Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Il existe deux façons de configurer un locataire Microsoft Entra, en fonction de la façon dont une organisation a l’intention d’utiliser le locataire et les ressources que vous souhaitez gérer :
- Une configuration de locataire de main d’œuvre est destinée à vos employés, applications métier internes et d’autres ressources de l’organisation. Un locataire de l'entreprise utilise la Collaboration B2B dans Microsoft Entra External ID pour collaborer avec des partenaires commerciaux externes et des invités.
- Une configuration de locataire externe est exclusivement destinée aux scénarios impliquant un identifiant externe dans lesquels vous souhaitez publier des applications à l'intention des consommateurs et des clients professionnels.
Cet article fournit une comparaison détaillée des fonctionnalités et des capacités des effectifs et des locataires externes. Pour plus d’informations sur ces locataires, consultez Les configurations de main-d’œuvre et de locataire externe dans Microsoft Entra External ID.
Remarque
Pendant la version préliminaire, les fonctionnalités qui nécessitent une licence Premium ne sont pas disponibles dans les entités externes.
Comparaison des fonctionnalités générales
Le tableau suivant compare les fonctionnalités générales et les fonctionnalités de la main-d’œuvre et des locataires externes.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Scénario d’identités externes | Autoriser les partenaires commerciaux et autres utilisateurs externes à collaborer avec votre personnel. Les invités peuvent accéder de façon sécurisée à vos applications métier par le biais d’invitations ou d’inscription en libre-service. | Utilisez l’ID externe pour sécuriser vos applications. Les consommateurs et les clients professionnels peuvent accéder à vos applications grand public via l’inscription en libre-service. Les invitations sont également prises en charge. |
| Comptes locaux | Les comptes locaux sont pris en charge pour les membres internes de votre organisation uniquement. | Les comptes locaux sont pris en charge pour :
|
| Groupes | Utilisez des groupes pour gérer les comptes d’administration et d’utilisateur. | Utilisez des groupes pour gérer les comptes d’administration. La prise en charge des rôles d’application et des groupes Microsoft Entra est progressivement intégrée aux locataires de clients. Pour connaître les dernières mises à jour, consultez Prise en charge des groupes et des rôles d’application. |
| Rôles et administrateurs | Les rôles et les administrateurs sont entièrement pris en charge pour les comptes administratifs et utilisateurs. | Les rôles sont pris en charge pour tous les utilisateurs. Tous les utilisateurs d’un locataire externe disposent d’autorisations par défaut , sauf s’ils sont affectés à un rôle d’administrateur. |
| Protection de l'ID Microsoft Entra | Ce produit fournit une détection continue des risques pour votre instance Microsoft Entra. Le service permet aux organisations de découvrir, d’examiner et de corriger les risques basés sur l’identité. | Non disponible. |
| Gouvernance Microsoft Entra ID | Ce produit permet aux organisations de régir les cycles de vie des identités et des accès, ainsi que l’accès privilégié sécurisé. En savoir plus | Non disponible. |
| Réinitialisation du mot de passe en libre-service | Permettre aux utilisateurs de réinitialiser leur mot de passe en utilisant jusqu’à deux méthodes d’authentification. | Autoriser les utilisateurs à réinitialiser leur mot de passe à l’aide d’un e-mail avec un code secret ou un SMS à usage unique. En savoir plus |
| Personnalisation de la langue | Personnalisez l’expérience de connexion en fonction de la langue du navigateur lorsque les utilisateurs s’authentifient dans votre intranet d’entreprise ou dans des applications web. | Utilisez des langues pour modifier les chaînes affichées pour vos clients dans le cadre du processus de connexion et d’inscription. En savoir plus |
| Attributs personnalisés | Utilisez les attributs d’extension d’annuaire pour stocker davantage de données dans l’annuaire Microsoft Entra pour les objets utilisateur, les groupes, les informations sur les locataires et les principaux de service. | Utilisez des attributs d’extension d’annuaire pour stocker davantage de données dans l’annuaire client pour les objets utilisateur. Créez des attributs utilisateur personnalisés et ajoutez-les à votre flux d’utilisateur d’inscription. En savoir plus |
| Tarification | Obtenez la tarification des utilisateurs actifs mensuels (MAU) pour les invités externes via B2B Collaboration (UserType=Guest). |
