Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ada dua cara untuk mengonfigurasi penyewa Microsoft Entra, tergantung pada bagaimana organisasi berniat menggunakan penyewa dan sumber daya yang ingin mereka kelola:
- Konfigurasi tenant tenaga kerja adalah untuk karyawan Anda, aplikasi bisnis internal, dan sumber daya organisasi lainnya. Kolaborasi B2B digunakan dalam konteks tenaga kerja untuk berkolaborasi dengan mitra bisnis eksternal dan tamu.
- Konfigurasi penyewa eksternal digunakan secara eksklusif untuk skenario ID Eksternal tempat Anda ingin menerbitkan aplikasi kepada konsumen atau pelanggan bisnis.
Artikel ini memberikan perbandingan terperinci tentang fitur dan kemampuan yang tersedia di tenaga kerja dan penyewa eksternal.
Note
Selama pratinjau, fitur atau kemampuan yang memerlukan lisensi premium tidak tersedia di penyewa eksternal.
Perbandingan fitur umum
Tabel berikut membandingkan fitur dan kemampuan umum yang tersedia di penyewa tenaga kerja dan eksternal.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Skenario identitas eksternal | Izinkan mitra bisnis dan pengguna eksternal lainnya untuk berkolaborasi dengan tenaga kerja Anda. Tamu dapat mengakses aplikasi bisnis Anda dengan aman melalui undangan atau pendaftaran layanan mandiri. | Gunakan ID Eksternal untuk mengamankan aplikasi Anda. Konsumen dan pelanggan bisnis dapat mengakses aplikasi konsumen Anda dengan aman melalui pendaftaran layanan mandiri. Undangan juga tersedia. |
| Akun lokal | Akun lokal hanya didukung untuk anggota internal organisasi Anda. | Akun lokal didukung untuk:
|
| Groups | Grup dapat digunakan untuk mengelola akun administratif dan pengguna. | Grup dapat digunakan untuk mengelola akun administratif. Dukungan untuk grup Microsoft Entra dan peran aplikasi sedang diperkenalkan ke tenant pelanggan. Untuk pembaruan terbaru, lihat Dukungan peran grup dan aplikasi. |
| Peran dan administrator | Peran dan administrator didukung penuh untuk akun administratif dan pengguna. | Peran didukung untuk semua pengguna. Semua pengguna di penyewa eksternal memiliki izin default kecuali mereka diberi peran admin . |
| Perlindungan ID | Menyediakan deteksi risiko berkelanjutan untuk penyewa Microsoft Entra Anda. Fungsi ini memungkinkan organisasi untuk menemukan, menyelidiki, dan meremedi risiko berbasis identitas. | Tidak tersedia |
| Tata Kelola Identitas | Memungkinkan organisasi untuk mengatur identitas dan mengakses siklus hidup, dan mengamankan akses istimewa. Pelajari selengkapnya. | Tidak tersedia |
| Pengaturan ulang kata sandi mandiri | Izinkan pengguna untuk mengatur ulang kata sandi mereka menggunakan hingga dua metode autentikasi (lihat baris berikutnya untuk metode yang tersedia). | Izinkan pengguna untuk mengatur ulang kata sandi mereka menggunakan email dengan kode akses satu kali. Pelajari selengkapnya. |
| Kustomisasi bahasa | Sesuaikan pengalaman masuk berdasarkan bahasa browser saat pengguna mengautentikasi ke intranet perusahaan atau aplikasi berbasis web Anda. | Gunakan bahasa untuk memodifikasi string yang ditampilkan kepada pelanggan Anda sebagai bagian dari proses masuk dan pendaftaran. Pelajari selengkapnya. |
