Funzionalità supportate nei tenant esterni e della forza lavoro
Esistono due modi per configurare un tenant di Microsoft Entra, a seconda del modo in cui l'organizzazione intende usare il tenant e le risorse che vogliono gestire:
- Una configurazione del tenant della forza lavoro è destinata ai dipendenti, alle app aziendali interne e ad altre risorse aziendali. La collaborazione B2B viene usata in un tenant della forza lavoro per collaborare con partner commerciali e guest esterni.
- Una configurazione del tenant esterno viene usata esclusivamente per gli scenari con ID esterno in cui si vogliono pubblicare app per consumer o clienti aziendali.
Questo articolo offre un confronto dettagliato delle funzionalità e delle funzionalità disponibili nei tenant esterni e della forza lavoro.
Importante
Microsoft Entra per ID esterno nei tenant esterni è attualmente in anteprima. Vedere le Condizioni di licenza universali per i servizi online per le condizioni legali applicabili alle funzionalità e ai servizi di Azure disponibili in versione beta, in anteprima o non disponibili a livello generale.
Nota
Durante l'anteprima, le funzionalità o le funzionalità che richiedono una licenza Premium non sono disponibili nei tenant esterni.
Confronto generale delle funzionalità
La tabella seguente confronta le funzionalità e le funzionalità generali disponibili nei tenant esterni e della forza lavoro.
Funzionalità | Tenant della forza lavoro | Tenant esterno |
---|---|---|
Scenario di identità esterne | Consentire ai partner aziendali e ad altri utenti esterni di collaborare con la forza lavoro. Gli utenti guest possono accedere in modo sicuro alle applicazioni aziendali tramite inviti o iscrizione self-service. | Usare l'ID esterno per proteggere le applicazioni. I consumer e i clienti aziendali possono accedere in modo sicuro alle app consumer tramite l'iscrizione self-service. Gli inviti sono supportati anche (anteprima). |
Account locali | Gli account locali sono supportati solo per i membri interni dell'organizzazione. | Gli account locali sono supportati per gli utenti esterni (consumer, clienti aziendali) che usano l'iscrizione self-service. - Account creati dagli amministratori. |
Provider di identità per utenti esterni | Utenti guest di iscrizione self-service: - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite posta elettronica- federazione google- federazione di Facebook Invitati guest: - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite posta elettronica- federazione di Google- federazione SAML/WS-Fed |
Utenti di iscrizione self-service (consumer, clienti aziendali): - Posta elettronica con password - Passcode monouso Google federativo Facebook federativo - - |
Metodi di autenticazione | - Utenti interni (dipendenti e amministratori): funzionamento di ogni metodo di autenticazione- Guest (iscrizione invitato o self-service): metodi di autenticazione per utenti esterni |
Utenti di iscrizione self-service (consumer, clienti aziendali): - passcode monouso tramite posta elettronica |
Gruppi | I gruppi possono essere usati per gestire gli account amministrativi e utente. | I gruppi possono essere usati per gestire gli account amministrativi. Il supporto per i gruppi di Microsoft Entra e i ruoli dell'applicazione viene gradualmente inserito nei tenant dei clienti. Per gli aggiornamenti più recenti, vedere Supporto di gruppi e ruoli applicazione. |
Ruoli e amministratori | I ruoli e gli amministratori sono completamente supportati per gli account amministrativi e utente. | I ruoli non sono supportati con gli account cliente. Gli account cliente non hanno accesso alle risorse tenant. |
Nomi di dominio personalizzati | È possibile usare domini personalizzati solo per gli account amministrativi. | Attualmente non supportata. Tuttavia, gli URL visibili ai clienti nelle pagine di iscrizione e accesso sono URL non marcati e neutrali. Ulteriori informazioni |
Identity Protection | Fornisce il rilevamento continuo dei rischi per il tenant di Microsoft Entra. Consente alle organizzazioni di individuare, analizzare e correggere i rischi basati sulle identità. | È disponibile un sottoinsieme dei rilevamenti dei rischi di Microsoft Entra ID Protection. Altre informazioni. |
Estensione di autenticazione personalizzata | Aggiungere attestazioni da sistemi esterni. | Aggiungere attestazioni da sistemi esterni. |
Personalizzazione dei token | Aggiungere attributi utente, estensione di autenticazione personalizzata (anteprima), trasformazione delle attestazioni e appartenenza dei gruppi di sicurezza alle attestazioni token. | Aggiungere attributi utente, estensione di autenticazione personalizzata e appartenenza ai gruppi di sicurezza alle attestazioni del token.Altre informazioni. |
Reimpostazione della password self-service | Consentire agli utenti di reimpostare la password usando fino a due metodi di autenticazione (vedere la riga successiva per i metodi disponibili). | Consentire agli utenti di reimpostare la password usando la posta elettronica con passcode monouso. Altre informazioni. |
Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser quando gli utenti eseguono l'autenticazione nelle applicazioni intranet aziendali o basate sul Web. | Usare le lingue per modificare le stringhe visualizzate ai clienti come parte del processo di accesso e iscrizione. Altre informazioni. |
Attributi personalizzati | Usare gli attributi dell'estensione della directory per archiviare più dati nella directory Microsoft Entra per oggetti utente, gruppi, dettagli del tenant e entità servizio. | Usare gli attributi dell'estensione della directory per archiviare più dati nella directory del cliente per gli oggetti utente. Creare attributi utente personalizzati e aggiungerli al flusso utente di iscrizione. Altre informazioni. |
Provider di identità
La tabella seguente confronta i provider di identità disponibili in ogni tipo di tenant.