Obtenez la tarification MAU pour tous les utilisateurs du locataire externe, indépendamment du rôle ou de la valeur UserType. |
Personnalisation de l’interface
Le tableau suivant compare les fonctionnalités de personnalisation de l’interface dans la main-d’œuvre et les locataires externes.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Marque de l’entreprise | Vous pouvez ajouter une personnalisation d’entreprise qui s’applique à toutes ces expériences afin de créer une expérience de connexion cohérente pour vos utilisateurs. | Identique à la main-d'œuvre. En savoir plus |
| Personnalisation de la langue | Personnaliser l’expérience de connexion en fonction de la langue du navigateur. | Identique à la main-d'œuvre. En savoir plus |
| Noms de domaine personnalisés | Vous pouvez utiliser des domaines personnalisés uniquement pour les comptes d’administration. | Vous pouvez utiliser la fonctionnalité de domaine d’URL personnalisée pour les locataires externes afin de personnaliser les points de terminaison de connexion d’application avec votre propre nom de domaine. |
| Authentification native pour les applications mobiles | Non disponible. | L’authentification native Microsoft Entra vous donne un contrôle total sur la conception des expériences de connexion de votre application mobile. |
Ajouter votre propre logique métier
Vous pouvez utiliser des extensions d’authentification personnalisées pour personnaliser l’expérience d’authentification Microsoft Entra en intégrant des systèmes externes. Une extension d’authentification personnalisée est essentiellement un écouteur d’événements. Lorsque vous l’activez, il effectue un appel HTTP à un point de terminaison d’API REST où vous définissez votre propre logique métier.
Le tableau suivant compare les événements pour les extensions d’authentification personnalisées dans la main-d’œuvre et les locataires externes.
| Événement | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
TokenIssuanceStart |
Ajouter des revendications à partir de systèmes externes. | Ajouter des revendications à partir de systèmes externes. |
OnAttributeCollectionStart |
Non disponible. | Cet événement se produit au début de l’étape de collection d’attributs de l’inscription, avant le rendu de la page de collection d’attributs. Vous pouvez ajouter des actions telles que Préremplir des valeurs et Afficher une erreur bloquante. En savoir plus |
OnAttributeCollectionSubmit |
Non disponible. | Cet événement se produit pendant le flux d’inscription, une fois que l’utilisateur entre et envoie des attributs. Vous pouvez ajouter des actions telles que la validation ou la modification des entrées de l’utilisateur. En savoir plus |
OnOtpSend |
Non disponible. | Configurez un fournisseur de messagerie personnalisé pour les événements d’envoi de code secret à usage unique. En savoir plus |
Fournisseurs d’identité et méthodes d’authentification
Le tableau suivant compare les fournisseurs d’identité et les méthodes pour l’authentification principale et l’authentification multifacteur (MFA) dans la main-d’œuvre et les locataires externes.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Fournisseurs d’identité pour les utilisateurs externes (authentification principale) | Pour les utilisateurs inscrits en libre-service :
Pour les invités :
|
Pour les utilisateurs d’inscription en libre-service (consommateurs, clients professionnels) :
Pour les invités (aperçu) via un rôle d’annuaire (par exemple, administrateurs) :
Vous pouvez inviter des utilisateurs externes à des fins administratives uniquement. Vous ne pouvez pas utiliser cette fonctionnalité pour inviter les clients à se connecter à vos applications. Cette fonctionnalité n’est pas compatible avec les flux d’utilisateurs de gestion des identités et des accès (CIAM). |
| Méthodes d’authentification pour l’AMF | Pour les utilisateurs internes (employés et administrateurs) :
Pour les invités (inscription en libre-service ou invité) : |
Pour les utilisateurs d’inscription en libre-service (consommateurs, clients professionnels) :
Pour les utilisateurs invités (préversion) : |
Méthodes d’authentification disponibles dans l’ID externe
Vous pouvez utiliser certaines méthodes d’authentification comme facteur principal lorsque les utilisateurs se connectent à une application, telles que le nom d’utilisateur et le mot de passe. D’autres méthodes d’authentification sont disponibles uniquement en tant que facteur secondaire. Le tableau suivant décrit quand vous pouvez utiliser une méthode d’authentification lors de la connexion, de l’inscription en libre-service, de la réinitialisation de mot de passe en libre-service et de l’authentification multifacteur dans l’ID externe.
