Поддерживаемые функции в рабочей силе и внешних клиентах
Существует два способа настройки клиента Microsoft Entra в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми они хотят управлять:
- Конфигурация клиента рабочей силы — это для сотрудников, внутренних бизнес-приложений и других организационных ресурсов. Совместная работа B2B используется в клиенте рабочей силы для совместной работы с внешними деловыми партнерами и гостями.
- Конфигурация внешнего клиента используется исключительно для сценариев внешнего идентификатора, в которых требуется опубликовать приложения для потребителей или бизнес-клиентов.
В этой статье приведено подробное сравнение функций и возможностей, доступных в рабочей силе и внешних клиентах.
Примечание.
Во время предварительной версии функции или возможности, требующие лицензии premium, недоступны во внешних клиентах.
Сравнение общих признаков
В следующей таблице сравниваются общие функции и возможности, доступные в рабочей силе и внешних клиентах.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Сценарий внешних удостоверений | Разрешить бизнес-партнерам и другим внешним пользователям сотрудничать с сотрудниками. Гости могут безопасно получить доступ к бизнес-приложениям с помощью приглашений или самостоятельной регистрации. | Используйте внешний идентификатор для защиты приложений. Потребители и бизнес-клиенты могут безопасно получать доступ к приложениям-потребителям через самостоятельную регистрацию. Приглашения также поддерживаются. |
| Локальные учетные записи | Локальные учетные записи поддерживаются только для внутренних членов организации. | Локальные учетные записи поддерживаются для: - Внешние пользователи (потребители, бизнес-клиенты), использующие самостоятельную регистрацию. — учетные записи, созданные администраторами. |
| Группы | Группы можно использовать для управления учетными записями администратора и пользователей. | Группы можно использовать для управления учетными записями администраторов. Поддержка групп и ролей приложений Microsoft Entra поэтапно выполняется в клиентах клиентов. Последние обновления см. в разделе "Группы" и " Роли приложений". |
| Роли и администраторы | Роли и администраторы полностью поддерживаются для учетных записей администраторов и пользователей. | Роли не поддерживаются с учетными записями клиентов. Учетные записи клиентов не имеют доступа к ресурсам клиента. |
| Защита идентификаторов | Обеспечивает постоянное обнаружение рисков для клиента Microsoft Entra. Она позволяет организациям обнаруживать, исследовать и устранять риски на основе удостоверений. | Доступно подмножество обнаружения рисков Защита идентификации Microsoft Entra. Подробнее. |
| Самостоятельный сброс пароля | Разрешить пользователям сбрасывать пароль с помощью двух методов проверки подлинности (см. следующую строку доступных методов). | Разрешить пользователям сбрасывать пароль с помощью одного секретного кода. Подробнее. |
| Настройка языка | Настройте интерфейс входа на основе языка браузера при проверке подлинности пользователей в корпоративной интрасети или веб-приложениях. | Используйте языки для изменения строк, отображаемых клиентам в рамках процесса входа и регистрации. Подробнее. |
| Настраиваемые атрибуты | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге Microsoft Entra для пользовательских объектов, групп, сведений о клиенте и субъектов-служб. | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге клиента для пользовательских объектов. Создайте настраиваемые атрибуты пользователя и добавьте их в поток пользователя регистрации. Подробнее. |
Внешний вид и настройка
В следующей таблице сравниваются функции, доступные для поиска и настройки в рабочей силе и внешних клиентах.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Фирменная символика компании | Вы можете добавить фирменную символику компании, которая применяется ко всем этим интерфейсам, чтобы создать согласованный интерфейс входа для пользователей. | То же самое, что и рабочая сила. Подробнее |
| Настройка языка | Настройте интерфейс входа на языке браузера. | То же самое, что и рабочая сила. Подробнее |
| Личные доменные имена | Пользовательские домены можно использовать только для административных учетных записей. | Функция пользовательского URL-адреса (предварительная версия) для внешних клиентов позволяет использовать конечные точки входа в приложение с собственным доменным именем. |
| Встроенная проверка подлинности для мобильных приложений | Недоступно | Встроенная проверка подлинности Microsoft Entra позволяет полностью контролировать проектирование возможностей входа в мобильное приложение. |
Добавление собственной бизнес-логики
Пользовательские расширения проверки подлинности позволяют настроить интерфейс проверки подлинности Microsoft Entra путем интеграции с внешними системами. Расширение пользовательской проверки подлинности по сути является прослушивателем событий, который при активации выполняет вызов HTTP к конечной точке REST API, в которой определяется собственная бизнес-логика. В следующей таблице сравниваются события настраиваемых расширений проверки подлинности , доступные в рабочей силе и внешних клиентах.