Funzionalità | Tenant della forza lavoro | Tenant esterno |
---|---|---|
Provider di identità per utenti esterni | Per gli utenti guest di iscrizione self-service: - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite posta elettronica- federazione google- federazione di Facebook Per gli utenti guest invitati: - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite posta elettronica - federazione di Google - federazione SAML/WS-Fed |
Per gli utenti di iscrizione self-service (consumer, clienti aziendali): - Inviare un messaggio di posta elettronica con passcode- monouso di - Google federation Facebook federation - |
Metodi di autenticazione | Per gli utenti interni (dipendenti e amministratori): funzionamento di ogni metodo di autenticazione per gli utenti guest (invitati o self-service- ):- metodi di autenticazione per utenti esterni |
Per gli utenti di iscrizione self-service (consumer, clienti aziendali): - passcode monouso tramite posta elettronica |
Registrazione dell'applicazione
Nella tabella seguente vengono confrontate le funzionalità disponibili per La registrazione dell'applicazione in ogni tipo di tenant.
Funzionalità | Tenant della forza lavoro | Tenant esterno |
---|---|---|
Protocollo | Relying party SAML, OpenID Connessione e OAuth2 | OpenID Connessione e OAuth2 |
Tipi di account supportati | I tipi di account seguenti:
|
Usare sempre account solo in questa directory organizzativa (tenant singolo).Always use Accounts in this organizational directory only (Single tenant). |
Piattaforma | Le piattaforme seguenti:
|
Uguale alla forza lavoro. |
URI di reindirizzamento autenticazione> | L'ID Microsoft Entras accetta come destinazioni quando restituisce risposte di autenticazione (token) dopo l'autenticazione o la disconnessione degli utenti. | Uguale alla forza lavoro. |
URL di disconnessione front-channel di autenticazione> | Questo URL è il punto in cui Microsoft Entra ID invia una richiesta per cancellare i dati della sessione dell'utente. L'URL di disconnessione front-channel è necessario per il corretto funzionamento dell'accesso Single Sign-Out. | Uguale alla forza lavoro. |
Concessione implicita dell'autenticazione>e flussi ibridi | Richiedere un token direttamente dall'endpoint di autorizzazione. | Uguale alla forza lavoro. |
Certificati e segreti | Uguale alla forza lavoro. | |
Configurazione del token |
|
|
Autorizzazioni API | Aggiungere, rimuovere e sostituire le autorizzazioni per un'applicazione. Dopo l'aggiunta delle autorizzazioni all'applicazione, gli utenti o gli amministratori devono concedere il consenso alle nuove autorizzazioni. Altre informazioni sull'aggiornamento delle autorizzazioni richieste di un'app in Microsoft Entra ID. | Di seguito sono riportate le autorizzazioni consentite: Microsoft Graph , e le autorizzazioni delegate delle APIUser.Read personali. openid offline_access Solo un amministratore può fornire il consenso per conto dell'organizzazione. |
Esporre un'API | Definire ambiti personalizzati per limitare l'accesso ai dati e alle funzionalità protetti dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso di un utente o di un amministratore a uno o più di questi ambiti. | Definire ambiti personalizzati per restringere l'accesso ai dati e alle funzionalità protette dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso dell'amministratore a uno o più di questi ambiti. |
Ruoli dell'app | I ruoli dell'app sono ruoli personalizzati per assegnare autorizzazioni a utenti o app. L'applicazione definisce e pubblica i ruoli app e li interpreta come autorizzazioni durante l'autorizzazione. | Uguale alla forza lavoro. Altre informazioni sull'uso del controllo degli accessi in base al ruolo per le applicazioni in un tenant esterno. |
Proprietari | I proprietari delle applicazioni possono visualizzare e modificare la registrazione dell'applicazione. Inoltre, qualsiasi utente (che potrebbe non essere elencato) con privilegi amministrativi per gestire qualsiasi applicazione (ad esempio, Global Amministrazione istrator, Cloud App Amministrazione istrator e così via) può visualizzare e modificare la registrazione dell'applicazione. | Uguale alla forza lavoro. |
Ruoli e amministratori | Amministrazione i ruolistrativi vengono usati per concedere l'accesso per le azioni con privilegi in Microsoft Entra ID. | Solo il ruolo applicazione cloud Amministrazione istrator può essere usato per le app nei tenant esterni. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle registrazioni delle applicazioni e delle applicazioni aziendali. |
Assegnazione di utenti e gruppi a un'app | Quando è richiesta l'assegnazione utente, solo gli utenti assegnati all'applicazione (tramite assegnazione utente diretta o in base all'appartenenza al gruppo) potranno eseguire l'accesso. Per altre informazioni, vedere Gestire l'assegnazione di utenti e gruppi a un'applicazione | Non disponibile |
Flussi openID Connessione e OAuth2
La tabella seguente confronta le funzionalità disponibili per OAuth 2.0 e OpenID Connessione flussi di autorizzazione in ogni tipo di tenant.