| Méthode | Se connecter | Inscription | Réinitialisation du mot de passe | MFA |
|---|---|---|---|---|
| Email avec mot de passe | 
|
|
||
| Code secret à usage unique d’e-mail |
|
|
|
|
| Authentification par SMS |
|
|||
| Fédération Apple |
|
|
||
| Fédération Facebook |
|
|
||
| Fédération Google |
|
|
||
| Compte personnel Microsoft (OpenID Connect) |
|
|
||
| Fédération d’ID Microsoft Entra |
|
|
||
| Fédération OpenID Connect |
|
|
||
| Fédération SAML/WS-Fed |
|
|
Enregistrement de l'application
Le tableau suivant compare les fonctionnalités d’inscription d’application dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Protocole | Les protocoles incluent les parties de confiance SAML, OpenID Connect et OAuth2. | Les protocoles incluent les parties de confiance de SAML, OpenID Connect et OAuth2. |
| Types de comptes pris en charge | Les types de compte suivants sont disponibles :
|
Utilisez toujours des comptes dans cet annuaire organisationnel uniquement (seul locataire). |
| Plate-forme | Les plateformes suivantes sont disponibles :
|
Les plateformes suivantes sont disponibles : |
| URI de redirection pour l’authentification | Microsoft Entra ID accepte ces URI comme destinations lorsqu’il retourne des réponses d’authentification (jetons) après l’authentification ou la déconnexion des utilisateurs. | Identique à la main-d'œuvre. |
| URL de déconnexion de canal frontal pour l’authentification | Cette URL est l’emplacement où Microsoft Entra ID envoie une requête pour que l’application efface les données de session de l’utilisateur. L’URL de déconnexion du canal frontal est requise pour que l’authentification unique fonctionne correctement. | Identique à la main-d'œuvre. |
| Octroi implicite et flux hybrides pour l’authentification | Demandez un jeton directement à partir du point de terminaison d’autorisation. | Identique à la main-d'œuvre. |
| Certificats et secrets | Plusieurs informations d’identification sont disponibles : | Identique à la main-d'œuvre. |
| Rotation des certificats et des secrets | Mettez à jour les informations d’identification du client pour vous assurer qu’elles restent valides et sécurisées, tandis que les utilisateurs peuvent continuer à se connecter. Vous pouvez faire pivoter des certificats, des secrets et des informations d’identification fédérées en ajoutant un nouveau certificat, puis en supprimant l’ancien. | Identique à la main-d'œuvre. |
| Stratégie pour les certificats et les secrets | Configurez les stratégies de gestion des applications pour appliquer des restrictions de secret et de certificat. | Non disponible. |
| Autorisations des API | Ajouter, supprimer et remplacer des autorisations pour une application. Une fois les autorisations ajoutées à votre application, les utilisateurs ou les administrateurs doivent accorder le consentement aux nouvelles autorisations. En savoir plus sur la mise à jour des autorisations demandées par une application dans Microsoft Entra ID. | Les autorisations suivantes sont autorisées : Microsoft Graph offline_access, openidet User.Read, ainsi que vos autorisations déléguées Mes API . Seul un administrateur peut consentir au nom de l’organisation. |
| Exposer une API | Définissez des étendues personnalisées pour restreindre l’accès aux données et aux fonctionnalités que l’API aide à protéger. Une application qui nécessite l’accès à certaines parties de cette API peut demander le consentement de l’utilisateur ou de l’administrateur à une ou plusieurs de ces étendues. | Identique à la main-d'œuvre. |