| Мероприятие | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| TokenIssuanceStart | Добавьте утверждения из внешних систем. | Добавьте утверждения из внешних систем. |
| OnAttributeCollectionStart | Недоступно | Происходит в начале шага сбора атрибутов регистрации перед отображением страницы коллекции атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки. Подробнее |
| OnAttributeCollectionSubmit | Недоступно | Происходит во время потока регистрации после ввода и отправки атрибутов. Можно добавить такие действия, как проверка или изменение записей пользователя. Подробнее |
Поставщики удостоверений и методы проверки подлинности
В следующей таблице сравниваются поставщики удостоверений и методы, доступные для первичной проверки подлинности и многофакторной проверки подлинности (MFA) в рабочей силе и внешних клиентах.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Поставщики удостоверений для внешних пользователей (первичная проверка подлинности) | Для гостей самостоятельной регистрации— учетные записи Microsoft Entra— учетные записи Майкрософт— электронная почта одноразовый секретный код - федерация Google - Федерация Для приглашенных гостей — учетные записи Microsoft Entra— учетные записи Майкрософт— одноразовый секретный код электронной почты — федерация Google— SAML/WS-Fed |
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов)- Электронная почта с одноразовым секретным- кодом- Google (предварительная версия) - Федерация Facebook (предварительная версия) Для приглашенных гостей (предварительная версия) Гости, приглашенные с ролью каталога (например, администраторы ): - Учетные записи Microsoft Entra — учетные записи - Майкрософт по электронной почте одноразовый секретный код |
| Методы проверки подлинности для MFA | Для внутренних пользователей (сотрудников и администраторов) - методы проверки подлинности и проверки для гостей (приглашенных или самостоятельной регистрации) - для гостевой MFA |
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов) или приглашенных пользователей (предварительная версия) - Аутентификация на основе SMS-кода - электронной почты |
Регистрация приложения
В следующей таблице сравниваются функции, доступные для регистрации приложений в каждом типе клиента.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Протокол | Проверяющие стороны SAML, OpenID Connect и OAuth2 | OpenID Connect и OAuth2 |
| Поддерживаемые типы учетных записей | Следующие типы учетных записей:
|
Всегда используйте учетные записи только в этом каталоге организации (только один клиент). |
| Платформа | Следующие платформы:
|
Следующие платформы:
|
| URI перенаправления проверки подлинности> | Идентификатор URI Microsoft Entra принимает в качестве назначений при возврате ответов проверки подлинности (маркеров) после успешной проверки подлинности или выхода пользователей. | То же самое, что и рабочая сила. |
| URL-адрес выхода front-channel для проверки подлинности> | Это URL-адрес, в котором идентификатор Microsoft Entra отправляет запрос, чтобы приложение очистит данные сеанса пользователя. URL-адрес выхода front-channel требуется для правильной работы единого входа. | То же самое, что и рабочая сила. |
| Неявное предоставление проверки подлинности>и гибридные потоки | Запрашивайте маркер непосредственно от конечной точки авторизации. | То же самое, что и рабочая сила. |
| Сертификаты и секреты | То же самое, что и рабочая сила. | |
| Разрешения API | Добавление, удаление и замена разрешений для приложения. После добавления разрешений в приложение пользователи или администраторы должны предоставить согласие новым разрешениям. Узнайте больше об обновлении запрошенных разрешений приложения в идентификаторе Microsoft Entra. | Ниже перечислены разрешенные разрешения: Microsoft Graph offline_accessopenidи User.Read делегированные api-интерфейсы. Только администратор может предоставить согласие от имени организации. |
| Предоставление API | Определите пользовательские области для ограничения доступа к данным и функциям, защищенным API. Приложение, требующее доступа к частям этого API, может запросить согласие пользователя или администратора на одну или несколько этих областей. | Определите пользовательские области, чтобы ограничить доступ к данным и функциям, защищаемым API. Приложение, требующее доступа к частям этого API, может запросить согласие администратора на одну или несколько этих областей. |
| Роли приложения | Роли приложений — это пользовательские роли для назначения разрешений пользователям или приложениям. Приложение определяет и публикует роли приложения, а также интерпретирует их как разрешения во время авторизации. | То же самое, что и рабочая сила. Дополнительные сведения об использовании управления доступом на основе ролей для приложений во внешнем клиенте. |
| Владельцы | Владельцы приложений могут просматривать и изменять регистрацию приложения. Кроме того, любой пользователь (который не может быть указан) с правами администратора для управления любым приложением (например, администратор облачных приложений) может просматривать и изменять регистрацию приложения. | То же самое, что и рабочая сила. |
