Funzionalità supportate nei tenant esterni e della forza lavoro
Esistono due modi per configurare un tenant di Microsoft Entra, a seconda del modo in cui l'organizzazione intende usare il tenant e le risorse che vogliono gestire:
- Una configurazione del tenant della forza lavoro è destinata ai dipendenti, alle app aziendali interne e ad altre risorse aziendali. La collaborazione B2B viene usata in un tenant della forza lavoro per collaborare con partner commerciali e guest esterni.
- Una configurazione del tenant esterno viene usata esclusivamente per gli scenari con ID esterno in cui si vogliono pubblicare app per consumer o clienti aziendali.
Questo articolo offre un confronto dettagliato delle funzionalità e delle funzionalità disponibili nei tenant esterni e della forza lavoro.
Nota
Durante l'anteprima, le funzionalità o le funzionalità che richiedono una licenza Premium non sono disponibili nei tenant esterni.
Confronto generale delle funzionalità
La tabella seguente confronta le funzionalità e le funzionalità generali disponibili nei tenant esterni e della forza lavoro.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Scenario di identità esterne | Consentire ai partner aziendali e ad altri utenti esterni di collaborare con la forza lavoro. Gli utenti guest possono accedere in modo sicuro alle applicazioni aziendali tramite inviti o iscrizione self-service. | Usare l'ID esterno per proteggere le applicazioni. I consumer e i clienti aziendali possono accedere in modo sicuro alle app consumer tramite l'iscrizione self-service. Sono supportati anche gli inviti. |
| Account locali | Gli account locali sono supportati solo per i membri interni dell'organizzazione. | Gli account locali sono supportati per gli utenti esterni (consumer, clienti aziendali) che usano l'iscrizione self-service. - Account creati dagli amministratori. |
| Gruppi | I gruppi possono essere usati per gestire gli account amministrativi e utente. | I gruppi possono essere usati per gestire gli account amministrativi. Il supporto per i gruppi di Microsoft Entra e i ruoli dell'applicazione viene gradualmente inserito nei tenant dei clienti. Per gli aggiornamenti più recenti, vedere Supporto di gruppi e ruoli applicazione. |
| Ruoli e amministratori | I ruoli e gli amministratori sono completamente supportati per gli account amministrativi e utente. | I ruoli non sono supportati con gli account cliente. Gli account cliente non hanno accesso alle risorse tenant. |
| Identity Protection | Fornisce il rilevamento continuo dei rischi per il tenant di Microsoft Entra. Consente alle organizzazioni di individuare, analizzare e correggere i rischi basati sulle identità. | È disponibile un sottoinsieme dei rilevamenti dei rischi di Microsoft Entra ID Protection. Altre informazioni. |
| Reimpostazione della password self-service | Consentire agli utenti di reimpostare la password usando fino a due metodi di autenticazione (vedere la riga successiva per i metodi disponibili). | Consentire agli utenti di reimpostare la password usando la posta elettronica con passcode monouso. Altre informazioni. |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser quando gli utenti eseguono l'autenticazione nelle applicazioni intranet aziendali o basate sul Web. | Usare le lingue per modificare le stringhe visualizzate ai clienti come parte del processo di accesso e iscrizione. Altre informazioni. |
| Attributi personalizzati | Usare gli attributi dell'estensione della directory per archiviare più dati nella directory Microsoft Entra per oggetti utente, gruppi, dettagli del tenant e entità servizio. | Usare gli attributi dell'estensione della directory per archiviare più dati nella directory del cliente per gli oggetti utente. Creare attributi utente personalizzati e aggiungerli al flusso utente di iscrizione. Altre informazioni. |
Personalizzazione dell'aspetto
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dell'aspetto nella forza lavoro e nei tenant esterni.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Informazioni personalizzate distintive dell'azienda | È possibile aggiungere informazioni personalizzate aziendali applicabili a tutte queste esperienze per creare un'esperienza di accesso coerente per gli utenti. | Uguale alla forza lavoro. Ulteriori informazioni |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser. | Uguale alla forza lavoro. Ulteriori informazioni |
| Nomi di dominio personalizzati | È possibile usare domini personalizzati solo per gli account amministrativi. | La funzionalità dominio URL personalizzato (anteprima) per i tenant esterni consente di personalizzare gli endpoint di accesso dell'app con il proprio nome di dominio. |
| Autenticazione nativa per le app per dispositivi mobili | Non disponibile | L'autenticazione nativa di Microsoft Entra consente di avere il controllo completo sulla progettazione delle esperienze di accesso dell'applicazione per dispositivi mobili. |
Aggiunta di una logica di business personalizzata
Le estensioni di autenticazione personalizzate consentono di personalizzare l'esperienza di autenticazione di Microsoft Entra attraverso l'integrazione con sistemi esterni. Un'estensione di autenticazione personalizzata è essenzialmente un listener di eventi che, quando attivato, effettua una chiamata HTTP a un endpoint DELL'API REST in cui si definisce la propria logica di business. La tabella seguente confronta gli eventi delle estensioni di autenticazione personalizzate disponibili nei tenant esterni e della forza lavoro.