| Propriétaires | Les propriétaires d’applications peuvent afficher et modifier l’inscription de l’application. En outre, tout utilisateur (qui peut ne pas être répertorié) disposant de privilèges Administrateur pour gérer n’importe quelle application (par exemple, Administrateur d’application cloud) peut afficher et modifier l’inscription de l’application. | Identique à la main-d'œuvre. |
| Rôles et administrateurs | Les rôles d’administration sont utilisés pour accorder l’accès aux actions privilégiées dans Microsoft Entra ID. | Seul le rôle Administrateur d’applications cloud peut être utilisé pour les applications dans des locataires externes. Ce rôle permet de créer et de gérer tous les aspects des inscriptions d’application et des applications d’entreprise. |
Contrôle d’accès pour les applications
Le tableau suivant compare les fonctionnalités d’autorisation d’application dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Contrôle d’accès en fonction du rôle (RBAC) | Vous pouvez définir des rôles d’application pour votre application et affecter ces rôles aux utilisateurs et aux groupes. Microsoft Entra ID inclut les rôles d’utilisateur dans le jeton de sécurité. Votre application peut ensuite prendre des décisions d’autorisation en fonction des valeurs du jeton de sécurité. | Identique à la main-d'œuvre. En savoir plus sur l’utilisation du contrôle d’accès en fonction du rôle pour les applications dans un locataire externe. Pour connaître les fonctionnalités disponibles, consultez La prise en charge des groupes et des rôles d’application. |
| Groupes de sécurité | Vous pouvez utiliser des groupes de sécurité pour implémenter RBAC dans vos applications, où les appartenances aux utilisateurs dans des groupes spécifiques sont interprétées comme leurs appartenances aux rôles. Microsoft Entra ID inclut l’appartenance au groupe d’utilisateurs dans le jeton de sécurité. Votre application peut ensuite prendre des décisions d’autorisation en fonction des valeurs du jeton de sécurité. | Identique à la main-d'œuvre. Les attributs facultatifs du groupe sont limités à l’identifiant d'objet de groupe. |
| Contrôle d’accès basé sur les attributs (ABAC) | Vous pouvez configurer l’application pour inclure des attributs utilisateur dans le jeton d’accès. Votre application peut ensuite prendre des décisions d’autorisation en fonction des valeurs du jeton de sécurité. Pour plus d’informations, consultez Personnalisation du jeton. | Identique à la main-d'œuvre. |
| Exiger une attribution d’utilisateur | Lorsque l’attribution d’utilisateur est requise, seuls les utilisateurs que vous affectez à l’application (via l’attribution directe d’utilisateurs ou en fonction de l’appartenance au groupe) peuvent se connecter. Pour plus d’informations, consultez Gérer les affectations d’utilisateurs et de groupes à une application. | Identique à la main-d'œuvre. Pour plus d’informations, consultez la prise en charge des groupes et des rôles d’application. |
Applications d’entreprise
Le tableau suivant compare les fonctionnalités uniques pour l'enregistrement d’applications d’entreprise dans des utilisateurs internes et des locataires externes.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Galerie d’applications | La galerie d’applications contient des milliers d’applications intégrées à Microsoft Entra ID. | Choisissez parmi une gamme d’applications intégrées. Pour rechercher une application partenaire, utilisez la barre de recherche. Le catalogue de la galerie d’applications n’est pas disponible. |
