Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Esistono due modi per configurare un tenant di Microsoft Entra, a seconda del modo in cui l'organizzazione intende usare il tenant e le risorse che vuole gestire:
- Una configurazione del tenant della forza lavoro è destinata ai dipendenti, alle app aziendali interne e ad altre risorse organizzative. La collaborazione B2B viene usata in un tenant del personale per collaborare con partner commerciali e ospiti esterni.
- Una configurazione del tenant esterno viene utilizzata esclusivamente per scenari di External ID in cui si desidera pubblicare app per i clienti consumer o business.
Questo articolo offre un confronto dettagliato delle caratteristiche e delle funzionalità disponibili nei tenant del personale e nei tenant esterni.
Nota
Durante l'anteprima, le funzionalità che richiedono una licenza Premium non sono disponibili nei tenant esterni.
Confronto generale delle funzionalità
La tabella seguente confronta le caratteristiche generali e le funzionalità disponibili nei tenant del personale e in quelli esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Scenari di identità esterne | Consentire ai partner aziendali e ad altri utenti esterni di collaborare con il personale. Gli utenti possono accedere in modo sicuro alle applicazioni aziendali tramite inviti o iscrizione auto-servizio. | Usare l'ID esterno per proteggere le applicazioni. I consumer e i clienti aziendali possono accedere in modo sicuro alle app consumer tramite l'iscrizione self-service. Sono supportati anche gli inviti. |
| Account locali | Gli account locali sono supportati solo per i membri interni dell'organizzazione. | Gli account locali sono supportati per:
|
| Gruppi | I gruppi possono essere usati per gestire gli account amministrativi e utente. | I gruppi possono essere usati per gestire gli account amministrativi. Il supporto per i gruppi di Microsoft Entra e i ruoli applicativi viene gradualmente introdotto nei tenant dei clienti. Per gli aggiornamenti più recenti, vedere Supporto di gruppi e ruoli applicazione. |
| Ruoli e amministratori | I ruoli e gli amministratori sono completamente supportati per gli account amministrativi e utente. | I ruoli sono supportati per tutti gli utenti. A tutti gli utenti di un tenant esterno sono assegnate autorizzazioni predefinite , a meno che non venga assegnato un ruolo di amministratore. |
| Protezione ID | Fornisce il rilevamento continuo dei rischi per il tenant di Microsoft Entra. Consente alle organizzazioni di individuare, analizzare e correggere i rischi basati sulle identità. | Non disponibile |
| ID Governance | Consente alle organizzazioni di gestire i cicli di vita delle identità e degli accessi e proteggere l'accesso con privilegi. Altre informazioni. | Non disponibile |
| Reimpostazione autonoma della password | Consentire agli utenti di reimpostare la password usando fino a due metodi di autenticazione (vedere la riga successiva per i metodi disponibili). | Consentire agli utenti di reimpostare la password usando la posta elettronica con passcode monouso. Altre informazioni. |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser quando gli utenti eseguono l'autenticazione nelle applicazioni intranet aziendali o basate sul Web. | Usa le lingue per modificare le stringhe che vengono visualizzate ai tuoi clienti come parte del processo di accesso e registrazione. Altre informazioni. |
| Attributi personalizzati | Usare gli attributi di estensione della directory per archiviare più dati nella directory Microsoft Entra relativi a oggetti utente, gruppi, dettagli del tenant e principali del servizio. | Usare gli attributi di estensione della directory per archiviare più dati nella directory cliente per gli oggetti utente. Creare attributi utente personalizzati e aggiungerli al flusso utente di iscrizione. Altre informazioni. |
| prezzi | prezzi per utenti attivi mensili (MAU) per ospiti esterni della collaborazione B2B (UserType=Guest). | Tariffazione degli utenti attivi mensili (MAU) per tutti gli utenti nel tenant esterno, indipendentemente dal ruolo o dal TipoUtente. |
Personalizzazione del look e dell'esperienza
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dell'aspetto nella forza lavoro e nei tenant esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Immagine aziendale | È possibile aggiungere la personalizzazione aziendale applicabile a tutte queste esperienze per creare un'esperienza di accesso coerente per gli utenti. | Uguale alla forza lavoro. Ulteriori informazioni |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser. | Uguale alla forza lavoro. Ulteriori informazioni |
| Nomi di dominio personalizzati | È possibile usare domini personalizzati solo per gli account amministrativi. | La funzionalità di dominio URL personalizzato per i tenant esterni consente di marchiare i punti di accesso dell'app con il proprio nome di dominio. |
| Autenticazione nativa per le app per dispositivi mobili | Non disponibile | L'autenticazione nativa di Microsoft Entra consente di avere il controllo completo sulla progettazione delle esperienze di accesso dell'applicazione per dispositivi mobili. |
Aggiunta della propria logica aziendale
Le estensioni di autenticazione personalizzate consentono di personalizzare l'esperienza di autenticazione di Microsoft Entra attraverso l'integrazione con sistemi esterni. Un'estensione di autenticazione personalizzata è essenzialmente un listener di eventi che, quando attivato, effettua una chiamata HTTP a un endpoint API REST in cui si definisce la propria logica di business. La tabella seguente confronta gli eventi delle estensioni di autenticazione personalizzate disponibili nei tenant esterni e del personale.
