Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Istnieją dwa sposoby konfigurowania dzierżawy Microsoft Entra w zależności od zamierzeń organizacji dotyczących korzystania z dzierżawy i zasobów, którymi chcą zarządzać:
- Konfiguracja dzierżawy zasobów pracowniczych dotyczy pracowników, wewnętrznych aplikacji biznesowych i innych zasobów organizacyjnych. Współpraca B2B jest używana w środowisku pracy do współpracy z zewnętrznymi partnerami biznesowymi i gośćmi.
- Konfiguracja dzierżawcy zewnętrznego jest używana wyłącznie w scenariuszach zewnętrznych identyfikatorów, w których chcesz publikować aplikacje dla konsumentów lub klientów biznesowych.
Ten artykuł zawiera szczegółowe porównanie funkcji i możliwości dostępnych dla pracowników i najemców zewnętrznych.
Note
W wersji zapoznawczej funkcje lub możliwości wymagające licencji Premium są niedostępne w dzierżawach zewnętrznych.
Ogólne porównanie funkcji
W poniższej tabeli porównuje się ogólne funkcje i możliwości dostępne w zasobach ludzkich i najemnikach zewnętrznych.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Scenariusz tożsamości zewnętrznych | Zezwól partnerom biznesowym i innym użytkownikom zewnętrznym na współpracę z pracownikami. Goście mogą bezpiecznie uzyskiwać dostęp do aplikacji biznesowych za pośrednictwem zaproszeń lub rejestracji samoobsługowej. | Użyj identyfikatora zewnętrznego, aby zabezpieczyć aplikacje. Klienci i klienci biznesowi mogą bezpiecznie uzyskiwać dostęp do aplikacji konsumenckich za pośrednictwem rejestracji samoobsługowej. Zaproszenia są również obsługiwane. |
| Konta lokalne | Konta lokalne są obsługiwane tylko dla wewnętrznych członków organizacji. | Konta lokalne są obsługiwane w następujących celach:
|
| Groups | Grupy mogą służyć do zarządzania kontami administracyjnymi i kontami użytkowników. | Grupy mogą służyć do zarządzania kontami administracyjnymi. Obsługa grup Microsoft Entra i ról aplikacji jest stopniowo wdrażana w dzierżawach klientów. Aby uzyskać najnowsze aktualizacje, zobacz Obsługa grup i ról aplikacji. |
| Role i administratorzy | Role i administratorzy są w pełni obsługiwane w przypadku kont administracyjnych i użytkowników. | Role są obsługiwane dla wszystkich użytkowników. Wszyscy użytkownicy w dzierżawie zewnętrznej mają uprawnienia domyślne , chyba że mają przypisaną rolę administratora. |
| Ochrona identyfikatorów | Zapewnia ciągłe wykrywanie ryzyka dla dzierżawy Microsoft Entra. Umożliwia ona organizacjom odnajdywanie, badanie i korygowanie zagrożeń opartych na tożsamościach. | Niedostępne |
| Zarządzanie identyfikatorami | Umożliwia organizacjom zarządzanie cyklami życia tożsamości i dostępu, a także zabezpieczanie dostępu uprzywilejowanego. Dowiedz się więcej. | Niedostępne |
| Samoobsługowe resetowanie haseł | Zezwalaj użytkownikom na resetowanie hasła przy użyciu maksymalnie dwóch metod uwierzytelniania (zobacz następny wiersz dla dostępnych metod). | Zezwalaj użytkownikom na resetowanie hasła przy użyciu poczty e-mail z jednorazowym kodem dostępu. Dowiedz się więcej. |
| Dostosowywanie języka | Dostosuj środowisko logowania na podstawie języka przeglądarki, gdy użytkownicy uwierzytelniają się w firmowych aplikacjach intranetowych lub internetowych. | Użyj języków, aby zmodyfikować ciągi wyświetlane klientom w ramach procesu logowania i rejestracji. Dowiedz się więcej. |
| Atrybuty niestandardowe | Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu Entra firmy Microsoft dla obiektów użytkowników, grup, szczegółów dzierżawy i jednostek usługi. | Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu klienta dla obiektów użytkownika. Utwórz niestandardowe atrybuty użytkownika i dodaj je do procesu rejestracji użytkownika. Dowiedz się więcej. |
