Ondersteunde functies in werknemers en externe tenants
Er zijn twee manieren om een Microsoft Entra-tenant te configureren, afhankelijk van hoe de organisatie de tenant en de resources wil gebruiken die ze willen beheren:
- Een tenantconfiguratie voor werknemers is bedoeld voor uw werknemers, interne zakelijke apps en andere organisatieresources. B2B-samenwerking wordt gebruikt in een personeelstenant om samen te werken met externe zakelijke partners en gasten.
- Een externe tenantconfiguratie wordt uitsluitend gebruikt voor scenario's met externe id's waarin u apps wilt publiceren naar consumenten of zakelijke klanten.
Dit artikel bevat een gedetailleerde vergelijking van de functies en mogelijkheden die beschikbaar zijn in werknemers en externe tenants.
Belangrijk
Microsoft Entra Externe ID in externe tenants is momenteel beschikbaar als preview-versie. Zie de universele licentievoorwaarden voor onlineservices voor juridische voorwaarden die van toepassing zijn op Azure-functies en -services die in bèta, preview of anderszins niet algemeen beschikbaar zijn.
Notitie
Tijdens de preview zijn functies of mogelijkheden waarvoor een Premium-licentie is vereist, niet beschikbaar in externe tenants.
Algemene functievergelijking
In de volgende tabel worden de algemene functies en mogelijkheden vergeleken die beschikbaar zijn in werknemers en externe tenants.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Scenario met externe identiteiten | Zakelijke partners en andere externe gebruikers toestaan samen te werken met uw werknemers. Gasten hebben veilig toegang tot uw zakelijke toepassingen via uitnodigingen of selfserviceregistratie. | Gebruik externe id om uw toepassingen te beveiligen. Consumenten en zakelijke klanten hebben veilig toegang tot uw consumenten-apps via selfserviceregistratie. Uitnodigingen worden ook ondersteund (preview). |
| Lokale accounts | Lokale accounts worden alleen ondersteund voor interne leden van uw organisatie. | Lokale accounts worden ondersteund voor: externe gebruikers (consumenten, zakelijke klanten) die gebruikmaken van selfserviceregistratie. - Accounts die zijn gemaakt door beheerders. |
| Id-providers voor externe gebruikers | Selfservice-aanmeldingsgasten: - Microsoft Entra-accounts- Microsoft-accounts - Eenmalige wachtwoordcode e-mailen- Google federation - Facebook-federatie Uitgenodigde gasten: - Microsoft Entra-accounts - Microsoft-accounts - Eenmalige wachtwoordcode e-mailen- Google federation - SAML/WS-Fed-federatie |
Selfservice-aanmeldingsgebruikers (consumenten, zakelijke klanten): - E-mail met wachtwoord- e-mail eenmalige wachtwoordcode - google federatie Facebook federatie - |
| Verificatiemethoden | - Interne gebruikers (werknemers en beheerders): hoe elke verificatiemethode werkt - Gasten (uitgenodigde of selfserviceregistratie): verificatiemethoden voor externe gebruikers |
Selfservice voor aanmeldingsgebruikers (consumenten, zakelijke klanten): - Eenmalige wachtwoordcode per e-mail verzenden |
| Groepen | Groepen kunnen worden gebruikt voor het beheren van beheerders- en gebruikersaccounts. | Groepen kunnen worden gebruikt voor het beheren van beheerdersaccounts. Ondersteuning voor Microsoft Entra-groepen en toepassingsrollen wordt gefaseerd in tenants van klanten. Zie Ondersteuning voor groepen en toepassingsrollen voor de nieuwste updates. |
| Rollen en beheerders | Rollen en beheerders worden volledig ondersteund voor beheerders- en gebruikersaccounts. | Rollen worden niet ondersteund met klantaccounts. Klantaccounts hebben geen toegang tot tenantbronnen. |
| Aangepaste domeinnamen | U kunt alleen aangepaste domeinen gebruiken voor beheerdersaccounts. | Momenteel niet ondersteund. De URL's die zichtbaar zijn voor klanten op registratie- en aanmeldingspagina's zijn echter neutrale, niet-merkbare URL's. Meer informatie |
| Identiteitsbeveiliging | Biedt doorlopende risicodetectie voor uw Microsoft Entra-tenant. Hiermee kunnen organisaties risico's op basis van identiteiten detecteren, onderzoeken en oplossen. | Er is een subset van de risicodetecties van Microsoft Entra ID Protection beschikbaar. Meer informatie. |
| Aangepaste verificatie-extensie | Claims van externe systemen toevoegen. | Claims van externe systemen toevoegen. |
| Tokenaanpassing | Voeg gebruikerskenmerken, aangepaste verificatie-extensie (preview), claimtransformatie en lidmaatschapsclaims van beveiligingsgroepen toe. | Voeg gebruikerskenmerken, aangepaste verificatie-extensie en lidmaatschap van beveiligingsgroepen toe aan tokenclaims.Meer informatie. |
| Self-service voor wachtwoord opnieuw instellen | Gebruikers toestaan hun wachtwoord opnieuw in te stellen met maximaal twee verificatiemethoden (zie de volgende rij voor beschikbare methoden). | Gebruikers toestaan hun wachtwoord opnieuw in te stellen via e-mail met eenmalige wachtwoordcode. Meer informatie. |
| Taal aanpassen | Pas de aanmeldingservaring aan op basis van browsertaal wanneer gebruikers zich verifiëren bij uw bedrijfsintranet of webtoepassingen. | Gebruik talen om de tekenreeksen te wijzigen die worden weergegeven voor uw klanten als onderdeel van het aanmeldings- en registratieproces. Meer informatie. |
| Aangepaste kenmerken | Gebruik kenmerken van directory-extensies om meer gegevens op te slaan in de Microsoft Entra-map voor gebruikersobjecten, groepen, tenantdetails en service-principals. | Gebruik kenmerken van de mapextensie om meer gegevens op te slaan in de directory van de klant voor gebruikersobjecten. Maak aangepaste gebruikerskenmerken en voeg deze toe aan uw gebruikersstroom voor registratie. Meer informatie. |
Id-providers
In de volgende tabel worden de beschikbare id-providers in elk type tenant vergeleken .