| Atribut kustom | Gunakan atribut ekstensi direktori untuk menyimpan lebih banyak data di direktori Microsoft Entra untuk objek pengguna, grup, detail penyewa, dan perwakilan layanan. | Gunakan atribut ekstensi direktori untuk menyimpan lebih banyak data di direktori pelanggan untuk objek pengguna. Buat atribut pengguna kustom dan tambahkan ke alur pengguna pendaftaran Anda. Pelajari selengkapnya. |
| Pricing | Harga pengguna aktif bulanan (MAU) untuk tamu eksternal kolaborasi B2B (UserType=Guest). | Penetapan harga pengguna aktif bulanan (MAU) untuk semua pengguna di penyewa eksternal terlepas dari peran atau jenis pengguna. |
Kustomisasi tampilan dan nuansa
Tabel berikut membandingkan fitur yang tersedia untuk penyesuaian tampilan dan nuansa pada penyewa tenaga kerja dan eksternal.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Branding perusahaan | Anda dapat menambahkan branding perusahaan yang berlaku untuk semua pengalaman ini untuk menciptakan pengalaman masuk yang konsisten bagi pengguna Anda. | Sama seperti tenaga kerja. Pelajari lebih lanjut |
| Kustomisasi bahasa | Sesuaikan pengalaman masuk menurut bahasa browser. | Sama seperti tenaga kerja. Pelajari lebih lanjut |
| Nama domain khusus | Anda hanya dapat menggunakan domain kustom untuk akun administratif. | Fitur domain URL kustom untuk penyewa eksternal memungkinkan Anda memperlihatkan merek titik akhir masuk aplikasi dengan menggunakan nama domain Anda sendiri. |
| Autentikasi asli untuk aplikasi seluler | Tidak tersedia | Autentikasi asli Microsoft Entra memungkinkan Anda memiliki kontrol penuh atas desain pengalaman masuk aplikasi seluler Anda. |
Menambahkan logika bisnis Anda sendiri
Ekstensi autentikasi kustom memungkinkan Anda menyesuaikan pengalaman autentikasi Microsoft Entra dengan mengintegrasikan dengan sistem eksternal. Ekstensi autentikasi kustom pada dasarnya adalah pendengar peristiwa yang, ketika diaktifkan, melakukan panggilan HTTP ke titik akhir REST API tempat Anda menentukan logika bisnis Anda sendiri. Tabel berikut membandingkan acara ekstensi autentikasi kustom yang tersedia di penyewa tenaga kerja internal dan eksternal.
| Event | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| TokenIssuanceStart | Tambahkan klaim dari sistem eksternal. | Tambahkan klaim dari sistem eksternal. |
| OnAttributeCollectionStart | Tidak tersedia | Terjadi di awal langkah pengumpulan atribut pendaftaran, sebelum halaman pengumpulan atribut ditampilkan. Anda dapat menambahkan tindakan seperti mengisi nilai secara otomatis dan menampilkan kesalahan pemblokiran. Pelajari lebih lanjut |
| OnAttributeCollectionSubmit | Tidak tersedia | Terjadi selama alur pendaftaran, setelah pengguna memasukkan dan mengirimkan atribut. Anda dapat menambahkan tindakan seperti memvalidasi atau memodifikasi entri pengguna. Pelajari lebih lanjut |
| OnOtpSend | Tidak tersedia | Mengonfigurasi penyedia email kustom untuk satu kali peristiwa pengiriman kode akses. Pelajari lebih lanjut |
Penyedia identitas dan metode autentikasi
Tabel berikut membandingkan penyedia identitas dan metode yang tersedia untuk autentikasi utama dan autentikasi multifaktor (MFA) di karyawan dan pengguna eksternal.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penyedia identitas untuk pengguna eksternal (autentikasi utama) |
Untuk tamu pendaftaran layanan mandiri - akun Microsoft Entra - akun Microsoft - kode akses sekali pakai melalui email - federasi Google - federasi Facebook Untuk tamu undangan - Akun Microsoft Entra - Akun Microsoft - Kode akses satu kali melalui email - federasi Google - federasi SAML/WS-Fed |
