Obsługiwane funkcje pracowników i dzierżaw zewnętrznych
Istnieją dwa sposoby konfigurowania dzierżawy firmy Microsoft Entra w zależności od tego, w jaki sposób organizacja zamierza korzystać z dzierżawy i zasobów, którymi chce zarządzać:
- Konfiguracja dzierżawy pracowników dotyczy pracowników, wewnętrznych aplikacji biznesowych i innych zasobów organizacji. Współpraca B2B jest używana w dzierżawie pracowników do współpracy z zewnętrznymi partnerami biznesowymi i gośćmi.
- Konfiguracja dzierżawy zewnętrznej jest używana wyłącznie w scenariuszach identyfikatorów zewnętrznych , w których chcesz publikować aplikacje dla klientów lub klientów biznesowych.
Ten artykuł zawiera szczegółowe porównanie funkcji i możliwości dostępnych dla pracowników i dzierżaw zewnętrznych.
Nuta
W wersji zapoznawczej funkcje lub możliwości wymagające licencji Premium są niedostępne w dzierżawach zewnętrznych.
Ogólne porównanie funkcji
W poniższej tabeli porównaliśmy ogólne funkcje i możliwości dostępne dla pracowników i dzierżaw zewnętrznych.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Scenariusz tożsamości zewnętrznych | Zezwól partnerom biznesowym i innym użytkownikom zewnętrznym na współpracę z pracownikami. Goście mogą bezpiecznie uzyskiwać dostęp do aplikacji biznesowych za pośrednictwem zaproszeń lub rejestracji samoobsługowej. | Użyj identyfikatora zewnętrznego, aby zabezpieczyć aplikacje. Klienci i klienci biznesowi mogą bezpiecznie uzyskiwać dostęp do aplikacji konsumenckich za pośrednictwem rejestracji samoobsługowej. Zaproszenia są również obsługiwane. |
| Konta lokalne | Konta lokalne są obsługiwane tylko dla wewnętrznych członków organizacji. | Konta lokalne są obsługiwane dla użytkowników zewnętrznych (konsumentów, klientów biznesowych), którzy korzystają z rejestracji samoobsługowej. — Konta utworzone przez administratorów. |
| Grupy | Grupy mogą służyć do zarządzania kontami administracyjnymi i kontami użytkowników. | Grupy mogą służyć do zarządzania kontami administracyjnymi. Obsługa grup i ról aplikacji firmy Microsoft jest stopniowo wdrażana w dzierżawach klientów. Aby uzyskać najnowsze aktualizacje, zobacz Obsługa grup i ról aplikacji. |
| Role i administratorzy | Role i administratorzy są w pełni obsługiwane w przypadku kont administracyjnych i użytkowników. | Role nie są obsługiwane w przypadku kont klientów. Konta klientów nie mają dostępu do zasobów dzierżawy. |
| Ochrona tożsamości | Zapewnia ciągłe wykrywanie ryzyka dla dzierżawy firmy Microsoft Entra. Umożliwia ona organizacjom odnajdywanie, badanie i korygowanie zagrożeń opartych na tożsamościach. | Dostępny jest podzestaw wykrywania ryzyka Ochrona tożsamości Microsoft Entra. Dowiedz się więcej. |
| Samoobsługowe resetowanie hasła | Zezwalaj użytkownikom na resetowanie hasła przy użyciu maksymalnie dwóch metod uwierzytelniania (zobacz następny wiersz dla dostępnych metod). | Zezwalaj użytkownikom na resetowanie hasła przy użyciu poczty e-mail z jednorazowym kodem dostępu. Dowiedz się więcej. |
| Dostosowywanie języka | Dostosuj środowisko logowania na podstawie języka przeglądarki, gdy użytkownicy uwierzytelniają się w firmowych aplikacjach intranetowych lub internetowych. | Użyj języków, aby zmodyfikować ciągi wyświetlane klientom w ramach procesu logowania i rejestracji. Dowiedz się więcej. |
| Atrybuty niestandardowe | Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu Entra firmy Microsoft dla obiektów użytkowników, grup, szczegółów dzierżawy i jednostek usługi. | Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu klienta dla obiektów użytkownika. Utwórz niestandardowe atrybuty użytkownika i dodaj je do przepływu użytkownika rejestracji. Dowiedz się więcej. |
Dostosowywanie wyglądu i działania