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Id-providers voor externe gebruikers | Voor selfservice-aanmeldingsgasten: - Microsoft Entra-accounts- Microsoft-accounts - Eenmalige wachtwoordcode e-mailen- Google federation- Facebook-federatie Voor uitgenodigde gasten: - Microsoft Entra-accounts - Microsoft-accounts - Eenmalige wachtwoordcode e-mailen- Google federation - SAML/WS-Fed-federatie |
Voor gebruikers met selfserviceregistratie (consumenten, zakelijke klanten): - E-mail met wachtwoord-e-mail- eenmalige wachtwoordcode - google federatie Facebook federatie - |
| Verificatiemethoden | Voor interne gebruikers (werknemers en beheerders): - Hoe elke verificatiemethode werkt voor gasten (uitgenodigde of selfserviceregistratie): - verificatiemethoden voor externe gebruikers |
Voor selfservicegebruikers (consumenten, zakelijke klanten): - eenmalige wachtwoordcode per e-mail verzenden |
Toepassingsregistratie
De volgende tabel vergelijkt de functies die beschikbaar zijn voor toepassingsregistratie in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Protocol | SAML-relying party's, OpenID-Verbinding maken en OAuth2 | OpenID Verbinding maken en OAuth2 |
| Ondersteunde accounttypen | De volgende accounttypen:
|
Gebruik altijd alleen accounts in deze organisatiemap (één tenant). |
| Platform | De volgende platforms:
|
Hetzelfde als het personeel. |
| Omleidings-URI's voor verificatie> | De URI's microsoft Entra-id accepteert als bestemmingen bij het retourneren van verificatiereacties (tokens) na het verifiëren of afmelden van gebruikers. | Hetzelfde als het personeel. |
| Afmeldings-URL voor front-kanaal verificatie> | Met deze URL verzendt Microsoft Entra ID een aanvraag om de toepassing de sessiegegevens van de gebruiker te laten wissen. De afmeldings-URL van het Front-kanaal is vereist om eenmalige afmelding correct te laten werken. | Hetzelfde als het personeel. |
| Impliciete verificatietoe>kennen en hybride stromen | Vraag een token rechtstreeks aan bij het autorisatie-eindpunt. | Hetzelfde als het personeel. |
| Certificaten en geheimen | Hetzelfde als het personeel. | |
| Tokenconfiguratie |
|
|
| API-machtigingen | Machtigingen voor een toepassing toevoegen, verwijderen en vervangen. Nadat machtigingen zijn toegevoegd aan uw toepassing, moeten gebruikers of beheerders toestemming geven voor de nieuwe machtigingen. Meer informatie over het bijwerken van de aangevraagde machtigingen van een app in Microsoft Entra ID. | Hier volgen de toegestane machtigingen: Microsoft Graphoffline_accessopenid, en User.Read uw gedelegeerde machtigingen voor Mijn API's. Alleen een beheerder kan namens de organisatie toestemming geven. |
| Een API beschikbaar maken | Definieer aangepaste bereiken om de toegang tot gegevens en functionaliteit te beperken die door de API worden beveiligd. Een toepassing die toegang tot onderdelen van deze API vereist, kan aanvragen dat een gebruiker of beheerder toestemming moet geven voor een of meer van deze bereiken. | Definieer aangepaste bereiken als u toegang wilt beperken tot gegevens en functionaliteit die door de API worden beschermd. Een toepassing die toegang tot onderdelen van deze API vereist, kan aanvragen dat de beheerder toestemming moet geven voor een of meer van deze bereiken. |
| App-rollen | App-rollen zijn aangepaste rollen om machtigingen toe te wijzen aan gebruikers of apps. De toepassing definieert en publiceert de app-rollen en interpreteert die als machtigingen tijdens de autorisatie. | Hetzelfde als het personeel. Meer informatie over het gebruik van op rollen gebaseerd toegangsbeheer voor toepassingen in een externe tenant. |
| Eigenaren | Eigenaren van toepassingen kunnen de registratie van de toepassing bekijken en bewerken. Bovendien kan elke gebruiker (die mogelijk niet wordt vermeld) met beheerdersbevoegdheden voor het beheren van toepassingen (bijvoorbeeld Global Beheer istrator, Cloud App Beheer istrator, enzovoort) de registratie van de toepassing bekijken en bewerken. | Hetzelfde als het personeel. |
