員工和外部租用戶中支援的功能
視組織想要如何使用租用戶,以及他們想要管理的資源而定,有兩種方式可以設定 Microsoft Entra 租用戶:
- 員工租用戶設定適用於員工、內部商務應用程式和其他組織資源。 B2B 共同作業是用於員工租用戶,以和外部商務合作夥伴和來賓進行共同作業。
- 外部租用戶設定是專用於您想要將應用程式發佈給取用者或商務客戶的外部 ID 案例。
本文提供員工和外部租用戶 (部分機器翻譯) 中可用之特性與功能的詳細比較。
注意
在預覽期間,需要進階授權的特性與功能無法在外部租用戶中使用。
一般功能比較
下表會比較員工和外部租用戶中可用的一般特性和功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 外部身分識別案例 | 允許商務合作夥伴和其他外部使用者與您的員工共同作業。 來賓可以透過邀請或自助式註冊安全地存取您的商務應用程式。 | 使用外部 ID 來保護您的應用程式。 取用者和商務客戶可以透過自助式註冊安全地存取您的取用者應用程式。 同時也支援邀請。 |
| 本機帳戶 | 僅針對您組織的「內部」成員支援本機帳戶。 | 針對下列對象支援本機帳戶: - 使用自助式註冊的外部使用者 (取用者、商務客戶)。 - 由系統管理員建立的帳戶。 |
| 群組 | 群組 (部分機器翻譯) 可用來管理系統管理帳戶和使用者帳戶。 | 群組可用來管理系統管理帳戶。 針對 Microsoft Entra 群組和應用程式角色 (部分機器翻譯) 的支援,正在分階段導入客戶租用戶。 如需最新更新,請參閱群組和應用程式角色支援。 |
| 角色與系統管理員 | 針對系統管理與使用者帳戶,完全支援角色和系統管理員 (部分機器翻譯)。 | 客戶帳戶不支援角色。 客戶帳戶無法存取租用戶資源。 |
| 身分識別保護 | 為您的 Microsoft Entra 租用戶提供持續的風險偵測。 其可讓組織探索、調查及補救身分識別型風險。 | 提供 Microsoft Entra ID Protection 風險偵測的子集供使用。 深入了解。 |
| 自助式密碼重設 | 允許使用者使用最多兩種驗證方法來重設其密碼 (請參閱下一列以了解可用的方法)。 | 允許使用者使用具有一次性密碼的電子郵件重設其密碼。 深入了解。 |
| 自訂語言 | 當使用者向公司內部網路或 Web 型應用程式進行驗證時,根據瀏覽器語言自訂登入體驗。 | 使用語言來修改登入和註冊流程期間向客戶顯示的字串。 深入了解。 |
| 自訂屬性 | 使用目錄擴充屬性,針對使用者物件、群組、租用戶詳細資料及服務主體,在 Microsoft Entra 目錄中儲存更多資料。 | 使用目錄擴充屬性,針對使用者物件,在客戶目錄中儲存更多資料。 建立自訂使用者屬性,並將其新增至您的註冊使用者流程。 深入了解。 |
外觀與風格自訂
下表會比較員工和外部租用戶中可供進行外觀與風格自訂的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 公司商標 | 您可以新增適用於所有這些體驗的公司商標 (部分機器翻譯),來為您的使用者建立一致的登入體驗。 | 與員工相同。 深入了解 |
| 自訂語言 | 依瀏覽器語言自訂登入體驗 (部分機器翻譯)。 | 與員工相同。 深入了解 |
| 自訂網域名稱 | 您只能對系統管理帳戶使用自訂網域 (部分機器翻譯)。 | 外部租用戶的自訂 URL 網域 (預覽) (部分機器翻譯) 功能可讓您使用自己的網域名稱為應用程式登入端點進行商標化。 |
| 行動應用程式的原生驗證 | 無法使用 | Microsoft Entra 的原生驗證 (部分機器翻譯) 可讓您完全掌控行動應用程式登入體驗的設計。 |
新增您自己的商務邏輯
自訂驗證延伸模組可讓您透過與外部系統整合,自訂 Microsoft Entra 驗證體驗。 自訂驗證延伸模組基本上是事件接聽程式,其在啟用時能對您定義自己商務邏輯所在的 REST API 端點進行 HTTP 呼叫。 下表會比較員工和外部租用戶中可用的自訂驗證延伸模組 (部分機器翻譯) 事件。
| 活動 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| TokenIssuanceStart | 從外部系統新增宣告。 | 從外部系統新增宣告 (部分機器翻譯)。 |
| OnAttributeCollectionStart | 無法使用 | 發生時機為註冊的屬性集合步驟的開頭,在屬性集合頁面轉譯之前。 您可以新增如預先填入值和顯示封鎖錯誤之類的動作。 深入了解 |
| OnAttributeCollectionSubmit | 無法使用 | 發生時機為註冊流程期間,在使用者輸入並提交屬性之後。 您可以新增如驗證或修改使用者輸入之類的動作。 深入了解 |
識別提供者和驗證方法
下表會比較員工和外部租用戶中主要驗證和多重要素驗證 (MFA) 可用的識別提供者 (部分機器翻譯) 和方法。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 適用於外部使用者的識別提供者 | 針對自助式註冊來賓: - Microsoft Entra 帳戶 - Microsoft 帳戶 - 電子郵件一次性密碼 - Google 同盟 - Facebook 同盟 針對受邀來賓: - Microsoft Entra 帳戶 - Microsoft 帳戶 - 電子郵件一次性密碼 - Google 同盟 - SAML/WS-Fed 同盟 |
針對自助式註冊使用者 (取用者、商務客戶): - 帶有密碼的電子郵件 (部分機器翻譯) - 電子郵件一次性密碼 (部分機器翻譯) - Google 同盟 (預覽) (部分機器翻譯) - Facebook 同盟 (預覽) (部分機器翻譯) |
| 驗證方法 | 針對內部使用者(員工和系統管理員): - 來賓的驗證和驗證方法 (受邀或自助式註冊): - 來賓 MFA 的驗證方法 |
針對自助式註冊使用者 (取用者、商務客戶): - 適用於 MFA 的電子郵件一次性密碼 (部分機器翻譯) |
應用程式註冊
下表會比較每種租用戶類型中可供進行應用程式註冊的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 通訊協定 | SAML 信賴憑證者、OpenID Connect 和 OAuth2 | OpenID Connect 和 OAuth2 |
| 支援的帳戶類型 | 下列帳戶類型 (部分機器翻譯):
|
一律使用 [僅此組織目錄中的帳戶 (單一租用戶)]。 |
| 平台 | 下列平台 (部分機器翻譯):
|
下列平台 (部分機器翻譯):
|
| 驗證>重新導向 URI | 在成功驗證或登出使用者後傳回驗證回應 (權杖) 時,Microsoft Entra ID 會接受為目的地的 URI。 | 與員工相同。 |
| 驗證>前端通道登出 URL | Microsoft Entra ID 會將要求傳送至此 URL,以要求應用程式清除使用者的工作階段資料。 必須要有前端通道登出 URL,單一登出才能正常運作。 | 與員工相同。 |
| 驗證>隱含授與及混合式流程 | 直接向授權端點要求權杖。 | 與員工相同。 |
| 憑證及祕密 |
|
與員工相同。 |
| API 權限 | 新增、移除和取代對某個應用程式的權限。 將權限新增至您的應用程式之後,使用者或系統管理員必須對新權限授與同意。 深入了解在 Microsoft Entra ID 中更新應用程式的所要求權限 (部分機器翻譯)。 | 以下是允許的權限:Microsoft Graph offline_access、openid 和 User.Read,以及您的 [我的 API] 委派權限。 只有系統管理員可以代表組織同意。 |
| 公開 API | 定義自訂範圍 (部分機器翻譯),以限制對受 API 保護之資料和功能的存取。 需要部分存取此 API 的應用程式可以要求使用者或系統管理員同意一或多個這些範圍。 | 定義自訂範圍,以對受到 API 保護的資料和功能進行存取限制。 需要部分存取此 API 的應用程式可以要求系統管理員同意一或多個這些範圍。 |
| 應用程式角色 | 應用程式角色是用來將權限指派給使用者或應用程式的自訂角色 (部分機器翻譯)。 應用程式定義及發佈應用程式角色,並在授權期間將角色解譯為權限。 | 與員工相同。 深入了解在外部租用戶中針對應用程式使用角色型存取控制 (部分機器翻譯)。 |
| 擁有者 | 應用程式擁有者可以檢視和編輯應用程式註冊。 此外,具有可用來管理任何應用程式的系統管理權限 (且可能未被列出) 的任何使用者 (例如雲端應用程式管理員 (部分機器翻譯)) 都可以檢視和編輯應用程式註冊。 | 與員工相同。 |
| 角色與系統管理員 | 系統管理角色 (部分機器翻譯) 是用於在 Microsoft Entra ID 中授與對特殊權限動作的存取權。 | 只有雲端應用程式管理員 (部分機器翻譯) 角色才能在外部租用戶中用於應用程式。 此角色會授與能力來建立和管理應用程式註冊和企業應用程式的所有層面。 |
| 將使用者和群組指派給應用程式 | 需要使用者指派時,只有您指派給應用程式的使用者 (透過直接使用者指派或根據群組成員資格) 才能登入。 如需詳細資訊,請參閱管理針對應用程式的使用者和群組指派 | 無法使用 |
OpenID Connect 和 OAuth2 流程