W poniższej tabeli porównaliśmy funkcje dostępne do wyszukiwania i działania dostosowywania pracowników i dzierżaw zewnętrznych.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Znakowanie firmowe | Możesz dodać znakowanie firmowe, które ma zastosowanie do wszystkich tych środowisk, aby utworzyć spójne środowisko logowania dla użytkowników. | Tak samo jak pracownicy. Dowiedz się więcej |
| Dostosowywanie języka | Dostosuj środowisko logowania według języka przeglądarki. | Tak samo jak pracownicy. Dowiedz się więcej |
| Niestandardowe nazwy domen | Domeny niestandardowe można używać tylko dla kont administracyjnych. | Funkcja niestandardowej domeny adresu URL (wersja zapoznawcza) dla dzierżaw zewnętrznych umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej nazwy domeny. |
| Uwierzytelnianie natywne dla aplikacji mobilnych | Niedostępne | Natywne uwierzytelnianie firmy Microsoft Entra umożliwia pełną kontrolę nad projektowaniem środowisk logowania do aplikacji mobilnych. |
Dodawanie własnej logiki biznesowej
Niestandardowe rozszerzenia uwierzytelniania umożliwiają dostosowanie środowiska uwierzytelniania firmy Microsoft Entra przez integrację z systemami zewnętrznymi. Niestandardowe rozszerzenie uwierzytelniania jest zasadniczo odbiornikiem zdarzeń, który po aktywowaniu wykonuje wywołanie HTTP do punktu końcowego interfejsu API REST, w którym definiujesz własną logikę biznesową. W poniższej tabeli porównaliśmy zdarzenia rozszerzeń uwierzytelniania niestandardowego dostępne dla pracowników i dzierżaw zewnętrznych.
| Zdarzenie | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| TokenIssuanceStart | Dodawanie oświadczeń z systemów zewnętrznych. | Dodawanie oświadczeń z systemów zewnętrznych. |
| OnAttributeCollectionStart | Niedostępne | Występuje na początku kroku zbierania atrybutów rejestracji przed renderowaniem strony kolekcji atrybutów. Możesz dodać akcje, takie jak wstępne wypełnianie wartości i wyświetlanie błędu blokowania. Dowiedz się więcej |
| OnAttributeCollectionSubmit | Niedostępne | Występuje podczas przepływu rejestracji, po wprowadzeniu i przesłaniu atrybutów przez użytkownika. Możesz dodawać akcje, takie jak weryfikowanie lub modyfikowanie wpisów użytkownika. Dowiedz się więcej |
Dostawcy tożsamości i metody uwierzytelniania
W poniższej tabeli porównaliśmy dostawców tożsamości i metody dostępne dla uwierzytelniania podstawowego i uwierzytelniania wieloskładnikowego (MFA) pracowników i dzierżaw zewnętrznych.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Dostawcy tożsamości dla użytkowników zewnętrznych (uwierzytelnianie podstawowe) | W przypadku gości rejestracji samoobsługowej — Konta Microsoft Entra — Konta Microsoft — Jednorazowe hasło e-mail — federacja Google — federacja serwisu Facebook Dla zaproszonych gości — Konta Microsoft Entra — Konta Microsoft — Jednorazowy kod dostępu e-mail — Federacja Google — SAML/WS-Fed |
W przypadku użytkowników rejestracji samoobsługowej (użytkowników, klientów biznesowych) - Poczta e-mail z hasłem - jednorazowej federacji Google (wersja zapoznawcza)Federacja Facebook (wersja zapoznawcza) - Dla zaproszonych gości (wersja zapoznawcza) Goście zaproszeni z rolą katalogu (na przykład administratorzy): - Konta Microsoft Entra — Konta - Microsoft E-mail jednorazowy kod dostępu |
| Metody uwierzytelniania dla uwierzytelniania wieloskładnikowego | W przypadku użytkowników wewnętrznych (pracowników i administratorów) metody uwierzytelniania i weryfikacji dla gości (zaproszonych lub samoobsługowych rejestracji)- - Metody uwierzytelniania gościa uwierzytelniania wieloskładnikowego |
W przypadku użytkowników rejestracji samoobsługowej (użytkowników, klientów biznesowych) lub zaproszonych użytkowników (wersja zapoznawcza)- Wyślij wiadomość e-mail za pomocą jednorazowego uwierzytelniania sms z kodem dostępu - |
Rejestracja aplikacji
W poniższej tabeli porównaliśmy funkcje dostępne do rejestracji aplikacji w każdym typie dzierżawy.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Protokół | Jednostki uzależnione SAML, OpenID Connect i OAuth2 | OpenID Connect i OAuth2 |
| Obsługiwane typy kont | Następujące typy kont:
|
Zawsze używaj kont w tym katalogu organizacyjnym (tylko jedna dzierżawa). |
| Podest | Następujące platformy:
|
Następujące platformy:
|
| Identyfikatory URI przekierowania uwierzytelniania> | Identyfikatory URI firmy Microsoft entra są akceptowane jako miejsca docelowe podczas zwracania odpowiedzi uwierzytelniania (tokenów) po pomyślnym uwierzytelnieniu lub wylogowaniu użytkowników. | Tak samo jak pracownicy. |
| Adres URL wylogowywania kanału frontonu uwierzytelniania> | Ten adres URL polega na tym, że identyfikator Entra firmy Microsoft wysyła żądanie, aby aplikacja wyczyściła dane sesji użytkownika. Adres URL wylogowywania kanału frontonu jest wymagany, aby logowanie jednokrotne działało poprawnie. | Tak samo jak pracownicy. |
| Udzielanie niejawne uwierzytelniania>i przepływy hybrydowe | Zażądaj tokenu bezpośrednio z punktu końcowego autoryzacji. | Tak samo jak pracownicy. |
| Certyfikaty i wpisy tajne | Tak samo jak pracownicy. | |
| Uprawnienia interfejsu API | Dodawanie, usuwanie i zastępowanie uprawnień do aplikacji. Po dodaniu uprawnień do aplikacji użytkownicy lub administratorzy muszą wyrazić zgodę na nowe uprawnienia. Dowiedz się więcej o aktualizowaniu żądanych uprawnień aplikacji w identyfikatorze Entra firmy Microsoft. | Poniżej przedstawiono dozwolone uprawnienia: Uprawnienia delegowane programu Microsoft Graph offline_access, openidi User.Read moje interfejsy API. Tylko administrator może wyrazić zgodę w imieniu organizacji. |
| Uwidacznianie interfejsu API | Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody użytkownika lub administratora na co najmniej jeden z tych zakresów. | Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody administratora na co najmniej jeden z tych zakresów. |
| Role aplikacji | Role aplikacji to role niestandardowe do przypisywania uprawnień do użytkowników lub aplikacji. Aplikacja definiuje i publikuje role aplikacji i interpretuje je jako uprawnienia podczas autoryzacji. | Tak samo jak pracownicy. Dowiedz się więcej o korzystaniu z kontroli dostępu opartej na rolach dla aplikacji w dzierżawie zewnętrznej. |
| Właścicieli | Właściciele aplikacji mogą wyświetlać i edytować rejestrację aplikacji. Ponadto każdy użytkownik (który może nie być wymieniony) z uprawnieniami administracyjnymi do zarządzania dowolną aplikacją (na przykład administrator aplikacji w chmurze) może wyświetlać i edytować rejestrację aplikacji. | Tak samo jak pracownicy. |
| Role i administratorzy | Role administracyjne są używane do udzielania dostępu do akcji uprzywilejowanych w usłudze Microsoft Entra ID. | W przypadku aplikacji w dzierżawach zewnętrznych można używać tylko roli Administrator aplikacji w chmurze. Ta rola umożliwia tworzenie wszystkich aspektów rejestracji aplikacji i aplikacji dla przedsiębiorstw oraz zarządzanie nimi. |
| Przypisywanie użytkowników i grup do aplikacji | Jeśli przypisanie użytkownika jest wymagane, tylko ci użytkownicy przypisani do aplikacji (za pośrednictwem bezpośredniego przypisania użytkownika lub na podstawie członkostwa w grupie) mogą się zalogować. Aby uzyskać więcej informacji, zobacz Zarządzanie przypisaniem użytkowników i grup do aplikacji | Niedostępne |
Przepływy OpenID Connect i OAuth2
W poniższej tabeli porównaliśmy funkcje dostępne dla przepływów autoryzacji protokołu OAuth 2.0 i OpenID Connect w każdym typie dzierżawy.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| OpenID Connect | Tak | Tak |
| Kod autoryzacji | Tak | Tak |
| Kod autoryzacji za pomocą programu Code Exchange (PKCE) | Tak | Tak |
| Poświadczenia klienta | Tak | Aplikacje w wersji 2.0 (wersja zapoznawcza) |
| Autoryzacja urządzenia | Tak | Prapremiera |
| Przepływ w imieniu | Tak | Tak |
| Niejawne udzielanie | Tak | Tak |
| Poświadczenia hasła właściciela zasobu | Tak | Nie, w przypadku aplikacji mobilnych użyj uwierzytelniania natywnego. |