| Event | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| TokenIssuanceStart | Aggiungere attestazioni da sistemi esterni. | Aggiungere attestazioni da sistemi esterni. |
| OnAttributeCollectionStart | Non disponibile | Si verifica all'inizio del passaggio della raccolta di attributi di iscrizione, prima del rendering della pagina della raccolta di attributi. È possibile aggiungere azioni come il precompilato dei valori e visualizzare un errore di blocco. Ulteriori informazioni |
| OnAttributeCollectionSubmit | Non disponibile | Si verifica durante il flusso di iscrizione, dopo che l'utente immette e invia gli attributi. È possibile aggiungere azioni come la convalida o la modifica delle voci dell'utente. Ulteriori informazioni |
Provider di identità e metodi di autenticazione
La tabella seguente confronta i provider di identità e i metodi disponibili per l'autenticazione primaria e l'autenticazione a più fattori (MFA) nei tenant esterni e della forza lavoro.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Provider di identità per utenti esterni | Per gli utenti guest di iscrizione self-service: - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite posta elettronica- federazione google- federazione di Facebook Per gli utenti guest invitati: - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite posta elettronica - federazione di Google - federazione SAML/WS-Fed |
Per gli utenti di iscrizione self-service (consumer, clienti aziendali): - Inviare un messaggio di posta elettronica con password- Con passcode monouso - Google federation (anteprima) - Federazione di Facebook (anteprima) |
| Metodi di autenticazione | Per gli utenti interni (dipendenti e amministratori): - metodi di autenticazione e verifica per gli utenti guest (invitati o self-service - ): metodi di autenticazione per l'autenticazione a più fattori guest |
Per gli utenti di iscrizione self-service (consumer, clienti aziendali): - passcode monouso tramite posta elettronica per MFA |
Registrazione dell'applicazione
Nella tabella seguente vengono confrontate le funzionalità disponibili per La registrazione dell'applicazione in ogni tipo di tenant.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Protocollo | Relying party SAML, OpenID Connect e OAuth2 | OpenID Connect e OAuth2 |
| Tipi di account supportati | I tipi di account seguenti:
|
Usare sempre account solo in questa directory organizzativa (tenant singolo).Always use Accounts in this organizational directory only (Single tenant). |
| Piattaforma | Le piattaforme seguenti:
|
Le piattaforme seguenti:
|
| URI di reindirizzamento autenticazione> | L'ID Microsoft Entras accetta come destinazioni quando restituisce risposte di autenticazione (token) dopo l'autenticazione o la disconnessione degli utenti. | Uguale alla forza lavoro. |
| URL di disconnessione front-channel di autenticazione> | Questo URL è il punto in cui Microsoft Entra ID invia una richiesta per cancellare i dati della sessione dell'utente. L'URL di disconnessione front-channel è necessario per il corretto funzionamento dell'accesso Single Sign-Out. | Uguale alla forza lavoro. |
| Concessione implicita dell'autenticazione>e flussi ibridi | Richiedere un token direttamente dall'endpoint di autorizzazione. | Uguale alla forza lavoro. |
| Certificati e segreti | Uguale alla forza lavoro. | |
| Autorizzazioni API | Aggiungere, rimuovere e sostituire le autorizzazioni per un'applicazione. Dopo l'aggiunta delle autorizzazioni all'applicazione, gli utenti o gli amministratori devono concedere il consenso alle nuove autorizzazioni. Altre informazioni sull'aggiornamento delle autorizzazioni richieste di un'app in Microsoft Entra ID. | Di seguito sono riportate le autorizzazioni consentite: Microsoft Graph , e le autorizzazioni delegate delle API User.Read personali. openidoffline_access Solo un amministratore può fornire il consenso per conto dell'organizzazione. |
| Esporre un'API | Definire ambiti personalizzati per limitare l'accesso ai dati e alle funzionalità protetti dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso di un utente o di un amministratore a uno o più di questi ambiti. | Definire ambiti personalizzati per restringere l'accesso ai dati e alle funzionalità protette dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso dell'amministratore a uno o più di questi ambiti. |
| Ruoli dell'app | I ruoli dell'app sono ruoli personalizzati per assegnare autorizzazioni a utenti o app. L'applicazione definisce e pubblica i ruoli app e li interpreta come autorizzazioni durante l'autorizzazione. | Uguale alla forza lavoro. Altre informazioni sull'uso del controllo degli accessi in base al ruolo per le applicazioni in un tenant esterno. |
| Proprietari | I proprietari delle applicazioni possono visualizzare e modificare la registrazione dell'applicazione. Inoltre, qualsiasi utente (che potrebbe non essere elencato) con privilegi amministrativi per gestire qualsiasi applicazione (ad esempio, Amministratore applicazione cloud) può visualizzare e modificare la registrazione dell'applicazione. | Uguale alla forza lavoro. |
