Podporované funkce pracovní síly a externích nájemníků
Existují dva způsoby konfigurace tenanta Microsoft Entra v závislosti na tom, jak organizace hodlá tenanta používat, a prostředky, které chtějí spravovat:
- Konfigurace tenanta pracovních sil je určená pro zaměstnance, interní obchodní aplikace a další organizační prostředky. Spolupráce B2B se používá v rámci prostředí pracovních sil ke spolupráci s externími obchodními partnery a pozvanými hosty.
- Konfigurace externího tenanta se používá výhradně pro scénáře externího ID, ve kterých chcete publikovat aplikace pro spotřebitele nebo firemní zákazníky.
Tento článek poskytuje podrobné porovnání funkcí a možností dostupných v pracovních silách a externích tenantech.
Poznámka:
Ve verzi Preview nejsou funkce nebo možnosti, které vyžadují licenci Premium, dostupné v externích tenantech.
Obecné porovnání funkcí
Následující tabulka porovnává obecné funkce a možnosti dostupné pracovníkům a externím tenantům.
| Funkce | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Scénář externích identit | Umožňuje obchodním partnerům a dalším externím uživatelům spolupracovat s vašimi pracovníky. Hosté můžou bezpečně přistupovat k firemním aplikacím prostřednictvím pozvánek nebo samoobslužné registrace. | K zabezpečení aplikací použijte externí ID. Spotřebitelé a firemní zákazníci můžou bezpečně přistupovat k vašim uživatelským aplikacím prostřednictvím samoobslužné registrace. Podporují se také pozvánky. |
| Místní účty | Místní účty jsou podporované jenom pro interní členy vaší organizace. | Místní účty jsou podporované pro: - Externí uživatelé (spotřebitelé, firemní zákazníci), kteří používají samoobslužnou registraci. – Účty vytvořené správci. |
| Skupiny | Skupiny je možné použít ke správě účtů pro správu a uživatele. | Skupiny lze použít ke správě administrativních účtů. Podpora skupin Microsoft Entra a aplikačních rolí je postupně zaváděna v tenantových instancích zákazníků. Nejnovější aktualizace najdete v tématu Podpora skupin a rolí aplikací. |
| Role a správci | Role a správci jsou plně podporovány pro administrátorské a uživatelské účty. | U zákaznických účtů se role nepodporují. Zákaznické účty nemají přístup k prostředkům tenanta. |
| Ochrana ID | Poskytuje průběžné zjišťování rizik pro vašeho tenanta Microsoft Entra. Umožňuje organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. | Podmnožina detekce rizik Microsoft Entra ID Protection je k dispozici. Další informace. |
| správa ID | Umožňuje organizacím řídit životní cyklus identit a přístupu a zabezpečit privilegovaný přístup. Další informace. | Není k dispozici |
| Samoobslužné resetování hesla | Umožňuje uživatelům resetovat heslo pomocí až dvou metod ověřování (viz další řádek dostupných metod). | Umožňuje uživatelům resetovat heslo pomocí e-mailu s jednorázovým heslem. Další informace. |
| Vlastní nastavení jazyka | Přizpůsobte si přihlašovací prostředí na základě jazyka prohlížeče, když se uživatelé ověřují ve vašich podnikových intranetových nebo webových aplikacích. | Pomocí jazyků můžete upravit řetězce zobrazené zákazníkům v rámci procesu přihlašování a registrace. Další informace. |
| Vlastní atributy | Pomocí atributů rozšíření adresáře můžete do adresáře Microsoft Entra ukládat další data pro uživatelské objekty, skupiny, podrobnosti tenanta a instanční objekty. | Pomocí atributů rozšíření adresáře můžete ukládat více dat v adresáři zákazníka pro objekty uživatele. Vytvořte vlastní atributy uživatele a přidejte je do toku uživatele pro registraci. Další informace. |
| cen | Ceny za měsíční aktivní uživatele (MAU) pro externí hosty v B2B spolupráci (typ uživatele=Host). | Ceny pro měsíčně aktivní uživatele (MAU) pro všechny uživatele v externím tenant bez ohledu na roli nebo typ uživatele. |
Přizpůsobení vzhledu a chování
Následující tabulka porovnává funkce, které jsou k dispozici pro úpravu vzhledu a pocitu pro zaměstnance a externí nájemníky.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Branding společnosti | Můžete přidat firemní branding, který se vztahuje na všechna tato prostředí a vytvořit tak konzistentní přihlašovací prostředí pro vaše uživatele. | Stejně jako pracovní síla. Další informace |