| Роли и администраторы | Административные роли используются для предоставления доступа к привилегированным действиям в идентификаторе Microsoft Entra. | Для приложений в внешних клиентах можно использовать только роль администратора облачных приложений. Эта роль предоставляет возможность создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями. |
| Назначение пользователей и групп приложению | Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Дополнительные сведения см. в разделе "Управление пользователями и группами" для приложения | Недоступно |
Потоки OpenID Connect и OAuth2
В следующей таблице сравниваются функции, доступные для потоков авторизации OAuth 2.0 и OpenID Connect в каждом типе клиента.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| OpenID Connect | Да | Да |
| Код авторизации | Да | Да |
| Код авторизации с помощью Code Exchange (PKCE) | Да | Да |
| Учетные данные клиента | Да | Приложения версии 2.0 (предварительная версия) |
| Авторизация устройства | Да | Предварительный просмотр |
| Поток On-Behalf-Of | Да | Да |
| Неявное разрешение | Да | Да |
| Учетные данные владельца ресурса | Да | Нет, для мобильных приложений используйте собственную проверку подлинности. |
URL-адрес центра в потоках OpenID Connect и OAuth2
URL-адрес центра — это URL-адрес, указывающий каталог, из который MSAL может запрашивать маркеры. Для приложений во внешних клиентах всегда используйте следующий формат: <имя> клиента.ciamlogin.com
В следующем формате JSON показан пример файла appsettings.json приложения .NET с URL-адресом центра:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Условный доступ
В следующей таблице сравниваются функции, доступные для условного доступа в каждом типе клиента.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Назначения | Пользователи, группы и удостоверения рабочей нагрузки | Включите всех пользователей и исключите пользователей и группы. Дополнительные сведения см. в разделе "Добавление многофакторной проверки подлинности(MFA) в приложение. |
| Целевые ресурсы | ||
| Условия | ||
| Право предоставил | Предоставление или блокировка доступа к ресурсам | |
| Согласованность сеанса | Элементы управления сеансами | Недоступно |
Управление учетной записью
В следующей таблице сравниваются функции, доступные для управления пользователями в каждом типе клиента. Как отмечалось в таблице, некоторые типы учетных записей создаются с помощью приглашения или самостоятельной регистрации. Администратор пользователя в клиенте также может создавать учетные записи через центр администрирования.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Типы учетных записей |
|
|
| Управление сведениями профиля пользователя | Программно и с помощью Центра администрирования Microsoft Entra. | То же самое, что и рабочая сила. |
| Сброс пароля пользователя | Администраторы могут сбросить пароль пользователя, если пароль забылся, если пользователь заблокирован на устройстве или если пользователь никогда не получил пароль. | То же самое, что и рабочая сила. |
| Восстановление или окончательное удаление недавно удаленного пользователя | После удаления пользователя его учетная запись остается в заблокированном состоянии в течение 30 дней. В течение этого времени учетную запись пользователя и все ее свойства можно восстановить. | То же самое, что и рабочая сила. |
| Отключение учетных записей | Запретить новому пользователю войти в систему. | То же самое, что и рабочая сила. |
Защита паролем
В следующей таблице сравниваются функции, доступные для защиты паролей в каждом типе клиента.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Смарт-блокировка | Смарт-блокировка помогает заблокировать плохие субъекты, которые пытаются угадать пароли пользователей или использовать методы подбора для получения в | То же самое, что и рабочая сила. |
| Пользовательские запрещенные пароли | Настраиваемый список запрещенных паролей Microsoft Entra позволяет добавлять определенные строки для оценки и блокировки. | Недоступна. |
Настройка маркера
В следующей таблице сравниваются функции, доступные для настройки маркеров в каждом типе клиента.
| Функция | Клиент рабочей силы | Внешний клиент |
|---|---|---|
| Сопоставление утверждений | Настройка утверждений , выданных в веб-токене JSON (JWT) для корпоративных приложений. | То же самое, что и рабочая сила. Необязательные утверждения должны быть настроены с помощью атрибутов и утверждений. |
| Преобразование утверждений | Примените преобразование к атрибуту пользователя, выданному в веб-токене JSON (JWT) для корпоративных приложений. | То же самое, что и рабочая сила. |
| Поставщик пользовательских утверждений | Расширение пользовательской проверки подлинности , которое вызывает внешний REST API для получения утверждений из внешних систем. | То же самое, что и рабочая сила. Подробнее |
| Группы безопасности | Настройте необязательные утверждения групп. | Настройка необязательных утверждений групп ограничена идентификатором объекта группы. |
| Время существования токена | Можно указать время существования маркеров безопасности, выданных идентификатором Microsoft Entra. | То же самое, что и рабочая сила. |
API-интерфейсы Microsoft Graph
Все функции, поддерживаемые внешними клиентами, также поддерживаются для автоматизации через API Microsoft Graph. Некоторые функции, которые находятся в предварительной версии во внешних клиентах, могут быть общедоступными с помощью Microsoft Graph. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".