| Ruoli e amministratori | I ruoli amministrativi vengono usati per concedere l'accesso per le azioni con privilegi in Microsoft Entra ID. | Solo il ruolo Amministratore applicazione cloud può essere usato per le app in tenant esterni. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle registrazioni delle applicazioni e delle applicazioni aziendali. |
| Assegnazione di utenti e gruppi a un'app | Quando è richiesta l'assegnazione utente, solo gli utenti assegnati all'applicazione (tramite assegnazione utente diretta o in base all'appartenenza al gruppo) potranno eseguire l'accesso. Per altre informazioni, vedere Gestire l'assegnazione di utenti e gruppi a un'applicazione | Non disponibile |
Flussi OpenID Connect e OAuth2
La tabella seguente confronta le funzionalità disponibili per i flussi di autorizzazione OAuth 2.0 e OpenID Connect in ogni tipo di tenant.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| OpenID Connect | Sì | Sì |
| Codice di autorizzazione | Sì | Sì |
| Codice di autorizzazione con Code Exchange (PKCE) | Sì | Sì |
| Credenziali del client | Sì | Applicazioni v2.0 (anteprima) |
| Autorizzazione del dispositivo | Sì | No |
| Flusso on-behalf-of | Sì | Sì |
| Concessione implicita | Sì | Sì |
| Credenziali password del proprietario della risorsa | Sì | No, per le applicazioni per dispositivi mobili, usare l'autenticazione nativa. |
URL autorità nei flussi OpenID Connect e OAuth2
L'URL dell'autorità è un URL che indica una directory da cui MSAL può richiedere token. Per le app nei tenant esterni, usare sempre il formato seguente: <tenant-name.ciamlogin.com>
Il codice JSON seguente mostra un esempio di un file di applicazione .NET appsettings.json con un URL dell'autorità:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Accesso condizionale
La tabella seguente confronta le funzionalità disponibili per l'accesso condizionale in ogni tipo di tenant.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Assegnazioni | Utenti, gruppi e identità del carico di lavoro | Includere tutti gli utenti ed escludere utenti e gruppi. Per altre informazioni, vedere Aggiungere l'autenticazione a più fattori (MFA) a un'app. |
| Risorse di destinazione |
|
|
| Condizioni | ||
| Concedi | Concedere o bloccare l'accesso alle risorse | |
| Sessione | Controlli sessione | Non disponibile |
Gestione account
La tabella seguente confronta le funzionalità disponibili per la gestione degli utenti in ogni tipo di tenant. Come indicato nella tabella, alcuni tipi di account vengono creati tramite l'invito o l'iscrizione self-service. Un amministratore utente nel tenant può anche creare account tramite l'interfaccia di amministrazione.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Tipi di account |
|
|
| Gestire le informazioni sul profilo utente | A livello di codice e tramite l'interfaccia di amministrazione di Microsoft Entra. | Uguale alla forza lavoro. |
| Reimpostare la password di un utente | Gli amministratori possono reimpostare la password di un utente se la password viene dimenticata, se l'utente viene bloccato da un dispositivo o se l'utente non ha mai ricevuto una password. | Uguale alla forza lavoro. |
| Ripristinare o rimuovere gli utenti eliminati di recente | Dopo aver eliminato un utente, l'account rimane in uno stato di sospensione per 30 giorni. Durante tale intervallo di 30 giorni, l'account utente può essere ripristinato, con tutte le relative proprietà. | Uguale alla forza lavoro. |
| Disabilitare gli account | Impedire al nuovo utente di poter accedere. | Uguale alla forza lavoro. |
Password di protezione
La tabella seguente confronta le funzionalità disponibili per la protezione delle password in ogni tipo di tenant.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Blocco intelligente | Il blocco intelligente consente di bloccare gli attori malintenzionati che tentano di indovinare le password degli utenti o usare metodi di forza bruta per entrare | Uguale alla forza lavoro. |
| Password personalizzate escluse | L'elenco di password personalizzate di Microsoft Entra consente di aggiungere stringhe specifiche per valutare e bloccare. | Non disponibile. |
Personalizzazione dei token
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dei token in ogni tipo di tenant.
| Funzionalità | Tenant della forza lavoro | Tenant esterno |
|---|---|---|
| Mapping delle attestazioni | Personalizzare le attestazioni rilasciate nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale alla forza lavoro. Le attestazioni facoltative devono essere configurate tramite Attributi e attestazioni. |
| Trasformazione delle attestazioni | Applicare una trasformazione a un attributo utente rilasciato nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale alla forza lavoro. |
| Provider di attestazioni personalizzato | Estensione di autenticazione personalizzata che chiama un'API REST esterna per recuperare le attestazioni da sistemi esterni. | Uguale alla forza lavoro. Ulteriori informazioni |
| Gruppi di sicurezza | Configurare i gruppi di attestazioni facoltative. | Configurare le attestazioni facoltative dei gruppi è limitata all'ID oggetto gruppo. |
| Durate dei token | È possibile specificare la durata dei token di sicurezza emessi dall'ID Entra Di Microsoft. | Uguale alla forza lavoro. |
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per