Támogatott funkciók a munkaerőben és a külső bérlőkben
A Microsoft Entra-bérlők kétféleképpen konfigurálhatók attól függően, hogy a szervezet hogyan kívánja használni a bérlőt és a kezelni kívánt erőforrásokat:
- A munkaerő-bérlő konfigurációja az alkalmazottak, a belső üzleti alkalmazások és más szervezeti erőforrások számára készült. A B2B együttműködés a munkaerő-bérlőben külső üzleti partnerekkel és vendégekkel való együttműködésre szolgál.
- A külső bérlőkonfiguráció kizárólag külső azonosítós forgatókönyvekhez használható, ahol alkalmazásokat szeretne közzétenni a fogyasztók vagy az üzleti ügyfelek számára.
Ez a cikk részletesen összehasonlítja a munkaerőben és a külső bérlőkben elérhető funkciókat és képességeket.
Feljegyzés
Az előzetes verzióban a prémium licenccel rendelkező funkciók vagy képességek nem érhetők el a külső bérlőkben.
Általános funkciók összehasonlítása
Az alábbi táblázat a munkaerőben és külső bérlőkben elérhető általános funkciókat és képességeket hasonlítja össze.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Külső identitások forgatókönyve | Lehetővé teszi, hogy az üzleti partnerek és más külső felhasználók együttműködjenek a munkaerővel. A vendégek meghívásokkal vagy önkiszolgáló regisztrációval biztonságosan elérhetik üzleti alkalmazásait. | Külső azonosító használata az alkalmazások védelméhez. A fogyasztók és az üzleti ügyfelek önkiszolgáló regisztrációval biztonságosan hozzáférhetnek a fogyasztói alkalmazásokhoz. A meghívók is támogatottak. |
| Helyi fiókok | A helyi fiókok csak a szervezet belső tagjai számára támogatottak. | A helyi fiókok támogatottak az önkiszolgáló regisztrációt használó külső felhasználók (fogyasztók, üzleti ügyfelek) számára. - Rendszergazdák által létrehozott fiókok. |
| Csoportok | A csoportok felügyeleti és felhasználói fiókok kezelésére használhatók. | A csoportok felügyeleti fiókok kezelésére használhatók. A Microsoft Entra-csoportok és -alkalmazásszerepkörök támogatása az ügyfélbérlelőkbe kerül. A legújabb frissítésekért tekintse meg a Csoportok és az alkalmazásszerepkörök támogatását. |
| Szerepkörök és rendszergazdák | A szerepkörök és rendszergazdák teljes mértékben támogatottak a rendszergazdai és felhasználói fiókok esetében. | Az ügyfélfiókok nem támogatják a szerepköröket. Az ügyfélfiókok nem férnek hozzá a bérlői erőforrásokhoz. |
| Identitásvédelem | Folyamatos kockázatészlelést biztosít a Microsoft Entra-bérlő számára. Lehetővé teszi a szervezetek számára az identitásalapú kockázatok felderítését, kivizsgálását és elhárítását. | Elérhető a Microsoft Entra ID-védelem kockázatészlelések egy részhalmaza. További információ. |
| Új jelszó önkiszolgáló kérése | A felhasználók legfeljebb két hitelesítési módszerrel állíthatják vissza a jelszavukat (az elérhető metódusok következő sorában). | Lehetővé teszi a felhasználók számára, hogy egyszeri pin-kóddal rendelkező e-mail használatával alaphelyzetbe állhassák a jelszavukat. További információ. |
| Nyelvi testreszabás | A bejelentkezési felület testreszabása böngészőnyelv alapján, amikor a felhasználók hitelesítik magukat a vállalati intraneten vagy a webalapú alkalmazásokban. | Nyelvek használatával módosíthatja az ügyfeleknek a bejelentkezési és regisztrációs folyamat részeként megjelenített sztringeket. További információ. |
| Egyéni attribútumok | A címtárbővítmény-attribútumokkal további adatokat tárolhat a Microsoft Entra könyvtárban a felhasználói objektumok, csoportok, bérlőadatok és szolgáltatásnevek számára. | A címtárkiterjesztési attribútumokkal további adatokat tárolhat a felhasználói objektumok ügyfélkönyvtárában. Egyéni felhasználói attribútumokat hozhat létre, és hozzáadhatja őket a regisztrációs felhasználói folyamathoz. További információ. |
Megjelenés és megjelenés testreszabása