| Pricing | Opłaty dla miesięcznych aktywnych użytkowników (MAU) dla zewnętrznych gości współpracy B2B (UserType=Guest). | Wycena miesięcznych aktywnych użytkowników (MAU) dla wszystkich użytkowników zewnętrznego najemcy, niezależnie od roli lub typu użytkownika. |
Dostosowywanie wyglądu i interfejsu
W poniższej tabeli porównano funkcje dostępne do dostosowywania wyglądu i stylu dla personelu i dzierżawców zewnętrznych.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Znakowanie firmowe | Możesz dodać znakowanie firmowe, które ma zastosowanie do wszystkich tych środowisk, aby utworzyć spójne środowisko logowania dla użytkowników. | Tak samo jak siła robocza. Dowiedz się więcej |
| Dostosowywanie języka | Dostosuj środowisko logowania według języka przeglądarki. | Tak samo jak siła robocza. Dowiedz się więcej |
| Niestandardowe nazwy domen | Domeny niestandardowe można używać tylko dla kont administracyjnych. | Funkcja niestandardowej domeny adresu URL dla zewnętrznych najemców umożliwia dostosowanie punktów końcowych logowania aplikacji za pomocą własnej nazwy domeny. |
| Uwierzytelnianie natywne dla aplikacji mobilnych | Niedostępne | Natywne uwierzytelnianie firmy Microsoft Entra umożliwia pełną kontrolę nad projektowaniem środowisk logowania do aplikacji mobilnych. |
Dodawanie własnej logiki biznesowej
Niestandardowe rozszerzenia uwierzytelniania umożliwiają dostosowanie środowiska uwierzytelniania firmy Microsoft Entra przez integrację z systemami zewnętrznymi. Niestandardowe rozszerzenie uwierzytelniania jest zasadniczo odbiornikiem zdarzeń, który po aktywowaniu wykonuje wywołanie HTTP do punktu końcowego interfejsu API REST, w którym definiujesz własną logikę biznesową. W poniższej tabeli porównaliśmy zdarzenia rozszerzeń uwierzytelniania niestandardowego dostępne dla pracowników i dzierżaw zewnętrznych.
| Event | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| TokenIssuanceStart | Dodawanie oświadczeń z systemów zewnętrznych. | Dodawanie oświadczeń z systemów zewnętrznych. |
| OnAttributeCollectionStart | Niedostępne | Występuje na początku kroku zbierania atrybutów, zanim strona zbierania atrybutów zostanie wyrenderowana. Możesz dodać akcje, takie jak wstępne wypełnianie wartości i wyświetlanie błędu blokowania. Dowiedz się więcej |
| OnAttributeCollectionSubmit | Niedostępne | Występuje podczas procesu rejestracji, po wprowadzeniu i przesłaniu danych przez użytkownika. Możesz dodawać akcje, takie jak weryfikowanie lub modyfikowanie wpisów użytkownika. Dowiedz się więcej |
| OnOtpSend | Niedostępne | Skonfiguruj niestandardowego dostawcę poczty e-mail dla zdarzeń wysyłania kodów jednorazowych. Dowiedz się więcej |
Dostawcy tożsamości i metody uwierzytelniania
W poniższej tabeli porównano dostawców tożsamości i metody dostępne dla uwierzytelniania podstawowego i wieloskładnikowego (MFA) w przypadku pracowników oraz najemców zewnętrznych.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Dostawcy tożsamości dla użytkowników zewnętrznych (uwierzytelnianie podstawowe) | Dla gości rejestrujących się samodzielnie — Konta Microsoft Entra — Konta Microsoft — Jednorazowe hasło e-mail — Federacja Google — Federacja Facebooka Dla zaproszonych gości — Konta Microsoft Entra — Konta Microsoft — Jednorazowy kod dostępu wysyłany e-mailem — Federacja Google — SAML/WS-Fed |
W przypadku użytkowników rejestracji samoobsługowej (użytkownicy, klienci biznesowi) - Metody uwierzytelniania dostępne w zewnętrznym identyfikatorze firmy Microsoft Dla zaproszonych gości (wersja zapoznawcza) Goście zaproszeni z rolą katalogu (na przykład administratorzy): - Konta Microsoft Entra - Konta Microsoft - E-mail jednorazowy kod dostępu - WS-Fed federacja SAML/ |