Funzionalità | Tenant della forza lavoro | Tenant esterno |
---|---|---|
OpenID Connect | Sì | Sì |
Codice di autorizzazione | Sì | Sì |
Codice di autorizzazione con Code Exchange (PKCE) | Sì | Sì |
Credenziali del client | Sì | Applicazioni v2.0 |
Autorizzazione del dispositivo | Sì | No |
Flusso on-behalf-of | Sì | Sì |
Concessione implicita | Sì | Sì |
Credenziali password del proprietario della risorsa | Sì | No |
URL autorità nei flussi OpenID Connessione e OAuth2
L'URL dell'autorità è un URL che indica una directory da cui MSAL può richiedere token. Per le app nei tenant esterni, usare sempre il formato seguente: <tenant-name.ciamlogin.com>
Il codice JSON seguente mostra un esempio di impostazioni di un'app dell'applicazione .NET con un URL dell'autorità:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Accesso condizionale
La tabella seguente confronta le funzionalità disponibili per l'accesso condizionale in ogni tipo di tenant.
Funzionalità | Tenant della forza lavoro | Tenant esterno |
---|---|---|
Assegnazioni | Utenti, gruppi e identità del carico di lavoro | Includere tutti gli utenti ed escludere utenti e gruppi. Per altre informazioni, vedere Aggiungere l'autenticazione a più fattori (MFA) a un'app. |
Risorse di destinazione |
|
|
Condizioni | ||
Concedi | Concedere o bloccare l'accesso alle risorse | |
Sessione | Controlli sessione | Non disponibile |
Gestione account
La tabella seguente confronta le funzionalità disponibili per la gestione degli utenti in ogni tipo di tenant. Come indicato nella tabella, alcuni tipi di account vengono creati tramite l'invito o l'iscrizione self-service. Un amministratore utente nel tenant può anche creare account tramite l'interfaccia di amministrazione.
Funzionalità | Tenant della forza lavoro | Tenant esterno |
---|---|---|
Tipi di account |
|
|
Gestire le informazioni sul profilo utente | A livello di codice e tramite l'interfaccia di amministrazione di Microsoft Entra. | Uguale alla forza lavoro. |
Reimpostare la password di un utente | Amministrazione istrator può reimpostare la password di un utente se la password viene dimenticata, se l'utente viene bloccato da un dispositivo o se l'utente non ha mai ricevuto una password. | Uguale alla forza lavoro. |
Ripristinare o rimuovere gli utenti eliminati di recente | Dopo aver eliminato un utente, l'account rimane in uno stato di sospensione per 30 giorni. Durante tale intervallo di 30 giorni, l'account utente può essere ripristinato, con tutte le relative proprietà. | Uguale alla forza lavoro. |
Disabilitare gli account | Impedire al nuovo utente di poter accedere. | Uguale alla forza lavoro. |
Password di protezione
Funzionalità | Tenant della forza lavoro | Tenant esterno |
---|---|---|
Blocco intelligente | Il blocco intelligente consente di bloccare gli attori malintenzionati che tentano di indovinare le password degli utenti o usare metodi di forza bruta per entrare | Uguale alla forza lavoro. |
Password personalizzate escluse | L'elenco di password personalizzate di Microsoft Entra consente di aggiungere stringhe specifiche per valutare e bloccare. | Non disponibile. |