Fitur yang didukung di penyewa tenaga kerja dan eksternal
Ada dua cara untuk mengonfigurasi penyewa Microsoft Entra, tergantung pada bagaimana organisasi berniat menggunakan penyewa dan sumber daya yang ingin mereka kelola:
- Konfigurasi penyewa tenaga kerja adalah untuk karyawan Anda, aplikasi bisnis internal, dan sumber daya organisasi lainnya. Kolaborasi B2B digunakan dalam penyewa tenaga kerja untuk berkolaborasi dengan mitra dan tamu bisnis eksternal.
- Konfigurasi penyewa eksternal digunakan secara eksklusif untuk skenario ID Eksternal tempat Anda ingin menerbitkan aplikasi kepada konsumen atau pelanggan bisnis.
Artikel ini memberikan perbandingan terperinci tentang fitur dan kemampuan yang tersedia di tenaga kerja dan penyewa eksternal.
Catatan
Selama pratinjau, fitur atau kemampuan yang memerlukan lisensi premium tidak tersedia di penyewa eksternal.
Perbandingan fitur umum
Tabel berikut membandingkan fitur dan kemampuan umum yang tersedia di penyewa tenaga kerja dan eksternal.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Skenario identitas eksternal | Izinkan mitra bisnis dan pengguna eksternal lainnya untuk berkolaborasi dengan tenaga kerja Anda. Tamu dapat mengakses aplikasi bisnis Anda dengan aman melalui undangan atau pendaftaran layanan mandiri. | Gunakan ID Eksternal untuk mengamankan aplikasi Anda. Konsumen dan pelanggan bisnis dapat mengakses aplikasi konsumen Anda dengan aman melalui pendaftaran layanan mandiri. Undangan juga didukung. |
| Akun lokal | Akun lokal hanya didukung untuk anggota internal organisasi Anda. | Akun lokal didukung untuk: - Pengguna eksternal (konsumen, pelanggan bisnis) yang menggunakan pendaftaran layanan mandiri. - Akun yang dibuat oleh admin. |
| Grup | Grup dapat digunakan untuk mengelola akun administratif dan pengguna. | Grup dapat digunakan untuk mengelola akun administratif. Dukungan untuk grup Microsoft Entra dan peran aplikasi sedang di-fase menjadi penyewa pelanggan. Untuk pembaruan terbaru, lihat Dukungan peran grup dan aplikasi. |
| Peran dan administrator | Peran dan administrator didukung penuh untuk akun administratif dan pengguna. | Peran tidak didukung dengan akun pelanggan. Akun pelanggan tidak memiliki akses ke sumber daya penyewa. |
| Perlindungan ID | Menyediakan deteksi risiko yang sedang berlangsung untuk penyewa Microsoft Entra Anda. Fungsi ini memungkinkan organisasi untuk menemukan, menyelidiki, dan meremedi risiko berbasis identitas. | Subset deteksi risiko Perlindungan ID Microsoft Entra tersedia. Pelajari selengkapnya. |
| Pengaturan ulang kata sandi mandiri | Izinkan pengguna untuk mengatur ulang kata sandi mereka menggunakan hingga dua metode autentikasi (lihat baris berikutnya untuk metode yang tersedia). | Izinkan pengguna untuk mengatur ulang kata sandi mereka menggunakan email dengan kode akses satu kali. Pelajari selengkapnya. |
| Kustomisasi bahasa | Sesuaikan pengalaman masuk berdasarkan bahasa browser saat pengguna mengautentikasi ke intranet perusahaan atau aplikasi berbasis web Anda. | Gunakan bahasa untuk memodifikasi string yang ditampilkan kepada pelanggan Anda sebagai bagian dari proses masuk dan pendaftaran. Pelajari selengkapnya. |
| Atribut kustom | Gunakan atribut ekstensi direktori untuk menyimpan lebih banyak data di direktori Microsoft Entra untuk objek pengguna, grup, detail penyewa, dan perwakilan layanan. | Gunakan atribut ekstensi direktori untuk menyimpan lebih banyak data di direktori pelanggan untuk objek pengguna. Buat atribut pengguna kustom dan tambahkan ke alur pengguna pendaftaran Anda. Pelajari selengkapnya. |
Kustomisasi tampilan dan nuansa