Adres URL urzędu w przepływach OpenID Connect i OAuth2
Adres URL urzędu to adres URL wskazujący katalog, z którego biblioteka MSAL może żądać tokenów. W przypadku aplikacji w dzierżawach zewnętrznych należy zawsze używać następującego formatu: <nazwa-dzierżawy.ciamlogin.com>
Poniższy kod JSON przedstawia przykład pliku appsettings.json aplikacji platformy .NET z adresem URL urzędu:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Dostęp warunkowy
W poniższej tabeli porównaliśmy funkcje dostępne dla dostępu warunkowego w każdym typie dzierżawy.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Przypisania | Tożsamości użytkowników, grup i obciążeń | Uwzględnij wszystkich użytkowników i wyklucz użytkowników i grupy. Aby uzyskać więcej informacji, zobacz Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji. |
| Zasoby docelowe | ||
| Warunki | ||
| Dotacja | Udzielanie lub blokowanie dostępu do zasobów | |
| Sesja | Kontrolki sesji | Niedostępne |
Zarządzanie kontami
W poniższej tabeli porównaliśmy funkcje dostępne do zarządzania użytkownikami w każdym typie dzierżawy. Jak wspomniano w tabeli, niektóre typy kont są tworzone za pośrednictwem zaproszenia lub rejestracji samoobsługowej. Administrator użytkownika w dzierżawie może również tworzyć konta za pośrednictwem centrum administracyjnego.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Typy kont |
|
|
| Zarządzanie informacjami o profilu użytkownika | Programowo i przy użyciu centrum administracyjnego firmy Microsoft Entra. | Tak samo jak pracownicy. |
| Resetowanie hasła użytkownika | Administratorzy mogą zresetować hasło użytkownika, jeśli hasło zostanie zapomniane, jeśli użytkownik zostanie zablokowany z urządzenia lub jeśli użytkownik nigdy nie otrzymał hasła. | Tak samo jak pracownicy. |
| Przywracanie lub usuwanie ostatnio usuniętego użytkownika | Po usunięciu użytkownika konto pozostaje w stanie wstrzymania przez 30 dni. W tym 30-dniowym oknie można przywrócić konto użytkownika wraz ze wszystkimi jego właściwościami. | Tak samo jak pracownicy. |
| Wyłączanie kont | Uniemożliwiać nowemu użytkownikowi logowanie się. | Tak samo jak pracownicy. |
Ochrona haseł
W poniższej tabeli porównaliśmy funkcje dostępne do ochrony haseł w każdym typie dzierżawy.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Inteligentna blokada | Inteligentna blokada pomaga zablokować złych aktorów, którzy próbują odgadnąć hasła użytkowników lub użyć metod siłowych, aby uzyskać dostęp | Tak samo jak pracownicy. |
| Niestandardowe zakazane hasła | Lista niestandardowych haseł zabronionych przez firmę Microsoft Entra umożliwia dodawanie określonych ciągów do oceny i blokowania. | Niedostępne. |
Dostosowywanie tokenu
W poniższej tabeli porównaliśmy funkcje dostępne do dostosowywania tokenu w każdym typie dzierżawy.
| Cecha | Dzierżawa pracowników | Dzierżawa zewnętrzna |
|---|---|---|
| Mapowanie oświadczeń | Dostosowywanie oświadczeń wystawionych w tokenie internetowym JSON (JWT) dla aplikacji dla przedsiębiorstw. | Tak samo jak pracownicy. Opcjonalne oświadczenia należy skonfigurować za pomocą atrybutów i oświadczeń. |
| Przekształcanie oświadczeń | Zastosuj przekształcenie do atrybutu użytkownika wystawionego w tokenie internetowym JSON (JWT) dla aplikacji dla przedsiębiorstw. | Tak samo jak pracownicy. |
| Niestandardowy dostawca oświadczeń | Niestandardowe rozszerzenie uwierzytelniania, które wywołuje zewnętrzny interfejs API REST w celu pobrania oświadczeń z systemów zewnętrznych. | Tak samo jak pracownicy. Dowiedz się więcej |
| Grupy zabezpieczeń | Konfigurowanie opcjonalnych oświadczeń grup. | Konfigurowanie opcjonalnych oświadczeń grup jest ograniczone do identyfikatora obiektu grupy. |
| Okresy istnienia tokenu | Możesz określić okres istnienia tokenów zabezpieczających wystawionych przez identyfikator Entra firmy Microsoft. | Tak samo jak pracownicy. |