Fonctionnalités prises en charge dans les locataires de main-d’œuvre et externes

  • Article

Il existe deux modes de configuration d’un locataire Microsoft Entra, selon la façon dont l’organisation compte utiliser le locataire, et les ressources qu’elle souhaite gérer :

  • Une configuration de locataire de main d’œuvre est destinée à vos employés, applications métier internes et d’autres ressources de l’organisation. La collaboration B2B est utilisée dans un locataire de main-d’œuvre pour collaborer avec des partenaires commerciaux externes et des invités.
  • Une configuration de locataire externe est utilisée exclusivement pour les scénarios d’ID externe dans lesquels vous souhaitez publier des applications auprès des consommateurs ou des clients professionnels.

Cet article fournit une comparaison détaillée des fonctionnalités et les fonctionnalités disponibles dans les locataires de main-d’œuvre et externes.

Remarque

Pendant la préversion, les fonctionnalités ou capacités nécessitant une licence Premium ne sont pas disponibles dans les locataires externes.

Comparaison des fonctionnalités générales

Le tableau suivant compare les fonctionnalités générales et les fonctionnalités disponibles dans les locataires de main-d’œuvre et externes.

Fonctionnalité Locataire de main-d’œuvre Locataire externe
Scénario d’identités externes Autoriser les partenaires commerciaux et autres utilisateurs externes à collaborer avec votre personnel. Les invités peuvent accéder de façon sécurisée à vos applications métier par le biais d’invitations ou d’inscription en libre-service. Utilisez l’ID externe pour sécuriser vos applications. Les consommateurs et les clients professionnels peuvent accéder de façon sécurisée à vos applications grand public via une inscription en libre-service. Les invitations sont également prises en charge.
Comptes locaux Les comptes locaux sont pris en charge pour les membres internes de votre organisation uniquement. Les comptes locaux sont pris en charge pour :
- Utilisateurs externes (consommateurs, clients professionnels) qui ont recours à une inscription en libre-service.
- Comptes créés par les administrateurs.
Fournisseurs d’identité pour les utilisateurs externes Invités via une inscription en libre-service :
– Comptes Microsoft Entra
– Comptes Microsoft
– Mot de passe à usage unique par e-mail
– Fédération Google
– Fédération Facebook