Tabel berikut membandingkan fitur yang tersedia untuk kustomisasi tampilan dan nuansa di penyewa tenaga kerja dan eksternal.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Merek perusahaan | Anda dapat menambahkan branding perusahaan yang berlaku untuk semua pengalaman ini untuk menciptakan pengalaman masuk yang konsisten bagi pengguna Anda. | Sama seperti tenaga kerja. Pelajari lebih lanjut |
| Kustomisasi bahasa | Sesuaikan pengalaman masuk menurut bahasa browser. | Sama seperti tenaga kerja. Pelajari lebih lanjut |
| Nama domain kustom | Anda hanya dapat menggunakan domain kustom untuk akun administratif. | Fitur domain URL kustom (pratinjau) untuk penyewa eksternal memungkinkan Anda merek titik akhir masuk aplikasi dengan nama domain Anda sendiri. |
| Autentikasi asli untuk aplikasi seluler | Tidak tersedia | Autentikasi asli Microsoft Entra memungkinkan Anda memiliki kontrol penuh atas desain pengalaman masuk aplikasi seluler Anda. |
Menambahkan logika bisnis Anda sendiri
Ekstensi autentikasi kustom memungkinkan Anda menyesuaikan pengalaman autentikasi Microsoft Entra dengan mengintegrasikan dengan sistem eksternal. Ekstensi autentikasi kustom pada dasarnya adalah pendengar peristiwa yang, ketika diaktifkan, melakukan panggilan HTTP ke titik akhir REST API tempat Anda menentukan logika bisnis Anda sendiri. Tabel berikut membandingkan peristiwa ekstensi autentikasi kustom yang tersedia di penyewa tenaga kerja dan eksternal.
| Kejadian | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| TokenIssuanceStart | Tambahkan klaim dari sistem eksternal. | Tambahkan klaim dari sistem eksternal. |
| Mulai OnAttributeCollectionStart | Tidak tersedia | Terjadi di awal langkah pengumpulan atribut pendaftaran, sebelum halaman pengumpulan atribut dirender. Anda dapat menambahkan tindakan seperti mengisi nilai sebelumnya dan menampilkan kesalahan pemblokiran. Pelajari lebih lanjut |
| OnAttributeCollectionSubmit | Tidak tersedia | Terjadi selama alur pendaftaran, setelah pengguna memasukkan dan mengirimkan atribut. Anda dapat menambahkan tindakan seperti memvalidasi atau memodifikasi entri pengguna. Pelajari lebih lanjut |
Penyedia identitas dan metode autentikasi
Tabel berikut membandingkan penyedia identitas dan metode yang tersedia untuk autentikasi utama dan autentikasi multifaktor (MFA) di penyewa tenaga kerja dan eksternal.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penyedia identitas untuk pengguna eksternal (autentikasi utama) | Untuk tamu pendaftaran layanan mandiri- akun Microsoft Entra- Akun Microsoft- Kode akses satu kali email- federasi Google- Federasi Facebook Untuk tamu undangan- Akun Microsoft Entra- Akun Microsoft- Kode akses satu kali email- federasi Google- federasi SAML/WS-Fed |
Untuk pengguna pendaftaran layanan mandiri (konsumen, pelanggan bisnis) - Email dengan kata sandi - Email kode akses- satu kali federasi Google (pratinjau) - Federasi Facebook (pratinjau) Untuk tamu undangan (pratinjau) Tamu yang diundang dengan peran direktori (misalnya, admin): - Akun Microsoft Entra - Akun - Microsoft Kode akses satu kali email |
| Metode autentikasi untuk MFA | Untuk pengguna internal (karyawan dan admin) - Metode autentikasi dan verifikasi Untuk metode Autentikasi tamu (pendaftaran diundang atau mandiri) - untuk MFA tamu |
Untuk pengguna pendaftaran layanan mandiri (konsumen, pelanggan bisnis) atau pengguna yang diundang (pratinjau)- Autentikasi berbasis SMS kode akses - satu kali email |
Pendaftaran aplikasi
Tabel berikut membandingkan fitur yang tersedia untuk Pendaftaran aplikasi di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Protokol | Pihak yang mengandalkan SAML, OpenID Connect, dan OAuth2 | OpenID Connect dan OAuth2 |
| Jenis akun yang didukung | Jenis akun berikut:
|