| Evento | Tenant del personale | Tenant esterno |
|---|---|---|
| TokenIssuanceStart | Aggiungere attestazioni da sistemi esterni. | Aggiungere attestazioni da sistemi esterni. |
| OnAttributeCollectionStart | Non disponibile | Si verifica all'inizio del processo di raccolta degli attributi durante l'iscrizione, prima che venga visualizzata la pagina di raccolta degli attributi. È possibile aggiungere azioni come la precompilazione dei valori e visualizzare un errore bloccante. Ulteriori informazioni |
| OnAttributeCollectionSubmit | Non disponibile | Si verifica durante il flusso di iscrizione, dopo che l'utente immette e invia gli attributi. È possibile aggiungere azioni come la convalida o la modifica delle voci dell'utente. Ulteriori informazioni |
| OnOtpSend | Non disponibile | Configurare un provider di posta elettronica personalizzato per l'invio di eventi con passcode monouso. Ulteriori informazioni |
Provider di identità e metodi di autenticazione
La tabella seguente confronta i fornitori di identità e i metodi disponibili per l'autenticazione primaria e l'autenticazione a più fattori (MFA) nei tenant dei dipendenti ed esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Provider di identità per utenti esterni (autenticazione primaria) |
Per gli utenti guest con registrazione self-service - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite email - Federazione Google - Federazione Facebook Per gli utenti guest invitati - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite email - Federazione Google - Federazione SAML/WS-Fed |
Per gli utenti che si registrano con self-service (consumatori, clienti aziendali) - Metodi di autenticazione disponibili in ID esterno di Microsoft Entra Per gli utenti guest invitati (anteprima) Utenti guest invitati con un ruolo della directory (ad esempio, amministratori): - Account Microsoft Entra - Account Microsoft - Passcode monouso inviato tramite email - SAML/WS-Fed federazione |
| Metodi di autenticazione per MFA |
Per gli utenti interni (dipendenti e amministratori) - Metodi di autenticazione e verifica Per gli utenti guest (invitati o con iscrizione self-service) - Metodi di autenticazione per l'autenticazione a più fattori per utenti guest |
Per gli utenti con iscrizione self-service (consumatori, clienti aziendali) - Metodi di autenticazione disponibili in Microsoft Entra ID esterno Per gli utenti invitati (anteprima) - Passcode monouso tramite posta elettronica - Autenticazione basata su SMS |
Metodi di autenticazione disponibili in Microsoft Entra external ID
Alcuni metodi di autenticazione possono essere usati come fattore principale quando gli utenti accedono a un'applicazione, ad esempio nome utente e password. Altri metodi di autenticazione sono disponibili solo come fattore secondario. La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante l'accesso, l'iscrizione self-service, la reimpostazione della password self-service e l'autenticazione a più fattori (MFA) nell'ID esterno di Microsoft Entra.