| Vlastní nastavení jazyka | Přizpůsobte si přihlašovací prostředí podle jazyka prohlížeče. | Stejně jako pracovní síla. Další informace |
| Vlastní názvy domén | Vlastní domény můžete používat jenom pro účty pro správu. | Funkce vlastní domény URL pro externí tenanty umožňuje přizpůsobení koncových bodů přihlašování aplikací pomocí vlastního názvu domény. |
| Nativní ověřování pro mobilní aplikace | Není k dispozici | Nativní ověřování Microsoft Entra umožňuje mít plnou kontrolu nad návrhem přihlašování k mobilní aplikaci. |
Přidání vlastní obchodní logiky
Vlastní rozšíření ověřování umožňují přizpůsobit prostředí ověřování Microsoft Entra integrací s externími systémy. Rozšíření vlastního ověřování je v podstatě posluchač událostí, který při aktivaci provádí HTTP volání na koncový bod REST API, kde definujete vlastní obchodní logiku. Následující tabulka porovnává události vlastních rozšíření ověřování, které jsou k dispozici v pracovních prostředích a externích tenantech.
| Událost | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| TokenIssuanceStart | Přidání nároků z externích systémů | Přidání nároků z externích systémů |
| NaZačátkuSběruAtributů | Není k dispozici | Nastane na začátku kroku sběru atributů při registraci, před vykreslením stránky pro sběr atributů. Můžete přidat akce, jako jsou předvyplnění hodnot a zobrazení blokující chyby. Další informace |
| OnAttributeCollectionSubmit | Není k dispozici | Nastane během procesu registrace, jakmile uživatel zadá a odešle atributy. Můžete přidat akce, jako je ověření nebo úprava položek uživatele. Další informace |
| OnOtpSend Poslat OTP | Není k dispozici | Nakonfigurujte vlastního poskytovatele e-mailu pro jednorázové odesílání událostí hesla. Další informace |
Zprostředkovatelé identit a metody ověřování
Následující tabulka porovnává zprostředkovatele identit a metody dostupné pro primární ověřování a vícefaktorové ověřování (MFA) u pracovníků a externích tenantů.
| Funkce | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Zprostředkovatelé identit pro externí uživatele (primární ověřování) |
Pro hosty samoobslužné registrace - Účty Microsoft Entra - Účty Microsoft - Jednorázové heslo k e-mailu - Federace Google - Federace Facebooku Pro pozvané hosty - Účty Microsoft Entra - Účty Microsoft - Jednorázové heslo e-mailem - Google federace - Federace SAML/WS-Fed |
pro uživatele samoobslužné registrace (uživatelé, firemní zákazníci) - e-mail s heslem - E-mail jednorázovým heslem - federace Google (Preview) - Federace Facebooku (Preview) - federace Apple (Preview) - federace OIDC (Preview) - FEDERACE SAML/WS-Fed (Preview) U pozvaných hostů (Preview) Hosté pozvaní s rolí adresáře (například správci): - Účty Microsoft Entra – Jednorázové heslo k e-mailu účtů - Microsoft - federace SAML/WS-Fed (Preview) |
| Metody ověřování pro MFA |
Pro interní uživatele (zaměstnance a správce) - Metody ověřování a verifikace Pro hosty (pozvané nebo samoobslužně registrované) - Metody ověřování pro vícefaktorové ověřování hostů |
Pro uživatele samoobslužné registrace (spotřebitelé, firemní zákazníci) nebo pozvané uživatele (náhled) - E-mail s jednorázovým kódem - Autentizace pomocí SMS |
Registrace aplikace
Následující tabulka porovnává funkce dostupné pro registraci aplikací v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| Protokol | Závislé strany SAML, OpenID Connect a OAuth2 | strany závislé na SAML, OpenID Connect, a OAuth2 |
| Podporované typy účtů |
Následující typy účtů:
|
Vždy používejte účty pouze v tomto organizačním adresáři (jediný nájemce). |
| Platforma |
Následující platformy:
|
Následující platformy:
|
| Ověřování>Přesměrování URI | Identifikátory URI, které Microsoft Entra ID akceptuje jako cílové při vracení ověřovacích odpovědí (tokenů) po úspěšném ověření nebo odhlášení uživatelů. | Stejně jako pracovní síla. |
