Ondersteunde functies in werknemers en externe tenants
Er zijn twee manieren om een Microsoft Entra-tenant te configureren, afhankelijk van hoe de organisatie de tenant en de resources wil gebruiken die ze willen beheren:
- Een tenantconfiguratie voor werknemers is bedoeld voor uw werknemers, interne zakelijke apps en andere organisatieresources. B2B-samenwerking wordt gebruikt in een personeelstenant om samen te werken met externe zakelijke partners en gasten.
- Een externe tenantconfiguratie wordt uitsluitend gebruikt voor scenario's met externe id's waarin u apps wilt publiceren naar consumenten of zakelijke klanten.
Dit artikel bevat een gedetailleerde vergelijking van de functies en mogelijkheden die beschikbaar zijn in werknemers en externe tenants.
Notitie
Tijdens de preview zijn functies of mogelijkheden waarvoor een Premium-licentie is vereist, niet beschikbaar in externe tenants.
Algemene functievergelijking
In de volgende tabel worden de algemene functies en mogelijkheden vergeleken die beschikbaar zijn in werknemers en externe tenants.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Scenario met externe identiteiten | Zakelijke partners en andere externe gebruikers toestaan samen te werken met uw werknemers. Gasten hebben veilig toegang tot uw zakelijke toepassingen via uitnodigingen of selfserviceregistratie. | Gebruik externe id om uw toepassingen te beveiligen. Consumenten en zakelijke klanten hebben veilig toegang tot uw consumenten-apps via selfserviceregistratie. Uitnodigingen worden ook ondersteund. |
| Lokale accounts | Lokale accounts worden alleen ondersteund voor interne leden van uw organisatie. | Lokale accounts worden ondersteund voor: externe gebruikers (consumenten, zakelijke klanten) die gebruikmaken van selfserviceregistratie. - Accounts die zijn gemaakt door beheerders. |
| Groepen | Groepen kunnen worden gebruikt voor het beheren van beheerders- en gebruikersaccounts. | Groepen kunnen worden gebruikt voor het beheren van beheerdersaccounts. Ondersteuning voor Microsoft Entra-groepen en toepassingsrollen wordt gefaseerd in tenants van klanten. Zie Ondersteuning voor groepen en toepassingsrollen voor de nieuwste updates. |
| Rollen en beheerders | Rollen en beheerders worden volledig ondersteund voor beheerders- en gebruikersaccounts. | Rollen worden niet ondersteund met klantaccounts. Klantaccounts hebben geen toegang tot tenantbronnen. |
| Identiteitsbeveiliging | Biedt doorlopende risicodetectie voor uw Microsoft Entra-tenant. Hiermee kunnen organisaties risico's op basis van identiteiten detecteren, onderzoeken en oplossen. | Er is een subset van de risicodetecties van Microsoft Entra ID Protection beschikbaar. Meer informatie. |
| Self-service voor wachtwoord opnieuw instellen | Gebruikers toestaan hun wachtwoord opnieuw in te stellen met maximaal twee verificatiemethoden (zie de volgende rij voor beschikbare methoden). | Gebruikers toestaan hun wachtwoord opnieuw in te stellen via e-mail met eenmalige wachtwoordcode. Meer informatie. |
| Taal aanpassen | Pas de aanmeldingservaring aan op basis van browsertaal wanneer gebruikers zich verifiëren bij uw bedrijfsintranet of webtoepassingen. | Gebruik talen om de tekenreeksen te wijzigen die worden weergegeven voor uw klanten als onderdeel van het aanmeldings- en registratieproces. Meer informatie. |
| Aangepaste kenmerken | Gebruik kenmerken van directory-extensies om meer gegevens op te slaan in de Microsoft Entra-map voor gebruikersobjecten, groepen, tenantdetails en service-principals. | Gebruik kenmerken van de mapextensie om meer gegevens op te slaan in de directory van de klant voor gebruikersobjecten. Maak aangepaste gebruikerskenmerken en voeg deze toe aan uw gebruikersstroom voor registratie. Meer informatie. |
Aanpassing van uiterlijk