| Metodo | Accedi | Iscriversi | Reimpostazione della password | Autenticazione a più fattori (MFA) |
|---|---|---|---|---|
| Messaggio di posta elettronica con password | 
|
|
||
| Passcode monouso tramite e-mail |
|
|
|
|
| Autenticazione basata su SMS |
|
|||
| Federazione Apple |
|
|
||
| Federazione di Facebook |
|
|
||
| Federazione Google |
|
|
||
| Account personale Microsoft (OpenID Connect) |
|
|
||
| Federazione openID Connect |
|
|
||
| Federazione SAML/WS-Fed |
|
|
Registrazione dell'applicazione
Nella tabella seguente vengono confrontate le funzionalità disponibili per la registrazione dell'applicazione in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Protocollo | Parti fiduciarie SAML, OpenID Connect e OAuth2 | parti affidate SAML, OpenID Connect e OAuth2 |
| Tipi di account supportati | I seguenti tipi di account:
|
Usare sempre Account solo in questa directory organizzativa (Singolo tenant). |
| Piattaforma | Le piattaforme seguenti:
|
Le piattaforme seguenti:
|
| Autenticazione>URI di reindirizzamento | Microsoft Entra ID accetta gli URI come destinazioni quando restituisce le risposte di autenticazione (token) dopo aver autenticato con successo o disconnesso gli utenti. | Uguale alla forza lavoro. |
| URL di disconnessione del canale frontale di autenticazione>autenticazione | Questo URL è il punto in cui Microsoft Entra ID invia una richiesta per cancellare i dati della sessione dell'utente. L'URL di logout front-channel è necessaria per il corretto funzionamento del Single Sign-Out. | Uguale alla forza lavoro. |
| Autenticazione>Concessione implicita e flussi ibridi | Richiedere un token direttamente dall'endpoint di autorizzazione. | Uguale alla forza lavoro. |
| Certificati e segreti | Più credenziali: | Uguale alla forza lavoro. |
| Certificati e segreti>Rotazione | Aggiornare le credenziali client per assicurarsi che rimangano valide e sicure, mentre gli utenti possono continuare ad accedere. I certificati, i segreti e le credenziali federate possono essere ruotati aggiungendone uno nuovo e quindi rimuovendo quello precedente. | Uguale alla forza lavoro. |
| Certificati e segreti>Politica | Configurare i criteri di gestione delle applicazioni per applicare restrizioni relative a segreti e certificati. | Non disponibile |
| Autorizzazioni API | Aggiungere, rimuovere e sostituire le autorizzazioni per un'applicazione. Dopo l'aggiunta delle autorizzazioni all'applicazione, gli utenti o gli amministratori devono concedere il consenso alle nuove autorizzazioni. Altre informazioni sull'aggiornamento delle autorizzazioni richieste di un'app in Microsoft Entra ID. | Di seguito sono riportate le autorizzazioni consentite: Microsoft Graph offline_access, openid e User.Read e le autorizzazioni delegate delle API personali. Solo un amministratore può fornire il consenso per conto dell'organizzazione. |
| Esporre un'API | Definire ambiti personalizzati per limitare l'accesso ai dati e alle funzionalità protetti dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso di un utente o di un amministratore a uno o più di questi ambiti. | Definire ambiti personalizzati per restringere l'accesso ai dati e alle funzionalità protette dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso dell'amministratore a uno o più di questi ambiti. |
| Proprietari | I proprietari delle applicazioni possono visualizzare e modificare la registrazione dell'applicazione. Inoltre, qualsiasi utente (che potrebbe non essere elencato) con privilegi amministrativi per gestire qualsiasi applicazione (ad esempio, Amministratore applicazione cloud) può visualizzare e modificare la registrazione dell'applicazione. | Uguale alla forza lavoro. |
| Ruoli e amministratori | I ruoli amministrativi vengono usati per concedere l'accesso per le azioni con privilegi in Microsoft Entra ID. | Solo il ruolo Amministratore applicazione cloud può essere usato per le app in tenant esterni. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle registrazioni delle applicazioni e delle applicazioni aziendali. |
Controllo di accesso per le applicazioni
Nella tabella seguente vengono confrontate le funzionalità disponibili per l'autorizzazione dell'applicazione in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Controllo degli accessi in base al ruolo | È possibile definire i ruoli applicazione per l'applicazione e assegnare tali ruoli a utenti e gruppi. Microsoft Entra ID include i ruoli utente nel token di sicurezza. L'applicazione può quindi prendere decisioni di autorizzazione in base ai valori nel token di sicurezza. | Uguale alla forza lavoro. Altre informazioni sull'uso del controllo degli accessi in base al ruolo per le applicazioni in un tenant esterno. Per le funzionalità disponibili, vedere Gruppi e ruoli applicazione supportati. |