Invités :
– Comptes Microsoft Entra
– Comptes Microsoft
– Mot de passe à usage unique par e-mail
– Fédération Google
– Fédération SAML/WS-Fed		 Utilisateurs d’inscription en libre-service (consommateurs, clients professionnels) :
- e-mail avec mot de passe
- code secret à usage unique e-mail
- fédération Google (préversion)
- fédération Facebook (préversion)
Méthodes d’authentification - Utilisateurs internes (employés et administrateurs) : Fonctionnement de chaque méthode d’authentification
- Invités (via une invitation ou une inscription en libre-service) : Méthodes d’authentification pour les utilisateurs externes		 Utilisateurs via une inscription en libre-service (consommateurs, clients professionnels) :
- Code secret à usage unique par e-mail
Groupes Les Groupes peuvent permettre de gérer les comptes d’utilisateur et d’administration. Les groupes peuvent permettre de gérer les comptes d’administration. La prise en charge des groupes Microsoft Entra et des rôles d’application est progressivement intégrée aux locataires clients. Pour connaître les dernières mises à jour, consultez Prise en charge des groupes et des rôles d’application.
Rôles et administrateurs Les rôles et les administrateurs sont entièrement pris en charge pour les comptes d’administration et d’utilisateur. Les rôles ne sont pas pris en charge avec les comptes client. Les comptes client n’ont pas accès aux ressources du locataire.
Noms de domaine personnalisés Vous pouvez utiliser des domaines personnalisés Azure AD pour les comptes d’administration uniquement. Actuellement non pris en charge. Toutefois, les URL visibles par les clients dans les pages d’inscription et de connexion sont des URL neutres et sans marque. En savoir plus
Identity Protection Fournit une détection continue des risques pour votre locataire Microsoft Entra. Le service permet aux organisations de découvrir, d’examiner et de corriger les risques basés sur l’identité. Un sous-ensemble des détections de risques Microsoft Entra ID Protection est disponible. Plus d’informations
Extension d’authentification personnalisée Ajoutez des revendications à partir de systèmes externes. Ajouter des revendications à partir de systèmes externes.
Personnalisation des jetons Ajoutez des attributs utilisateur, une extension d’authentification personnalisée, une transformation de revendications et l’appartenance à des groupes de sécurité aux revendications de jeton. Ajoutez des attributs utilisateur, une extension d’authentification personnalisée et l’appartenance aux groupes de sécurité aux revendications de jeton. En savoir plus.
Réinitialisation de mot de passe en libre service Autoriser les utilisateurs à réinitialiser leur mot de passe à l’aide de deux méthodes d’authentification maximum (voir la ligne suivante pour connaître les méthodes disponibles). Autoriser les utilisateurs à réinitialiser leur mot de passe à l’aide d’un e-mail avec un code secret à usage unique. Plus d’informations
Personnalisation de la langue Personnalisez l’expérience de connexion en fonction de la langue du navigateur lorsque les utilisateurs s’authentifient dans votre intranet d’entreprise ou dans des applications web. Utilisez des langues pour modifier les chaînes affichées pour vos clients dans le cadre du processus de connexion et d’inscription. Plus d’informations
Attributs personnalisés Utilisez les attributs d’extension d’annuaire pour stocker davantage de données dans l’annuaire Microsoft Entra pour les objets utilisateur, les groupes, les détails du locataire et les principaux de service. Utilisez des attributs d’extension d’annuaire pour stocker davantage de données dans l’annuaire client pour les objets utilisateur. Créez des attributs utilisateur personnalisés et ajoutez-les à votre flux d’utilisateur d’inscription. Plus d’informations

Fournisseurs d’identité

Le tableau suivant compare les fournisseurs d’identité disponibles dans chaque type de locataire.

Fonctionnalité Locataire de main-d’œuvre Locataire externe
Fournisseurs d’identité pour les utilisateurs externes Pour les invités via une inscription en libre-service :
– Comptes Microsoft Entra
– Comptes Microsoft
– Mot de passe à usage unique par e-mail
– Fédération Google
– Fédération Facebook

Pour les invités :
– Comptes Microsoft Entra
– Comptes Microsoft
– Mot de passe à usage unique par e-mail
– Fédération Google
– Fédération SAML/WS-Fed		 Pour les utilisateurs via une inscription en libre-service (consommateurs, clients professionnels) :
- E-mail avec mot de passe
- Code secret à usage unique par e-mail
- Fédération Google
- Fédération Facebook
Méthodes d’authentification Pour les utilisateurs internes (employés et administrateurs) :
- Fonctionnement de chaque méthode d’authentification
Pour les invités (inscription en libre-service ou invité) :
- Méthodes d’authentification pour les utilisateurs externes		 Pour les utilisateurs via une inscription en libre-service (consommateurs, clients professionnels) :
- Code secret à usage unique par e-mail

Inscription de l’application

Le tableau suivant compare les fonctionnalités disponibles pour l’Inscription d’application dans chaque type de locataire.