| Rollen en beheerders | Beheer istratieve rollen worden gebruikt voor het verlenen van toegang voor bevoegde acties in Microsoft Entra-id. | Alleen de cloudtoepassingsrol Beheer istrator kan worden gebruikt voor apps in externe tenants. Deze rol verleent de mogelijkheid om alle aspecten van toepassingsregistraties en bedrijfstoepassingen te maken en te beheren. |
| Gebruikers en groepen toewijzen aan een app | Wanneer gebruikerstoewijzing is vereist, kunnen alleen de gebruikers die u aan de toepassing toewijst (via directe gebruikerstoewijzing of op basis van groepslidmaatschap) zich aanmelden. Zie Gebruikers en groepstoewijzingen beheren voor een toepassing voor meer informatie | Niet beschikbaar |
OpenID-Verbinding maken- en OAuth2-stromen
De volgende tabel vergelijkt de functies die beschikbaar zijn voor OAuth 2.0 en OpenID Verbinding maken autorisatiestromen in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| OpenID Connect | Ja | Ja |
| Autorisatiecode | Ja | Ja |
| Autorisatiecode met PKCE (Code Exchange) | Ja | Ja |
| Clientreferenties | Ja | v2.0-toepassingen |
| Apparaatautorisatie | Ja | Nr. |
| Namens-stroom | Ja | Ja |
| Impliciete toekenning | Ja | Ja |
| Wachtwoordreferenties van resource-eigenaar | Ja | Nr. |
URL van instantie in OpenID-Verbinding maken- en OAuth2-stromen
De URL van de instantie is een URL die een map aangeeft waaruit MSAL tokens kan aanvragen. Gebruik voor apps in externe tenants altijd de volgende indeling: <tenant-name.ciamlogin.com>
In de volgende JSON ziet u een voorbeeld van een .NET-toepassings-app-instellingen met een instantie-URL:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Voorwaardelijke toegang
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor voorwaardelijke toegang in elk type tenant.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Toewijzingen | Gebruikers, groepen en workloadidentiteiten | Alle gebruikers opnemen en gebruikers en groepen uitsluiten. Zie Meervoudige verificatie (MFA) toevoegen aan een app voor meer informatie. |
| Doelbronnen | ||
| Voorwaarden | ||
| Toekennen | Toegang tot resources verlenen of blokkeren | |
| Sessie | Sessiebesturingselementen | Niet beschikbaar |
Accountbeheer
De volgende tabel vergelijkt de functies die beschikbaar zijn voor gebruikersbeheer in elk type tenant. Zoals vermeld in de tabel, worden bepaalde accounttypen gemaakt via uitnodiging of selfserviceregistratie. Een gebruikersbeheerder in de tenant kan ook accounts maken via het beheercentrum.
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Typen accounts |
|
|
| Gebruikersprofielgegevens beheren | Programmatisch en met behulp van het Microsoft Entra-beheercentrum. | Hetzelfde als het personeel. |
| Het wachtwoord van een gebruiker opnieuw instellen | Beheer istrators kunnen het wachtwoord van een gebruiker opnieuw instellen als het wachtwoord wordt vergeten, als de gebruiker wordt vergrendeld van een apparaat of als de gebruiker nooit een wachtwoord heeft ontvangen. | Hetzelfde als het personeel. |
| Onlangs verwijderde gebruiker herstellen of verwijderen | Nadat u een gebruiker hebt verwijderd, blijft het account 30 dagen in de status Toegang tijdelijk ingetrokken. Tijdens de periode van 30 dagen kan het gebruikersaccount worden hersteld, samen met alle eigenschappen ervan. | Hetzelfde als het personeel. |
| Accounts uitschakelen | Voorkom dat de nieuwe gebruiker zich kan aanmelden. | Hetzelfde als het personeel. |
Wachtwoordbeveiliging
| Functie | Personeelstenant | Externe tenant |
|---|---|---|
| Slimme vergrendeling | Slimme vergrendeling helpt slechte actoren te vergrendelen die proberen de wachtwoorden van uw gebruikers te raden of brute force-methoden te gebruiken om binnen te komen | Hetzelfde als het personeel. |
| Aangepaste verboden wachtwoorden | Met de aangepaste lijst met verboden wachtwoorden van Microsoft Entra kunt u specifieke tekenreeksen toevoegen om te evalueren en te blokkeren. | Niet beschikbaar. |