Az alábbi táblázat összehasonlítja a külső bérlők és a munkaerő megjelenésének testreszabásához elérhető funkciókat.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Céges arculat | Az összes ilyen felületre érvényes céges védjegyzést is hozzáadhatja, hogy egységes bejelentkezési élményt hozzon létre a felhasználók számára. | Ugyanaz, mint a munkaerő. További információ |
| Nyelvi testreszabás | A bejelentkezési felület testreszabása böngészőnyelv szerint. | Ugyanaz, mint a munkaerő. További információ |
| Egyéni tartománynevek | Egyéni tartományokat csak rendszergazdai fiókokhoz használhat. | A külső bérlők egyéni URL-tartományának (előzetes verzió) funkciójával saját tartománynévvel jelölheti meg az alkalmazás bejelentkezési végpontjait. |
| Natív hitelesítés mobilalkalmazásokhoz | Nem elérhető | A Microsoft Entra natív hitelesítésével teljes mértékben szabályozhatja a mobilalkalmazás bejelentkezési felületeinek kialakítását. |
Saját üzleti logika hozzáadása
Az egyéni hitelesítési bővítmények lehetővé teszik a Microsoft Entra hitelesítési felület testreszabását külső rendszerekkel való integrációval. Az egyéni hitelesítési bővítmény lényegében egy eseményfigyelő, amely aktiváláskor HTTP-hívást indít egy REST API-végpontra, ahol ön határozza meg a saját üzleti logikáját. Az alábbi táblázat összehasonlítja a munkaerőben és a külső bérlőkben elérhető egyéni hitelesítési bővítmények eseményeit.
| Esemény | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| TokenIssuanceStart | Jogcímek hozzáadása külső rendszerekből. | Jogcímek hozzáadása külső rendszerekből. |
| OnAttributeCollectionStart | Nem elérhető | A regisztráció attribútumgyűjtési lépésének elején, az attribútumgyűjtési oldal megjelenítése előtt következik be. Hozzáadhat olyan műveleteket, mint az értékek előzetes kitöltése és a blokkolási hiba megjelenítése. További információ |
| OnAttributeCollectionSubmit | Nem elérhető | A regisztrációs folyamat során történik, miután a felhasználó beírja és elküldi az attribútumokat. Olyan műveleteket is hozzáadhat, mint például a felhasználó bejegyzéseinek ellenőrzése vagy módosítása. További információ |
Identitásszolgáltatók és hitelesítési módszerek
Az alábbi táblázat összehasonlítja az elsődleges hitelesítéshez és a többtényezős hitelesítéshez (MFA) elérhető identitásszolgáltatókat és metódusokat a munkaerőben és a külső bérlőkben.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Identitásszolgáltatók külső felhasználók számára | Önkiszolgáló regisztrációs vendégeknek: - Microsoft Entra-fiókok – Microsoft-fiókok – Egyszeri pin-kód küldése e-mailben – Google összevonás – Facebook-összevonás Meghívott vendégeknek: - Microsoft Entra-fiókok - Microsoft-fiókok – Egyszeri pin-kód küldése e-mailben – Google-összevonás – SAML/WS-Fed összevonás |
Önkiszolgáló regisztrációs felhasználók (fogyasztók, üzleti ügyfelek): - E-mail jelszóval- E-mail egyszeri pin-kód - Google-összevonás (előzetes verzió) - Facebook-összevonás (előzetes verzió) |
| Hitelesítési módszerek | Belső felhasználók (alkalmazottak és rendszergazdák): - Hitelesítési és ellenőrzési módszerek vendégek számára (meghívott vagy önkiszolgáló regisztráció): - Hitelesítési módszerek vendég MFA-hoz |
Önkiszolgáló regisztrációt használók (fogyasztók, üzleti ügyfelek): - E-mail egyszeri pin-kód az MFA-hoz |
Alkalmazásregisztráció
Az alábbi táblázat összehasonlítja az alkalmazásregisztrációhoz elérhető funkciókat az egyes bérlőtípusokban.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Protokoll | SAML-függő entitások, OpenID Connect és OAuth2 | OpenID Connect és OAuth2 |
| Támogatott fióktípusok | A következő fióktípusok:
|
Mindig csak ebben a szervezeti címtárban (egyetlen bérlő) használja a fiókokat. |
| Peron | A következő platformok:
|
A következő platformok:
|
| Hitelesítési>átirányítási URI-k | A Microsoft Entra-azonosító URI-k a felhasználók sikeres hitelesítése vagy kijelentkezése után a hitelesítési válaszok (jogkivonatok) visszaadásakor célhelyként fogadhatók el. | Ugyanaz, mint a munkaerő. |