| Ověření>Front-channel URL pro odhlášení | Tato adresa URL je místo, kde Microsoft Entra ID odesílá požadavek, aby aplikace vymaže data relace uživatele. Aby správně fungovalo jednotné odhlášení, je vyžadována URL adresa odhlášení pro front-channel. | Stejně jako pracovní síla. |
| Autentizace>Implicitní udělení oprávnění a hybridní toky | Požádejte o token přímo z autorizačního koncového bodu. | Stejně jako pracovní síla. |
| Certifikáty a tajné kódy | Stejně jako pracovní síla. | |
| Oprávnění rozhraní API | Přidání, odebrání a nahrazení oprávnění k aplikaci Po přidání oprávnění do aplikace musí uživatelé nebo správci udělit souhlas s novými oprávněními. Přečtěte si další informace o aktualizaci požadovaných oprávnění aplikace v ID Microsoft Entra. | Následující oprávnění jsou povolená: Microsoft Graph offline_access, openida User.Read vaše delegovaná oprávnění rozhraní API. Jménem organizace může souhlasit jenom správce. |
| Zveřejnění rozhraní API | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat uživatele nebo správce o souhlas s jedním nebo více z těchto oborů. | Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat správce o souhlas s jedním nebo více z těchto oborů. |
| Role aplikací | Aplikační role jsou vlastní role pro přiřazování oprávnění uživatelům nebo aplikacím. Aplikace definuje a publikuje aplikační role a během autorizace je interpretuje jako oprávnění. | Stejně jako pracovní síla. Přečtěte si další informace o používání řízení přístupu na základě role pro aplikace v externím tenantovi. |
| Majitelé | Vlastníci aplikací můžou zobrazit a upravit registraci aplikace. Kromě toho může každý uživatel (který nemusí být uveden) s oprávněními správce ke správě jakékoli aplikace (například Správce cloudových aplikací), může zobrazit a upravit registraci aplikace. | Stejně jako pracovní síla. |
| Role a správci | Role pro správu se používají k udělení přístupu k privilegovaným akcím v ID Microsoft Entra. | Pro aplikace v externích tenantech je možné použít jenom roli správce cloudových aplikací. Tato role umožňuje vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací. |
| Přiřazení uživatelů a skupin k aplikaci | Pokud se vyžaduje přiřazení uživatelů, mohou se přihlásit jenom ti uživatelé, které k aplikaci přiřadíte (buď přímým přiřazením uživatelů, nebo na základě členství ve skupinách). Další informace najdete v tématu správa přiřazení uživatelů a skupin k aplikaci. | Není k dispozici |
Toky OpenID Connect a OAuth2
Následující tabulka porovnává funkce dostupné pro toky autorizace OAuth 2.0 a OpenID Connect v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí tenant |
|---|---|---|
| OpenID Connect | Ano | Ano |
| Autorizační kód | Ano | Ano |
| Autorizační kód pomocí výměny kódu (PKCE) | Ano | Ano |
| Přihlašovací údaje klienta | Ano | aplikace v2.0 (náhled) |
| Autorizace zařízení | Ano | Náhled |
| Tok jménem | Ano | Ano |
| Implicitní udělení | Ano | Ano |
| Údaje pro heslo vlastníka zdroje | Ano | Ne, pro mobilní aplikace používejte nativní ověřování. |
Adresa URL autority v tocích OpenID Connect a OAuth2
Adresa URL autority je adresa URL, která označuje adresář, ze kterého může msAL požadovat tokeny. Pro aplikace v externích tenantech vždy použijte následující formát: <název-tenanta>.ciamlogin.com
Následující json ukazuje příklad souboru aplikace .NET appsettings.json s adresou URL autority:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Podmíněný přístup
Následující tabulka porovnává funkce dostupné pro podmíněný přístup v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Přiřazení | Uživatelé, skupiny a pracovní identity | Zahrnout všechny uživatele a vyloučit uživatele a skupiny. Další informace najdete v tématu Přidání vícefaktorového ověřování (MFA) do aplikace. |
| Cílové zdroje | ||
| Podmínky | ||
| Grant | Udělení nebo blokování přístupu k prostředkům | |
| Sezení | Ovládací prvky relace | Není k dispozici |
Správa účtů
Následující tabulka porovnává funkce dostupné pro správu uživatelů v každém typu tenanta. Jak je uvedeno v tabulce, určité typy účtů se vytvářejí prostřednictvím pozvánky nebo samoobslužné registrace. Správce uživatele v tenantovi může také vytvářet účty prostřednictvím Centra pro správu.