Selalu gunakan Akun dalam direktori organisasi ini saja (Penyewa tunggal). |
| Platform | Platform berikut:
|
Platform berikut:
|
| URI Pengalihan Autentikasi> | ID Microsoft Entra URI menerima sebagai tujuan saat mengembalikan respons autentikasi (token) setelah berhasil mengautentikasi atau mengeluarkan pengguna. | Sama seperti tenaga kerja. |
| URL keluar saluran Depan Autentikasi> | URL ini adalah tempat ID Microsoft Entra mengirim permintaan agar aplikasi menghapus data sesi pengguna. URL keluar saluran depan diperlukan agar akses menyeluruh berfungsi dengan benar. | Sama seperti tenaga kerja. |
| Hibah implisit autentikasi>dan alur hibrid | Minta token langsung dari titik akhir otorisasi. | Sama seperti tenaga kerja. |
| Sertifikat & rahasia | Sama seperti tenaga kerja. | |
| Izin API | Menambahkan, menghapus, dan mengganti izin ke aplikasi. Setelah izin ditambahkan ke aplikasi Anda, pengguna atau admin perlu memberikan persetujuan untuk izin baru. Pelajari selengkapnya tentang memperbarui izin yang diminta aplikasi di ID Microsoft Entra. | Berikut ini adalah izin yang diizinkan: Microsoft Graph offline_access, , openiddan User.Read izin yang didelegasikan API Saya. Hanya admin yang dapat menyetujui atas nama organisasi. |
| Mengekspos API | Tentukan cakupan kustom untuk membatasi akses ke data dan fungsionalitas yang dilindungi oleh API. Aplikasi yang memerlukan akses ke bagian API ini dapat meminta pengguna atau admin menyetujui satu atau beberapa cakupan ini. | Tentukan cakupan kustom untuk membatasi akses ke data dan fungsionalitas yang dilindungi oleh API. Aplikasi yang memerlukan akses ke bagian API ini dapat meminta persetujuan admin untuk satu atau beberapa cakupan ini. |
| Peran aplikasi | Peran aplikasi adalah peran kustom untuk menetapkan izin kepada pengguna atau aplikasi. Aplikasi mendefinisikan serta menerbitkan peran aplikasi dan menafsirkannya sebagai izin selama otorisasi. | Sama seperti tenaga kerja. Pelajari selengkapnya tentang menggunakan kontrol akses berbasis peran untuk aplikasi di penyewa eksternal. |
| Pemilik | Pemilik aplikasi dapat melihat dan mengedit pendaftaran aplikasi. Selain itu, setiap pengguna (yang mungkin tidak terdaftar) dengan hak istimewa admin untuk mengelola aplikasi apa pun (misalnya, Administrator Aplikasi Cloud) dapat melihat dan mengedit pendaftaran aplikasi. | Sama seperti tenaga kerja. |
| Peran dan administrator | Peran administratif digunakan untuk memberikan akses untuk tindakan istimewa di ID Microsoft Entra. | Hanya peran Administrator Aplikasi Cloud yang dapat digunakan untuk aplikasi di penyewa eksternal. Peran ini memberikan kemampuan untuk membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan. |
| Menetapkan pengguna dan grup ke aplikasi | Saat penugasan pengguna diperlukan, hanya pengguna yang Anda tetapkan ke aplikasi (baik melalui penugasan pengguna langsung atau berdasarkan keanggotaan grup) yang dapat masuk. Untuk informasi selengkapnya, lihat mengelola penugasan pengguna dan grup ke aplikasi | Tidak tersedia |
Alur OpenID Connect dan OAuth2
Tabel berikut membandingkan fitur yang tersedia untuk alur otorisasi OAuth 2.0 dan OpenID Connect di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| OpenID Connect | Ya | Ya |
| Kode otorisasi | Ya | Ya |
| Kode otorisasi dengan Code Exchange (PKCE) | Ya | Ya |
| Informasi masuk klien | Ya | Aplikasi v2.0 (pratinjau) |
| Otorisasi perangkat | Ya | Pratinjau |
| Alur Atas Nama | Ya | Ya |
| Pemberian implisit | Ya | Ya |
| Kredensial Kata Sandi Pemilik Sumber Daya | Ya | Tidak, untuk aplikasi seluler, gunakan autentikasi asli. |
URL Otoritas dalam alur OpenID Connect dan OAuth2