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor aanpassing van het uiterlijk van werknemers en externe tenants.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Huisstijl van bedrijf | U kunt huisstijl toevoegen die van toepassing is op al deze ervaringen om een consistente aanmeldingservaring voor uw gebruikers te maken. | Hetzelfde als het personeel. Meer informatie |
| Taal aanpassen | Pas de aanmeldingservaring aan op browsertaal. | Hetzelfde als het personeel. Meer informatie |
| Aangepaste domeinnamen | U kunt alleen aangepaste domeinen gebruiken voor beheerdersaccounts. | Met de functie aangepast URL-domein (preview) voor externe tenants kunt u aanmeldingseindpunten voor apps voorzien van uw eigen domeinnaam. |
| Systeemeigen verificatie voor mobiele apps | Niet beschikbaar | Met de systeemeigen verificatie van Microsoft Entra hebt u volledige controle over het ontwerp van de aanmeldingservaring van uw mobiele toepassing. |
Uw eigen bedrijfslogica toevoegen
Met aangepaste verificatie-extensies kunt u de Microsoft Entra-verificatie-ervaring aanpassen door te integreren met externe systemen. Een aangepaste verificatie-extensie is in wezen een gebeurtenislistener die, wanneer deze wordt geactiveerd, een HTTP-aanroep maakt naar een REST API-eindpunt waarin u uw eigen bedrijfslogica definieert. In de volgende tabel worden de gebeurtenissen voor aangepaste verificatie-extensies vergeleken die beschikbaar zijn in werknemers en externe tenants.
| Gebeurtenis | Personeelstenant | Externe tenant |
|---|---|---|
| TokenIssuanceStart | Claims van externe systemen toevoegen. | Claims van externe systemen toevoegen. |
| OnAttributeCollectionStart | Niet beschikbaar | Vindt plaats aan het begin van de stap voor het verzamelen van kenmerken van de registratie, voordat de pagina kenmerkverzameling wordt weergegeven. U kunt acties toevoegen, zoals het vooraf doorvoeren van waarden en het weergeven van een blokkeringsfout. Meer informatie |
| OnAttributeCollectionSubmit | Niet beschikbaar | Vindt plaats tijdens de registratiestroom, nadat de gebruiker kenmerken heeft ingevoerd en verzonden. U kunt acties toevoegen, zoals het valideren of wijzigen van de vermeldingen van de gebruiker. Meer informatie |
Id-providers en verificatiemethoden
In de volgende tabel worden de id-providers en methoden vergeleken die beschikbaar zijn voor primaire verificatie en meervoudige verificatie (MFA) in werknemers en externe tenants.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Id-providers voor externe gebruikers (primaire verificatie) | Voor selfservice-registratiegasten - Microsoft Entra-accounts- Microsoft-accounts - Eenmalige wachtwoordcode e-mailen- Google federation - Facebook-federatie Voor uitgenodigde gasten - Microsoft Entra-accounts - Microsoft-accounts - Eenmalige wachtwoordcode e-mailen- Google federation - SAML/WS-Fed-federatie |
Voor selfservicegebruikers (consumenten, zakelijke klanten)- E-mail met wachtwoord-e-mail - met eenmalige wachtwoordcode- Google-federatie (preview) - Facebook-federatie (preview) Voor uitgenodigde gasten (preview) Gasten uitgenodigd met een adreslijstrol (bijvoorbeeld beheerders): - Microsoft Entra-accounts - Microsoft-accounts - e-mail eenmalige wachtwoordcode |
| Verificatiemethoden voor MFA | Voor interne gebruikers (werknemers en beheerders) - Verificatie- en verificatiemethoden voor gasten (uitgenodigde of selfserviceregistratie) - Verificatiemethoden voor gast-MFA |
Voor selfservicegebruikers (consumenten, zakelijke klanten) of uitgenodigde gebruikers (preview) - E-mail eenmalige wachtwoordcode - sms-verificatie |
Toepassingsregistratie
De volgende tabel vergelijkt de functies die beschikbaar zijn voor toepassingsregistratie in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Protocol | SAML-relying party's, OpenID Connect en OAuth2 | OpenID Connect en OAuth2 |
| Ondersteunde accounttypen | De volgende accounttypen:
|
Gebruik altijd alleen accounts in deze organisatiemap (één tenant). |
| Platform | De volgende platforms:
|
De volgende platforms:
|
