Recursos com suporte na ID externa do Microsoft Entra (versão prévia)
A ID externa do Microsoft Entra é projetada para empresas que desejam disponibilizar aplicativos para seus clientes usando a plataforma Microsoft Entra para identidade e acesso. Com a introdução desse recurso, o Microsoft Entra agora oferece dois tipos diferentes de locatários que você pode criar e gerenciar:
Um locatário da força de trabalho contém seus funcionários e os aplicativos e recursos internos da sua organização. Se você trabalhou com o Microsoft Entra ID, esse é um tipo de locatário com o qual você já está familiarizado. Talvez você já tenha um locatário da força de trabalho existente para sua organização.
Um locatário externo representa seu aplicativo voltado para o cliente, recursos e diretório de contas de clientes. um locatário externo é distinto e separado do locatário da força de trabalho.
Importante
A ID externa do Microsoft Entra para aplicativos voltados para o exterior está atualmente em versão prévia. Consulte os Termos de Licença Universais para Serviços Online para obter os termos legais que se aplicam aos recursos e serviços do Azure que estão em versão beta, versão prévia ou não estão disponíveis de outra forma.
Compare as capacidades da força de trabalho e do locatário externo
Embora os locatários da força de trabalho e os locatários externos sejam criados na mesma plataforma Microsoft Entra subjacente, há algumas diferenças de recursos. A tabela a seguir compara os recursos disponíveis em cada tipo de locatário.
Observação
Durante a versão prévia, os recursos ou capacidades que exigem uma licença premium ficam indisponíveis em locatários externos.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Cenário de identidades externas | Permita que parceiros de negócios e outros usuários externos colaborem com sua força de trabalho. Os convidados podem acessar com segurança seus aplicativos de negócios por meio de convites ou inscrição de autoatendimento. | Use o ID externo para proteger seus aplicativos externos. Consumidores e clientes empresariais podem acessar com segurança seus aplicativos de consumo por meio de inscrição de autoatendimento. Também há suporte para convites (versão prévia). |
| Contas locais | As contas locais são suportadas apenas por membros internos da sua organização. | Contas locais são suportadas para: - Usuários externos (consumidores, clientes empresariais) que usam inscrição de autoatendimento. - Contas criadas por administradores. |
| Provedores de identidade para usuários externos | Convidados com inscrição de autoatendimento: - Contas Microsoft Entra - Contas Microsoft - Senha de uso único por email - Federação do Google - Federação do Facebook Convidados: - Contas Microsoft Entra - Contas Microsoft - Senha de uso único por email - Federação Google - Federação SAML/WS-Fed |
Usuários com inscrição de autoatendimento (consumidores, clientes empresariais): - Email com senha - Senha de uso único por email - Federação do Google - Federação do Facebook |
| Métodos de autenticação | - Usuários internos (funcionários e administradores): Como funciona cada método de autenticação - Convidados (convidados ou inscrição por autoatendimento): Métodos de autenticação para usuários externos |
Usuários com inscrição de autoatendimento (consumidores, clientes empresariais): - senha única por email |
| Grupos | Grupos podem ser usados para gerenciar contas administrativas e de usuário. | Grupos podem ser usados para gerenciar contas administrativas. A compatibilidade com grupos e funções de aplicativo do Microsoft Entra está sendo implementada em fases nos locatários do cliente. Para obter as atualizações mais recentes, confira Suporte a grupos e funções de aplicativo. |
| Funções e administradores | Funções e administradores têm suporte total para contas administrativas e de usuário. | Não há suporte para funções com contas de cliente. As contas de cliente não têm acesso aos recursos de locatário. |
| Nomes de domínio personalizados | Você só pode usar domínios personalizados para contas administrativas. | Não há suporte no momento. No entanto, as URLs visíveis para os clientes nas páginas de inscrição e entrada são URLs neutras e sem identidade visual. Saiba mais |
| Proteção de identidade | Fornece detecção de risco contínua para seu locatário do Microsoft Entra. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. | Um subconjunto das detecções de risco do Microsoft Entra ID Protection está disponível. Saiba mais. |
