Recursos compatíveis na força de trabalho e em locatários externos
Há duas maneiras de configurar um locatário do Microsoft Entra, dependendo de como a organização pretende usar o locatário e os recursos que deseja gerenciar:
- Uma configuração de locatário da força de trabalho é para seus funcionários, aplicativos empresariais internos e outros recursos organizacionais. A colaboração B2B é usada em um locatário da força de trabalho para colaborar com parceiros de negócios externos e convidados.
- Uma configuração de locatário externo é usada exclusivamente para cenários de ID externa, em que você deseja publicar aplicativos para consumidores ou clientes empresariais.
Este artigo fornece uma comparação detalhada dos recursos e funcionalidades disponíveis na força de trabalho e em locatários externos.
Observação
Durante a versão prévia, os recursos ou capacidades que exigem uma licença premium ficam indisponíveis em locatários externos.
Comparação geral de recursos
A tabela a seguir compara os recursos gerais e os recursos disponíveis na força de trabalho e em locatários externos.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Cenário de identidades externas | Permita que parceiros de negócios e outros usuários externos colaborem com sua força de trabalho. Os convidados podem acessar com segurança seus aplicativos de negócios por meio de convites ou inscrição de autoatendimento. | Use a ID externa para proteger seus aplicativos. Consumidores e clientes empresariais podem acessar com segurança seus aplicativos de consumo por meio de inscrição de autoatendimento. Convites também são suportados. |
| Contas locais | As contas locais são suportadas apenas por membros internos da sua organização. | Contas locais são suportadas para: - Usuários externos (consumidores, clientes empresariais) que usam inscrição de autoatendimento. - Contas criadas por administradores. |
| Grupos | Grupos podem ser usados para gerenciar contas administrativas e de usuário. | Grupos podem ser usados para gerenciar contas administrativas. A compatibilidade com grupos e funções de aplicativo do Microsoft Entra está sendo implementada em fases nos locatários do cliente. Para obter as atualizações mais recentes, confira Suporte a grupos e funções de aplicativo. |
| Funções e administradores | Funções e administradores têm suporte total para contas administrativas e de usuário. | Não há suporte para funções com contas de cliente. As contas de cliente não têm acesso aos recursos de locatário. |
| Proteção de identidade | Fornece detecção de risco contínua para seu locatário do Microsoft Entra. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. | Um subconjunto das detecções de risco do Microsoft Entra ID Protection está disponível. Saiba mais. |
| Redefinição de senha de autoatendimento | Permita que os usuários redefinam a senha usando até dois métodos de autenticação (confira a próxima linha para ver os métodos disponíveis). | Permita que os usuários redefinam a senha usando o email com uma senha de uso único. Saiba mais. |
| Personalização de linguagem | Personalize a experiência de entrada com base no idioma do navegador, quando os usuários se autenticarem nos seus aplicativos corporativos baseados na Intranet ou na Web. | Use idiomas para modificar as cadeias de caracteres exibidas para seus clientes como parte do processo de entrada e inscrição. Saiba mais. |
| Atributos personalizados | Use atributos de extensão de diretório para armazenar mais dados no diretório do Microsoft Entra para objetos de usuário, grupos, detalhes do locatário e entidades de serviço. | Use atributos de extensão de diretório para armazenar mais dados no diretório do cliente para objetos de usuário. Crie atributos de usuário personalizados e adicione-os ao fluxo de usuário de inscrição. Saiba mais. |
Personalização de aparência e sensação
A tabela a seguir compara os recursos disponíveis para personalização de aparência em locatários externos e de força de trabalho.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Identidade visual da empresa | Você pode adicionar a identidade visual da empresa que se aplica a todas essas experiências para criar uma experiência de entrada consistente para seus usuários. | O mesmo que a força de trabalho. Saiba mais |
| Personalização de linguagem | Personalize a experiência de entrada por idioma do navegador. | O mesmo que a força de trabalho. Saiba mais |
| Nomes de domínio personalizados | Você só pode usar domínios personalizados para contas administrativas. | O recurso de domínio de URL personalizado (versão prévia) para locatários externos permite marcar pontos de extremidade de entrada do aplicativo com seu próprio nome de domínio. |
| Autenticação nativa para aplicativos móveis | Não disponível | A autenticação nativa do Microsoft Entra permite que você tenha controle total sobre o design das experiências de entrada do aplicativo móvel. |
Adicionar sua própria lógica de negócios
As extensões de autenticação personalizadas permitem personalizar a experiência de autenticação do Microsoft Entra integrando-se a sistemas externos. Uma extensão de autenticação personalizada é essencialmente um ouvinte de eventos que, quando ativado, faz uma chamada HTTP para um ponto de extremidade da API REST em que você define a sua própria lógica de negócios. A tabela a seguir compara os eventos de extensões de autenticação personalizada disponíveis em locatários externos e de força de trabalho.