| Inscrire une application d’entreprise personnalisée | Ajoutez une application d’entreprise. | Enregistrez une application SAML dans votre tenant externe. |
| Attribution d'application en libre-service | Permettre aux utilisateurs de découvrir automatiquement des applications. | L’attribution d’applications en libre-service dans le portail Mes applications n’est pas disponible. |
| Proxy d’application | Le proxy d’application Microsoft Entra fournit un accès à distance sécurisé aux applications web locales. | Non disponible. |
| Désactiver l’inscription d’application | Désactivez une inscription d’application pour empêcher l’émission de jetons tout en préservant la configuration. | Identique à la main-d'œuvre. |
Fonctionnalités de consentement et d’autorisation pour les applications d’entreprise
Le tableau suivant indique les fonctionnalités de consentement et d’autorisation disponibles pour les applications d’entreprise dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Consentement administrateur pour les applications d’entreprise | Vous pouvez accorder des permissions administratives à l’échelle de l’organisation. Vous pouvez également les consulter et les révoquer . | Identique à la main-d'œuvre. |
| Consentement de l’utilisateur pour les applications d’entreprise | Vous pouvez configurer la façon dont les utilisateurs consentent aux applications, et vous pouvez mettre à jour ces autorisations. | Limité aux autorisations qui ne nécessitent pas le consentement de l’administrateur. |
| Examiner ou révoquer le consentement de l’administrateur | Passez en revue et révoquez les autorisations. | Utilisez le Centre d’administration Microsoft Entra pour révoquer le consentement de l’administrateur. |
| Examiner ou révoquer le consentement de l’utilisateur | Passez en revue et révoquez les autorisations. | Utilisez l’API Microsoft Graph ou PowerShell pour révoquer le consentement de l’utilisateur. |
| Affecter des utilisateurs ou des groupes à des applications | Vous pouvez gérer l’accès aux applications dans une affectation individuelle ou basée sur un groupe. Les appartenances aux groupes imbriquées ne sont pas prises en charge. | Identique à la main-d'œuvre. |
| RBAC pour les rôles d’application | Vous pouvez définir et attribuer des rôles pour le contrôle d’accès affiné. | Identique à la main-d'œuvre. |
Flux de processus OpenID Connect et OAuth2
Le tableau suivant compare les fonctionnalités des flux d’autorisation OAuth 2.0 et OpenID Connect dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| OpenID Connect | Oui | Oui |
| Code d’autorisation | Oui | Oui |
| Code d’autorisation avec la clé de preuve pour l’échange de code (PKCE) | Oui | Oui |
| Informations d’identification du client | Oui | Applications v2.0 |
| Autorisation de l’appareil | Oui | Oui |
| Flux On-Behalf-Of | Oui | Oui |
| Octroi implicite | Oui | Oui |
| Informations d’identification du mot de passe du propriétaire de la ressource | Oui | Non; pour les applications mobiles, utilisez l’authentification native |
URL d’autorité dans les flux OpenID Connect et OAuth2
L’URL de l’autorité indique un répertoire à partir duquel la bibliothèque d’authentification Microsoft (MSAL) peut demander des jetons. Pour les applications dans des locataires externes, utilisez toujours le format suivant : <tenant-name>.ciamlogin.com.