| Gruppi di sicurezza | È possibile usare i gruppi di sicurezza per implementare il controllo degli accessi in base al ruolo nelle applicazioni, in cui le appartenenze dell'utente in gruppi specifici vengono interpretate come appartenenze ai ruoli. L'ID Microsoft Entra include l'appartenenza al gruppo di utenti nel token di sicurezza. L'applicazione può quindi prendere decisioni di autorizzazione in base ai valori nel token di sicurezza. | Uguale alla forza lavoro. Le attestazioni facoltative dei gruppi sono limitate all'ID oggetto del gruppo. |
| Controllo degli accessi in base all'attributo | È possibile configurare l'app per includere gli attributi utente nel token di accesso. L'applicazione può quindi prendere decisioni di autorizzazione in base ai valori nel token di sicurezza. Per altre informazioni, vedere Personalizzazione dei token. | Uguale alla forza lavoro. |
| Richiedere l'assegnazione utente | Quando è richiesta l'assegnazione utente, solo gli utenti assegnati all'applicazione (tramite assegnazione utente diretta o in base all'appartenenza al gruppo) potranno eseguire l'accesso. Per altre informazioni, vedere Gestire l'assegnazione di utenti e gruppi a un'applicazione | Uguale alla forza lavoro. Per informazioni dettagliate, vedere il supporto dei gruppi e dei ruoli dell'applicazione. |
Applicazioni aziendali
La tabella seguente confronta le funzionalità univoche disponibili per la registrazione delle applicazioni aziendali sia nei tenant della forza lavoro che in quelli esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Raccolta di applicazioni | La raccolta di applicazioni contiene migliaia di applicazioni preintegrate in Microsoft Entra ID. | Il catalogo della raccolta di applicazioni non è disponibile. Per trovare le app, usare invece la barra di ricerca. |
| Accesso avviato dal provider di identità (IdP) | Utilizzare un Identity Provider (IdP) SAML 2.0 per il Single Sign-On. | Non disponibile. |
| Self-service | Consentire agli utenti di individuare automaticamente le app. | Il self-service nel portale Le Mie App non è disponibile. |
| Proxy applicativo | Il proxy dell'applicazione Microsoft Entra fornisce accesso remoto sicuro alle applicazioni Web locali. | Non disponibile. |
Funzionalità di consenso e autorizzazione per le applicazioni aziendali
La tabella seguente illustra le funzionalità di consenso e autorizzazione disponibili per le applicazioni aziendali in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Consenso amministratore per le applicazioni aziendali | È possibile concedere autorizzazioni di amministratore a livello di tenant ed è anche possibile esaminarle e revocarle . | Uguale alla forza lavoro. |
| Consenso utente per le applicazioni aziendali | È possibile configurare il modo in cui gli utenti acconsentono alle applicazioni ed è possibile aggiornare queste autorizzazioni. | Limitato alle autorizzazioni che non richiedono il consenso amministratore. |
| Esaminare o revocare il consenso amministratore | Esaminare e revocare le autorizzazioni. | Usare l'interfaccia di amministrazione di Microsoft Entra per revocare il consenso amministratore. |
| Esaminare o revocare il consenso dell'utente | Esaminare e revocare le autorizzazioni. | Usare l'API Microsoft Graph o PowerShell per revocare il consenso dell'utente. |
| Assegnare utenti o gruppi alle app | È possibile gestire l'accesso alle app in un'assegnazione individuale o di base di gruppo. Le appartenenze ai gruppi annidati non sono supportate. | Uguale alla forza lavoro. |
| Controllo degli accessi basato sui ruoli per le applicazioni | È possibile definire e assegnare ruoli per il controllo di accesso con granularità fine. | Uguale alla forza lavoro. |
Flussi OpenID Connect e OAuth2
La tabella seguente confronta le funzionalità disponibili per i flussi di autorizzazione OAuth 2.0 e OpenID Connect in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Connessione OpenID | Sì | Sì |
| Codice di autorizzazione | Sì | Sì |
| Codice di autorizzazione con Code Exchange (PKCE) | Sì | Sì |
| Credenziali del client | Sì | Applicazioni v2.0 (anteprima) |
| Autorizzazione dispositivo | Sì | Anteprima |
| Flusso Per Conto Di | Sì | Sì |
| Concessione implicita | Sì | Sì |
| Credenziali password del proprietario della risorsa | Sì | No, per le applicazioni per dispositivi mobili, usare l'autenticazione nativa. |
URL dell’ autorità nei flussi OpenID Connect e OAuth2