| Metody uwierzytelniania dla MFA |
Dla użytkowników wewnętrznych (pracowników i administratorów) - Metody uwierzytelniania i weryfikacji Dla gości (zaproszonych lub z własnym rejestracją) - Metody uwierzytelniania dla gości MFA |
W przypadku użytkowników rejestracji samoobsługowej (użytkownicy, klienci biznesowi) - Metody uwierzytelniania dostępne w Microsoft Entra External ID Dla zaproszonych użytkowników (wersja zapoznawcza) - Jednorazowy kod dostępu przez e-mail - Uwierzytelnianie oparte na wiadomościach SMS |
Metody uwierzytelniania dostępne w zewnętrznym systemie identyfikacji Microsoft Entra
Niektóre metody uwierzytelniania mogą służyć jako podstawowy czynnik podczas logowania użytkowników do aplikacji, takich jak nazwa użytkownika i hasło. Inne metody uwierzytelniania są dostępne tylko jako czynnik pomocniczy. W poniższej tabeli opisano, kiedy można użyć metody uwierzytelniania podczas logowania, rejestracji samoobsługowej, samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego (MFA) w usłudze Microsoft Entra external ID.
| Method | Sign-in | Sign-up | Resetowanie hasła | MFA |
|---|---|---|---|---|
| E-mail z hasłem | 
|
|
||
| Jednorazowy kod dostępu poczty e-mail |
|
|
|
|
| Uwierzytelnianie oparte na wiadomościACH SMS |
|
|||
| Federacja firmy Apple |
|
|
||
| Federacja serwisu Facebook |
|
|
||
| Federacja z firmą Google |
|
|
||
| Konto osobiste Microsoft (OpenID Connect) |
|
|
||
| Federacja openID Connect |
|
|
||
| Federacja SAML/WS-Fed |
|
|
Rejestrowanie aplikacji
W poniższej tabeli porównano funkcje dostępne do rejestrowania aplikacji w każdym typie najemcy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Protocol | Zaufane strony SAML, OpenID Connect i OAuth2 | usługi zaufane SAML, OpenID Connect, i OAuth2 |
| Obsługiwane typy kont | Następujące typy kont:
|
Zawsze używaj kont w tym katalogu organizacyjnym (pojedynczy dzierżawca). |
| Platform |
Następujące platformy:
|
Następujące platformy:
|
| Uwierzytelnianie>Identyfikatory URI przekierowania | Identyfikatory URI akceptowane przez Microsoft Entra ID jako miejsca docelowe do przesyłania odpowiedzi uwierzytelniania (tokenów) po pomyślnym uwierzytelnieniu lub wylogowaniu użytkowników. | Tak samo jak siła robocza. |
| Uwierzytelnianie>Adres URL wylogowywania z front-channel | Ten adres URL polega na tym, że identyfikator Entra firmy Microsoft wysyła żądanie, aby aplikacja wyczyściła dane sesji użytkownika. Adres URL wylogowywania kanału frontowego jest wymagany, aby jednokrotne wylogowanie działało poprawnie. | Tak samo jak siła robocza. |
| Implicitne udzielanie dostępu>i przepływy hybrydowe | Zażądaj tokenu bezpośrednio z punktu końcowego autoryzacji. | Tak samo jak siła robocza. |
| Certyfikaty i wpisy tajne | Wiele poświadczeń: | Tak samo jak siła robocza. |
| Certyfikaty i tajemnice>Rotacja | Zaktualizuj poświadczenia klienta, aby upewnić się, że pozostają prawidłowe i bezpieczne, podczas gdy użytkownicy mogą nadal logować się. Certyfikaty, wpisy tajne i poświadczenia federacyjne można obracać przez dodanie nowego, a następnie usunięcie starego. | Tak samo jak siła robocza. |
| Certyfikaty i wpisy tajne>Polityka | Skonfiguruj zasady zarządzania aplikacjami w celu wymuszania ograniczeń dotyczących danych tajnych i certyfikatów. | Niedostępne |