Untuk pengguna pendaftaran layanan mandiri (konsumen, pelanggan bisnis) - Metode autentikasi tersedia di ID eksternal Microsoft Entra Untuk tamu undangan (pratinjau) Tamu yang diundang dengan peran direktori (misalnya, admin): - Akun Microsoft Entra - Akun Microsoft - Kode akses satu kali via email - SAML/WS-Fed federasi |
| Metode autentikasi untuk MFA |
Untuk pengguna internal (karyawan dan admin) - Metode otentikasi dan verifikasi Untuk tamu (diundang atau mendaftar mandiri) - Metode otentikasi untuk MFA tamu |
Untuk pengguna pendaftaran layanan mandiri (konsumen, pelanggan bisnis) - Metode autentikasi tersedia di ID eksternal Microsoft EntraUntuk pengguna yang diundang (pratinjau) - Kode akses - satu kali emailAutentikasi berbasis SMS |
Metode autentikasi tersedia di ID eksternal Microsoft Entra
Beberapa metode autentikasi dapat digunakan sebagai faktor utama saat pengguna masuk ke aplikasi, nama pengguna dan kata sandi tersebut. Metode autentikasi lainnya hanya tersedia sebagai faktor sekunder. Tabel berikut menguraikan kapan metode autentikasi dapat digunakan selama masuk, pendaftaran layanan mandiri, pengaturan ulang kata sandi mandiri, dan autentikasi multifaktor (MFA) di ID eksternal Microsoft Entra.
| Method | Sign-in | Sign-up | Reset kata sandi | MFA |
|---|---|---|---|---|
| Email dengan kata sandi | 
|
|
||
| Kode akses satu-kali alamat email |
|
|
|
|
| Autentikasi berbasis SMS |
|
|||
| Federasi Apple |
|
|
||
| Federasi Facebook |
|
|
||
| Federasi Google |
|
|
||
| Akun pribadi Microsoft (OpenID Connect) |
|
|
||
| Federasi OpenID Connect |
|
|
||
| Federasi SAML/WS-Fed |
|
|
Pendaftaran aplikasi
Tabel berikut membandingkan fitur yang tersedia untuk Pendaftaran aplikasi di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Protocol | Pihak yang mengandalkan SAML, OpenID Connect, dan OAuth2 | pihak yang mengandalkan SAML, OpenID Connect, dan OAuth2 |
| Jenis akun yang didukung | Jenis akun berikut:
|
Selalu gunakan Akun dalam direktori organisasi ini saja (Penyewa tunggal). |
| Platform | Platform berikut:
|
Platform berikut:
|
| Autentikasi>URI Pengalihan | URI yang diterima oleh Microsoft Entra ID sebagai tujuan untuk mengembalikan respons autentikasi (token) setelah berhasil mengautentikasi atau mengeluarkan pengguna. | Sama seperti tenaga kerja. |
| Autentikasi>URL logout saluran depan | URL ini adalah tempat ID Microsoft Entra mengirim permintaan agar aplikasi menghapus data sesi pengguna. URL keluar saluran depan diperlukan agar keluar tunggal berfungsi dengan benar. | Sama seperti tenaga kerja. |
| Autentikasi>Pemberian Implisit dan Alur Hibrid | Minta token langsung dari titik akhir otorisasi. | Sama seperti tenaga kerja. |
| Sertifikat & Rahasia | Beberapa kredensial: | Sama seperti tenaga kerja. |
| Sertifikat & kunci rahasia>Rotasi | Perbarui kredensial klien untuk memastikan kredensial tetap valid dan aman, sementara pengguna dapat terus masuk. Sertifikat, rahasia, dan kredensial federasi dapat diputar dengan menambahkan yang baru lalu menghapus yang lama. | Sama seperti tenaga kerja. |
| Sertifikat & rahasia>Kebijakan | Konfigurasikan kebijakan manajemen aplikasi untuk memberlakukan pembatasan rahasia dan sertifikat. | Tidak tersedia |