Le code JSON suivant illustre un exemple de fichier d’application appsettings.json .NET avec une URL d’autorité :
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Accès conditionnel
Le tableau suivant compare les fonctionnalités de l’accès conditionnel Microsoft Entra dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Assignments | Utilisateurs, groupes et identités de charge de travail. | Incluez tous les utilisateurs et excluez les utilisateurs et les groupes. Pour plus d’informations, consultez Ajouter l’authentification multifacteur (MFA) à une application. |
| Ressources cibles | ||
| Conditions | ||
| Accorder | Accorder ou bloquer l’accès aux ressources | |
| Session | Contrôles de session | Les contrôles de session suivants sont disponibles :
|
Stratégies de conditions d’utilisation
Le tableau suivant compare les fonctionnalités des stratégies de conditions d’utilisation dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Stratégies d’accès conditionnel | Consultez les conditions d’utilisation de Microsoft Entra. | Non disponible. |
| Inscription en libre-service | Non disponible. | Ajoutez un attribut requis lié à vos stratégies de conditions d’utilisation sur la page d’inscription. Vous pouvez personnaliser le lien hypertexte pour prendre en charge différentes langues. |
| Page de connexion | Vous pouvez ajouter des liens vers des informations sur la confidentialité dans le coin inférieur droit à l'aide de la personnalisation de l'entreprise. | Identique à la main-d’œuvre. |
Gestion de compte
Le tableau suivant compare les fonctionnalités de gestion des utilisateurs dans chaque type de locataire. Comme indiqué dans le tableau, certains types de comptes sont créés via une invitation ou une inscription en libre-service. Un administrateur utilisateur du locataire peut également créer des comptes via le centre d’administration.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Types de comptes |
|
|
| Gérer les informations du profil utilisateur |
|
Identique à la main-d’œuvre, sauf que la synchronisation inter-locataires n'est pas disponible. |
| Réinitialiser le mot de passe d’un utilisateur | Les administrateurs peuvent réinitialiser le mot de passe d’un utilisateur si l’utilisateur oublie le mot de passe, est verrouillé hors d’un appareil ou n’a jamais reçu de mot de passe. | Identique à la main-d'œuvre. |
| Restaurer ou supprimer un utilisateur récemment supprimé | Lorsque vous supprimez un utilisateur, son compte reste à l’état suspendu pendant 30 jours. Pendant ces 30 jours, le compte de l’utilisateur peut être restauré, avec l’ensemble de ses propriétés. | Identique à la main-d'œuvre. |
| Désactiver les comptes | Empêcher le nouvel utilisateur de se connecter. | Identique à la main-d'œuvre. |
Protection par mot de passe
Le tableau suivant compare les fonctionnalités de protection par mot de passe dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Verrouillage intelligent | Le verrouillage intelligent permet de verrouiller les acteurs malveillants qui essaient de deviner les mots de passe de vos utilisateurs ou d’utiliser des méthodes de force brute pour entrer. | Identique à la main-d'œuvre. |
| Mots de passe interdits globaux | La liste globale des mots de passe interdits bloque automatiquement les mots de passe faibles ou compromis couramment utilisés en fonction de l’analyse des données de sécurité Microsoft Entra. | Identique à la main-d'œuvre. |
| Mots de passe interdits personnalisés | Utilisez la liste personnalisée des mots de passe interdits pour ajouter des chaînes spécifiques pour évaluer et bloquer lors de la création et de la réinitialisation du mot de passe. | Identique à la main-d'œuvre. |
Personnalisation des jetons
Le tableau suivant compare les fonctionnalités de personnalisation des jetons dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Mappage des revendications | Personnaliser les revendications émises dans le jeton JWT (JSON Web Token) pour les applications d’entreprise. | Identique à la main-d'œuvre. Les revendications facultatives doivent être configurées via Attributs et revendications. |
| Transformation de déclarations | Appliquez une transformation à un attribut utilisateur émis dans le JWT pour les applications d’entreprise. | Identique à la main-d'œuvre. |
| Fournisseur de claims personnalisées | Utilisez une extension d’authentification personnalisée qui appelle une API REST externe pour extraire des revendications à partir de systèmes externes. | Identique à la main-d'œuvre. En savoir plus |
| Groupes de sécurité | Configurez les revendications facultatives de groupe. | Configurez les revendications facultatives du groupe, limitées à l’ID d’objet de groupe. |
| Durées de vie des jetons | Spécifiez la durée de vie des jetons de sécurité émis par l’ID Microsoft Entra. | Identique à la main-d'œuvre. |
| Révocation de session et de jeton | Un administrateur peut invalider tous les jetons d’actualisation et la session d’un utilisateur. | Identique à la main-d'œuvre. |
Authentification unique
L’authentification unique (SSO) offre une expérience plus transparente en réduisant le nombre de fois où un utilisateur est invité à fournir des informations d’identification. Les utilisateurs entrent leurs informations d’identification une seule fois. D’autres applications peuvent réutiliser la session établie sur le même appareil et le même navigateur web sans invite supplémentaire.