| Uprawnienia interfejsu API | Dodawanie, usuwanie i zastępowanie uprawnień do aplikacji. Po dodaniu uprawnień do aplikacji użytkownicy lub administratorzy muszą wyrazić zgodę na nowe uprawnienia. Dowiedz się więcej o aktualizowaniu żądanych uprawnień aplikacji w identyfikatorze Entra firmy Microsoft. | Poniżej znajdują się dozwolone uprawnienia: Microsoft Graph offline_access, openid, User.Read oraz uprawnienia delegowane w ramach Moje interfejsy API. Tylko administrator może wyrazić zgodę w imieniu organizacji. |
| Uwidacznianie interfejsu API | Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody użytkownika lub administratora na co najmniej jeden z tych zakresów. | Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody administratora na co najmniej jeden z tych zakresów. |
| Owners | Właściciele aplikacji mogą wyświetlać i edytować rejestrację aplikacji. Ponadto każdy użytkownik (który może nie być wymieniony) z uprawnieniami administracyjnymi do zarządzania dowolną aplikacją (na przykład administrator aplikacji w chmurze) może wyświetlać i edytować rejestrację aplikacji. | Tak samo jak siła robocza. |
| Role i administratorzy | Role administracyjne są używane do udzielania dostępu do akcji uprzywilejowanych w usłudze Microsoft Entra ID. | Tylko rola Administrator aplikacji w chmurze może być używana dla aplikacji w dzierżawach zewnętrznych. Ta rola umożliwia tworzenie wszystkich aspektów rejestracji aplikacji i aplikacji dla przedsiębiorstw oraz zarządzanie nimi. |
Kontrola dostępu dla aplikacji
W poniższej tabeli porównaliśmy funkcje dostępne do autoryzacji aplikacji w każdym typie dzierżawy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Kontrola dostępu oparta na rolach (RBAC) | Role aplikacji można definiować dla aplikacji i przypisywać te role do użytkowników i grup. Microsoft Entra ID zawiera role użytkowników w tokenie zabezpieczającym. Aplikacja może następnie podejmować decyzje dotyczące autoryzacji na podstawie wartości w tokenie zabezpieczającym. | Tak samo jak siła robocza. Dowiedz się więcej o korzystaniu z kontroli dostępu opartej na rolach dla aplikacji w dzierżawie zewnętrznej. Aby uzyskać dostępne funkcje, zobacz obsługa grup i ról aplikacji. |
| Grupy zabezpieczeń | Możesz używać grup zabezpieczeń do implementowania RBAC w swoich aplikacjach, gdzie członkostwo użytkownika w określonych grupach jest interpretowane jako jego członkostwo w rolach. Identyfikator entra firmy Microsoft obejmuje członkostwo w grupie użytkowników w tokenie zabezpieczającym. Aplikacja może następnie podejmować decyzje dotyczące autoryzacji na podstawie wartości w tokenie zabezpieczającym. | Tak samo jak siła robocza. Opcjonalne oświadczenia grup są ograniczone do identyfikatora obiektu grupy. |
| Kontrola dostępu oparta na atrybutach (ABAC) | Aplikację można skonfigurować tak, aby uwzględniała atrybuty użytkownika w tokenie dostępu. Aplikacja może następnie podejmować decyzje dotyczące autoryzacji na podstawie wartości w tokenie zabezpieczającym. Aby uzyskać więcej informacji, zobacz Dostosowywanie tokenu. | Tak samo jak siła robocza. |
| Wymagane przypisanie użytkownika | Jeśli wymagane jest przypisanie użytkownika, będą mogli się zalogować tylko użytkownicy przypisani do aplikacji (przez bezpośrednie przypisanie użytkownika lub na podstawie członkostwa w grupie). Aby uzyskać więcej informacji, zobacz Zarządzanie przypisaniem użytkowników i grup do aplikacji | Tak samo jak siła robocza. Aby uzyskać szczegółowe informacje, zobacz obsługa grup i ról aplikacji. |
Aplikacje dla przedsiębiorstw
W poniższej tabeli porównano unikatowe funkcje dostępne dla rejestracji aplikacji dla przedsiębiorstw dla pracowników i dzierżaw zewnętrznych.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Galeria aplikacji | Galeria aplikacji zawiera tysiące aplikacji, które są wstępnieintegrowane z identyfikatorem Entra firmy Microsoft. | Wybierz spośród wielu wstępnie zintegrowanych aplikacji. Aby znaleźć aplikację innej firmy, użyj paska wyszukiwania. Wykaz galerii aplikacji nie jest jeszcze dostępny. |