下表會比較每種租用戶類型中 OAuth 2.0 和 OpenID Connect 授權流程可用的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| OpenID Connect | Yes | Yes |
| 授權碼 | Yes | Yes |
| 具有代碼交換 (PKCE) 的授權碼 (部分機器翻譯) | Yes | Yes |
| 用戶端認證 | Yes | v2.0 應用程式 (預覽) |
| 裝置授權 (部分機器翻譯) | 是 | No |
| 代理者流程 | Yes | Yes |
| 隱含授與 | Yes | Yes |
| 資源擁有者密碼認證 (部分機器翻譯) | Yes | 否,針對行動應用程式,請使用原生驗證 (部分機器翻譯)。 |
OpenID Connect 和 OAuth2 流程中的授權單位 URL
授權單位 URL 是指出 MSAL 可以向其要求權杖之目錄的 URL。 針對外部租用戶中的應用程式,請一律使用下列格式:<tenant-name>.ciamlogin.com
下列 JSON 顯示具有授權單位 URL 的 .NET 應用程式 appsettings.json 檔案的範例:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
條件式存取
下表會比較每種租用戶類型中條件式存取可用的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 指派 | 使用者、群組和工作負載身分識別 | 包括所有使用者,並排除使用者和群組。 如需詳細資訊,請參閱將多重要素驗證 (MFA) 新增至應用程式 (部分機器翻譯)。 |
| 目標資源 |
|
|
| 條件 | ||
| 授與 | 授與或封鎖資源存取權 (部分機器翻譯) | |
| 工作階段 | 工作階段控制 (部分機器翻譯) | 無法使用 |
帳戶管理
下表會比較每種租用戶類型中可供進行使用者管理的功能。 如表格所述,某些帳戶類型是透過邀請或自助式註冊來建立。 租用戶中的使用者系統管理員也可以透過系統管理中心建立帳戶。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 帳戶類型 |
|
|
| 管理使用者設定檔資訊 | 以程式設計方式及使用 Microsoft Entra 系統管理中心 (部分機器翻譯)。 | 與員工相同。 |
| 重設使用者的密碼 | 如果忘記密碼、使用者被鎖定而無法進入裝置,或是使用者從未收到密碼,系統管理員可以重設使用者的密碼 (部分機器翻譯)。 | 與員工相同。 |
| 還原或移除最近刪除的使用者 | 刪除使用者之後,其帳戶會維持在暫時停權狀態 30 天。 在這 30 天的範圍期間,可以還原該使用者帳戶及其所有屬性。 | 與員工相同。 |
| 停用帳戶 | 防止新使用者登入。 | 與員工相同。 |
密碼保護
下表會比較每種租用戶類型中可用於密碼保護的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 智慧鎖定 | 智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力密碼破解方法登入的不良執行者 | 與員工相同。 |
| 自訂禁用密碼 | Microsoft Entra 自訂禁用密碼清單可讓您新增特定字串來進行評估和封鎖。 | 無法使用。 |
權杖自訂
下表會比較每種租用戶類型中可用於權杖自訂的功能。
| 功能 | 員工租用戶 | 外部租用戶 |
|---|---|---|
| 宣告對應 | 針對企業應用程式在 JSON Web 權杖 (JWT) 中核發的自訂宣告 (部分機器翻譯) | 與員工相同。 選擇性宣告必須透過屬性與宣告來設定。 |
| 宣告轉換 | 針對企業應用程式在 JSON Web 權杖 (JWT) 中核發的使用者屬性進行轉換套用 (部分機器翻譯)。 | 與員工相同。 |
| 自訂宣告提供者 | 呼叫外部 REST API 以從外部系統擷取宣告的自訂驗證延伸模組。 | 與員工相同。 深入了解 |
| 安全性群組 | 設定群組選擇性宣告 (部分機器翻譯)。 | 設定群組選擇性宣告 (部分機器翻譯) 僅限於群組物件識別碼。 |
| 權杖存留期 | 您可以針對由 Microsoft Entra ID 所核發的安全性權杖指定其存留期 (部分機器翻譯)。 | 與員工相同。 |
下一步
- 針對 CIAM 進行規劃 (部分機器翻譯)
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應