員工和外部租用戶中支援的功能
根據組織想要如何使用租用戶,以及其想要管理的資源,有兩種方式可以設定 Microsoft Entra 租用戶:
- 「員工」租用戶設定適用於員工、內部商務應用程式和其他組織資源。 B2B 共同作業是用於員工租用戶,以和外部商務合作夥伴和來賓進行共同作業。
- 「外部」租用戶設定是專用於您想要將應用程式發佈給取用者或商務客戶的外部識別碼案例。
本文提供員工和外部租用戶中可用特性和功能的詳細比較。
注意
在預覽期間,需要進階授權的特性與功能無法在外部租用戶中使用。
一般功能比較
下表會比較員工和外部租用戶中可用的一般特性和功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 外部身分識別案例 | 允許商務合作夥伴和其他外部使用者與您的員工共同作業。 來賓可以透過邀請或自助式註冊安全地存取您的商務應用程式。 | 使用外部 ID 來保護您的應用程式。 取用者和商務客戶可以透過自助式註冊安全地存取您的取用者應用程式。 同時也支援邀請。 |
| 本機帳戶 | 僅針對您組織的「內部」成員支援本機帳戶。 | 針對下列對象支援本機帳戶: - 使用自助式註冊的外部使用者 (取用者、商務客戶)。 - 由系統管理員建立的帳戶。 |
| 群組 | 群組可以用來管理系統管理帳戶和使用者帳戶。 | 群組可用來管理系統管理帳戶。 Microsoft Entra 群組和應用程式角色的支援正在分階段導入客戶租用戶。 如需最新更新,請參閱群組和應用程式角色支援。 |
| 角色與系統管理員 | 針對系統管理與使用者帳戶,完全支援角色和系統管理員。 | 客戶帳戶不支援角色。 客戶帳戶無法存取租用戶資源。 |
| 標識碼保護 | 為您的 Microsoft Entra 租用戶提供持續的風險偵測。 其可讓組織探索、調查及補救身分識別型風險。 | 提供 Microsoft Entra ID Protection 風險偵測的子集以供使用。 深入了解。 |
| 自助式密碼重設 | 允許使用者使用最多兩種驗證方法來重設其密碼 (請參閱下一列以了解可用的方法)。 | 允許使用者使用具有一次性密碼的電子郵件重設其密碼。 深入了解。 |
| 自訂語言 | 當使用者向公司內部網路或 Web 型應用程式進行驗證時,根據瀏覽器語言自訂登入體驗。 | 使用語言來修改登入和註冊流程期間向客戶顯示的字串。 深入了解。 |
| 自訂屬性 | 針對使用者物件、群組、租用戶詳細資料和服務主體,使用目錄擴充屬性以在 Microsoft Entra 目錄中儲存更多資料。 | 使用目錄擴充屬性,針對使用者物件,在客戶目錄中儲存更多資料。 建立自訂使用者屬性,並將其新增至您的註冊使用者流程。 深入了解。 |
外觀與風格自訂
下表會比較員工和外部租用戶中可供進行外觀與風格自訂的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 公司商標 | 您可以新增適用於所有這些體驗的公司商標,來為您的使用者建立一致的登入體驗。 | 與員工相同。 深入了解 |
| 自訂語言 | 依瀏覽器語言自訂登入體驗。 | 與員工相同。 深入了解 |
| 自訂網域名稱 | 您只能對系統管理帳戶使用自訂網域。 | 外部租用戶的自訂 URL 網域 (預覽) 功能可讓您使用自己的網域名稱為應用程式登入端點進行商標化。 |
| 行動應用程式的原生驗證 | 無法使用 | Microsoft Entra 的原生驗證可讓您完全掌控行動應用程式登入體驗的設計。 |
新增您自己的商務邏輯
自訂驗證延伸模組可讓您透過與外部系統整合來自訂 Microsoft Entra 驗證體驗。 自訂驗證延伸模組基本上是事件接聽程式,其在啟用時能對您定義自己商務邏輯所在的 REST API 端點進行 HTTP 呼叫。 下表會比較員工和外部租用戶中可用的自訂驗證延伸模組事件。
| 活動 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| TokenIssuanceStart | 從外部系統新增宣告。 | 從外部系統新增宣告。 |
| OnAttributeCollectionStart | 無法使用 | 發生時機為註冊的屬性集合步驟的開頭,在屬性集合頁面轉譯之前。 您可以新增如預先填入值和顯示封鎖錯誤之類的動作。 深入了解 |
| OnAttributeCollectionSubmit | 無法使用 | 發生時機為註冊流程期間,在使用者輸入並提交屬性之後。 您可以新增如驗證或修改使用者輸入之類的動作。 深入了解 |
識別提供者和驗證方法