| Rejestrowanie niestandardowej aplikacji dla przedsiębiorstw | Dodaj aplikację dla przedsiębiorstw. | Zarejestruj aplikację SAML w dzierżawie zewnętrznej. |
| Samoobsługowe przypisywanie aplikacji | Zezwalaj użytkownikom na samodzielne odnajdywanie aplikacji. | Przypisanie aplikacji samoobsługowej w portalu Moje aplikacje jest niedostępne. |
| Proxy aplikacji | Serwer proxy aplikacji Entra firmy Microsoft zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji internetowych. | Niedostępne. |
Funkcje zgody i uprawnień dla aplikacji dla przedsiębiorstw
W poniższej tabeli przedstawiono, które funkcje zgody i uprawnień są dostępne dla aplikacji dla przedsiębiorstw w każdym typie dzierżawy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Zgoda administratora dla aplikacji dla przedsiębiorstw | Możesz udzielić uprawnień administratora na poziomie całego dzierżawcy, a także przejrzeć i odwołać je. | Tak samo jak siła robocza. |
| Zgoda użytkownika dla aplikacji dla przedsiębiorstw | Możesz skonfigurować sposób wyrażania zgody przez użytkowników na aplikacje i zaktualizować te uprawnienia. | Ograniczone do uprawnień, które nie wymagają zgody administratora. |
| Przeglądanie lub odwoływanie zgody administratora | Przeglądanie i odwoływanie uprawnień. | Użyj centrum administracyjnego firmy Microsoft Entra , aby odwołać zgodę administratora. |
| Przeglądanie lub odwoływanie zgody użytkownika | Przeglądanie i odwoływanie uprawnień. | Użyj interfejsu API programu Microsoft Graph lub programu PowerShell , aby odwołać zgodę użytkownika. |
| Przypisywanie użytkowników lub grup do aplikacji | Dostępem do aplikacji można zarządzać przypisując indywidualnie lub grupowo. Zagnieżdżone członkostwa w grupach nie są obsługiwane. | Tak samo jak siła robocza. |
| Kontrola dostępu oparta na rolach (RBAC) dla ról aplikacji | Role można definiować i przypisywać do szczegółowej kontroli dostępu. | Tak samo jak siła robocza. |
Przepływy OpenID Connect i OAuth2
W poniższej tabeli porównane są funkcje dostępne w przepływach autoryzacji OAuth 2.0 i OpenID Connect dla każdego typu dzierżawcy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| OpenID Connect | Yes | Yes |
| Kod autoryzacji | Yes | Yes |
| Kod autoryzacji za pomocą programu Code Exchange (PKCE) | Yes | Yes |
| Poświadczenia klienta | Yes | Aplikacje w wersji 2.0 (wersja zapoznawcza) |
| Autoryzacja urządzenia | Yes | Preview |
| Przepływ „w imieniu” | Yes | Yes |
| Implicitne przyznanie | Yes | Yes |
| Poświadczenia hasłowe właściciela zasobu | Yes | Nie, w przypadku aplikacji mobilnych użyj uwierzytelniania natywnego. |
Adres URL autoryzacji w przepływach OpenID Connect i OAuth2
Adres URL autorytetu to adres URL wskazujący katalog, z którego MSAL może żądać tokenów. W przypadku aplikacji w zewnętrznych dzierżawach należy zawsze używać następującego formatu: <nazwa-dzierżawy>.ciamlogin.com
Poniższy kod JSON przedstawia przykład pliku appsettings.json aplikacji .NET z adresem URL autorytetu:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Dostęp warunkowy
W poniższej tabeli porównaliśmy funkcje dostępne dla dostępu warunkowego w każdym typie dzierżawy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Assignments | Tożsamości użytkowników, grup i obciążeń | Uwzględnij wszystkich użytkowników i wyklucz użytkowników i grupy. Aby uzyskać więcej informacji, zobacz Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji. |