| Evento | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| TokenIssuanceStart | Adicionar declarações de sistemas externos. | Adicionar declarações de sistemas externos. |
| OnAttributeCollectionStart | Não disponível | Ocorre no início da etapa de coleção de atributos da inscrição, antes que a página da coleção de atributos seja renderizada. Você pode adicionar ações como pré-preenchimento de valores e exibição de um erro de bloqueio. Saiba mais |
| OnAttributeCollectionSubmit | Não disponível | Ocorre durante o fluxo de inscrição, depois que o usuário insere e envia atributos. Você pode adicionar ações como validar ou modificar as entradas do usuário. Saiba mais |
Provedores de identidade e métodos de autenticação
A tabela a seguir compara os provedores de identidade e os métodos disponíveis para autenticação primária e autenticação multifator (MFA) em locatários externos e na força de trabalho.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Provedores de identidade para usuários externos (autenticação primária) | Para convidados com inscrição de autoatendimento – Contas do Microsoft Entra – Contas Microsoft – Senha de uso único por email – Federação do Google – Federação do Facebook Para convidados: – Contas Microsoft Entra – Contas Microsoft – Senha de uso único por email – Federação do Google – Federação SAML/WS-Fed |
Para usuários com inscrição de autoatendimento (consumidores, clientes empresariais) - Email com senha - Senha de uso único por email - Federação do Google (versão prévia) - Federação do Facebook (versão prévia) Para convidados (versão prévia) Convidados com uma função do diretório (por exemplo, administradores): – Contas do Microsoft Entra – Contas Microsoft - Senha de uso único por email |
| Métodos de autenticação para a MFA | Para usuários internos (funcionários e administradores) - Métodos de autenticação e verificação Para convidados (inscrição convidada ou de autoatendimento) - Métodos de autenticação para MFA de convidado |
Para usuários de inscrição de autoatendimento (consumidores, clientes empresariais) ou usuários convidados (versão prévia) - Senha de uso único por email - Autenticação com base em SMS |
Registro de aplicativo
A tabela a seguir compara os recursos disponíveis para Registro de aplicativo em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Protocolo | Partes confiáveis do SAML, OpenID Connect e OAuth2 | OpenID Connect e OAuth2 |
| Tipos de conta compatíveis | Os seguintes tipos de conta:
|
Sempre use Contas somente neste diretório organizacional (Locatário único). |
| Plataforma | As seguintes plataformas:
|
As seguintes plataformas:
|
| Autenticação>URIs de Redirecionamento | Os URIs do Microsoft Entra ID aceitam como destinos ao retornar respostas de autenticação (tokens) após autenticar ou desconectar com êxito os usuários. | O mesmo que a força de trabalho. |
| Autenticação>URL de logoff de front-channel | Essa URL do Microsoft Entra ID envia uma solicitação para que o aplicativo limpe os dados da sessão do usuário. A URL de logoff de front-channel é necessária para que a saída única funcione corretamente. | O mesmo que a força de trabalho. |
| Autenticação>Concessão implícita e fluxos híbridos | Solicite um token diretamente do ponto de extremidade da autorização. | O mesmo que a força de trabalho. |
| Certificados e segredos | O mesmo que a força de trabalho. | |
| Permissões da API | Adicionar, remover e substituir permissões a um aplicativo. Após as permissões serem adicionadas ao seu aplicativo, os usuários ou administradores precisam dar o consentimento de acesso às novas permissões. Saiba mais sobre a Atualização das permissões solicitadas de um aplicativo no Microsoft Entra ID. | A seguir as permissões: offline_access, openid e User.Read do Microsoft Graph e permissões delegadas de Minhas APIs. Apenas um administrador pode fornecer consentimento em nome da organização. |
| Expor uma API | Definir escopos personalizados para restringir o acesso a dados e funcionalidades protegidas pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um usuário ou administrador consinta com um ou mais desses escopos. | Defina escopos personalizados para restringir o acesso aos dados e à funcionalidade protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um administrador consinta com um ou mais desses escopos. |
| Funções de aplicativo | Funções de aplicativo são funções personalizadas para atribuir permissões a usuários ou aplicativos. O aplicativo define e publica as funções do aplicativo e as interpreta como permissões durante a autorização. | O mesmo que a força de trabalho. Saiba mais sobre usar controle de acesso baseado em função para aplicativos em um locatário externo. |
| Proprietários | Os proprietários de aplicativos podem exibir e editar o registro de aplicativo. Além disso, qualquer usuário (que pode não estar listado) com privilégios administrativos para gerenciar qualquer aplicativo (por exemplo, Administrador de aplicativos de nuvem) pode visualizar e editar o registro de aplicativo. | O mesmo que a força de trabalho. |
| Funções e administradores | Funções administrativas são usadas para conceder acesso a ações privilegiadas no Microsoft Entra ID. | Somente a função Administrador de aplicativos de nuvem pode ser usada para aplicativos em locatários externos. Essa função concede a capacidade de criar e gerenciar todos os aspectos dos registros de aplicativos e aplicativos empresariais. |
| Atribuição de usuários e grupos a um aplicativo | Quando a atribuição de usuário é necessária, somente aqueles atribuídos ao aplicativo (por meio da atribuição de usuário direta ou com base na associação de grupo) poderão entrar. Para obter mais informações, confira Gerenciar a atribuição de usuários e grupos a um aplicativo | Não disponível |
Fluxos do OpenID Connect e OAuth2
A tabela a seguir compara os recursos disponíveis para fluxos de autorização do OAuth 2.0 e do OpenID Connect em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| OpenID Connect | Sim | Yes |
| Código de autorização | Sim | Yes |
| Código de autorização com a Troca de Código (PKCE) | Sim | Yes |
| Credenciais de cliente | Sim | Aplicativos v2.0 (versão prévia) |
| Autorização de dispositivo | Sim | Versão prévia |
| Fluxo Em nome de | Sim | Yes |
| Concessão implícita | Sim | Yes |
| Credenciais da Senha de Proprietário do Recurso | Yes | Não, para aplicativos móveis, use a autenticação nativa. |
URL de Autoridade nos Fluxos do OpenID Connect e OAuth2
A URL autoridade é uma URL que indica um diretório do qual o MSAL pode solicitar tokens. Para aplicativos em locatários externos, sempre use o seguinte formato: <nome do locatário>.ciamlogin.com
O JSON a seguir mostra um exemplo de um arquivo appsettings.json de aplicativo .NET com uma URL de autoridade:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acesso Condicional
A tabela a seguir compara os recursos disponíveis para Acesso Condicional em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Atribuições | Usuários, grupos e identidades de carga de trabalho | Inclua todos os usuários e exclua usuários e grupos. Para obter mais informações, consulte Adicionar MFA (autenticação multifator) a um aplicativo. |
| Recursos de destino |
|
|
| Condições | ||
| Conceder | Conceder ou bloquear o acesso aos recursos | |
| Sessão | Controles de sessão | Não disponível |
Gerenciamento de conta
A tabela a seguir compara os recursos disponíveis para gerenciamento de usuário em cada tipo de locatário. Conforme observado na tabela, determinados tipos de conta são criados por meio de convite ou inscrição de autoatendimento. Um administrador de usuário no locatário também pode criar contas por meio do centro de administração.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Tipos de contas |
|
|
| Gerenciar informações de perfil do usuário | De forma programática e usando o centro de administração do Microsoft Entra. | O mesmo que a força de trabalho. |
| Redefinir a senha de um usuário | Os administradores podem redefinir a senha de um usuário se a senha for esquecida, se o usuário for bloqueado de um dispositivo ou se o usuário nunca recebeu uma senha. | O mesmo que a força de trabalho. |
| Restaurar ou remover um usuário excluído recentemente | Depois que você excluir um usuário, a conta permanecerá em um estado suspenso por 30 dias. Durante essa janela de 30 dias, a conta do usuário pode ser restaurada, juntamente com todas as suas propriedades. | O mesmo que a força de trabalho. |
| Desabilitar contas | Impedir que o novo usuário possa entrar. | O mesmo que a força de trabalho. |
Proteção por senha
A tabela a seguir compara os recursos disponíveis para proteção por senha em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Bloqueio inteligente | O bloqueio inteligente ajuda a bloquear atores mal-intencionados que tentam adivinhar as senhas dos usuários ou usar métodos de força bruta para entrar | O mesmo que a força de trabalho. |
| Senhas proibidas personalizadas | A lista de senhas proibidas personalizadas do Microsoft Entra permite que você adicione cadeias de caracteres específicas para avaliar e bloquear. | Não disponível. |
Personalização de token
A tabela a seguir compara os recursos disponíveis para personalização de token em cada tipo de locatário.
| Recurso | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Mapeamento de declarações | Personalize as declarações emitidas no token Web JSON (JWT) para aplicativos empresariais. | O mesmo que a força de trabalho. Declarações opcionais devem ser configuradas por meio de Atributos e declarações. |
| Transformação de declarações | Aplique uma transformação a um atributo de usuário emitido no token Web JSON (JWT) para aplicativos empresariais. | O mesmo que a força de trabalho. |
| Provedor de declarações personalizadas | Extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. | O mesmo que a força de trabalho. Saiba mais |
| Grupos de segurança | Configurar declarações opcionais de grupos. | As declarações opcionais de configuração de grupos são limitadas à ID do objeto de grupo. |
| Tempos de vida do token | Você pode especificar o tempo de vida dos tokens de segurança emitidos pelo Microsoft Entra ID. | O mesmo que a força de trabalho. |
APIs do Microsoft Graph
Todos os recursos com suporte em locatários externos também têm suporte para automação por meio de APIs do Microsoft Graph. Alguns recursos que estão em versão prévia em locatários externos podem estar disponíveis para o público geral por meio do Microsoft Graph. Para obter mais informações, consulte Gerenciar a identidade do Microsoft Entra e o acesso à rede usando o Microsoft Graph.