Fonctionnalité Locataire de main-d’œuvre Locataire externe
Protocole Parties de confiance SAML, OpenID Connect et OAuth2 OpenID Connect et OAuth2
Types de comptes pris en charge Les types de comptes suivants :
  • Comptes dans ce répertoire d’organisation uniquement (Locataire unique)
  • Comptes dans n’importe quel annuaire d’organisation (n’importe quel locataire Microsoft Entra – Multi-locataire)
  • Comptes dans n’importe quel annuaire d’organisation (n’importe quel locataire Microsoft Entra – Multi-locataire) et comptes Microsoft personnels (par exemple : Skype, Xbox)
  • Comptes Microsoft personnels uniquement
 Utilisez toujours Comptes dans ce répertoire d’organisation uniquement (Locataire unique).
Plateforme Les plateformes suivantes :
  • Client public/natif (mobile et bureau)
  • web
  • Application monopage (SPA)
    		 Les plateformes suivantes :
    • Client public (mobile et bureau)
    • Mobile d’authentification native (préversion)
    • web
    • Application monopage (SPA)
      Authentification>URI de redirection Les URI que Microsoft Entra ID accepte comme destinations lorsqu’il renvoie des réponses d’authentification (jetons) après avoir authentifié ou déconnecté des utilisateurs avec succès. Identique à la main-d’œuvre.
      Authentification>URL de déconnexion du canal frontal Cette URL est l’emplacement où Microsoft Entra ID envoie une requête pour que l’application efface les données de session de l’utilisateur. L’URL de déconnexion du canal frontal est requise pour que l’authentification unique fonctionne correctement. Identique à la main-d’œuvre.
      Authentification>Octroi implicite et flux hybrides Demandez un jeton directement à partir du point de terminaison d'autorisation. Identique à la main-d’œuvre.
      Certificats et secrets Identique à la main-d’œuvre.
      Configuration des jetons
      Autorisations API Ajoutez, supprimez et remplacez des autorisations à une application. Une fois les autorisations ajoutées à votre application, les utilisateurs ou les administrateurs doivent accorder le consentement aux nouvelles autorisations. En savoir plus sur la mise à jour des autorisations demandées d’une application dans Microsoft Entra ID. Voici les autorisations acceptées : Microsoft Graph offline_access, openid et User.Read, ainsi que vos permissions déléguées Mes API. Seul un administrateur peut consentir au nom de l’organisation.
      Exposer une API Définissez des étendues personnalisées pour restreindre l’accès aux données et aux fonctionnalités protégées par l’API. Une application qui nécessite l’accès à certaines parties de cette API peut demander à un utilisateur ou un administrateur de donner son consentement à une ou plusieurs de ces étendues. Définissez des étendues personnalisées pour restreindre l’accès aux données et aux fonctionnalités protégées par l’API. Une application qui nécessite l’accès à certaines parties de cette API peut demander le consentement de l’administrateur à une ou plusieurs de ces étendues.
      Rôles d’application Les rôles d’application sont des rôles personnalisés permettant d’attribuer des autorisations à des utilisateurs ou à des applications. L’application définit et publie les rôles d’application, et les interprète comme des permissions pendant l’autorisation. Identique à la main-d’œuvre. En savoir plus sur l’utilisation du contrôle d’accès en fonction du rôle pour les applications dans un locataire externe.
      Propriétaires Les propriétaires d’applications peuvent afficher et modifier l’inscription de l’application. En outre, tout utilisateur (qui peut ne pas être répertorié) avec des privilèges Administrateur pour gérer n’importe quelle application (par exemple, administrateur général, administrateur d’application cloud, etc.) peut afficher et modifier l’inscription de l’application. Identique à la main-d’œuvre.
      Rôles et administrateurs Les rôles d’administration sont utilisés pour accorder l’accès aux actions privilégiées dans Microsoft Entra ID. Seul le rôle Administrateur d’applications cloud peut être utilisé pour les applications dans des locataires externes. Ce rôle permet de créer et de gérer tous les aspects des inscriptions d’application et des applications d’entreprise.
      Attribution d’utilisateurs et de groupes à une application Quand une affectation d’utilisateur est requise, seuls les utilisateurs que vous affectez à l’application (via une affectation directe ou une appartenance à un groupe) peuvent se connecter. Pour plus d’informations, consultez Gérer l’attribution d’utilisateurs et de groupes à une application Non disponible

      Flux OpenID Connect et OAuth2

      Le tableau suivant compare les fonctionnalités disponibles pour les flux d’autorisation OAuth 2.0 et OpenID Connect dans chaque type de locataire.