| Hitelesítés>előtérbeli kijelentkezés URL-címe | Ez az URL-cím kéri a Microsoft Entra-azonosítót, hogy az alkalmazás törölje a felhasználó munkamenetadatait. Az egyszeri kijelentkezés megfelelő működéséhez az előtérbeli kijelentkezés URL-címe szükséges. | Ugyanaz, mint a munkaerő. |
| Hitelesítési>implicit engedélyezési és hibrid folyamatok | Jogkivonat kérése közvetlenül az engedélyezési végpontról. | Ugyanaz, mint a munkaerő. |
| Tanúsítványok > titkos kódok | Ugyanaz, mint a munkaerő. | |
| API-engedélyek | Engedélyek hozzáadása, eltávolítása és cseréje egy alkalmazáshoz. Az engedélyek alkalmazáshoz való hozzáadása után a felhasználóknak vagy a rendszergazdáknak hozzájárulást kell adniuk az új engedélyekhez. További információ az alkalmazás kért engedélyeinek frissítéséről a Microsoft Entra-azonosítóban. | A következő engedélyek engedélyezettek: Microsoft Graph offline_accessés openidUser.Read saját API-k delegált engedélyei. Csak egy rendszergazda adhat hozzájárulást a szervezet nevében. |
| API-k felfedése | Egyéni hatókörök definiálása az API által védett adatokhoz és funkciókhoz való hozzáférés korlátozásához. Az API egyes részeihez hozzáférést igénylő alkalmazások kérhetik, hogy egy felhasználó vagy rendszergazda egy vagy több hatókörhöz járuljon hozzá. | Egyéni hatókörök definiálása az API által védett adatokhoz és funkciókhoz való hozzáférés korlátozásához. Az API egyes részeihez hozzáférést igénylő alkalmazások kérhetik, hogy rendszergazdai hozzájárulást adjanak egy vagy több ilyen hatókörhöz. |
| Alkalmazásszerepkörök | Az alkalmazásszerepkörök egyéni szerepkörök, amelyek engedélyeket rendelnek a felhasználókhoz vagy alkalmazásokhoz. Az alkalmazás meghatározza és közzéteszi az alkalmazás-szerepköröket, és engedélyként értelmezi őket a hitelesítés során. | Ugyanaz, mint a munkaerő. További információ a szerepköralapú hozzáférés-vezérlés külső bérlőben lévő alkalmazásokhoz való használatáról. |
| Tulajdonosok | Az alkalmazástulajdonosok megtekinthetik és szerkeszthetik az alkalmazásregisztrációt. Emellett minden olyan felhasználó (aki esetleg nem szerepel a listán) rendszergazdai jogosultságokkal rendelkezik az alkalmazások kezeléséhez (például a felhőalkalmazás-rendszergazda) megtekintheti és szerkesztheti az alkalmazásregisztrációt. | Ugyanaz, mint a munkaerő. |
| Szerepkörök és rendszergazdák | A rendszergazdai szerepkörök a Microsoft Entra ID-ban a kiemelt műveletekhez való hozzáférés megadására szolgálnak. | Külső bérlőkben lévő alkalmazásokhoz csak a felhőalkalmazás-rendszergazdai szerepkör használható. Ez a szerepkör lehetővé teszi az alkalmazásregisztrációk és a vállalati alkalmazások minden aspektusának létrehozását és kezelését. |
| Felhasználók és csoportok hozzárendelése egy alkalmazáshoz | Ha felhasználó-hozzárendelést alkalmaz, csak azok a felhasználók tudnak bejelentkezni, akik az alkalmazáshoz vannak rendelve (akár közvetlen felhasználó-hozzárendeléssel, akár csoporttagság alapján). További információ: Felhasználók és csoportok hozzárendelésének kezelése egy alkalmazáshoz | Nem elérhető |
OpenID Connect- és OAuth2-folyamatok
Az alábbi táblázat összehasonlítja az OAuth 2.0 és az OpenID Connect engedélyezési folyamatainak funkcióit az egyes bérlőtípusokban.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| OpenID Connect | Igen | Igen |
| Engedélyezési kód | Igen | Igen |
| Engedélyezési kód code with Code Exchange (PKCE) | Igen | Igen |
| Ügyfél-hitelesítő adatok | Igen | 2.0-s verziójú alkalmazások (előzetes verzió) |
| Eszköz-engedélyezés | Igen | Nem |
| Meghatalmazásos folyamat | Igen | Igen |
| Implicit támogatás | Igen | Igen |
| Erőforrás-tulajdonosi jelszó hitelesítő adatai | Igen | Nem, mobilalkalmazásokhoz használjon natív hitelesítést. |