L'URL dell'autorità è un URL che indica una directory da cui MSAL può richiedere token. Per le app nei tenant esterni, usare sempre il formato seguente: <tenant-name>.ciamlogin.com
Il codice JSON seguente mostra un esempio di un file di applicazione .NET appsettings.json con un URL dell'autorità:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Accesso condizionale
La tabella seguente confronta le funzionalità disponibili per l'accesso condizionale in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Assegnazioni | Utenti, gruppi e identità del carico di lavoro | Includere tutti gli utenti ed escludere utenti e gruppi. Per altre informazioni, vedere Aggiungere l'autenticazione a più fattori (MFA) a un'app. |
| Risorse di destinazione |
|
|
| Condizioni | ||
| Concessione | Concedere o bloccare l'accesso alle risorse | |
| Sessione | Controlli di sessione | Non disponibile |
Criteri per le condizioni per l'utilizzo
La tabella seguente confronta le funzionalità disponibili per i criteri per l'utilizzo in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Criteri di accesso condizionale | Condizioni per l'utilizzo di Microsoft Entra | Non disponibile |
| Registrazione automatica | Non disponibile | Aggiungere un attributo obbligatorio collegato ai criteri per l'utilizzo nella pagina di iscrizione. Il collegamento ipertestuale può essere personalizzato per supportare varie lingue. |
| Pagina di accesso | Collegamenti che è possibile aggiungere all'angolo in basso a destra per informazioni sulla privacy usando il marchio aziendale. | Uguale alla forza lavoro. |
Gestione dell'account
La tabella seguente confronta le funzionalità disponibili per la gestione degli utenti in ogni tipo di tenant. Come indicato nella tabella, alcuni tipi di account vengono creati tramite l'invito o l'iscrizione self-service. Un amministratore utente nel tenant può anche creare account tramite l'interfaccia di amministrazione.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Tipi di account |
|
|
| Gestire le informazioni sul profilo utente |
|
Simile a workforce, ad eccezione del fatto che la sincronizzazione inter-tenant non è disponibile. |
| Reimpostare la password di un utente | Se un utente dimentica la password e non può accedere a un dispositivo o se non ha mai ricevuto la password, gli amministratori possono reimpostarla. | Uguale alla forza lavoro. |
| Ripristinare o rimuovere gli utenti eliminati di recente | Dopo aver eliminato un utente, l'account rimane in uno stato di sospensione per 30 giorni. Durante tale intervallo di 30 giorni, l'account utente può essere ripristinato, con tutte le relative proprietà. | Uguale alla forza lavoro. |
| Disabilita account | Impedire al nuovo utente di accedere. | Uguale alla forza lavoro. |
Password di protezione
La tabella seguente confronta le funzionalità disponibili per la protezione delle password in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Blocco intelligente | La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso | Uguale alla forza lavoro. |
| Password vietate personalizzate | L'elenco di password vietate personalizzate di Microsoft Entra consente di aggiungere stringhe specifiche da valutare e bloccare. | Non disponibile. |
Personalizzazione dei token
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dei token in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Mapping delle dichiarazioni | Personalizzare le attestazioni rilasciate nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale alla forza lavoro. Le attestazioni facoltative devono essere configurate tramite Attributi e attestazioni. |
| Trasformazione delle dichiarazioni | Applicare una trasformazione a un attributo utente rilasciato nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale alla forza lavoro. |
| Fornitore di dichiarazioni personalizzate | Estensione di autenticazione personalizzata che chiama un'API REST esterna per recuperare le attestazioni da sistemi esterni. | Uguale alla forza lavoro. Ulteriori informazioni |
| Gruppi di sicurezza | Configurare le attestazioni facoltative di gruppo. | La configurazione delle attestazioni facoltative di gruppo è limitata all'ID dell'oggetto del gruppo. |
| Durate dei token | È possibile specificare la durata dei token di sicurezza emessi da Microsoft Entra ID. | Uguale alla forza lavoro. |
| Revocazione di sessioni e token | L'amministratore può invalidare tutti i token di aggiornamento e la sessione per un utente. | Uguale alla forza lavoro. |
Autenticazione unica