      Fonctionnalité Locataire de main-d’œuvre Locataire externe
      OpenID Connect Oui Oui
      Code d’autorisation Oui Oui
      Code d’autorisation avec Code Exchange (PKCE) Oui Oui
      Informations d’identification du client Oui Applications v2.0
      Autorisation de l’appareil Oui Non
      Flux On-Behalf-Of Oui Oui
      Octroi implicite Oui Oui
      Informations d’identification de mot de passe du propriétaire de ressource Oui Non

      URL d’autorité dans les flux OpenID Connect et OAuth2

      L’URL d’autorité est une URL indiquant un annuaire dont la bibliothèque d’authentification Microsoft peut demander des jetons. Pour les applications dans des locataires externes, utilisez toujours le format suivant : <nom de locataire>.ciamlogin.com

      Le code JSON suivant montre un exemple de paramètres d’application .NET avec une URL d’autorité :

      {
    "AzureAd": {
        "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
        "ClientId": "<Enter_the_Application_Id_Here>"
    }
}

      Accès conditionnel

      Le tableau suivant compare les fonctionnalités disponibles pour l’accès conditionnel dans chaque type de locataire.

      Fonctionnalité Locataire de main-d’œuvre Locataire externe
      Attributions Utilisateurs, groupes et identités de charge de travail Incluez tous les utilisateurs, et excluez les utilisateurs et les groupes. Pour plus d’informations, consultez Ajouter une authentification multifacteur (MFA) à une application.
      Ressources cibles
      Conditions
      Octroyer Accorder ou bloquer l’accès aux ressources
      Session Contrôles de session Non disponible

      Gestion des comptes

      Le tableau suivant compare les fonctionnalités disponibles pour la gestion utilisateur dans chaque type de locataire. Comme indiqué dans le tableau, certains types de comptes sont créés via une invitation ou une inscription en libre-service. Un administrateur utilisateur du locataire peut également créer des comptes via le centre d’administration.

      Fonctionnalité Locataire de main-d’œuvre Locataire externe
      Types de comptes
      • Membres internes, par exemple les employés et les administrateurs.
      • Utilisateurs externes qui sont invités ou utilisent une inscription en libre-service.
      • Utilisateurs internes de votre locataire, par exemple des administrateurs.
      • Consommateurs externes et clients professionnels qui utilisent une inscription en libre-service ou qui sont créés par les administrateurs.
      • Utilisateurs externes invités (préversion).
      Gérer les informations du profil utilisateur Par programmation et avec le Centre d’administration Microsoft Entra. Identique à la main-d’œuvre.
      Réinitialiser le mot de passe d’un utilisateur Les administrateurs peuvent réinitialiser le mot de passe d'un utilisateur si le mot de passe est oublié, si l'utilisateur n'a plus accès à un appareil ou s'il n'a jamais reçu de mot de passe. Identique à la main-d’œuvre.
      Restaurer ou supprimer un utilisateur récemment supprimé Lorsque vous supprimez un utilisateur, son compte reste à l’état suspendu pendant 30 jours. Pendant ces 30 jours, le compte de l’utilisateur peut être restauré, avec l’ensemble de ses propriétés. Identique à la main-d’œuvre.
      Désactivation des comptes Empêcher le nouvel utilisateur de se connecter. Identique à la main-d’œuvre.

      Protection par mot de passe

      Fonctionnalité Locataire de main-d’œuvre Locataire externe
      Verrouillage intelligent Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans Identique à la main-d’œuvre.
      Mots de passe interdits personnalisés La liste de mots de passe interdits personnalisés de Microsoft Entra vous permet d’ajouter des chaînes spécifiques pour évaluer et bloquer. Non disponible.

      Étapes suivantes