Szolgáltató URL-címe az OpenID Connectben és az OAuth2-folyamatokban
A szolgáltató URL-címe olyan URL- cím, amely azt jelzi, hogy az MSAL jogkivonatokat kérhet le. Külső bérlőkben lévő alkalmazások esetén mindig a következő formátumot használja: <tenant-name.ciamlogin.com>
Az alábbi JSON egy példa egy .NET-alkalmazásra, appsettings.json egy szolgáltatói URL-címmel rendelkező fájlra:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Feltételes hozzáférés
Az alábbi táblázat összehasonlítja a feltételes hozzáféréshez elérhető funkciókat az egyes bérlőtípusokban.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Hozzárendelések | Felhasználók, csoportok és számítási feladatok identitásai | Vegye fel az összes felhasználót, és zárja ki a felhasználókat és csoportokat. További információ: Többtényezős hitelesítés (MFA) hozzáadása egy alkalmazáshoz. |
| Célerőforrások | ||
| Feltételek | ||
| Grant | Erőforrásokhoz való hozzáférés engedélyezése vagy letiltása | |
| Ülésszak | Munkamenet-vezérlők | Nem elérhető |
Fiókkezelés
Az alábbi táblázat az egyes bérlőtípusok felhasználói felügyeletéhez elérhető funkciókat hasonlítja össze. A táblázatban leírtak szerint bizonyos fióktípusok meghívással vagy önkiszolgáló regisztrációval jönnek létre. A bérlő felhasználói rendszergazdái a felügyeleti központon keresztül is létrehozhatnak fiókokat.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Fióktípusok |
|
|
| Felhasználói profil adatainak kezelése | Programozott módon és a Microsoft Entra felügyeleti központ használatával. | Ugyanaz, mint a munkaerő. |
| Felhasználó jelszavának alaphelyzetbe állítása | A rendszergazdák visszaállíthatják a felhasználó jelszavát , ha elfelejtik a jelszót, ha a felhasználót kizárják az eszközről, vagy ha a felhasználó soha nem kapott jelszót. | Ugyanaz, mint a munkaerő. |
| Nemrég törölt felhasználók visszaállítása vagy eltávolítása | Miután töröl egy felhasználót, a fiók 30 napig felfüggesztett állapotban marad. A 30 napos időszak alatt a felhasználói fiók az összes tulajdonságával együtt visszaállítható. | Ugyanaz, mint a munkaerő. |
| Fiókok letiltása | Megakadályozza, hogy az új felhasználó bejelentkezhessen. | Ugyanaz, mint a munkaerő. |
Jelszavas védelem
Az alábbi táblázat összehasonlítja az egyes bérlőtípusok jelszóvédelemhez elérhető funkcióit.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Intelligens zárolás | Az intelligens zárolás segít kizárni a rossz szereplőket, amelyek megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni | Ugyanaz, mint a munkaerő. |
| Egyéni tiltott jelszavak | A Microsoft Entra egyéni tiltott jelszólistája lehetővé teszi adott sztringek hozzáadását az értékeléshez és a letiltáshoz. | Nem érhető el. |
Jogkivonat testreszabása
Az alábbi táblázat az egyes bérlőtípusok jogkivonat-testreszabásához elérhető funkciókat hasonlítja össze.
| Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
|---|---|---|
| Jogcímek leképezése | Testre szabhatja a vállalati alkalmazások JSON webes jogkivonatában (JWT) kibocsátott jogcímeket . | Ugyanaz, mint a munkaerő. Az opcionális jogcímeket attribútumok & jogcímek segítségével kell konfigurálni. |
| Jogcímek átalakítása | Átalakítás alkalmazása a vállalati alkalmazások JSON webes jogkivonatában (JWT) kiadott felhasználói attribútumra . | Ugyanaz, mint a munkaerő. |
| Egyéni jogcímszolgáltató | Külső REST API-t hívó egyéni hitelesítési bővítmény , amely jogcímeket kér le külső rendszerekről. | Ugyanaz, mint a munkaerő. További információ |
| Biztonsági csoportok | Csoportok nem kötelező jogcímeinek konfigurálása. | A csoportok opcionális jogcímeinek konfigurálása a csoportobjektum-azonosítóra korlátozódik. |
| A jogkivonatok élettartama | Megadhatja a Microsoft Entra ID által kibocsátott biztonsági jogkivonatok élettartamát . | Ugyanaz, mint a munkaerő. |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: