Funktioner som stöds i personal och externa klienter
Det finns två sätt att konfigurera en Microsoft Entra-klientorganisation, beroende på hur organisationen tänker använda klientorganisationen och de resurser som de vill hantera:
- En klientkonfiguration för personal är avsedd för dina anställda, interna företagsappar och andra organisationsresurser. B2B-samarbete används i en personalklientorganisation för att samarbeta med externa affärspartner och gäster.
- En extern klientkonfiguration används uteslutande för scenarier med externt ID där du vill publicera appar till konsumenter eller företagskunder.
Den här artikeln ger en detaljerad jämförelse av de funktioner som är tillgängliga i personalen och externa klienter.
Kommentar
Under förhandsversionen är funktioner som kräver en premiumlicens inte tillgängliga i externa klienter.
Jämförelse av allmänna funktioner
I följande tabell jämförs de allmänna funktioner som är tillgängliga i personalen och externa klienter.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Scenario för externa identiteter | Tillåt affärspartner och andra externa användare att samarbeta med din personal. Du kan få säker åtkomst till dina affärsprogram via inbjudningar eller självbetjäningsregistrering. | Använd externt ID för att skydda dina program. Konsumenter och företagskunder kan på ett säkert sätt komma åt dina konsumentappar via självbetjäningsregistrering. Inbjudningar stöds också. |
| Lokala konton | Lokala konton stöds endast för interna medlemmar i din organisation. | Lokala konton stöds för: - Externa användare (konsumenter, företagskunder) som använder självbetjäningsregistrering. – Konton som skapats av administratörer. |
| Grupper | Grupper kan användas för att hantera administrativa konton och användarkonton. | Grupper kan användas för att hantera administrativa konton. Stöd för Microsoft Entra-grupper och programroller fasas in i kundklientorganisationer. De senaste uppdateringarna finns i Stöd för grupper och programroller. |
| Roller och administratörer | Roller och administratörer stöds fullt ut för administrativa konton och användarkonton. | Roller stöds inte med kundkonton. Kundkonton har inte åtkomst till klientresurser. |
| Identitetsskydd | Ger kontinuerlig riskidentifiering för din Microsoft Entra-klientorganisation. Det gör det möjligt för organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. | En delmängd av Microsoft Entra ID Protection-riskidentifieringar är tillgänglig. Läs mer. |
| Självåterställning av lösenord | Tillåt användare att återställa sitt lösenord med upp till två autentiseringsmetoder (se nästa rad för tillgängliga metoder). | Tillåt användare att återställa sitt lösenord med hjälp av e-post med engångslösenord. Läs mer. |
| Språkanpassning | Anpassa inloggningsupplevelsen baserat på webbläsarspråket när användarna autentiserar till företagets intranät eller webbaserade program. | Använd språk för att ändra de strängar som visas för dina kunder som en del av inloggnings- och registreringsprocessen. Läs mer. |
| Anpassade attribut | Använd katalogtilläggsattribut för att lagra mer data i Microsoft Entra-katalogen för användarobjekt, grupper, klientinformation och tjänstens huvudnamn. | Använd katalogtilläggsattribut för att lagra mer data i kundkatalogen för användarobjekt. Skapa anpassade användarattribut och lägg till dem i ditt registreringsanvändarflöde. Läs mer. |
Anpassa utseende och känsla
I följande tabell jämförs de funktioner som är tillgängliga för anpassning av arbetsstyrka och externa klienter.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Företagsanpassning | Du kan lägga till företagsanpassning som gäller för alla dessa upplevelser för att skapa en konsekvent inloggningsupplevelse för dina användare. | Samma som personalstyrkan. Läs mer |
| Språkanpassning | Anpassa inloggningsupplevelsen efter webbläsarspråk. | Samma som personalstyrkan. Läs mer |
| Egna domännamn | Du kan endast använda anpassade domäner för administrativa konton. | Med funktionen anpassad URL-domän (förhandsversion) för externa klientorganisationer kan du märka appinloggningsslutpunkter med ditt eget domännamn. |
| Intern autentisering för mobilappar | Inte tillgängliga | Med Microsoft Entras interna autentisering kan du ha fullständig kontroll över utformningen av dina inloggningsupplevelser för mobilprogram. |
Lägga till din egen affärslogik
Med anpassade autentiseringstillägg kan du anpassa autentiseringsupplevelsen för Microsoft Entra genom att integrera med externa system. Ett anpassat autentiseringstillägg är i princip en händelselyssnare som när det aktiveras gör ett HTTP-anrop till en REST API-slutpunkt där du definierar din egen affärslogik. I följande tabell jämförs de anpassade autentiseringstilläggshändelserna som är tillgängliga i personalen och externa klienter.
| Event | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| TokenIssuanceStart | Lägg till anspråk från externa system. | Lägg till anspråk från externa system. |
| OnAttributeCollectionStart | Inte tillgängliga | Inträffar i början av steget för registrering av attributsamling innan sidan för attributsamling återges. Du kan lägga till åtgärder som att förfylla värden och visa ett blockeringsfel. Läs mer |
| OnAttributeCollectionSubmit | Inte tillgängliga | Inträffar under registreringsflödet när användaren har angett och skickat attribut. Du kan lägga till åtgärder som att verifiera eller ändra användarens poster. Läs mer |
Identitetsprovidrar och autentiseringsmetoder
I följande tabell jämförs de identitetsprovidrar och metoder som är tillgängliga för primär autentisering och multifaktorautentisering (MFA) i arbetsstyrkan och externa klientorganisationer.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Identitetsprovidrar för externa användare | För självbetjäningsregistreringsgäster: - Microsoft Entra-konton – Microsoft-konton – E-post engångslösenord – Google-federation – Facebook-federation För inbjudna gäster: - Microsoft Entra-konton – Microsoft-konton – E-post engångslösenord – Google-federation – SAML/WS-Fed-federation |
För användare med självbetjäningsregistrering (konsumenter, företagskunder): - Skicka e-post med lösenord - Via e-post google federation (förhandsversion) - Facebook-federation - (förhandsversion) |
| Autentiseringsmetoder | För interna användare (anställda och administratörer): - Autentiserings- och verifieringsmetoder för gäster (inbjuden eller självbetjäningsregistrering): - Autentiseringsmetoder för gäst-MFA |
För användare med självbetjäningsregistrering (konsumenter, företagskunder): - Skicka e-post engångslösenord för MFA |
Programregistrering
I följande tabell jämförs de funktioner som är tillgängliga för programregistrering i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Protokoll | SAML-förlitande parter, OpenID Connect och OAuth2 | OpenID Connect och OAuth2 |
| Kontotyper som stöds | Följande kontotyper:
|
Använd alltid Endast konton i den här organisationskatalogen (enskild klientorganisation). |
| Plattform | Följande plattformar:
|
Följande plattformar:
|
| Omdirigerings-URI:er för autentisering> | URI:erna Microsoft Entra ID accepterar som mål när du returnerar autentiseringssvar (token) efter att ha autentiserat eller loggat ut användare. | Samma som personalstyrkan. |
| Url för frontkanalsutloggning för autentisering> | Den här URL:en är den där Microsoft Entra-ID:t skickar en begäran om att programmet ska rensa användarens sessionsdata. Utloggnings-URL:en för Front-channel krävs för att enkel utloggning ska fungera korrekt. | Samma som personalstyrkan. |
| Implicit beviljande av autentisering>och hybridflöden | Begär en token direkt från auktoriseringsslutpunkten. | Samma som personalstyrkan. |
| Certifikat och hemligheter | Samma som personalstyrkan. | |
| API-behörigheter | Lägg till, ta bort och ersätt behörigheter för ett program. När behörigheter har lagts till i ditt program måste användare eller administratörer bevilja medgivande till de nya behörigheterna. Läs mer om att uppdatera en apps begärda behörigheter i Microsoft Entra-ID. | Följande är de behörigheter som tillåts: Microsoft Graph offline_access, openidoch User.Read dina mina API:er delegerade behörigheter. Endast en administratör kan godkänna för organisationens räkning. |
| Exponera ett API | Definiera anpassade omfång för att begränsa åtkomsten till data och funktioner som skyddas av API:et. Ett program som kräver åtkomst till delar av det här API:et kan begära att en användare eller administratör godkänner ett eller flera av dessa omfång. | Definiera egna omfång för att begränsa åtkomst till data och funktionalitet som skyddas av API:et. Ett program som kräver åtkomst till delar av det här API:et kan begära administratörens medgivande till en eller flera av dessa omfång. |
| Approller | Approller är anpassade roller för att tilldela behörigheter till användare eller appar. Programmet definierar och publicerar approllerna och tolkar dem som behörigheter under auktoriseringen. | Samma som personalstyrkan. Läs mer om hur du använder rollbaserad åtkomstkontroll för program i en extern klientorganisation. |
| Ägare | Programägare kan visa och redigera programregistreringen. Dessutom kan alla användare (som kanske inte visas) med administratörsbehörighet för att hantera alla program (till exempel molnprogramadministratör) visa och redigera programregistreringen. | Samma som personalstyrkan. |