| Zasoby docelowe | ||
| Conditions | ||
| Grant | Udzielanie lub blokowanie dostępu do zasobów | |
| Session | Kontrolki sesji | Niedostępne |
Zasady użytkowania
W poniższej tabeli porównaliśmy funkcje dostępne dla zasad użytkowania w każdym typie dzierżawy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Zasady dostępu warunkowego | Warunki użytkowania usługi Microsoft Entra | Niedostępne |
| Rejestracja samoobsługowa | Niedostępne | Dodaj wymagany atrybut połączony z zasadami użytkowania na stronie rejestracji. Hiperlink można dostosować do obsługi różnych języków. |
| Strona logowania | Linki, które można dodać do prawego dolnego rogu, aby uzyskać informacje o ochronie prywatności przy użyciu znakowania firmowego. | Tak samo jak siła robocza. |
Zarządzanie kontami
W poniższej tabeli porównaliśmy funkcje dostępne do zarządzania użytkownikami w każdym typie dzierżawy. Jak wspomniano w tabeli, niektóre typy kont są tworzone za pośrednictwem zaproszenia lub rejestracji samoobsługowej. Administrator dzierżawcy może również tworzyć konta za pośrednictwem centrum administracyjnego.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Typy kont |
|
|
| Zarządzanie informacjami o profilu użytkownika |
|
Tak samo jak siła robocza, z wyjątkiem że synchronizacja między dzierżawami nie jest dostępna. |
| Resetowanie hasła użytkownika | Administratorzy mogą zresetować hasło użytkownika, jeśli hasło zostanie zapomniane, jeśli użytkownik zostanie zablokowany z urządzenia lub jeśli użytkownik nigdy nie otrzymał hasła. | Tak samo jak siła robocza. |
| Przywracanie lub usuwanie ostatnio usuniętego użytkownika | Po usunięciu użytkownika konto zostanie wstrzymane na 30 dni. Podczas tego 30-dniowego okresu można przywrócić konto użytkownika wraz ze wszystkimi jego właściwościami. | Tak samo jak siła robocza. |
| Wyłącz konta | Uniemożliwiać nowemu użytkownikowi logowanie się. | Tak samo jak siła robocza. |
Ochrona hasłem
W poniższej tabeli porównaliśmy funkcje dostępne do ochrony haseł w każdym typie dzierżawy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Inteligentna blokada | Inteligentna blokada pomaga zablokować złych aktorów, którzy próbują odgadnąć hasła użytkowników lub użyć metod siłowych, aby uzyskać dostęp | Tak samo jak siła robocza. |
| Niestandardowe zakazane hasła | Lista niestandardowych haseł zabronionych przez firmę Microsoft Entra umożliwia dodawanie określonych ciągów do oceny i blokowania. | Niedostępne. |
Dostosowywanie tokenu
W poniższej tabeli porównaliśmy funkcje dostępne do dostosowywania tokenu w każdym typie dzierżawy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Mapowanie oświadczeń | Dostosowywanie oświadczeń wystawionych w tokenie internetowym JSON (JWT) dla aplikacji dla przedsiębiorstw. | Tak samo jak siła robocza. Opcjonalne oświadczenia należy skonfigurować za pomocą atrybutów i oświadczeń. |
| Przekształcanie atrybutów | Zastosuj przekształcenie do atrybutu użytkownika zawartego w tokenie internetowym JSON (JWT) dla aplikacji korporacyjnych. | Tak samo jak siła robocza. |
| Niestandardowy dostawca roszczeń | Niestandardowe rozszerzenie uwierzytelniania, które wywołuje zewnętrzny interfejs API REST w celu pobrania oświadczeń z systemów zewnętrznych. | Tak samo jak siła robocza. Dowiedz się więcej |
| Grupy zabezpieczeń | Konfigurowanie opcjonalnych oświadczeń grupowych. | Konfigurowanie opcjonalnych oświadczeń grup jest ograniczone do identyfikatora obiektu grupy. |
| Okresy istnienia tokenu | Możesz określić okres istnienia tokenów zabezpieczających wystawionych przez identyfikator Entra firmy Microsoft. | Tak samo jak siła robocza. |