URL otoritas adalah URL yang menunjukkan direktori tempat MSAL dapat meminta token. Untuk aplikasi di penyewa eksternal, selalu gunakan format berikut: <tenant-name.ciamlogin.com>
JSON berikut menunjukkan contoh file appsettings.json aplikasi .NET dengan URL otoritas:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Akses Bersyarat
Tabel berikut membandingkan fitur yang tersedia untuk Akses Bersyar di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penetapan | Pengguna, grup, dan identitas beban kerja | Sertakan semua pengguna, dan kecualikan pengguna dan grup. Untuk informasi selengkapnya, lihat Menambahkan autentikasi multifaktor (MFA) ke aplikasi. |
| Sumber daya target |
|
|
| Kondisi | ||
| Grant | Memberikan atau memblokir akses ke sumber daya | |
| Sesi | Kontrol sesi | Tidak tersedia |
Manajemen akun
Tabel berikut membandingkan fitur yang tersedia untuk manajemen pengguna di setiap jenis penyewa. Seperti yang disebutkan dalam tabel, jenis akun tertentu dibuat melalui undangan atau pendaftaran layanan mandiri. Admin pengguna di penyewa juga dapat membuat akun melalui pusat admin.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Jenis akun |
|
|
| Mengelola info profil pengguna | Secara terprogram dan dengan menggunakan pusat admin Microsoft Entra. | Sama seperti tenaga kerja. |
| Mereset kata sandi pengguna | Administrator dapat mengatur ulang kata sandi pengguna jika kata sandi terlupakan, jika pengguna terkunci dari perangkat, atau jika pengguna tidak pernah menerima kata sandi. | Sama seperti tenaga kerja. |
| Memulihkan atau menghapus pengguna yang baru saja dihapus | Setelah Anda menghapus pengguna, akun tetap dalam status ditangguhkan selama 30 hari. Selama jendela 30 hari itu, akun pengguna dapat dipulihkan, bersama dengan semua propertinya. | Sama seperti tenaga kerja. |
| Menonaktifkan akun | Cegah pengguna baru untuk masuk. | Sama seperti tenaga kerja. |
Perlindungan kata sandi
Tabel berikut membandingkan fitur yang tersedia untuk perlindungan kata sandi di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penguncian cerdas | Penguncian cerdas membantu mengunci aktor jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk | Sama seperti tenaga kerja. |
| Kata sandi terlarang kustom | Daftar kata sandi terlarang kustom Microsoft Entra memungkinkan Anda menambahkan string tertentu untuk dievaluasi dan diblokir. | Tidak tersedia. |
Kustomisasi token
Tabel berikut membandingkan fitur yang tersedia untuk kustomisasi token di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Pemetaan klaim | Sesuaikan klaim yang dikeluarkan dalam token web JSON (JWT) untuk aplikasi perusahaan. | Sama seperti tenaga kerja. Klaim opsional harus dikonfigurasi melalui Atribut & Klaim. |
| Transformasi klaim | Terapkan transformasi ke atribut pengguna yang dikeluarkan dalam token web JSON (JWT) untuk aplikasi perusahaan. | Sama seperti tenaga kerja. |
| Penyedia klaim kustom | Ekstensi autentikasi kustom yang memanggil REST API eksternal, untuk mengambil klaim dari sistem eksternal. | Sama seperti tenaga kerja. Pelajari lebih lanjut |
| Kelompok keamanan | Mengonfigurasi klaim opsional grup. | Mengonfigurasi klaim opsional grup terbatas pada ID objek grup. |
| Masa pakai token | Anda dapat menentukan masa pakai token keamanan yang dikeluarkan oleh ID Microsoft Entra. | Sama seperti tenaga kerja. |
Microsoft Graph APIs
Semua fitur yang didukung di penyewa eksternal juga didukung untuk otomatisasi melalui MICROSOFT Graph API. Beberapa fitur yang sedang dalam pratinjau di penyewa eksternal mungkin tersedia secara umum melalui Microsoft Graph. Untuk informasi selengkapnya, lihat Mengelola identitas Microsoft Entra dan akses jaringan dengan menggunakan Microsoft Graph.