| Izin API | Menambahkan, menghapus, dan mengganti izin ke aplikasi. Setelah izin ditambahkan ke aplikasi Anda, pengguna atau admin perlu memberikan persetujuan untuk izin baru. Pelajari selengkapnya tentang memperbarui izin yang diminta aplikasi di ID Microsoft Entra. | Berikut ini adalah izin yang diizinkan: Microsoft Graph offline_access, openid, dan User.Read serta izin yang didelegasikan untuk API Saya. Hanya admin yang dapat menyetujui atas nama organisasi. |
| Mengekspos API | Tentukan cakupan kustom untuk membatasi akses ke data dan fungsionalitas yang dilindungi oleh API. Aplikasi yang memerlukan akses ke bagian API ini dapat meminta pengguna atau admin menyetujui satu atau beberapa cakupan ini. | Tentukan cakupan kustom untuk membatasi akses ke data dan fungsionalitas yang dilindungi oleh API. Aplikasi yang memerlukan akses ke bagian API ini dapat meminta persetujuan admin untuk satu atau beberapa cakupan ini. |
| Owners | Pemilik aplikasi dapat melihat dan mengedit pendaftaran aplikasi. Selain itu, setiap pengguna (yang mungkin tidak terdaftar) dengan hak istimewa admin untuk mengelola aplikasi apa pun (misalnya, Administrator Aplikasi Cloud) dapat melihat dan mengedit pendaftaran aplikasi. | Sama seperti tenaga kerja. |
| Peran dan administrator | Peran administratif digunakan untuk memberikan akses untuk tindakan istimewa di ID Microsoft Entra. | Hanya peran Administrator Aplikasi Cloud yang dapat digunakan untuk aplikasi di penyewa eksternal. Peran ini memberikan kemampuan untuk membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan. |
Kontrol akses untuk aplikasi
Tabel berikut membandingkan fitur yang tersedia untuk otorisasi aplikasi di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Kontrol akses berbasis peran (RBAC) | Anda dapat menentukan peran aplikasi untuk aplikasi Anda dan menetapkan peran tersebut kepada pengguna dan grup. ID Microsoft Entra menyertakan peran pengguna dalam token keamanan. Aplikasi Anda kemudian dapat membuat keputusan otorisasi berdasarkan nilai dalam token keamanan. | Sama seperti tenaga kerja. Pelajari selengkapnya tentang menggunakan kontrol akses berbasis peran untuk aplikasi di penyewa eksternal. Untuk fitur yang tersedia, lihat dukungan peran grup dan aplikasi. |
| Kelompok keamanan | Anda dapat menggunakan grup keamanan untuk menerapkan RBAC di aplikasi Anda, di mana keanggotaan pengguna dalam grup tertentu ditafsirkan sebagai keanggotaan peran mereka. ID Microsoft Entra menyertakan keanggotaan grup pengguna dalam token keamanan. Aplikasi Anda kemudian dapat membuat keputusan otorisasi berdasarkan nilai dalam token keamanan. | Sama seperti tenaga kerja. Klaim opsional grup terbatas pada ID objek grup. |
| Kontrol akses berbasis atribut (ABAC) | Anda dapat mengonfigurasi aplikasi untuk menyertakan atribut pengguna dalam token akses. Aplikasi Anda kemudian dapat membuat keputusan otorisasi berdasarkan nilai dalam token keamanan. Untuk informasi selengkapnya, lihat kustomisasi token. | Sama seperti tenaga kerja. |
| Memerlukan penugasan pengguna | Saat penugasan pengguna diperlukan, hanya pengguna yang Anda tetapkan ke aplikasi (baik melalui penugasan pengguna langsung atau berdasarkan keanggotaan grup) yang dapat masuk. Untuk informasi selengkapnya, lihat mengelola penugasan pengguna dan grup ke aplikasi | Sama seperti tenaga kerja. Untuk detailnya, lihat dukungan peran grup dan aplikasi. |