| Sesja i odwołanie tokenu | Administrator może unieważnić wszystkie tokeny odświeżania i sesję dla użytkownika. | Tak samo jak siła robocza. |
Jednokrotne logowanie
Logowanie jednokrotne (SSO) zapewnia bardziej bezproblemowe środowisko dzięki zmniejszeniu liczby żądań poświadczeń przez użytkownika. Użytkownicy po raz wprowadzają swoje poświadczenia, a ustanowiona sesja może zostać ponownie użyta przez inne aplikacje na tym samym urządzeniu i w przeglądarce internetowej bez dalszego monitowania. W poniższej tabeli porównano funkcje dostępne dla Single Sign-On (SSO) w każdym typie najemcy.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Typy rejestracji aplikacji |
|
|
| nazwa domeny | Po uwierzytelnieniu użytkownika plik cookie sesji jest ustawiany w domenie login.microsoftonline.com Microsoft Entra w przeglądarce internetowej. |
Po uwierzytelnieniu użytkownika plik cookie sesji jest ustawiany w domenie zewnętrznego identyfikatora firmy Microsoft lub <tenant-name>.ciamlogin.com adresu URL w przeglądarce internetowej. Aby zapewnić prawidłowe funkcje logowania jednokrotnego, użyj jednej domeny adresu URL. |
| Nie wylogowuj mnie | Możesz włączyć lub wyłączyć opcję pozostana zalogowanym . | Tak samo jak siła robocza. |
| Aprowizowanie użytkowników | Użyj automatycznej aprowizacji użytkowników z programem System for Cross-domain Identity Management (SCIM), aby zsynchronizować konta użytkowników między identyfikatorem zewnętrznym firmy Microsoft i obsługiwanymi aplikacjami. Dzięki temu dane użytkownika są aktualizowane automatycznie. Zarządzanie użytkownikami obsługuje zapytania przyrostowe. Te zapytania synchronizują tylko zmiany od ostatniej aktualizacji. Poprawia to wydajność i zmniejsza obciążenie systemu. | Tak samo jak siła robocza. |
| Unieważnienie sesji | Scenariusze, w których logowanie jednokrotne może zostać unieważnione, co wymaga ponownego uwierzytelnienia.
|
Tak samo jak siła robocza. |
| Dostęp warunkowy | Sprawdź sekcję Dostęp warunkowy . | Sprawdź sekcję Dostęp warunkowy . |
| Natywne uwierzytelnianie firmy Microsoft Entra | Niedostępne | Uwierzytelnianie natywne nie obsługuje jednokrotnego logowania (SSO). |
| Sign-out | Gdy aplikacja SAML lub OpenID Connect kieruje użytkownika do punktu końcowego wylogowania, identyfikator Entra firmy Microsoft usuwa i unieważnia sesję użytkownika z przeglądarki. | Tak samo jak siła robocza. |
| Wylogowanie jednokrotne | Po pomyślnym wylogowaniu identyfikator Entra firmy Microsoft wysyła powiadomienie o wylogowaniu do wszystkich innych aplikacji SAML i OpenID Connect , do których użytkownik jest zalogowany. | Tak samo jak siła robocza. |
Zintegrowane rozwiązania zabezpieczeń
Program Microsoft Entra External ID obsługuje zintegrowane funkcje zabezpieczeń i rozwiązania partnerskie ułatwiające ochronę tożsamości w całym cyklu życia. Te możliwości obejmują ochronę przed atakami typu "rozproszona odmowa usługi" (DDoS), zapobieganie oszustwom rejestracji i ujednolicone monitorowanie. pl-PL: Te rozwiązania można włączyć bezpośrednio w External ID i uzyskać dostęp do integracji z partnerami przez Microsoft Security Store. Takie podejście umożliwia organizacjom szybkie wdrażanie zaufanych narzędzi zabezpieczeń bez złożonej konfiguracji. Wszystkie te funkcje są dostępne w kreatorze w środowisku konsoli Magazynu zabezpieczeń.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Ochrona przed oszustwami rejestracji | Kreator doświadczenia Magazynu Zabezpieczeń jest niedostępny. | Użyj usługi Arkose Labs i HUMAN Security , aby chronić przed oszustwami dotyczącymi rejestracji i blokować automatyczne ataki botów. |