| Omleidings-URI's voor verificatie> | De URI's microsoft Entra-id accepteert als bestemmingen bij het retourneren van verificatiereacties (tokens) na het verifiëren of afmelden van gebruikers. | Hetzelfde als het personeel. |
| Afmeldings-URL voor front-kanaal verificatie> | Met deze URL verzendt Microsoft Entra ID een aanvraag om de toepassing de sessiegegevens van de gebruiker te laten wissen. De afmeldings-URL van het Front-kanaal is vereist om eenmalige afmelding correct te laten werken. | Hetzelfde als het personeel. |
| Impliciete verificatietoe>kennen en hybride stromen | Vraag een token rechtstreeks aan bij het autorisatie-eindpunt. | Hetzelfde als het personeel. |
| Certificaten en geheimen | Hetzelfde als het personeel. | |
| API-machtigingen | Machtigingen voor een toepassing toevoegen, verwijderen en vervangen. Nadat machtigingen zijn toegevoegd aan uw toepassing, moeten gebruikers of beheerders toestemming geven voor de nieuwe machtigingen. Meer informatie over het bijwerken van de aangevraagde machtigingen van een app in Microsoft Entra ID. | Hier volgen de toegestane machtigingen: Microsoft Graphoffline_accessopenid, en User.Read uw gedelegeerde machtigingen voor Mijn API's. Alleen een beheerder kan namens de organisatie toestemming geven. |
| Een API beschikbaar maken | Definieer aangepaste bereiken om de toegang tot gegevens en functionaliteit te beperken die door de API worden beveiligd. Een toepassing die toegang tot onderdelen van deze API vereist, kan aanvragen dat een gebruiker of beheerder toestemming moet geven voor een of meer van deze bereiken. | Definieer aangepaste bereiken als u toegang wilt beperken tot gegevens en functionaliteit die door de API worden beschermd. Een toepassing die toegang tot onderdelen van deze API vereist, kan aanvragen dat de beheerder toestemming moet geven voor een of meer van deze bereiken. |
| App-rollen | App-rollen zijn aangepaste rollen om machtigingen toe te wijzen aan gebruikers of apps. De toepassing definieert en publiceert de app-rollen en interpreteert die als machtigingen tijdens de autorisatie. | Hetzelfde als het personeel. Meer informatie over het gebruik van op rollen gebaseerd toegangsbeheer voor toepassingen in een externe tenant. |
| Eigenaren | Eigenaren van toepassingen kunnen de registratie van de toepassing bekijken en bewerken. Bovendien kan elke gebruiker (die mogelijk niet wordt vermeld) met beheerdersbevoegdheden voor het beheren van een toepassing (bijvoorbeeld Cloud Application Administrator) de registratie van de toepassing bekijken en bewerken. | Hetzelfde als het personeel. |
| Rollen en beheerders | Beheerdersrollen worden gebruikt voor het verlenen van toegang voor bevoegde acties in Microsoft Entra-id. | Alleen de rol Cloudtoepassingsbeheerder kan worden gebruikt voor apps in externe tenants. Deze rol verleent de mogelijkheid om alle aspecten van toepassingsregistraties en bedrijfstoepassingen te maken en te beheren. |
| Gebruikers en groepen toewijzen aan een app | Wanneer gebruikerstoewijzing is vereist, kunnen alleen de gebruikers die u aan de toepassing toewijst (via directe gebruikerstoewijzing of op basis van groepslidmaatschap) zich aanmelden. Zie Gebruikers en groepstoewijzingen beheren voor een toepassing voor meer informatie | Niet beschikbaar |
OpenID Connect- en OAuth2-stromen
De volgende tabel vergelijkt de functies die beschikbaar zijn voor OAuth 2.0- en OpenID Connect-autorisatiestromen in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| OpenID Connect | Ja | Ja |
| Autorisatiecode | Ja | Ja |
| Autorisatiecode met PKCE (Code Exchange) | Ja | Ja |
| Clientreferenties | Ja | v2.0-toepassingen (preview) |
| Apparaatautorisatie | Ja | Preview uitvoeren |
| Namens-stroom | Ja | Ja |
| Impliciete toekenning | Ja | Ja |
| Wachtwoordreferenties van resource-eigenaar | Ja | Nee, voor mobiele toepassingen gebruikt u systeemeigen verificatie. |
URL van instantie in OpenID Connect- en OAuth2-stromen
De URL van de instantie is een URL die een map aangeeft waaruit MSAL tokens kan aanvragen. Gebruik voor apps in externe tenants altijd de volgende indeling: <tenant-name.ciamlogin.com>