Aplikasi perusahaan
Tabel berikut membandingkan fitur unik yang tersedia untuk registrasi aplikasi enterprise pada tenant tenaga kerja dan eksternal.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Galeri aplikasi | Galeri aplikasi berisi ribuan aplikasi yang telah diinteegrasi ke dalam ID Microsoft Entra. | Pilih dari berbagai aplikasi pra-terintegrasi. Untuk menemukan aplikasi pihak ketiga, gunakan bilah pencarian. Katalog galeri aplikasi belum tersedia. |
| Mendaftarkan aplikasi perusahaan kustom | Tambahkan aplikasi perusahaan. | Daftarkan aplikasi SAML di penyewa eksternal Anda. |
| Penugasan aplikasi layanan mandiri | Izinkan pengguna menemukan aplikasi sendiri. | Penugasan aplikasi layanan mandiri di portal Aplikasi Saya tidak tersedia. |
| Proksi aplikasi | Proksi aplikasi Microsoft Entra menyediakan akses jarak jauh yang aman ke aplikasi web lokal. | Tidak tersedia. |
Fitur persetujuan dan izin untuk aplikasi perusahaan
Tabel berikut menunjukkan fitur persetujuan dan izin mana yang tersedia untuk aplikasi perusahaan di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Persetujuan admin untuk aplikasi perusahaan | Anda dapat memberikan hak akses admin untuk keseluruhan penyewa, dan Anda juga dapat meninjau dan mencabutnya. | Sama seperti tenaga kerja. |
| Persetujuan pengguna untuk aplikasi perusahaan | Anda dapat mengonfigurasi bagaimana pengguna menyetujui aplikasi dan Anda dapat memperbarui izin ini. | Terbatas pada izin yang tidak memerlukan persetujuan admin. |
| Meninjau atau mencabut persetujuan admin | Tinjau dan cabut izin. | Gunakan pusat admin Microsoft Entra untuk mencabut persetujuan admin. |
| Meninjau atau mencabut persetujuan pengguna | Tinjau dan cabut izin. | Gunakan Microsoft Graph API atau PowerShell untuk mencabut persetujuan pengguna. |
| Menetapkan pengguna atau grup ke aplikasi | Anda dapat mengelola akses ke aplikasi baik dalam penetapan individual atau basis grup. Keanggotaan grup berlapis tidak didukung. | Sama seperti tenaga kerja. |
| Kontrol akses berbasis peran (RBAC) untuk peran aplikasi | Anda dapat menentukan dan menetapkan peran untuk kontrol akses halus. | Sama seperti tenaga kerja. |
Alur OpenID Connect dan OAuth2
Tabel berikut membandingkan fitur yang tersedia untuk alur otorisasi OAuth 2.0 dan OpenID Connect di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Koneksi OpenID | Yes | Yes |
| Kode otorisasi | Yes | Yes |
| Kode otorisasi dengan Code Exchange (PKCE) | Yes | Yes |
| Informasi masuk klien | Yes | Aplikasi v2.0 (pratinjau) |
| Otorisasi perangkat | Yes | Preview |
| Alur Atas Nama | Yes | Yes |
| Pemberian implisit | Yes | Yes |
| Kredensial Kata Sandi Pemilik Sumber Daya | Yes | Tidak, untuk aplikasi seluler, gunakan autentikasi asli. |
URL Otoritas dalam alur OpenID Connect dan OAuth2
URL otoritas adalah URL yang menunjukkan direktori tempat MSAL dapat meminta token. Untuk aplikasi di penyewa eksternal, selalu gunakan format berikut: <tenant-name.ciamlogin.com>
JSON berikut menunjukkan contoh file appsettings.json aplikasi .NET dengan URL otoritas:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Akses Bersyarat
Tabel berikut membandingkan fitur yang tersedia untuk Akses Bersyarat pada setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Assignments | Pengguna, grup, dan identitas beban kerja | Sertakan semua pengguna, dan kecualikan pengguna dan grup. Untuk informasi selengkapnya, lihat Menambahkan autentikasi multifaktor (MFA) ke aplikasi. |
| Target sumber daya | ||
| Conditions | ||
| Grant | Memberikan atau memblokir akses ke sumber daya | |
| Session | Kontrol sesi | Tidak tersedia |
Kebijakan ketentuan penggunaan
Tabel berikut membandingkan fitur yang tersedia untuk kebijakan ketentuan penggunaan di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| kebijakan Akses Bersyarat | Ketentuan penggunaan Microsoft Entra | Tidak tersedia |
| Pendaftaran layanan mandiri | Tidak tersedia | Tambahkan atribut yang diperlukan yang ditautkan ke kebijakan ketentuan penggunaan Anda di halaman pendaftaran. Hyperlink dapat dikustomisasi untuk mendukung berbagai bahasa. |
| Halaman Masuk | Tautan yang dapat Anda tambahkan ke sudut kanan bawah untuk informasi privasi menggunakan branding Perusahaan. | Sama seperti tenaga kerja. |
Manajemen akun
Tabel berikut membandingkan fitur yang tersedia untuk manajemen pengguna di setiap jenis penyewa. Seperti yang disebutkan dalam tabel, jenis akun tertentu dibuat melalui undangan atau pendaftaran layanan mandiri. Admin pengguna di penyewa juga dapat membuat akun melalui pusat admin.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Jenis akun |
|
|
| Mengelola info profil pengguna |
|
Sama seperti tenaga kerja, kecuali sinkronisasi lintas tenant tidak tersedia. |
| Mereset kata sandi pengguna | Administrator dapat mengatur ulang kata sandi pengguna jika kata sandi terlupakan, jika pengguna terkunci dari perangkat, atau jika pengguna tidak pernah menerima kata sandi. | Sama seperti tenaga kerja. |
| Memulihkan atau menghapus pengguna yang baru saja dihapus | Setelah Anda menghapus pengguna, akun tetap dalam status ditangguhkan selama 30 hari. Selama jendela 30 hari itu, akun pengguna dapat dipulihkan, bersama dengan semua propertinya. | Sama seperti tenaga kerja. |
| Menonaktifkan akun | Cegah pengguna baru untuk masuk. | Sama seperti tenaga kerja. |
Perlindungan kata sandi
Tabel berikut membandingkan fitur yang tersedia untuk perlindungan kata sandi di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penguncian cerdas | Penguncian cerdas membantu mengunci pelaku kejahatan yang mencoba menebak kata sandi para pengguna Anda atau menggunakan metode brute-force untuk mengaksesnya. | Sama seperti tenaga kerja. |
| Kata sandi larangan khusus | Daftar kata sandi terlarang kustom Microsoft Entra memungkinkan Anda menambahkan string tertentu untuk dievaluasi dan diblokir. | Tidak tersedia. |
Kustomisasi token
Tabel berikut membandingkan fitur yang tersedia untuk kustomisasi token di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Pemetaan Klaim | Sesuaikan klaim yang ada dalam token web JSON (JWT) untuk aplikasi tingkat perusahaan. | Sama seperti tenaga kerja. Klaim opsional harus dikonfigurasi melalui Atribut & Klaim. |
| Transformasi klaim | Terapkan transformasi ke atribut pengguna yang dikeluarkan dalam token web JSON (JWT) untuk aplikasi perusahaan. | Sama seperti tenaga kerja. |
| Penyedia klaim khusus | Ekstensi autentikasi kustom yang memanggil REST API eksternal, untuk mengambil klaim-klaim dari sistem eksternal. | Sama seperti tenaga kerja. Pelajari lebih lanjut |