Le tableau suivant compare les fonctionnalités de l’authentification unique dans chaque type de locataire.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Types d’enregistrement d’application |
Les applications d’entreprise offrent d’autres options, telles que l’inscription basée sur un mot de passe, liée et basée sur l’en-tête. |
|
| Nom de domaine | Lorsqu’un utilisateur est authentifié, un cookie de session est défini sur le domaine login.microsoftonline.com Microsoft Entra dans le navigateur web. |
Lorsqu’un utilisateur est authentifié, un cookie de session est défini sur le domaine <tenant-name>.ciamlogin.com d’ID externe Microsoft Entra ou un domaine d’URL personnalisé dans le navigateur web. Pour vous assurer que l’authentification unique fonctionne correctement, utilisez un seul domaine d’URL. |
| Rester connecté | Vous pouvez activer ou désactiver l’option pour rester connecté. | Identique à la main-d'œuvre. |
| Approvisionnement d'utilisateurs | Utilisez l’approvisionnement automatique d’utilisateurs avec System for Cross-domain Identity Management (SCIM) pour synchroniser les comptes d’utilisateur entre l’ID externe et les applications prises en charge. Cette approche maintient automatiquement les données utilisateur à jour. Le provisionnement des utilisateurs prend en charge les requêtes différentielles. Ces requêtes synchronisent uniquement les modifications depuis la dernière mise à jour. Ce comportement améliore les performances et réduit la charge système. |
Identique à la main-d'œuvre. |
| Invalidation de session | Scénarios où l’authentification unique peut être invalidée, ce qui nécessite une réauthentification :
L’application spécifie dans la demande d’autorisation d’inviter l’utilisateur à entrer des informations d’identification à l’aide du login=prompt paramètre de chaîne de requête dans OpenID Connect et de l’attribut ForceAuthn dans la requête SAML. |
Identique à la main-d'œuvre. |
| Accès conditionnel | Consultez la section Accès conditionnel . | Consultez la section Accès conditionnel . |
| Authentification native de Microsoft Entra | Non disponible. | L’authentification native ne prend pas en charge le SSO. |
| Déconnexion | Lorsqu’une application SAML ou OpenID Connect dirige l’utilisateur vers le point de terminaison de déconnexion, Microsoft Entra ID supprime et invalide la session de l’utilisateur à partir du navigateur. | Identique à la main-d'œuvre. |
| Déconnexion unique | Une fois la déconnexion réussie, l’ID Microsoft Entra envoie une notification de déconnexion à toutes les autres applications SAML et OpenID Connect auxquelles l’utilisateur est connecté. | Identique à la main-d'œuvre. |
Solutions de sécurité intégrées
Microsoft Entra External ID prend en charge les fonctionnalités de sécurité intégrées et les solutions partenaires pour protéger les identités tout au long du cycle de vie. Ces fonctionnalités incluent la protection contre les attaques par déni de service distribué (DDoS), la prévention de la fraude d’inscription et la surveillance unifiée.
