar la información del perfil de usuario |
|
Igual que la plantilla, excepto que la sincronización entre entidades no está disponible. |
| Restablecer la contraseña de usuario | Los administradores pueden restablecer la contraseña de un usuario si se olvida la contraseña, si el usuario bloquea su dispositivo o si nunca ha recibido una contraseña. | Igual que los recursos. |
| Restablecer o eliminar un usuario recientemente eliminado | Después de eliminar a un usuario, la cuenta permanece en estado de suspensión durante 30 días. Durante ese período de 30 días, la cuenta de usuario se puede restaurar, junto con todas sus propiedades. | Igual que los recursos. |
| Deshabilitar cuentas | Impedir que el nuevo usuario pueda iniciar sesión. | Igual que los recursos. |
Protección con contraseña
En la siguiente tabla, se comparan las características disponibles para la protección de contraseñas en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Bloqueo inteligente | El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para acceder. | Igual que los recursos. |
| Contraseñas prohibidas personalizadas | La lista de contraseñas prohibidas personalizadas de Microsoft Entra permite agregar cadenas específicas para evaluar y bloquear. | No está disponible. |
Personalización de tokens
En la siguiente tabla, se comparan las características disponibles para la personalización de tokens en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Mapeo de declaraciones | Personalización de notificaciones emitidas en JSON Web Token (JWT) para aplicaciones empresariales. | Igual que los recursos. Las notificaciones opcionales deben configurarse a través de Atributos y notificaciones. |
| Transformación de reclamaciones | Aplique una transformación a un atributo de usuario emitido en JSON Web Token (JWT) para aplicaciones empresariales. | Igual que los recursos. |
| Proveedor de notificaciones personalizado. | Extensión de autenticación personalizada que llama a una API de REST externa para capturar notificaciones de sistemas externos. | Igual que los recursos. Aprende más |
| Grupos de seguridad | Configuración de notificaciones opcionales de grupos. | Las configuración de notificaciones opcionales de grupos están limitadas al identificador de objeto de grupo. |
| Vigencias de tokens | Puede especificar la duración de los tokens de seguridad emitidos por Microsoft Entra ID. | Igual que los recursos. |
| Revocación de sesión y tokens | El administrador puede invalidar todos los tokens de actualización y la sesión de un usuario. | Igual que los recursos. |
Autenticación única
El inicio de sesión único (SSO) proporciona una experiencia más fluida al reducir el número de veces que se solicita credenciales a un usuario. Los usuarios escriben sus credenciales una vez y otras aplicaciones pueden reutilizar la sesión establecida en el mismo dispositivo y explorador web sin que se le solicite más. En la tabla siguiente se comparan las características disponibles para el SSO en cada tipo de cliente.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Tipos de registro de aplicaciones |
|
|
| Nombre de dominio | Cuando un usuario se autentica, se establece una cookie de sesión en el dominio login.microsoftonline.com de Microsoft Entra en el explorador web. |
Cuando un usuario se autentica, se establece una cookie de sesión en el dominio <tenant-name>.ciamlogin.com de identificador externo de Microsoft Entra o en un dominio de dirección URL personalizado en el explorador web. Para asegurarse de que el inicio de sesión único funciona correctamente, use un único dominio de dirección URL. |
| Mantenerme conectado | Puede habilitar o deshabilitar la opción mantener la sesión iniciada . | Igual que los recursos. |
| Aprovisionamiento de usuarios | Use el aprovisionamiento automático de usuarios con el sistema para Administración de identidades entre dominios (SCIM) para sincronizar cuentas de usuario entre el identificador externo de Microsoft Entra y las aplicaciones admitidas. Esto mantiene los datos de usuario actualizados automáticamente. El aprovisionamiento de usuarios admite consultas diferenciales. Estas consultas solo sincronizan los cambios desde la última actualización. Esto mejora el rendimiento y reduce la carga del sistema. | Igual que los recursos. |
| Invalidación de sesión | Escenarios en los que el inicio de sesión único puede ser invalidado, lo que requiere una nueva autenticación:
|
Igual que los recursos. |
| Acceso condicional | Compruebe la sección Acceso condicional . | Compruebe la sección Acceso condicional . |
| Autenticación nativa de Microsoft Entra | No disponible | La autenticación nativa no admite el inicio de sesión único. |
| Sign-out | Cuando una aplicación SAML o OpenID Connect dirige al usuario al punto de conexión de cierre de sesión, Microsoft Entra ID quita e invalida la sesión del usuario desde el explorador. | Igual que los recursos. |
| Cierre de sesión único | Tras cerrar sesión correctamente, Microsoft Entra ID envía una notificación de cierre de sesión a todas las demás aplicaciones SAML y OpenID Connect en las que el usuario ha iniciado sesión. | Igual que los recursos. |
Soluciones de seguridad integradas
Microsoft Entra External ID admite características de seguridad integradas y soluciones de asociados para ayudar a proteger las identidades en todo el ciclo de vida. Estas funcionalidades incluyen la protección contra ataques por denegación de servicio distribuido (DDoS), la prevención de fraudes de registro y la supervisión unificada. Puede habilitar estas soluciones directamente en el identificador externo y acceder a las integraciones de asociados a través de Microsoft Security Store. Este enfoque permite a las organizaciones implementar herramientas de seguridad de confianza rápidamente sin una configuración compleja. Todas estas características están disponibles en un asistente dentro de la experiencia de la hoja "Security Store".