In de volgende JSON ziet u een voorbeeld van een .NET-toepassing appsettings.json bestand met een instantie-URL:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Voorwaardelijke toegang
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor voorwaardelijke toegang in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Toewijzingen | Gebruikers, groepen en workloadidentiteiten | Alle gebruikers opnemen en gebruikers en groepen uitsluiten. Zie Meervoudige verificatie (MFA) toevoegen aan een app voor meer informatie. |
| Doelbronnen | ||
| Voorwaarden | ||
| Toekennen | Toegang tot resources verlenen of blokkeren | |
| Sessie | Sessiebesturingselementen | Niet beschikbaar |
Accountbeheer
De volgende tabel vergelijkt de functies die beschikbaar zijn voor gebruikersbeheer in elk type tenant. Zoals vermeld in de tabel, worden bepaalde accounttypen gemaakt via uitnodiging of selfserviceregistratie. Een gebruikersbeheerder in de tenant kan ook accounts maken via het beheercentrum.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Typen accounts |
|
|
| Gebruikersprofielgegevens beheren | Programmatisch en met behulp van het Microsoft Entra-beheercentrum. | Hetzelfde als het personeel. |
| Het wachtwoord van een gebruiker opnieuw instellen | Beheerders kunnen het wachtwoord van een gebruiker opnieuw instellen als het wachtwoord wordt vergeten, als de gebruiker wordt vergrendeld op een apparaat of als de gebruiker nooit een wachtwoord heeft ontvangen. | Hetzelfde als het personeel. |
| Onlangs verwijderde gebruiker herstellen of verwijderen | Nadat u een gebruiker hebt verwijderd, blijft het account 30 dagen in de status Toegang tijdelijk ingetrokken. Tijdens de periode van 30 dagen kan het gebruikersaccount worden hersteld, samen met alle eigenschappen ervan. | Hetzelfde als het personeel. |
| Accounts uitschakelen | Voorkom dat de nieuwe gebruiker zich kan aanmelden. | Hetzelfde als het personeel. |
Wachtwoordbeveiliging
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor wachtwoordbeveiliging in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Slimme vergrendeling | Slimme vergrendeling helpt slechte actoren te vergrendelen die proberen de wachtwoorden van uw gebruikers te raden of brute force-methoden te gebruiken om binnen te komen | Hetzelfde als het personeel. |
| Aangepaste verboden wachtwoorden | Met de aangepaste lijst met verboden wachtwoorden van Microsoft Entra kunt u specifieke tekenreeksen toevoegen om te evalueren en te blokkeren. | Niet beschikbaar. |
Tokenaanpassing
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor het aanpassen van tokens in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Claimtoewijzing | Pas claims aan die zijn uitgegeven in het JSON-webtoken (JWT) voor bedrijfstoepassingen. | Hetzelfde als het personeel. Optionele claims moeten worden geconfigureerd via kenmerken en claims. |
| Claimtransformatie | Pas een transformatie toe op een gebruikerskenmerk dat is uitgegeven in het JSON-webtoken (JWT) voor bedrijfstoepassingen. | Hetzelfde als het personeel. |
| Aangepaste claimprovider | Aangepaste verificatie-extensie die een externe REST API aanroept om claims op te halen van externe systemen. | Hetzelfde als het personeel. Meer informatie |
| Beveiligingsgroepen | Configureer optionele groepen claims. | Optionele groepenclaims configureren is beperkt tot de groepsobject-id. |
| Levensduur van tokens | U kunt de levensduur opgeven van beveiligingstokens die zijn uitgegeven door de Microsoft Entra-id. | Hetzelfde als het personeel. |
Microsoft Graph API's
Alle functies die worden ondersteund in externe tenants, worden ook ondersteund voor automatisering via Microsoft Graph-API's. Sommige functies die in preview zijn in externe tenants, zijn mogelijk algemeen beschikbaar via Microsoft Graph. Zie Microsoft Entra-identiteit en netwerktoegang beheren met behulp van Microsoft Graph voor meer informatie.