下表會比較員工和外部租用戶中主要驗證和多重要素驗證 (MFA) 可用的識別提供者和方法。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 外部使用者識別提供者 (主要驗證) | 對於自助服務註冊來賓 - Microsoft Entra 帳戶 - Microsoft 帳戶 - 電子郵件一次性密碼 - Google 同盟 - Facebook 同盟 針對受邀來賓 - Microsoft Entra 帳戶 - Microsoft 帳戶 - 電子郵件一次性密碼 - Google 同盟 - SAML/WS-Fed 同盟 |
對於自助服務註冊使用者 (取用者、商務客戶) - 帶有密碼的電子郵件 - 電子郵件一次性密碼 - Google 同盟 (預覽) - Facebook 同盟 (預覽) 對於受邀來賓(預覽) 受邀具有目錄角色的來賓(例如系統管理員): - Microsoft Entra 帳戶 - Microsoft帳戶 - Microsoft 帳戶 - 電子郵件一次性密碼 |
| MFA 驗證方法 | 對於內部使用者 (員工和系統管理員) - 驗證 (Authentication) 和驗證 (Verification) 方法 對於來賓 (受邀或自助服務註冊) - 來賓 MFA 的驗證方法 |
對於自助服務註冊使用者 (取用者、商務客戶) 或受邀使用者 (預覽) - 電子郵件一次性密碼 - 簡訊型驗證 |
應用程式註冊
下表會比較每種租用戶類型中可供進行應用程式註冊的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 通訊協定 | SAML 信賴憑證者、OpenID Connect 和 OAuth2 | OpenID Connect 和 OAuth2 |
| 支援的帳戶類型 | 下列帳戶類型:
|
一律使用 [僅此組織目錄中的帳戶 (單一租用戶)]。 |
| 平台 | 下列平台:
|
下列平台:
|
| [驗證] > [重新導向 URI] | 在成功驗證或登出使用者後傳回驗證回應 (權杖) 時,Microsoft Entra ID 接受作為目的地的 URI。 | 與員工相同。 |
| [驗證] > [前端通道登出 URL] | Microsoft Entra ID 會將要求傳送至此 URL,以要求應用程式清除使用者的工作階段資料。 必須要有前端通道登出 URL,單一登出才能正常運作。 | 與員工相同。 |
| 驗證>隱含授與及混合式流程 | 直接向授權端點要求權杖。 | 與員工相同。 |
| 憑證和祕密 | 與員工相同。 | |
| API 權限 | 新增、移除和取代對某個應用程式的權限。 將權限新增至您的應用程式之後,使用者或系統管理員必須對新權限授與同意。 深入了解在 Microsoft Entra ID 中更新應用程式的所要求權限。 | 以下是允許的權限:Microsoft Graph offline_access、openid 和 User.Read,以及您的 [我的 API] 委派權限。 只有系統管理員才能代表組織同意。 |
| 公開 API | 定義自訂範圍,以限制對 API 所保護資料和功能的存取。 需要存取此 API 各組件的應用程式可以要求使用者或系統管理員同意其中一或多個範圍。 | 定義自訂範圍,以對受到 API 保護的資料和功能進行存取限制。 需要存取此 API 各組件的應用程式可以要求系統管理員同意其中一或多個範圍。 |
| 應用程式角色 | 應用程式角色是用來將權限指派給使用者或應用程式的自訂角色。 應用程式定義及發佈應用程式角色,並在授權期間將角色解譯為權限。 | 與員工相同。 深入了解在外部租用戶中針對應用程式使用角色型存取控制。 |
| 擁有者 | 應用程式擁有者可以檢視和編輯應用程式註冊。 此外,具有可用來管理任何應用程式的系統管理權限 (且可能未被列出) 的任何使用者 (例如雲端應用程式管理員) 都可以檢視和編輯應用程式註冊。 | 與員工相同。 |
| 角色與系統管理員 | 系統管理角色是用於在 Microsoft Entra ID 中授與對特殊權限動作的存取權。 | 只有雲端應用程式系統管理員角色才能在外部租用戶中用於應用程式。 此角色會授與可建立和管理應用程式註冊和企業應用程式的所有層面。 |
| 將使用者和群組指派給應用程式 | 需要使用者指派時,只有您指派給應用程式的使用者 (透過直接使用者指派或根據群組成員資格) 才能登入。 如需詳細資訊,請參閱管理針對應用程式的使用者和群組指派 | 無法使用 |
OpenID Connect 和 OAuth2 流程