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Protección contra fraudes de registro | La experiencia del asistente de Almacén de Seguridad no está disponible. | Use Arkose Labs y HUMAN Security para protegerse contra el fraude de registro y bloquear los ataques automatizados de bots. |
| Protección contra DDoS y WAF | La experiencia del asistente de Almacén de Seguridad no está disponible. | Use Cloudflare y Akamai para protegerse frente a ataques DDoS y proteger aplicaciones con firewall de aplicaciones web (WAF). |
| Análisis de seguridad | La experiencia del asistente de Almacén de Seguridad no está disponible. | Use Azure Monitor y Microsoft Sentinel para habilitar la supervisión con un solo clic, el análisis de registros y la detección avanzada de amenazas. |
Registros de actividad e informes
En la tabla siguiente se comparan las características disponibles para los registros de actividad e informes en distintos tipos de inquilinos.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Registros de auditoría | Informe detallado de todos los eventos registrados en el identificador de Microsoft Entra, incluidas las modificaciones en aplicaciones, grupos y usuarios. | Igual que los recursos. |
| Registros de inicio de sesión | Los registros de inicio de sesión realizan un seguimiento de todas las actividades de inicio de sesión dentro de un inquilino de Microsoft Entra, incluido el acceso a sus aplicaciones y recursos. | Igual que los recursos. |
| Registros de registro (versión preliminar) | No disponible | Microsoft Entra External ID registra todos los eventos de registro de autoservicio, incluidos los registros correctos y los intentos con errores. |
| Registros de aprovisionamiento | Los registros de aprovisionamiento proporcionan registros detallados de eventos de aprovisionamiento dentro de un inquilino, como las creaciones, actualizaciones y eliminaciones de cuentas de usuario. | No disponible |
| Registros de actividad de directivas de retención | Las directivas de retención de datos de Microsoft Entra determinan cuánto tiempo se almacenan distintos tipos de registros (como auditoría, inicio de sesión y registros de aprovisionamiento). | Siete días |
| Exportación de registros de actividad | Con la configuración de diagnóstico de Microsoft Entra ID, puede integrar registros con Azure Monitor, transmitir registros a un centro de eventos o integrarlos con herramientas de administración de eventos e información de seguridad (SIEM). | Azure Monitor para inquilinos externos (versión preliminar) |
| Informes de actividad de usuario de la aplicación | No disponible | La actividad del usuario de la aplicación proporciona análisis sobre cómo interactúan los usuarios con las aplicaciones registradas en el inquilino. Realiza un seguimiento de métricas como usuarios activos, nuevos usuarios, inicios de sesión y tasas de éxito de autenticación multifactor (MFA). |
API de Microsoft Graph
Todas las características que se admiten en inquilinos externos también se admiten para la automatización a través de las Microsoft Graph API. Algunas características que están en versión preliminar en inquilinos externos pueden estar disponibles con carácter general a través de Microsoft Graph. Para obtener más información, consulte Administrar la identidad y el acceso a la red de Microsoft Entra mediante Microsoft Graph.