| Ler extensões de autenticação personalizadas | Adicione as declarações de sistemas externos. | Adicionar declarações de sistemas externos. |
| Personalização de token | Adicione atributos de usuário, extensão de autenticação personalizada (versão prévia), transformação de declarações e associação de grupos de segurança a declarações de token. | Adicione atributos de usuário, extensão de autenticação personalizada e associação de grupos de segurança a declarações de token. Saiba mais. |
| Redefinição de senha de autoatendimento | Permita que os usuários redefinam a senha usando até dois métodos de autenticação (confira a próxima linha para ver os métodos disponíveis). | Permita que os usuários redefinam a senha usando o email com uma senha de uso único. Saiba mais. |
| Identidade visual da empresa | Seu locatário do Microsoft Entra é compatível com a aparência da Microsoft como um estado padrão para a experiência de autenticação. Os administradores podem personalizar a experiência de entrada padrão da Microsoft. | A Microsoft fornece uma marca neutra como padrão para o locatário externo, que pode ser personalizada para atender às necessidades específicas da sua empresa. A marca padrão do locatário externo é neutra e não inclui nenhuma marca existente da Microsoft. Saiba mais. |
| Personalização de linguagem | Personalize a experiência de entrada com base no idioma do navegador, quando os usuários se autenticarem nos seus aplicativos corporativos baseados na Intranet ou na Web. | Use idiomas para modificar as cadeias de caracteres exibidas para seus clientes como parte do processo de entrada e inscrição. Saiba mais. |
| Atributos personalizados | Use atributos de extensão de diretório para armazenar mais dados no diretório do Microsoft Entra para objetos de usuário, grupos, detalhes do locatário e entidades de serviço. | Use atributos de extensão de diretório para armazenar mais dados no diretório do cliente para objetos de usuário. Crie atributos de usuário personalizados e adicione-os ao fluxo de usuário de inscrição. Saiba mais. |
Registro de aplicativo
A tabela a seguir compara os recursos disponíveis para Registro de aplicativo em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Protocolo | Partes confiáveis do SAML, OpenID Connect e OAuth2 | OpenID Connect e OAuth2 |
| Tipos de conta compatíveis | Os seguintes tipos de conta:
|
Para aplicativos voltados para o cliente, sempre use Contas somente neste diretório organizacional (locatário único). |
| Plataforma | As seguintes plataformas:
|
O mesmo que a força de trabalho. |
| Autenticação>URIs de Redirecionamento | Os URIs do Microsoft Entra ID aceitam como destinos ao retornar respostas de autenticação (tokens) após autenticar ou desconectar com êxito os usuários. | O mesmo que a força de trabalho. |
| Autenticação>URL de logoff de front-channel | Essa URL do Microsoft Entra ID envia uma solicitação para que o aplicativo limpe os dados da sessão do usuário. A URL de logoff de front-channel é necessária para que a saída única funcione corretamente. | O mesmo que a força de trabalho. |
| Autenticação>Concessão implícita e fluxos híbridos | Solicite um token diretamente do ponto de extremidade da autorização. | O mesmo que a força de trabalho. |
| Certificados e segredos | O mesmo que a força de trabalho. | |
| Configuração do token |
|
|
| Permissões da API | Adicionar, remover e substituir permissões a um aplicativo. Após as permissões serem adicionadas ao seu aplicativo, os usuários ou administradores precisam dar o consentimento de acesso às novas permissões. Saiba mais sobre a Atualização das permissões solicitadas de um aplicativo no Microsoft Entra ID. | Para aplicativos voltados para o cliente, veja a seguir as permissões: offline_access, openid, e User.Read do Microsoft Graph e permissões delegadas de Minhas APIs. Apenas um administrador pode fornecer consentimento em nome da organização. |
| Expor uma API | Definir escopos personalizados para restringir o acesso a dados e funcionalidades protegidas pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um usuário ou administrador consinta com um ou mais desses escopos. | Defina escopos personalizados para restringir o acesso aos dados e à funcionalidade protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um administrador consinta com um ou mais desses escopos. |