下表會比較每種租用戶類型中 OAuth 2.0 和 OpenID Connect 授權流程可用的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| OpenID Connect | Yes | Yes |
| 授權碼 | Yes | Yes |
| 具有代碼交換 (PKCE) 的授權碼 | Yes | Yes |
| 用戶端認證 | Yes | v2.0 應用程式 (預覽) |
| 裝置授權 | Yes | 預覽 |
| 代理者流程 | Yes | Yes |
| 隱含授與 | Yes | Yes |
| 資源擁有者密碼認證 | Yes | 否,針對行動應用程式,請使用原生驗證。 |
OpenID Connect 和 OAuth2 流程中的授權單位 URL
授權單位 URL 是指出 MSAL 可以向其要求權杖之目錄的 URL。 針對外部租用戶中的應用程式,請一律使用下列格式:<tenant-name>.ciamlogin.com
下列 JSON 顯示具有授權單位 URL 的 .NET 應用程式 appsettings.json 檔案的範例:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
條件式存取
下表會比較每種租用戶類型中條件式存取可用的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 指派 | 使用者、群組和工作負載身分識別 | 包括「所有使用者」,並排除使用者和群組。 如需詳細資訊,請參閱將多重要素驗證 (MFA) 新增至應用程式。 |
| 目標資源 | ||
| 條件 | ||
| 授與 | 授與或封鎖資源存取權 | |
| 工作階段 | 工作階段控制 | 無法使用 |
帳戶管理
下表會比較每種租用戶類型中可供進行使用者管理的功能。 如表格所述,某些帳戶類型是透過邀請或自助式註冊來建立。 租用戶中的使用者系統管理員也可以透過系統管理中心建立帳戶。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 帳戶類型 |
|
|
| 管理使用者設定檔資訊 | 以程式設計方式以及使用 Microsoft Entra 系統管理中心。 | 與員工相同。 |
| 重設使用者的密碼 | 如果忘記密碼、使用者被鎖定而無法進入裝置,或是使用者從未收到密碼,系統管理員可以重設使用者的密碼。 | 與員工相同。 |
| 還原或移除最近刪除的使用者 | 刪除使用者之後,其帳戶會維持在暫時停權狀態 30 天。 在這 30 天的範圍期間,可以還原該使用者帳戶及其所有屬性。 | 與員工相同。 |
| 停用帳戶 | 防止新使用者登入。 | 與員工相同。 |
密碼保護
下表會比較每種租用戶類型中可用於密碼保護的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 智慧鎖定 | 智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力密碼破解方法登入的不良執行者 | 與員工相同。 |
| 自訂禁用密碼 | Microsoft Entra 自訂禁用密碼清單可讓您新增特定字串來進行評估和封鎖。 | 無法使用。 |
權杖自訂
下表會比較每種租用戶類型中可用於權杖自訂的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 宣告對應 | 針對企業應用程式在 JSON Web 權杖 (JWT) 中核發的自訂宣告。 | 與員工相同。 選擇性宣告必須透過屬性與宣告來設定。 |
| 宣告轉換 | 針對企業應用程式在 JSON Web 權杖 (JWT) 中核發的使用者屬性進行轉換套用。 | 與員工相同。 |
| 自訂宣告提供者 | 可呼叫外部 REST API 以從外部系統擷取宣告的自訂驗證延伸模組。 | 與員工相同。 深入了解 |
| 安全性群組 | 設定群組選擇性宣告。 | 設定群組選擇性宣告僅限於群組物件識別碼。 |
| 權杖存留期 | 您可以針對 Microsoft Entra ID 所簽發的安全性權杖指定存留期。 | 與員工相同。 |
Microsoft Graph API
外部租用戶中支援的所有功能也都支援透過 Microsoft Graph API 進行自動化。 外部租用戶中處於預覽狀態的某些功能可能透過 Microsoft Graph 正式推出。 如需詳細資訊,請參閱 使用 Microsoft Graph 管理Microsoft Entra 身分識別和網路存取。