Vous pouvez activer ces solutions directement dans l’ID externe et accéder aux intégrations de partenaires via le Microsoft Security Store. Cette approche permet aux organisations de déployer rapidement des outils de sécurité approuvés sans configuration complexe.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Protection contre les fraudes d’inscription | L'expérience de l'Assistant Sécurité Store n'est pas disponible. | Utilisez Arkose Labs et HUMAN Security pour vous protéger contre les fraudes d’inscription et bloquer les attaques automatisées de bots. |
| Protection pare-feu d’applications web (WAF) et DDoS | L'expérience de l'Assistant Sécurité Store n'est pas disponible. | Utilisez Cloudflare et Akamai pour vous protéger contre les attaques DDoS et sécuriser les applications avec un WAF. |
| Analyse de la sécurité | L'expérience de l'Assistant Sécurité Store n'est pas disponible. | Utilisez Azure Monitor et Microsoft Sentinel pour activer la surveillance en un clic, Log Analytics et la détection avancée des menaces. |
Akamai et Cloudflare
Akamai et Cloudflare fournissent des fonctionnalités de protection DDoS, d’atténuation des bots et de WAF. Ces fonctionnalités aident à défendre les applications contre le trafic malveillant, l’automatisation abusive et les vulnérabilités web courantes telles que l’injection SQL, les scripts intersite et les attaques basées sur l’API.
Lorsque vous intégrez l’un ou l’autre service à l’ID externe, vous pouvez appliquer ces contrôles de sécurité devant vos flux d’identité côté client. Cette action améliore la résilience et réduit l’exposition au bourrage d'identifiants et à d'autres menaces ciblant l'identité.
Journaux et rapports d’activité
Le tableau suivant compare les fonctionnalités des journaux d’activité et des rapports sur différents types de locataires.
| Fonctionnalité | Locataire de main-d’œuvre | Locataire externe |
|---|---|---|
| Journaux d’audit | Ces journaux fournissent un rapport détaillé de tous les événements connectés à Microsoft Entra ID, y compris les modifications apportées aux applications, aux groupes et aux utilisateurs. | Identique à la main-d'œuvre. |
| Journaux de connexion | Les journaux de connexion effectuent le suivi de toutes les activités de connexion au sein d’un locataire Microsoft Entra, y compris l’accès à vos applications et ressources. | Identique à la main-d'œuvre. |
| Journaux d’inscription (aperçu) | Non disponible. | Microsoft Entra External ID enregistre tous les événements d’inscription en libre-service, y compris les inscriptions réussies et les tentatives ayant échoué. |
| Journaux d’approvisionnement | Les journaux d’approvisionnement fournissent des enregistrements détaillés des événements d’approvisionnement au sein d’un locataire, tels que les créations de comptes d’utilisateur, les mises à jour et les suppressions. | Non disponible. |
| Journaux d’activité pour les stratégies de rétention | Les stratégies de rétention des données Microsoft Entra déterminent la durée pendant laquelle différents types de journaux (tels que l’audit, la connexion et les journaux d’approvisionnement) sont stockés. | Sept jours. |
| Exporter les journaux d’activité | En utilisant les paramètres de diagnostic dans l’ID Microsoft Entra, vous pouvez intégrer des journaux à Azure Monitor, diffuser des journaux vers un hub d’événements ou s’intégrer à des outils SIEM (Security Information and Event Management). | Azure Monitor pour les locataires externes (préversion). |
| Rapports pour l’activité utilisateur de l’application | Non disponible. | L’activité utilisateur de l’application fournit des analyses sur la façon dont les utilisateurs interagissent avec les applications enregistrées dans votre tenant. Il effectue le suivi des métriques telles que les utilisateurs actifs, les nouveaux utilisateurs, les connexions et les taux de réussite de l’authentification multifacteur. |
Les API Microsoft Graph
Toutes les fonctionnalités prises en charge dans les locataires externes sont également compatibles avec l’automatisation via les API Microsoft Graph. Certaines fonctionnalités qui sont en préversion dans les locataires externes peuvent être généralement disponibles via Microsoft Graph. Pour plus d’informations, consultez Gérer l’identité Microsoft Entra et l’accès réseau à l’aide de Microsoft Graph.