| Kelompok keamanan | Mengonfigurasi klaim opsional untuk grup. | Mengonfigurasi klaim opsional grup terbatas pada ID objek grup. |
| Masa pakai token | Anda dapat menentukan masa berlaku token keamanan yang dikeluarkan oleh ID Microsoft Entra. | Sama seperti tenaga kerja. |
| Pencabutan sesi dan token | Administrator dapat membatalkan semua token refresh dan sesi untuk pengguna. | Sama seperti tenaga kerja. |
Satu kali masuk
Akses menyeluruh (SSO) memberikan pengalaman yang lebih mulus dengan mengurangi berapa kali pengguna dimintai kredensial. Pengguna memasukkan kredensial mereka sekali, dan sesi yang dibuat dapat digunakan kembali oleh aplikasi lain pada perangkat dan browser web yang sama tanpa meminta lebih lanjut. Tabel berikut membandingkan fitur yang tersedia untuk SSO di setiap jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Jenis pendaftaran aplikasi |
|
|
| Nama domain | Saat pengguna mengautentikasi, cookie sesi diatur pada domain login.microsoftonline.com Microsoft Entra di browser web. |
Saat pengguna mengautentikasi, cookie sesi diatur pada domain <tenant-name>.ciamlogin.com ID eksternal Microsoft Entra atau domain URL kustom di browser web. Untuk memastikan fungsi SSO dengan benar, gunakan satu domain URL. |
| Tetap masuk | Anda dapat mengaktifkan atau menonaktifkan opsi tetap masuk . | Sama seperti tenaga kerja. |
| Provisi pengguna | Gunakan provisi pengguna otomatis dengan System for Cross-domain Identity Management (SCIM) untuk menyinkronkan akun pengguna antara MICROSOFT Entra External ID dan aplikasi yang didukung. Ini membuat data pengguna tetap diperbarui secara otomatis. Provisi pengguna mendukung kueri diferensial. Kueri ini hanya menyinkronkan perubahan sejak pembaruan terakhir. Ini meningkatkan performa dan mengurangi beban sistem. | Sama seperti tenaga kerja. |
| Pembatalan validitas sesi | Skenario di mana SSO mungkin dibatalkan, yang memerlukan autentikasi ulang.
|
Sama seperti tenaga kerja. |
| Akses Bersyarat | Periksa bagian Akses Bersyarat. | Periksa bagian Akses Bersyarat. |
| Autentikasi asli Microsoft Entra | Tidak tersedia | Autentikasi asli tidak mendukung SSO. |
| Sign-out | Ketika aplikasi SAML atau OpenID Connect mengarahkan pengguna ke titik akhir keluar, ID Microsoft Entra menghapus dan membatalkan sesi pengguna dari browser. | Sama seperti tenaga kerja. |
| Akses menyeluruh | Setelah berhasil keluar, ID Microsoft Entra mengirimkan pemberitahuan keluar ke semua aplikasi SAML dan OpenID Connect lain yang masuk pengguna. | Sama seperti tenaga kerja. |
Solusi keamanan terintegrasi
MICROSOFT Entra External ID mendukung fitur keamanan terintegrasi dan solusi mitra untuk membantu melindungi identitas di seluruh siklus hidup. Kemampuan ini termasuk perlindungan serangan Distributed Denial-of-Service (DDoS), pencegahan penipuan pendaftaran, dan pemantauan terpadu. Anda dapat mengaktifkan solusi ini langsung di ID Eksternal dan mengakses integrasi mitra melalui Microsoft Security Store. Pendekatan ini memungkinkan organisasi untuk menyebarkan alat keamanan tepercaya dengan cepat tanpa penyiapan yang kompleks. Semua fitur ini tersedia dalam wizard di bawah pengalaman antarmuka Penyimpanan Keamanan.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Perlindungan dari penipuan saat pendaftaran | Pengalaman wizard Toko Keamanan tidak tersedia. | Gunakan Arkose Labs dan Human Security untuk melindungi dari penipuan pendaftaran dan memblokir serangan bot otomatis. |