| Funções de aplicativo | Funções de aplicativo são funções personalizadas para atribuir permissões a usuários ou aplicativos. O aplicativo define e publica as funções do aplicativo e as interpreta como permissões durante a autorização. | O mesmo que a força de trabalho. Saiba mais sobre usar controle de acesso baseado em função para aplicativos em um locatário externo. |
| Proprietários | Os proprietários de aplicativos podem exibir e editar o registro de aplicativo. Além disso, qualquer usuário (pode não estar listado) com privilégios administrativos para gerenciar qualquer aplicativo (por exemplo, Administrador Global, Administrador de Aplicativo em Nuvem etc.) pode visualizar e editar o registro de aplicativo. | O mesmo que a força de trabalho. |
| Funções e administradores | Funções administrativas são usadas para conceder acesso a ações privilegiadas no Microsoft Entra ID. | Somente a função Administrador de Aplicativo de Nuvem pode ser usada para aplicativos voltados para o cliente. Essa função concede a capacidade de criar e gerenciar todos os aspectos dos registros de aplicativos e aplicativos empresariais. |
| Atribuição de usuários e grupos a um aplicativo | Quando a atribuição de usuário é necessária, somente aqueles atribuídos ao aplicativo (por meio da atribuição de usuário direta ou com base na associação de grupo) poderão entrar. Para obter mais informações, confira Gerenciar a atribuição de usuários e grupos a um aplicativo | Não disponível |
Fluxos do OpenID Connect e OAuth2
A tabela a seguir compara os recursos disponíveis para fluxos de autorização do OAuth 2.0 e do OpenID Connect em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| OpenID Connect | Sim | Yes |
| Código de autorização | Sim | Yes |
| Código de autorização com a Troca de Código (PKCE) | Sim | Yes |
| Credenciais de cliente | Sim | Aplicativos v2.0 |
| Autorização de dispositivo | Sim | Não |
| Fluxo Em nome de | Sim | Yes |
| Concessão implícita | Sim | Yes |
| Credenciais da Senha de Proprietário do Recurso | Sim | Não |
URL de Autoridade nos Fluxos do OpenID Connect e OAuth2
A URL autoridade é uma URL que indica um diretório do qual o MSAL pode solicitar tokens. Para aplicativos voltados para o cliente, sempre use o seguinte formato: <tenant-name>.ciamlogin.com
O JSON a seguir mostra um exemplo de configurações de aplicativo .NET com uma URL de autoridade:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acesso Condicional
A tabela a seguir compara os recursos disponíveis para Acesso Condicional em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Atribuições | Usuários, grupos e identidades de carga de trabalho | Inclua todos os usuários e exclua usuários e grupos. Para obter mais informações, Adicione a MFA (autenticação multifator) a um aplicativo voltado para o cliente. |
| Recursos de destino | ||
| Condições | ||
| Conceder | Conceder ou bloquear o acesso aos recursos | |
| Sessão | Controles de sessão | Não disponível |
Gerenciamento de conta
A tabela a seguir compara os recursos disponíveis para gerenciamento de usuário em cada tipo de locatário. Conforme observado na tabela, determinados tipos de conta são criados por meio de convite ou inscrição de autoatendimento. Um administrador de usuário no locatário também pode criar contas por meio do centro de administração.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Tipos de contas |
|
|
| Gerenciar informações de perfil do usuário | De forma programática e usando o centro de administração do Microsoft Entra. | O mesmo que a força de trabalho. |
| Redefinir a senha de um usuário | Os administradores podem redefinir a senha de um usuário se a senha for esquecida, se o usuário for bloqueado de um dispositivo ou se o usuário nunca recebeu uma senha. | O mesmo que a força de trabalho. |
| Restaurar ou remover um usuário excluído recentemente | Depois que você excluir um usuário, a conta permanecerá em um estado suspenso por 30 dias. Durante essa janela de 30 dias, a conta do usuário pode ser restaurada, juntamente com todas as suas propriedades. | O mesmo que a força de trabalho. |
| Desabilitar contas | Impedir que o novo usuário possa entrar. | O mesmo que a força de trabalho. |
Proteção por senha
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Bloqueio inteligente | O bloqueio inteligente ajuda a bloquear atores mal-intencionados que tentam adivinhar as senhas dos usuários ou usar métodos de força bruta para entrar | O mesmo que a força de trabalho. |
| Senhas proibidas personalizadas | A lista de senhas proibidas personalizadas do Microsoft Entra permite que você adicione cadeias de caracteres específicas para avaliar e bloquear. | Não disponível. |