| Funkce | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Typy účtů |
|
|
| Správa informací o uživatelském profilu | Programově a pomocí Centra pro správu Microsoft Entra. | Stejně jako pracovní síla. |
| Resetování hesla uživatele | Správci můžou resetovat heslo uživatele, pokud je heslo zapomenuté, pokud se uživatel zamkne ze zařízení nebo pokud uživatel nikdy nepřijal heslo. | Stejně jako pracovní síla. |
| Obnovení nebo odebrání nedávno odstraněných uživatelů | Po odstranění uživatele zůstane jeho účet po dobu 30 dnů v pozastaveném stavu. Během tohoto 30denního období je možné uživatelský účet obnovit i se všemi jeho vlastnostmi. | Stejně jako pracovní síla. |
| Zakázání účtů | Zabránit tomu, aby se nový uživatel mohl přihlásit. | Stejně jako pracovní síla. |
Ochrana hesel
Následující tabulka porovnává funkce dostupné pro ochranu heslem v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí nájemník |
|---|---|---|
| Inteligentní uzamčení | Inteligentní uzamčení pomáhá zamknout chybné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostaly do systému. | Stejně jako pracovní síla. |
| Vlastní zakázaná hesla | Seznam vlastních zakázaných hesel společnosti Microsoft Entra umožňuje přidat konkrétní řetězce pro vyhodnocení a blokování. | Není k dispozici. |
Přizpůsobení tokenu
Následující tabulka porovnává funkce, které jsou k dispozici pro přizpůsobení tokenu v každém typu tenanta.
| Funkce | Tenant pracovních sil | Externí nájemce |
|---|---|---|
| Mapování nároků | Přizpůsobte nároky vydané ve webovém tokenu JSON (JWT) pro podnikové aplikace. | Stejně jako pracovní síla. Volitelné nároky musí být nakonfigurovány prostřednictvím atributů a nároků. |
| Transformace nároků | Použijte transformaci na atribut uživatele vydaný ve webovém tokenu JSON (JWT) pro podnikové aplikace. | Stejně jako pracovní síla. |
| Vlastní zprostředkovatel nároků | Vlastní rozšíření ověřování, které volá externí rozhraní REST API pro získání deklarací identity z externích systémů. | Stejně jako pracovní síla. Další informace |
| Skupiny zabezpečení | Konfigurace volitelných deklarací skupin | Skupinové volitelné deklarace jsou omezené na ID objektu skupiny. |
| Životnost tokenů | Můžete zadat životnost tokenů zabezpečení vydaných službou Microsoft Entra ID. | Stejně jako pracovní síla. |
Rozhraní Microsoft Graph API
Všechny funkce podporované v externích tenantech jsou také podporovány pro automatizaci prostřednictvím rozhraní Microsoft Graph API. Některé funkce, které jsou ve verzi Preview v externích tenantech, můžou být obecně dostupné prostřednictvím Microsoft Graphu. Další informace najdete v tématu Správa identit Microsoft Entra a síťového přístupu pomocí Microsoft Graphu.