| Perlindungan DDoS dan WAF | Pengalaman wizard Toko Keamanan tidak tersedia. | Gunakan Cloudflare dan Akamai untuk melindungi dari serangan DDoS dan mengamankan aplikasi dengan firewall aplikasi web (WAF). |
| Analitik keamanan | Pengalaman wizard Toko Keamanan tidak tersedia. | Gunakan Azure Monitor dan Microsoft Sentinel untuk mengaktifkan pemantauan satu klik, analitik log, dan deteksi ancaman tingkat lanjut. |
Akamai dan Cloudflare
Akamai dan Cloudflare menyediakan kemampuan perlindungan DDoS, mitigasi bot, dan firewall aplikasi web (WAF) terkemuka di industri yang membantu melindungi aplikasi dari lalu lintas berbahaya, otomatisasi kasar, dan kerentanan web umum seperti injeksi SQL, skrip lintas situs (XSS), dan serangan berbasis API. Mengintegrasikan salah satu layanan dengan MICROSOFT Entra External ID memungkinkan Anda menerapkan kontrol keamanan ini di depan alur identitas yang menghadap pelanggan Anda, meningkatkan ketahanan dan mengurangi paparan pengisian kredensial dan ancaman yang ditargetkan identitas lainnya.
Log dan laporan aktivitas
Tabel di bawah ini membandingkan fitur yang tersedia untuk log aktivitas dan laporan di berbagai jenis penyewa.
| Feature | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Audit log | Laporan terperinci tentang semua peristiwa yang dicatat dalam ID Microsoft Entra, termasuk modifikasi pada aplikasi, grup, dan pengguna. | Sama seperti tenaga kerja. |
| Catatan masuk | Log masuk melacak semua aktivitas masuk dalam penyewa Microsoft Entra, termasuk akses ke aplikasi dan sumber daya Anda. | Sama seperti tenaga kerja. |
| Log pendaftaran (pratinjau) | Tidak tersedia | MICROSOFT Entra External ID mencatat semua peristiwa pendaftaran layanan mandiri, termasuk pendaftaran yang berhasil dan upaya yang gagal. |
| Log penyediaan | Log provisioning menyediakan catatan terperinci tentang peristiwa provisioning dalam tenant, seperti pembuatan, pembaruan, dan penghapusan akun pengguna. | Tidak tersedia |
| Log aktivitas kebijakan retensi | Kebijakan retensi data Microsoft Entra menentukan berapa lama berbagai jenis log (seperti log audit, masuk, dan provisi) disimpan. | Tujuh hari |
| Mengekspor log aktivitas | Dengan menggunakan pengaturan diagnostik di MICROSOFT Entra ID, Anda dapat mengintegrasikan log dengan Azure Monitor, mengalirkan log ke hub peristiwa, atau mengintegrasikan dengan alat Security Information and Event Management (SIEM). | Azure Monitor untuk pengguna eksternal (pratinjau) |
| Laporan aktivitas pengguna aplikasi | Tidak tersedia | Aktivitas pengguna aplikasi menyediakan analitik tentang cara pengguna berinteraksi dengan aplikasi terdaftar di penyewa Anda. Ini melacak metrik seperti pengguna aktif, pengguna baru, rincian masuk, dan tingkat keberhasilan autentikasi multifaktor (MFA). |
API Microsoft Graph
Semua fitur yang didukung di tenant eksternal juga tersedia untuk otomatisasi melalui Microsoft Graph API. Beberapa fitur yang dalam tahap pratinjau untuk penyewa eksternal mungkin umum tersedia melalui Microsoft Graph. Untuk informasi selengkapnya, lihat Mengelola identitas Microsoft Entra dan akses jaringan dengan menggunakan Microsoft Graph.