Single Sign-On (SSO) offre un'esperienza più semplice riducendo il numero di richieste di credenziali da parte di un utente. Gli utenti immettono le credenziali una sola volta e la sessione stabilita può essere riutilizzata da altre applicazioni nello stesso dispositivo e web browser senza richiedere ulteriore conferma. La tabella seguente confronta le funzionalità disponibili per l'accesso SSO in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Tipi di registrazione dell'applicazione |
|
|
| Nome di dominio | Quando un utente esegue l'autenticazione, un cookie di sessione viene impostato nel dominio login.microsoftonline.com Microsoft Entra nel Web browser. |
Quando un utente esegue l'autenticazione, un cookie di sessione viene impostato nel dominio <tenant-name>.ciamlogin.com ID esterno di Microsoft Entra o in un dominio URL personalizzato nel Web browser. Per garantire che l'accesso Single Sign-On funzioni correttamente, usare un singolo dominio URL. |
| Rimani connesso | È possibile abilitare o disabilitare l'opzione rimani connesso. | Uguale alla forza lavoro. |
| Provisioning degli utenti | Usa la configurazione automatica degli utenti con il System for Cross-domain Identity Management (SCIM) per sincronizzare gli account utente tra Microsoft Entra External ID e le applicazioni supportate. In questo modo i dati utente vengono aggiornati automaticamente. Il provisioning degli utenti supporta le query differenziali. Queste query sincronizzano solo le modifiche dall'ultimo aggiornamento. Ciò migliora le prestazioni e riduce il carico di sistema. | Uguale alla forza lavoro. |
| Invalidazione della sessione | Scenari in cui l'accesso SSO può essere invalidato, che richiedono la riautenticazione:
|
Uguale alla forza lavoro. |
| Accesso condizionale | Controllare la sezione Accesso condizionale . | Controllare la sezione Accesso condizionale . |
| Autenticazione nativa di Microsoft Entra | Non disponibile | L'autenticazione nativa non supporta il Single Sign-On (SSO). |
| Disconnessione | Quando un'applicazione SAML o OpenID Connect indirizza l'utente all'endpoint di disconnessione, Microsoft Entra ID rimuove e invalida la sessione dell'utente dal browser. | Uguale alla forza lavoro. |
| Single Sign-Out | Al termine della disconnessione, Microsoft Entra ID invia una notifica di disconnessione a tutte le altre applicazioni SAML e OpenID Connect a cui l'utente ha eseguito l'accesso. | Uguale alla forza lavoro. |
Log attività e report
La tabella seguente confronta le funzionalità disponibili per i log attività e i report in diversi tipi di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Log di controllo | Report dettagliato di tutti gli eventi registrati in Microsoft Entra ID, incluse le modifiche alle applicazioni, ai gruppi e agli utenti. | Uguale alla forza lavoro. |
| Log di registrazione | I log di accesso tengono traccia di tutte le attività di accesso all'interno di un tenant di Microsoft Entra, incluso l'accesso alle applicazioni e alle risorse. | Uguale alla forza lavoro. |
| Log di registrazione (anteprima) | Non disponibile | Microsoft Entra External ID registra tutti gli eventi di iscrizione self-service, inclusi gli accessi riusciti e i tentativi non riusciti. |
| Log di provisioning | I log di provisioning forniscono record dettagliati degli eventi di provisioning all'interno di un tenant, ad esempio creazioni di account utente, aggiornamenti ed eliminazioni. | Non disponibile |
| Log attività delle politiche di conservazione | I criteri di conservazione dei dati di Microsoft Entra determinano per quanto tempo vengono archiviati diversi tipi di log, ad esempio i log di controllo, accesso e provisioning. | Sette giorni |
| Esportare i log delle attività | Usando le impostazioni di diagnostica in Microsoft Entra ID, è possibile integrare i log con Monitoraggio di Azure, trasmettere i log a un hub eventi o integrarsi con gli strumenti SIEM (Security Information and Event Management). | Monitoraggio di Azure per tenant esterni (anteprima) |
| Report sulle attività dell'utente dell'applicazione | Non disponibile | L'attività dell'utente dell'applicazione fornisce analisi sul modo in cui gli utenti interagiscono con le applicazioni registrate nel tenant. Tiene traccia delle metriche come utenti attivi, nuovi utenti, accessi e percentuali di successo dell'autenticazione a più fattori. |
API di Microsoft Graph
Tutte le funzionalità supportate nei tenant esterni sono supportate anche per l'automazione tramite le API Microsoft Graph. Alcune funzionalità disponibili in anteprima nei tenant esterni potrebbero essere disponibili a livello generale tramite Microsoft Graph. Per altre informazioni, vedere Gestire l'identità e l'accesso alla rete di Microsoft Entra tramite Microsoft Graph.