| Ochrona DDoS i WAF | Kreator doświadczenia Magazynu Zabezpieczeń jest niedostępny. | Użyj rozwiązań Cloudflare i Akamai , aby chronić przed atakami DDoS i zabezpieczać aplikacje za pomocą zapory aplikacji internetowej (WAF). |
| Analiza zabezpieczeń | Kreator doświadczenia Magazynu Zabezpieczeń jest niedostępny. | Użyj usług Azure Monitor i Microsoft Sentinel , aby włączyć monitorowanie jednym kliknięciem, analizę dzienników i zaawansowane wykrywanie zagrożeń. |
Akamai i Cloudflare
Usługi Akamai i Cloudflare zapewniają wiodącą w branży ochronę przed atakami DDoS, środki zaradcze i zaporę aplikacji internetowych (WAF), które pomagają bronić aplikacji przed złośliwym ruchem, obraźliwymi automatyzacjami i typowymi lukami w zabezpieczeniach sieci Web, takimi jak wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami (XSS) i ataki oparte na interfejsie API. Zintegrowanie dowolnej z usług z zewnętrznym identyfikatorem Microsoft Entra pozwala zastosować te mechanizmy kontroli zabezpieczeń w kontekście procesów uwierzytelniania dostępu przez klientów, co zwiększa odporność i zmniejsza eksponowanie na ataki z wykorzystaniem skradzionych poświadczeń oraz inne zagrożenia skierowane na tożsamość.
Dzienniki aktywności i raporty
W poniższej tabeli porównaliśmy funkcje dostępne dla dzienników aktywności i raportów w różnych typach dzierżaw.
| Feature | Najemca zasobów ludzkich | Zewnętrzny najemca |
|---|---|---|
| Dzienniki inspekcji | Szczegółowy raport wszystkich zdarzeń zarejestrowanych w identyfikatorze Entra firmy Microsoft, w tym modyfikacje aplikacji, grup i użytkowników. | Tak samo jak siła robocza. |
| Dzienniki logowania | Dzienniki logowań śledzą wszystkie aktywności logowania w dzierżawie Microsoft Entra, w tym dostęp do twoich aplikacji i zasobów. | Tak samo jak siła robocza. |
| Dzienniki rejestracji (wersja zapoznawcza) | Niedostępne | Identyfikator zewnętrzny firmy Microsoft rejestruje wszystkie zdarzenia rejestracji samoobsługowej, w tym zarówno pomyślne rejestracje, jak i nieudane próby rejestracji. |
| Dzienniki prowizjonowania | Logi aprowizacyjne zawierają szczegółowe zapisy zdarzeń związanych z aprowizacją wewnątrz dzierżawy, takich jak tworzenie kont użytkowników, aktualizacje i usuwanie. | Niedostępne |
| Dzienniki aktywności polityk retencji | Zasady przechowywania danych firmy Microsoft Entra określają, jak długo są przechowywane różne typy dzienników (takich jak inspekcja, logowanie i dzienniki aprowizacji). | Siedem dni |
| Eksportowanie dzienników aktywności | Za pomocą ustawień diagnostycznych w usłudze Microsoft Entra ID można zintegrować dzienniki z usługą Azure Monitor, przesyłać strumieniowo dzienniki do centrum zdarzeń lub integrować się z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). | Usługa Azure Monitor dla dzierżaw zewnętrznych (wersja zapoznawcza) |
| Raporty aktywności użytkowników aplikacji | Niedostępne | Aktywność użytkowników aplikacji zapewnia analizę sposobu interakcji użytkowników z zarejestrowanymi aplikacjami w dzierżawcy. Śledzi metryki, takie jak aktywni użytkownicy, nowi użytkownicy, logowania i współczynniki powodzenia uwierzytelniania wieloskładnikowego (MFA). |
Interfejsy API programu Microsoft Graph
Wszystkie funkcje obsługiwane w dzierżawach zewnętrznych są również obsługiwane w ramach automatyzacji za pośrednictwem interfejsów API programu Microsoft Graph. Niektóre funkcje dostępne w wersji zapoznawczej w dzierżawach zewnętrznych mogą być ogólnie dostępne za pośrednictwem programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamością firmy Microsoft i dostępem do sieci przy użyciu programu Microsoft Graph.