| Roller och administratörer | Administrativa roller används för att bevilja åtkomst för privilegierade åtgärder i Microsoft Entra-ID. | Endast rollen Molnprogramadministratör kan användas för appar i externa klientorganisationer. Den här rollen ger möjlighet att skapa och hantera alla aspekter av programregistreringar och företagsprogram. |
| Tilldela användare och grupper till en app | När det krävs användartilldelning kan bara de användare du tilldelar till appen (antingen via direkt användartilldelning eller baserat på gruppmedlemskap) logga in. Mer information finns i Hantera användare och grupptilldelning till ett program | Inte tillgängliga |
OpenID Connect- och OAuth2-flöden
I följande tabell jämförs de funktioner som är tillgängliga för OAuth 2.0- och OpenID Connect-auktoriseringsflöden i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| OpenID Connect | Ja | Ja |
| Auktoriseringskod | Ja | Ja |
| Auktoriseringskod med Code Exchange (PKCE) | Ja | Ja |
| Klientautentiseringsuppgifter | Ja | v2.0-program (förhandsversion) |
| Enhetsauktorisering | Ja | Nej |
| On-Behalf-Of-flöde | Ja | Ja |
| Implicit beviljande | Ja | Ja |
| Autentiseringsuppgifter för resursägares lösenord | Ja | Nej, använd intern autentisering för mobila program. |
Utfärdar-URL i OpenID Connect- och OAuth2-flöden
Utfärdarens URL är en URL som anger en katalog som MSAL kan begära token från. För appar i externa klienter använder du alltid följande format: <tenant-name.ciamlogin.com>
Följande JSON visar ett exempel på ett .NET-program appsettings.json fil med en utfärdar-URL:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Villkorlig åtkomst
I följande tabell jämförs de funktioner som är tillgängliga för villkorsstyrd åtkomst i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Tilldelningar | Användare, grupper och arbetsbelastningsidentiteter | Inkludera alla användare och exkludera användare och grupper. Mer information finns i Lägga till multifaktorautentisering (MFA) i en app. |
| Målresurser | ||
| Villkor | ||
| Bevilja | Bevilja eller blockera åtkomst till resurser | |
| Session | Sessionskontroller | Inte tillgängliga |
Kontohantering
I följande tabell jämförs de funktioner som är tillgängliga för användarhantering i varje typ av klientorganisation. Som anges i tabellen skapas vissa kontotyper via inbjudan eller självbetjäningsregistrering. En användaradministratör i klientorganisationen kan också skapa konton via administrationscentret.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Typer av konton |
|
|
| Hantera användarprofilinformation | Programmatiskt och med hjälp av administrationscentret för Microsoft Entra. | Samma som personalstyrkan. |
| Återställa en användares lösenord | Administratörer kan återställa en användares lösenord om lösenordet glöms bort, om användaren blir utelåst från en enhet eller om användaren aldrig har fått ett lösenord. | Samma som personalstyrkan. |
| Återställa eller ta bort en nyligen raderad användare | När du tar bort en användare inaktiveras kontot i 30 dagar. Under den 30-dagarsperioden kan användarkontot återställas, tillsammans med alla dess egenskaper. | Samma som personalstyrkan. |
| Inaktivera konton | Förhindra att den nya användaren kan logga in. | Samma som personalstyrkan. |
Lösenordsskydd
I följande tabell jämförs de funktioner som är tillgängliga för lösenordsskydd i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Smart utlåsning | Smart utelåsning hjälper till att låsa ut dåliga aktörer som försöker gissa användarnas lösenord eller använda råstyrkemetoder för att komma in | Samma som personalstyrkan. |
| Anpassade förbjudna lösenord | Med listan med anpassade förbjudna lösenord i Microsoft Entra kan du lägga till specifika strängar för att utvärdera och blockera. | Ej tillgänglig. |
Anpassning av token
I följande tabell jämförs de funktioner som är tillgängliga för tokenanpassning i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Anspråksmappning | Anpassa anspråk som utfärdats i JSON-webbtoken (JWT) för företagsprogram. | Samma som personalstyrkan. Valfria anspråk måste konfigureras via attribut och anspråk. |
| Anspråkstransformering | Tillämpa en transformering på ett användarattribut som utfärdats i JSON-webbtoken (JWT) för företagsprogram. | Samma som personalstyrkan. |
| Anpassad anspråksprovider | Anpassat autentiseringstillägg som anropar ett externt REST API för att hämta anspråk från externa system. | Samma som personalstyrkan. Läs mer |
| Säkerhetsgrupper | Konfigurera valfria gruppanspråk. | Konfigurera grupper valfria anspråk är begränsade till gruppobjekt-ID. |
| Livslängder för token | Du kan ange livslängden för säkerhetstoken som utfärdats av Microsoft Entra-ID:t. | Samma som personalstyrkan. |
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för